Administration Réseaux Sous Server 2008

Office de la Formation Professionnelle et de la Promotion du Travail
Mehdi El Haouate
http://www.ofppt-tsri.blogspot.com/ https://www.facebook.com/TSRI.reseaux
Sommaire

Configuration des services rseau. Mise en uvre de lActive Directory. Utilisateurs.
Configuration de la rsolution de noms.

Configuration autour du protocole DHCP. Publication du stockage. Mise en uvre du serveur de fichiers. Mise en uvre du serveur dimpression.
Administration via les stratgies de groupe.

Suivi et optimisation des performances.
Ch1: Configuration des services rseau.

1. 2. 3.
Configuration de la carte rseau Configuration du centre rseau et partage Prsentation du routage
4.
5. 6. 7.
Prsentation du dpannage
Prsentation du pare-feu Prsentation de la traduction dadresses rseau NAT Prsentation de laccs distant et des rseaux privs virtuels VPN Accs rseau sans fil
8.
Configuration de la carte rseau

Cette section prsente les tapes pour configurer la carte rseau avec le protocole IPv4. Il est noter que les noms des cartes rseau est logique et dpends du protocole rseau. Chaque carte physique a au moins deux noms logiques, un pour le
protocole IPv4 et un pour le protocole IPv6.

Remarque : Il nest pas possible de supprimer les protocole IPv4 et IPv6. Seule leur dsactivation est permise.

1. Configuration via linvite de commande
Ouvrez une invite de commande. Saisissez netsh interface ipv4 show interface pour connatre le nom des diffrents interfaces puis appuyez sur [Entre]. Saisissez netsh interface ipv4 set address name="NomCarteRseau" source=static address=@IP
a. Adresse IPv4 statique:
mask=netmask gateway=@IP passerelle puis appuyez sur [Entre].

Saisissez netsh interface ipv4 set dnsserver name="NomCarteRseau" source=static address=@IP(NS) puis appuyez sur [Entre] pour ajouter une adresse dun serveur DNS.

1. Configuration via linvite de commande
Ouvrez une invite de commande. Saisissez netsh interface ipv4 show interface pour connatre le nom des diffrents interfaces puis appuyez sur [Entre]. Saisissez netsh interface ipv4 set address name="NomCarteRseau" source=dhcp puis appuyez sur [Entre]. Saisissez netsh interface ipv4 set dnsserver name="NomCarteRseau" source=dhcp puis appuyez sur [Entre] pour ajouter une adresse dun serveur DNS.
a. Adresse IPv4 dynamique:

2.

Configuration via linterface graphique

Pour ouvrir les connexions rseau, le plus simple est de saisir control ncpa.cpl dans la zone Rechercher ou Excuter du menu Dmarrer . Il est galement possible de passer par Centre Rseau et partage puis de cliquer sur Grer les connexions rseau Cliquer avec le bouton droit de la souris sur la carte modifier et cliquez sur Proprits dans le menu contextuel.
Dans la liste de la boite de dialogue suivante, slectionnez Protocole Internet version 4 (TCP/IPv4) puis cliquez sur le bouton Proprits.

2.

Obtenir une adresse IP automatiquement: Permet de recevoir une adresse IP provenant dun serveur DHCP, ce choix affiche un onglet nomm Configuration alternative.
Utiliser ladresse IP suivante: Permet dindiquer une adresse IP statique.

Obtenir les adresses des serveurs DNS automatiquement: Permet de recevoir les adresses des serveurs DNS par lintermdiaire du serveur DHCP Utiliser ladresse de serveur DNS suivante: Permet de dfinir les adresses des serveurs DNS utiliser dans lordre dfini. Pour ajouter dautres serveurs DNS, utilisez le bouton Avanc puis longlet DNS.

2.

Onglet Configuration alternative: permet de dfinir comment assigner une adresse si aucun serveur DHCP nest disponible.
Adresse IP priv automatique: Assigne automatiquement une adresse dans les adresses APIPA (169.254.Y.Z).
Spcifie par lutilisateur: Permet de dfinir une adresse IP statique, un masque ainsi quune passerelle par dfaut. A linstar de lAPIPA, ces paramtres sont pris en compte en labsence de rponse dun serveur DHCP.

2.

La configuration alternative (APIPA ou utilisateur) est une mode de fonctionnement temporaire. Un test de dtection de serveur DHCP est effectu toutes les 5 minutes et cette configuration est abandonne au profit dune rponse provenant dun serveur DHCP. Pour dsactiver APIPA sur toutes les cartes rseau, utilisez regedit pour modifier la valeur IPAutoconfigurationEnabled (DWORD) 0 de la cl HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\Par ameters.

2.

Le bouton Avanc affiche la bote de dialogue de configuration avance des Paramtres TCP/IP. Dans la section adresse IP, si ladresse IP est statique, il est possible dajouter dautres adresses IP la carte rseau. Dans la section passerelle par dfaut, il est possible dajouter dautres passerelles par dfaut (notion failback). Loption mtrique automatique permet dindiquer une valeur de cot pour linterface; plus le cot est faible plus la chance dutiliser linterface est grande.
Paramtres TCP/IP avancs-onglet Paramtres IP

2.

La section Adresses des serveurs DNS, dans lordre dutilisation permet dajouter des serveurs et de grer la liste des serveurs DNS. Lajout des suffixes DNS dans lordre permet dutiliser les noms raccourcis des ordinateurs au lieu de leur FQDN.
Paramtres TCP/IP avancs-onglet DNS
Dans la zone de texte Suffixe DNS pour cette connexion, ils est possible de spcifier un suffixe diffrent pour cette connexion. La case cocher Enregistrer les adresses de cette connexion dans le systme DNS est utiliser conjointement.
La case cocher Enregistrer les adresses de cette connexion dans le systme DNS met jour les informations DNS de cette connexion.

2.

La section Adresses WINS, dans lordre dutilisation, vous trouvez les adresses des serveurs WINS. La case cocher Activer la recherche LMHOSTS indique sil faut utiliser ledit fichier pour rsoudre les noms NetBIOS.
Paramtres TCP/IP avancs-onglet WINS
Le bouton importer LMHOSTS permet de remplacer le fichier LMHOSTS dorigine par votre fichier.
Dans la section Paramtres NetBIOS, vous pouvez choisir si la rsolution de nom NetBIOS est activ et comment elle est configur: Par dfaut, Activer NetBIOS sur TC/IP ou Dsactiver Netbios sur TCP/IP.

2.

Activation/dsactivation du protocole IPv4

Ouvrez une invite de commande. Saisissez netsh interface ipv4 install |uninstall puis appuyez sur [entre]. Redmarrez le serveur
Si vous dsactivez les protocoles en les dcochant via les proprits de la carte rseau, le protocole nest pas entirement dsactiv.
Configuration du Centre Rseau et partage

1. Ouvrir le centre rseau et partage
Pour ouvrir le centre rseau et partage, suivez cette procdure: Sur le Bureau, zone de notification, cliquez sur licne suivante Sur la boite de dialogue qui apparat, cliquez sur le lien Centre Rseau et partage. La fentre ci-contre apparat:
Figure -1: Centre Rseau et partage

1.
a.
Ouvrir le centre rseau et partage

Mappage rseau La zone du mappage rseau situ en haut droite reprsente graphiquement la connexion actuelle du rseau Elle utilise le protocole LLTD (Link Layer Topology Discovery) pour dterminer la topologie rseau. Si vous cliquez sur Afficher lintgralit du mappage pour autant que lordinateur se trouve sur un type demplacement rseau qui nest pas public et que le mappage rseau est activ, alors vous pouvez faire apparatre le mappage existant.

1.


Sur la fentre du Centre de Rseau et partage, en dessous de la zone de mappage rseau, vous trouvez les informations concernant laccessibilit et la connexion de chacune des cartes rseaux. En cliquant sur le lien Personnaliser, vous pouvez modifier le nom du rseau, le type demplacement (public/priv), modifier licne reprsentant le rseau ainsi que fusionner des emplacements rseaux, cest--dire dfinir un rseau compos de plusieurs emplacements rseaux. En cliquant sur Voir le statut, vous faites apparatre la boite de dialogue Statut de la fentre Etat de la connexion au rseau local.
b. Connexion rseau

1.

Sur la fentre du Centre de Rseau et Partage, dans la zone Partage et dcouverte vous pouvez modifier ltat (Activ/Dsactiv/Personnaliser) de certains lments rseaux comme:
Recherche du rseau Partage de fichiers Partage de dossiers publics
c. Partage et dcouverte
Partage dimprimante
Partage protg par mot de passe.

1.
Type demplacement rseau

Bien que cette fonctionnalit soit trs utile pour un utilisateur nomade, elle trouve son intrt pour un serveur. Si ce dernier doit tre dplac en dfinissant des rgles trs strictes lorsque lordinateur se situe sur un rseau autre que le rseau de domaine. Windows server 2008 peut se trouver dans lun des types demplacements rseaux suivants:
Domaine: Emplacement faisant partie du rseau de domaine. Priv ou professionnel: Emplacement suffisamment scuris. se trouvant au moins derrire un pare-feu rseau ou un traducteur dadresses rseau (NAT). Public: Reprsente tous les autres emplacements.
Non identifi: Un emplacement rseau qui nest pas encore dfini, les rgles de lemplacement public sappliquent.

1.
Type demplacement rseau

Le tableau suivant montre les diffrence des rgles du pare-feu et les emplacement rseaux:
Partage ou dcouverte (rgles du pare-feu) Recherche du rseau Partage de fichiers Partage de dossiers publics Emplacemen t de domaine Dsactiv Dsactiv Activ Emplacement priv ou professionnel Activ Activ Dsactiv Emplaceme nt public Dsactiv Dsactiv Dsactiv
Partage dimprimante
Partage protg par mot de passe
Activ*
Non disponible
Activ*
Activ
Dsactiv
Activ
* Seulement si une imprimante est dfinie sur lordinateur

1.

Les tches
Le lien Afficher les ordinateurs et les priphriques rseau affiche une fentre avec le nom des ordinateurs et priphriques dcouverts sur le rseau. Le lien Connexion un rseau permet, sil existe plusieurs rseaux, de se connecter un rseau spcifique. Le lien Configurer une connexion ou un rseau permet dafficher lassistant pour se connecter un rseau. Le lien Grer les connexions rseau affiche la fentre Connexions rseaux (ncpa.cpl).
Dans le centre de Rseau et partage, les tches sont situes gauche.
Le lien Diagnostiquer et rparer lance loutil diagnostic rseau de windows.
Prsentation du routage
1.
Introduction
La famille des serveurs Windows peut galement agir en tant que routeur. Son activation est des plus simple. Nanmoins, ensuite, il faut crer des routes soit manuellement ou plus efficacement laide dune protocole de routage dynamique.
Parmi les protocoles de routages existants, Windows server 2008 supporte uniquement le protocole RIP (Routing Internet Protocol), largement rpandu.
Concernant le protocole OSPF prsent dans les versions prcdentes, Microsoft la retir de Windows Server 2008, car il tait peu utilis.
Dans Windows Server 2008 le routage fait partie du rle Services de stratgie et daccs rseau, et plus particulirement du service de rle Services de routage et daccs distance.
2.

Activation du routage par modification de la valeur de la
cl de registre "IpEnableRouter"
Il est possible dactiver le routage en modifiant la valeur de la cl du registre IPEnableRouter de 0 (dfaut) qui signifie dsactiv 1 qui signifie activ. Le chemin est HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, un redmarrage est ncessaire.
Le fonctionnement diffre de la mthode utilisant le routage et laccs distant du fait quil nest pas possible:
Dajouter un protocole de routage
Dutiliser des filtres.
3.

Ajout du service de routage et daccs distant

Connectez vous en tant quadministrateur. Cliquez sur Dmarrer Outils dadministration puis sur Gestionnaire
Si le service de rle nest pas encore install:
de serveur.
Dans larborescence de la console, cliquez sur Rles. Dans la fentre principale de Rles, cliquez sur Ajouter des rles.
Sur la page avant de commencer apparat, cliquez sur Suivant.

Sur la page Rles de serveurs, slectionnez Services de stratgie et daccs rseau puis cliquez sur Suivant.
2.

Ajout du service de routage et daccs distant (suite des

tapes dinstallation)
Sur la page Stratgie et accs rseau, cliquez sur Suivant. Sur la page Services de rle, slectionnez Routage.
Dans la boite de dialogue Assistant ajout de rles, cliquez sur le bouton

Ajouter les services de rles requis. Sur la page Service de rle, cliquez sur Suivant.
Sur la page Confirmation, cliquez sur installer.

Ds que la page Rsultats apparat, contrlez que le rle est bien install, puis cliquez sur Fermer.
4.
Activation du service de routage et daccs distant

Connectez vous en tant quadministrateur
Cliquez sur Dmarrer Outils dadministration puis sur Gestionnaire de serveur.
Dans larborescence de la console, cliquez sur Rles.

Cliquez sur le nud Service de stratgie et daccs distant. Cliquez sur le bouton droit de la souris sur Routage et accs distant,
puis cliquez sur Configurer et activer le routage et laccs distant.

Sur la page Bienvenue de lassistant cliquez sur Suivant. Sur la page Configuration, slectionnez loption Configuration personnalise puis cliquez sur Suivant.
4.

Configuration personnalise permet de slectionner les options voulues.
Sur la page Configuration personnalis, slectionnez
Routage rseau puis cliquez sur

Suivant
Figure-2: Assistant installation dun serveur Routage et accs distant
4.

Accs VPN: permet de crer un serveur VPN pour des connexions entrantes via Internet.
Accs rseau distance: Permet de crer un serveur VPN pour des connexions entrantes via un modem ou un autre quipement daccs distance. Connexions la demande: Permet de crer et de recevoir des connexions la demande.
NAT: Permet dactiver NAT pour partager un accs internet avec le rseau local.
Routage rseau: permet dactiver le routage.
4.

Sur la page Fin de lAssistant Installation dun serveur de routage et daccs distance, cliquez sur Terminer.
Dans la boite de dialogue Routage et accs distant, cliquez sur Dmarrer le service. La console Routage et accs distant ressemble limage suivante:
Figure-3: Console Routage et accs distant
5.
Configuration du routage
Connectez vous en tant quadministrateur.
Cliquez sur Dmarrer Outils dadministration puis sur Gestionnaire de serveur.
Dans larborescence de la console, cliquez sur le nud Rles.

Cliquez sur le nud Service de stratgie et daccs distant. Cliquez avec le bouton droit de la souris sur Routage et accs distant,
puis sur Proprits.

La boite de dialogue Proprits de Routage et accs distant apparat.
5.
Configuration du routage
Routeur IPv4 ou Routeur IPv6 spcifie si le serveur est activ en tant que routeur IPv4 ou IPv6 sur le rseau local uniquement (dfaut), soit sur le rseau local et les connexions la demande.
Onglet IPv4 La slection de la case cocher montre que le routage IPv4 est activ. Onglet Enregistrement Permet de slectionner quelles informations sont enregistres dans le journal Systme de lObservateur dvnements.
Figure-4: Proprits Routage et accs distant
6.
Afficher une table de routage

Dans une invite de commandes, saisissez route print puis appuyez sur [Entre]. La commande affiche la table de routage IPv4 et IPv6.
Via la console Routage et accs distant Connectez vous en tant quadministrateur. Cliquez sur Dmarrer Outils dadministration puis sur Gestionnaire de serveur. Dans larborescence de la console, cliquez sur le nud Rles. Cliquez sur le nud Service de stratgie et daccs distant. Cliquez sur le nud Routage et accs distant.
6.

Afficher une table de routage

Via la console Routage et accs distant (suite) Cliquez sur le nud IPv4 ou IPv6 pour faire apparaitre la table de routage correspondante. Cliquez sur le bouton droit de la souris sur Itinraires statiques puis choisissez Afficher la table de routage IP.
Figure-5: Table de routage IPv4
1.
Introduction
Le dpannage rseau dun ordinateur doit tre rigoureux. Il faut toujours vrifier que notre ordinateur fonctionne et rechercher ensuite le problme en sloignant vers la destination. Cette procdure peut tre remplace par une procdure dichotomique plus efficace comme le montre le diagramme plus bas. Le premier point de tout dpannage rseau commence par sassurer que
la couche rseau fonctionne entre les deux ordinateurs pour soccuper

ensuite dun ventuel problme applicatif d au DNS, lapplication, etc.
2.
Quelques outils
ipconfig (invite de commande) La commande ipconfig /all montre la configuration actuelle de votre ordinateur. ping (invite de commande) La commande ping permet de tester la connectivit entre votre ordinateur et la cible, en envoyant un paquet ICMP de type ECHO et en recevant une rponse appele ECHO REPLY. tracert ou pathping (invite de commande) Ces deux outils permettent deffectuer un traage en montrant les routeurs rencontrs. La commande est tracert <adresseIPDestination> ou pathping <adresseIPDestination>. netsh (invite de commande) La commande netsh permet de consulter et de configurer les cartes rseau ainsi que les pare-feu.
3. Procdure de dpannage pour garantir un fonctionnement au niveau de la couche 3 du modle OSI
La procdure suivante est dichotomique et vous garantit quen peu dtapes vous pouvez identifier la source dun problme rseau.
Figure-6: Procdure de dpannage rseau
Prsentation du pare-feu
1.
Introduction
Un pare-feu permet de bloquer ou de laisser passer les paquets laide de filtres agissant au niveau des couches 3, 4, et au-del du modle OSI.
Il existe des pare-feu de type rseau comme Microsoft ISA Server ou Cisco PIX/ASA se plaant entre deux sous-rseaux et filtrant le flux de donnes, mais galement des pare-feu de type hte filtrant le flux de
donnes entrant ou sortant de lhte.
Un pare-feu dhte permet dviter que des ordinateurs malveillants situs sur le rseau interne attaquent les ordinateurs de lentreprise. Par dfaut,
les connexions sortantes sont permises alors que les connexions

entrantes sont refuses.
1.
Introduction
Windows Vista et Windows Server 2008 ont introduit un pare-feu simple grer et puissant, qui dispose notamment des caractristiques suivantes :
une nouvelle interface graphique intgrant le pare-feu avec la gestion dIPSec, un filtrage complet des protocoles IPv4 et IPv6, le blocage de tout trafic entrant except sil sagit dune rponse une requte sortante, lactivation du pare-feu par dfaut. Le pare-feu permet de dfinir des filtres au niveau de lhte ou de la carte rseau que ce soit pour les protocoles IP, TCP/UDP ou ICMP.
2.
Profil rseau
Dans Windows Server 2008, il existe trois profils rseau appels Domaine, Priv et Public. Pour chaque profil, il est possible de dfinir des rgles diffrentes pour le pare-feu.
Le profil Domaine est reconnu par Windows, lorsque le serveur se trouve dans son domaine Active Directory. Le profil Public sapplique pour tout
rseau inconnu ou pas digne de confiance. Le profil Priv est un profil

Notez quun profil spcifique est associ chaque interface rseau intermdiaire entre le profil Public et le profil de Domaine.
2.
Profil rseau
Pour modifier le profil, il faut passer par le Centre de Rseau et partage. Connectez-vous en tant quadministrateur sur le serveur Windows
Server 2008.
Sur le Bureau, cliquez sur Dmarrer, saisissez Centre de Rseau et partage dans la zone Rechercher puis appuyez sur [Entre].
Dans la fentre Centre de Rseau et partage, cliquez sur

Personnaliser.
Dans la bote de dialogue Dfinir un emplacement rseau, slectionnez le type demplacement puis cliquez sur Suivant.
3.
Le pare-feu standard
Le pare-feu standard est la vision simplifie du pare-feu qui ne modifie que les paramtres du profil Public.
Pour ouvrir le pare-feu, connectez-vous en tant quadministrateur.
Sur le Bureau, cliquez sur Dmarrer - Panneau de configuration puis sur Pare-feu Windows.
Cliquez sur Activer ou dsactiver le Pare-feu Windows pour ouvrir la bote de dialogue Paramtres du Pare-feu Windows.
Longlet Gnral permet dactiver ou de dsactiver le pare-feu. Longlet Exceptions permet de dfinir des exceptions pour les connexions entrantes.
Longlet Avanc permet dactiver ou de dsactiver le pare-feu sur chacune des cartes rseau.
4.
Le pare-feu Windows avec fonctions avances de scurit

Cette application permet de grer lintgralit du pare-feu de manire efficace. En exportant les stratgie dfinies, il sera non seulement possible de les importer dans un autre ordinateur, mais galement les placer dans une stratgie de groupe.
Ouvrir Le pare-feu Windows avec fonctions avances de scurit: Connectez vous en tant que administrateur. Cliquer sur Dmarrer Outils dadministration puis sur Pare-feu
Windows avec fonctions avances de scurit.
4. Le pare-feu Windows avec fonctions avances de scurit
Figure-7: Console Pare-feu Windows avec fonctions avances de scurit.
4.
Le pare-feu Windows avec fonctions avances de scurit

Avec la console Pare-feu Windows avec fonctions avances de scurit On pourrait: a. b. c. Restaurer les paramtres par dfaut du pare-feu. Voir les proprits du pare-feu Windows. Importer et exporter des stratgies de pare-feu.
d.
e. f.
Ajouter une rgle.

Modifier une rgle existante. Filtrer les rgles de trafic.
g.
Analyser le pare-feu.
4. Le pare-feu Windows avec fonctions avances de scurit
Gestion du pare-feu laide de linvite de commande Ajouter une rgle pour une application:
netsh advfirewall firewall add rule name="Mon application" dir=in action=allow program="C:\MonRep\MonApp.exe" enable=yes
Supprimer une rgle:

netsh advfirewall firewall delete rule name=rule name
program="C:\MonRep\MonApp.exe"
Restaurer les stratgie par dfaut:

netsh advfirewall reset
Prsentation de la traduction dadresses rseau NAT

1.
Introduction
La traduction dadresses rseau NAT permet un rseau entier de
partager une connexion Internet. Du ct Internet on ne voit quune seule

adresse comme si ce ntait quun seul client. Le serveur NAT sert de passerelle entre le rseau interne et le rseau
Internet. Son principal avantage est quil permet dutiliser dans une
entreprise des adresses prives et de nutiliser quune adresse publique pour laccs Internet.
Dans la terminologie utilise par Cisco, cela correspond la notion de

PAT pour Port Address Translation, alors que le NAT Cisco demande une adresse IP externe par client interne.

1. Introduction
Figure-8: Exemple de translation dadresses rseau NAT

2.

Activation de laccs distant en NAT (votre serveur doit

disposer dau moins deux cartes rseau). Connectez vous en tant quadministrateur Ajouter le service de routage et daccs distant (Voir cours routage) Cliquez sur Dmarrer Outils dadministration puis sur Gestionnaire de serveur. Dans larborescence de la console, cliquez sur Rles. Cliquez sur le nud Service de stratgie et daccs distant. Cliquez sur le bouton droit de la souris sur Routage et accs distant, puis cliquez sur Configurer et activer le routage et laccs distant. Sur la page Bienvenue de lassistant cliquez sur Suivant. Sur la page Configuration, cliquez sur NAT puis sur suivant. Vous pouvez galement cliquer sur le bouton Accs VPN et NAT.

2.
Activation de laccs distant en NAT (suite)

Sur la page Connexion Internet NAT, slectionnez linterface rseau qui est sur le ct Internet, puis cliquez sur Suivant.
Figure-9: Assistant installation dun serveur Routage et accs distant page: Connexion Internet NAT

2.
Activation de laccs distant en NAT (suite)

Sur la page Fin de lAssistant Installation dun serveur de routage et daccs distance, cliquez sur Terminer. Une fois linstallation termine, la console ressemble ceci:
Figure-10: Console Gestionnaire de serveur aprs activation du NAT

3.
Dans larborescence de la console Routage et Accs distant, cliquez avec Sur longlet Gnral, vous dfinissez comment les vnements sont le bouton droit de la souris sur NAT puis sur Proprits.
Proprits du serveur NAT
enregistrs dans le journal Systme de lobservateur dvnements. Cela

peut tre :
Enregistrer uniquement les erreurs dans le journal (dfaut). Enregistrer les erreurs et les avertissements. Enregistrer tous les vnements. Dsactiver lenregistrement dans le journal des vnements.
Prsentation de laccs distant et des rseaux privs virtuels 1. Introduction
Laccs au rseau de lentreprise depuis lextrieur a toujours t une
option trs prise que ce soit pour des informaticiens ou des utilisateurs.
Par la suite la scurit est devenue de mise et les protocoles ont volu pour supporter la notion de rseau priv virtuel.
Un rseau priv virtuel est dfinit comme tant un accs distant scuris
dont lobjectif principal est dinclure lordinateur distant comme faisant partie du rseau de lentreprise en crant un tunnel pour faire passer toutes les communications de lordinateur vers lentreprise y compris les requtes Internet.
Prsentation de laccs distant et des rseaux privs virtuels 2. Connexion rseau distance
Dans notre cours, la connexion rseau distance fait rfrence une connexion utilisant simplement le protocole PPP (Point to Point) sinon le terme de connexion VPN est utilis.
a. Activation de laccs distance
Connectez-vous en tant quadministrateur
Cliquez sur Dmarrer - Outils dadministration puis Gestionnaire de Serveur.

Dans larborescence de la console, cliquez sur le nud de Rles.
Cliquez sur le nud de Services de stratgie et daccs distant.
Cliquez avec le bouton droit de la souris sur Routage et accs distant puis cliquez sur Configurer et activer le routage et laccs distant. Sur la page Bienvenue de lassistant, cliquez sur Suivant.
a. Activation de laccs distance (suite) Sur la page Configuration, cliquez sur Accs distance (Connexion distance ou VPN). Sur la page Accs distance, cochez la case Accs distance puis cliquez sur Suivant.
Sur la page Slection du rseau, slectionnez linterface rseau du rseau interne puis cliquez sur Suivant.
Sur la page Attribution dadresses IP, vous pouvez choisir entre utiliser le serveur DHCP dentreprise, ou partir dune plage dadresses IP que vous spcifiez sur le serveur daccs distant. Si vous utilisez un serveur DHCP distant, lagent serveur DHCP sera ajout et il faudra le configurer. Ensuite, cliquez sur Suivant.
a. Activation de laccs distance (suite)
Si vous avez indiqu une plage dadresses spcifies, alors la page Sur la page Gestion daccs distance multiples, vous pouvez indiquer que le serveur daccs distant gre galement lauthentification, ou quil Si vous avez indiqu de travailler en tant que client Radius, vous devez dfinir les paramtres Radius. devienne un client Radius ce qui amliore la scurit. suivante vous demande de spcifier ces adresses.
Sur la page Fin de lassistant Installation dun serveur de routage et daccs distant, lisez les informations de configuration avant de cliquer sur Terminer.
b. Gestion de laccs distance

Dans larborescence de la console, cliquez avec le bouton droit de la souris sur le nom du serveur puis cliquez sur Proprits.
Dans la bote de dialogue, sur longlet Gnral, vous pouvez activer ou dsactiver de manire indpendante laccs distance IPv4 et IPv6.
Sur longlet Scurit, vous pouvez modifier la mthode dauthentification en utilisant soit lauthentification Windows, soit lauthentification Radius. Sur longlet IPv4, vous pouvez indiquer :
La mthode dattribution des adresses IPv4. Si le routage est activ. Si le serveur daccs distant soccupe de la rsolution de noms NetBIOS et DNS sur le sous-rseau local. La carte rseau utiliser pour obtenir des informations DHCP, DNS et Wins.
Prsentation de laccs distant et des rseaux privs virtuels
2. Connexion rseau distance

b. Gestion de laccs distance (suite)
Sur longlet IPv6, vous pouvez indiquer :

Lactivation du transfert IPv6 soit lquivalent du routage IPv4. Lactivation des annonces de routage par dfaut. Laffectation dun prfixe IPv6 pour les utilisateurs distants.
Sur longlet PPP qui est en relation directe avec les connexions modem vous pouvez indiquer :
Connexions liaisons multiples permet dautoriser un utilisateur distant utiliser plusieurs modems pour se connecter. Contrle de la bande passante dynamique en utilisant les protocoles BAP ou BACP soit si le serveur gre lajout et la suppression dynamique de modems en fonction des besoins. Extension LCP (Link Control Protocol) laisser activ. Compression logicielle permet dactiver le protocole MPPC (Microsoft Point to Point Compression) entre lordinateur distant et le serveur.
b. Gestion de laccs distance (suite) Sur longlet Enregistrement, vous sont sauvegards dans le journal. dfinissez comment les enregistrements Vous pouvez galement configurer :
Les ports pour laccs distant. Visualiser les informations et statistiques sur les clients daccs distants. Grer les stratgies daccs distance. Lagent de relais DHCP.
Figure-11: Fentre proprit du serveur
Prsentation de laccs distant et des rseaux privs virtuels 3. Connexion VPN

La connexion VPN est une des mthodes les plus utilises aujourdhui pour se connecter depuis lextrieur au rseau dentreprise et fait souvent Comme plusieurs concurrents, Microsoft possde sa propre solution qui est dcrite ici. Tous les VPN utilisent les trames PPP puis les scurisent avec Les protocoles VPN supports par Windows Server 2008 sont PPTP (Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol) et SSTP. rfrence dans le langage populaire une connexion scurise.
leur technologie.
Prsentation de laccs distant et des rseaux privs virtuels 3. Connexion VPN

Le tableau suivant prsent les caractristiques des protocoles VPN supports par Windows Server 2008 :
Protocole PPTP (Point to Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol)
Systme dexploitation supportant

XP, 2003, Vista, WS08, W7, WS08 R2
Scnario Accs distant et site site Accs distant et site site Accs distant
XP, 2003, Vista, WS08, W7, WS08 R2
SSTP
Vista SP1, WS08, W7, WS08 R2
Mthode dauthentification Authentification de lutilisateur en clair puis cration du tunnel PPTP Authentification de lordinateur via IPSec puis de lutilisateur dans le tunnel avec PPP Cration du tunnel SSL puis authentification de lutilisateur avec PPP
Ports utiliss TCP 1723 (Control), IP 47 (GRE - Data) UDP Port 500 (IKE), IP 50 (ESP) ventuellement UDP port 4500 (NAT-T Data) TCP 443 (HTTPS)
Tableau-1: protocoles VPN supports par la technologie Microsoft
Prsentation de laccs distant et des rseaux privs virtuels 4. Mthodes dauthentification

Les mthodes dauthentification indiquent la mthode utilise pour transfrer les informations didentification de lutilisateur entre lordinateur client et le serveur daccs distant.
Les mthodes dauthentification supportes dans Windows Server 2008 sont :
Accs non authentifi: Indique si le serveur accepte des connexions non authentifies. Elle est la mthode la moins scurise. PAP: (Password Authentication Protocol). Les mots de passe sont en clair. CHAP: (Challenge Handshake Authentication Protocol) fonctionne en stimulation/rponse et utilise un protocole de hachage des mots de passe MD5 (Message Digest 5). MS-CHAP-V2: fonctionne en authentification mutuelle mot de passe unidirectionnel EAP (Extensible Authentication Protocol): autorise lauthentification arbitraire dune connexion daccs distance grce des modles dauthentification appels types EAP.
Prsentation de laccs distant et des rseaux privs virtuels 4. Mthodes dauthentification
La figure suivante montre les mthodes dauthentification actives par dfaut dans Windows Server 2008 pour un accs VPN.
Dans larborescence de la console, cliquez avec le bouton droit de la souris sur le nom du serveur puis cliquez sur Proprits. Dans la bote de dialogue, cliquez sur longlet Scurit. Cliquez sur Mthode dauthentification et slectionnez les mthodes dont vous avez besoin. Cliquez deux fois sur OK pour fermer la bote de dialogue.
Figure-12: Mthodes dauthentification
Accs rseau sans fil

1. Introduction
Les rseaux sans fil se dmocratisent et lon trouve de plus en plus de Les principaux reproches adresss aux rseaux sans fil concernent points daccs appels galement hot spot travers le monde.
lutilisation dune bande passante limite et partage entre tous les

ordinateurs dun point daccs ainsi quune carence de scurit au niveau de la couche transport.
Lun des travaux de ladministrateur rseau consiste limiter correctement

le cadre dutilisation des rseaux sans fil pour les utilisateurs nomades. Et rendre lutilisation des rseaux sans fil de lentreprise transparente.
Accs rseau sans fil

1. Introduction
a. Limitations Parmi les limitations, il est possible de citer :
Un rseau Wi-Fi par sa nature limite le nombre dordinateurs pouvant se connecter au mme instant sur un point daccs.
Par dfaut les signaux ne sont pas chiffrs. Les murs et ventuellement les matriaux les composant peuvent limiter la porte dun point daccs.
b. Scurit
Pour scuriser une connexion Wi-Fi, il est ncessaire de scuriser les communications en utilisant le chiffrage et ventuellement lauthentification. Les protocoles de chiffrage utiliss sont:
WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) et WPA2.
Accs rseau sans fil

2. Gestion des rseaux sans fil laide des stratgies de groupe
Connectez-vous en tant quadministrateur. groupe. Il faut tre dans un domaine.
Dans une entreprise, il est plus simple de grer les rseaux sans fil en utilisant les stratgies de groupe comme le montre la procdure suivante.
Cliquez sur Dmarrer - Outils dadministration et Gestion des stratgies de Par exemple, dveloppez larborescence jusquau domaine puis cliquez avec le bouton droit de la souris sur le nom du domaine puis sur Crer un objet GPO dans ce domaine, et le lier ici.
Dans la bote de dialogue, saisissez wifi pour le Nom puis cliquez sur OK.
Modifier.
Dans larborescence, cliquez avec le bouton droit de la souris sur wifi puis sur
Accs rseau sans fil

2. Gestion des rseaux sans fil laide des stratgies de groupe (suite)
Dans lditeur de gestion des stratgies de groupe, dveloppez larborescence suivante : Stratgie wifi - Stratgies - Paramtres Windows - Paramtres de Vous pouvez crer des stratgies adaptes pour Windows Vista et Windows XP. Dans larborescence, cliquez avec le bouton droit de la souris sur Stratgies de Vista. rseau sans fil (IEEE 802.11) puis sur Crer une stratgie de rseau sans fil scurit - Stratgies de rseau sans fil (IEEE 802.11).
Dans la bote de dialogue Proprits de Nouvelle stratgie de rseau sans fil

Vista sous longlet Gnral saisissez un nom pour la stratgie et ventuellement une description. Ne dsactivez pas la case cocher Utiliser le service de configuration automatique de rseau WLAN Windows pour les clients sinon le service ne configurera plus les rseaux sans fil.
Accs rseau sans fil

2. Gestion des rseaux sans fil laide des stratgies de groupe
(suite)
Dans la liste, vous pouvez grer des rseaux sans fil auquel lutilisateur peut se connecter. Vous pouvez dfinir pour chaque connexion une liste des SSID utilisables, et une mthode dauthentification et de chiffrement approprie comme le montre limage cicontre.
Figure-13: Proprits de Nouvelle stratgie de rseau sans fil Vista
Accs rseau sans fil

2. Gestion des rseaux sans fil laide des stratgies de groupe (suite)
Longlet Autorisations rseau permet de grer pour chaque nom rseau (SSID) des profils dfinis sous longlet Gnral une autorisation ou un refus comme le montre limage suivante.
Dans larborescence, cliquez avec le bouton droit de la souris sur Stratgies de rseau sans fil (IEEE 802.11) puis sur Crer une stratgie Windows XP. Dans la bote de dialogue Proprits de Nouvelle stratgie de rseau sans fil XP sous longlet Gnral saisissez un nom pour la stratgie et ventuellement une description. Sous longlet Rseaux favoris, vous pouvez grer la liste des rseaux favoris.
Sommaire



Ch2: Mise en uvre de lActive Directory.

1. 2.
Prsentation des services de lActive Directory (AD) Installation du rle Services de domaine Active Directory (AD DS) Redmarrage de lAD
3.
4.
5.
Suppression dun serveur Active Directory

Quelques outils pour grer lActive Directory
Prsentation des services de lActive Directory (AD)

1. Introduction
L'objectif principal d'Active Directory est de fournir des services centraliss d'identification et d'authentification un rseau d'ordinateurs utilisant le systme Windows.
Il permet galement l'attribution et l'application de stratgies, la distribution de logiciels, et l'installation de mises jour critiques par les administrateurs.
Active Directory rpertorie les lments d'un rseau administr tels que
les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partags, les imprimantes, etc.

1. Introduction
LActive Directory implmente les protocoles suivants :

LDAP (Lightweight Directory Access Protocol) pour les services dannuaire. Kerberos V5 pour lauthentification TCP/IP et le DNS pour les services rseau.
Active Directory ne tourne que dans un environnement TCP/IP avec une implmentation dun serveur DNS Microsoft ou autre. Les prrequis pour le serveur DNS sont :
Le support pour des enregistrements de type SRV (obligatoire).
Pouvoir mettre jour dynamiquement les enregistrements (optionnel mais fortement recommand).
IXFR pour rpliquer la zone DNS de manire incrmentielle (optionnel).

2. La fort
La fort reprsente la frontire extrieure de lActive Directory de
lentreprise. Cette limite peut tre calque sur un ou plusieurs domaines. La fort reprsente galement les limites de scurit de lAD car tous les domaines de la fort partagent :
le mme schma et la mme configuration, le mme catalogue global,
Pour des raisons de scurit, il nest pas rare de voir des entreprises disposer de plusieurs forts distinctes nayant pas de relation dapprobation entre elles.
la limite de scurit du domaine le plus faible.

3. Le domaine et arborescence de domaine
Une fort se compose de domaines, le premier domaine de la fort donne galement son nom la fort. Une arborescence reprsente une suite de domaines parent/enfant partageant le mme espace de nom contigu. Si le domaine se situe dans un autre espace de nom, alors ce domaine est dans sa propre arborescence.
Figure-14: Exemple de fort

Pratiquement, le domaine reprsente :

Une limite de scurit car les limites concernant le login sont dfinies par domaine et le domaine ayant la limite la plus faible dfinit la limite de scurit de
la fort. Si cette limite est trop faible, il est possible de sortir ce domaine de la
fort et de le placer dans une autre fort. Une limite de gestion, que ce soit pour des raisons techniques ou politiques. Une solution consiste crer des units dorganisation pour simplifier la gestion. Une limite de rplication. Dans le cas o un site important a des problmes de bande passante sur une liaison WAN, il est envisageable de limiter la rplication en scindant le domaine en deux, soit un site principal et un site distant.

En terme de conception, il faut toujours prfrer le modle le plus simple cest--dire disposer dune fort contenant un seul domaine et si ce nest
pas possible, il est possible daugmenter le nombre de domaines.

Il faut prvoir au moins deux contrleurs de domaine par domaine. La cration dun domaine vide, cest--dire un domaine contenant uniquement deux contrleurs de domaines est galement envisageable pour des raisons dadministration.

4. Lunit dorganisation
Une unit dorganisation (OU ou UO) est un artifice logique permettant dorganiser hirarchiquement lAD afin de la rapprocher de lorganigramme logique de lentreprise. Lunit dorganisation a galement pour but de simplifier ladministration car il est possible de configurer et restreindre les droits via des stratgies de groupe. Windows Server 2008 introduit la protection contre les suppressions accidentelles des units dorganisation. Elle est active par dfaut lors de la cration de lunit dorganisation mais vous pouvez la dsactiver en dcochant la case Protger le conteneur contre une suppression accidentelle, soit dans la bote de dialogue lors de la cration, soit dans longlet Objet des Proprits de lunit dorganisation.

5. Les objets
Les diffrents types dobjets dActive Directory sont les suivants :

Utilisateur: Reprsente un utilisateur physique qui on associe des droits et des permissions pour laccs aux ressources. Groupe: Permet de grer des utilisateurs, des contacts et dautres groupes de manire simple. Un groupe sert galement grer la scurit des droits ou des permissions Ordinateur : Reprsente un ordinateur physique qui on associe des droits et des permissions pour laccs aux ressources.
Contact : Dfinit un utilisateur qui ne peut pas se connecter au rseau dentreprise mais qui on peut envoyer des emails.
InetOrgPerson :Reprsente un objet de classe utilisateur mais qui est compatible avec la RFC 2798 donc compatible avec dautres services dannuaire LDAP. Il sutilise comme un objet de classe utilisateur.

5. Les objets (suite):
Unit dorganisation: Est un container qui sert organiser les objets de manire hirarchique au sein dun domaine. Il peut y avoir jusqu 32 sous-niveaux. La hirarchie peut tre calque sur celle de lentreprise. On peut lui appliquer des stratgies de groupe. Imprimante : Une imprimante peut tre publie dans lActive Directory, ce qui simplifie sa recherche par les utilisateurs. Dossier partag : Un dossier partag peut tre publi dans lActive Directory, ce qui simplifie sa recherche par les utilisateurs. Alias de file dattente MSMQ : Systme de mise en file dattente et de routage des messages pour Windows NT 4.0, Windows 95 et Windows 98. Container :Est un container systme. On ne peut lui appliquer des stratgies de groupes

6. Lorganisation physique
Lorganisation physique de lActive Directory est base sur les composants suivants :
Sous-rseau IP : Dfini comme tant un domaine de diffusion. Site Active Directory : Un site Active Directory est compos dun ou plusieurs sous-rseaux IP relis entre eux par une liaison rapide. Par dfaut, il ny a quun seul site dans la fort, nomm Premier site par dfaut.
Transport intersite : Dfinit la mthode utilise pour la rplication Active Directory

entre deux sites Active Directory. Liens du site : Dfinit comment la rplication intersite est configure entre deux sites Active Directory contigus. Pont entre liens de sites : Dfinit comment la rplication intersite est configure entre deux sites Active Directory disjoints.

7. Les partitions de lActive Directory
LActive Directory est une base de donnes compose de plusieurs partitions comme indique dans le tableau suivant :
Partition Schma Configuration Domaine DNS Autre Description Contient la dfinition des attributs et classes permettant de crer un objet. Contient la topologie physique et de rplication de lAD. Contient tous les objets dun domaine spcifique. Contient la base de donnes DNS. Ladministrateur peut galement crer une partition spcifique dans la fort.
Tableau-2: Les diffrents partitions de lActive Directory
Par dfaut, la base de donnes de lAD est stocke dans le rpertoire %systemroot%\NTDS. La base de donnes est au format JET.

8. Les matres doprations FSMO (Flexible Single Master Operation)
Le matre dopration FSMO est une fonction de type mono-matre quun contrleur de domaine doit jouer pour garantir lintgrit de la fort ou du domaine en fonction du rle support. Les cinq matres doprations FSMO sont indiqus dans le tableau cidessous :
Rle FSMO Matre de schma Matre de dnomination de domaine Matre RID Matre dinfrastructure Matre mulateur PDC Porte
1 par fort 1 par fort 1 par domaine 1 par domaine 1 par domaine
Tableau-2: Les matres doprations FSMO

9. Le catalogue global
Le serveur catalogue global est un serveur DC qui contient une partition en lecture seule appele catalogue global qui est une copie partielle des objets et des attributs de la partition de domaine de chaque domaine de la fort.
Par partiel, il faut comprendre que pour un objet, seuls certains attributs sont rpliqus et que la rplication vers le catalogue global se dfinit au niveau de lattribut et non de la classe de lobjet.
Mme pour une fort contenant un seul domaine, le catalogue global peut avoir un sens car certaines applications sont conues pour rechercher des informations uniquement dans le catalogue global et non dans la partition de domaine.
Il est recommand de placer au moins un serveur catalogue global par site Active Directory.

10. La rplication
Il existe plusieurs types de rplications. La rplication intrasite utilise un mcanisme de notification. Le serveur DC sur lequel une modification a t effectue notifie les serveurs DC se trouvant sur le mme site quil a t modifi.
La rplication intersite repose sur le KCC (Knowledge Consistency Checker) qui recalcule rgulirement les chemins de rplication afin doptimiser la rplication entre les sites, en dfinissant les serveurs appels ttes de pont qui reoivent et envoient les modifications entre les sites.
Il est galement possible de modifier manuellement la rplication mais le rsultat peut tre dsastreux. La rplication intersite intervient selon une planification qui peut dfinir des intervalles de plusieurs heures entre chaque rplication ainsi que des routes diffrentes bases sur une notion de cot de routes attribus par ladministrateur.

10. La rplication
La rplication concerne :
le schma au niveau de tous les contrleurs de domaine de la fort, le catalogue global vers tous les catalogues globaux de la fort, la rplication de lattribut de domaine vers le catalogue global du domaine, les modifications des objets vers tous les contrleurs de domaine du mme domaine, la configuration vers tous les contrleurs de domaine de la fort,
les partitions spcifiques comme le DNS vers les serveurs viss, comme les
contrleurs de domaine dun domaine, les serveurs DNS contrleurs de domaine
dun domaine ou dune fort.
Actuellement, la granularit de la rplication peut utiliser lattribut qui a t modifi et non lobjet.

11. Niveau fonctionnel dun domaine ou de la fort
Le niveau fonctionnel dune fort permet de savoir si les lments

caractristiques dune version de lAD sont disponibles. Le niveau fonctionnel de la fort dpend des contrleurs de domaine de la fort.
Pour atteindre un niveau fonctionnel de la fort Windows 2003, il faut que

tous les contrleurs de domaine de la fort utilisent au moins une version de Windows Server 2003 et que tous les domaines de la fort aient un niveau
fonctionnel de domaine 2003.

12. Les nouveauts introduites dans Windows Server 2008
Windows Server 2008 autorise larrt et le redmarrage des services Active
Windows Server 2008 propose un nouveau type de contrleur de domaine Directory sans devoir redmarrer le serveur ( des fins de maintenance).
appel Contrleur de domaine en lecture seule (RODC - Read Only Domain

Controller) qui permet de placer des contrleurs de domaine dans des emplacements physiques peu scuriss car il est possible de contrler les
mots de passe qui sont stocks sur ce contrleur. La rplication est

unidirectionnelle et toujours en direction du serveur RODC.

12. Les nouveauts introduites dans Windows Server 2008
Windows Server 2008 introduit la notion de "Stratgie de mot de passe

granulaire" ainsi que les stratgies de blocage de compte qui permettent de disposer de plusieurs stratgies pour un domaine.
Dans Windows Server 2008, Microsoft introduit quatre nouveaux rles qui
tendent les possibilits de lAD, savoir :
Services AD LDS (Active Directory Lightweight Directory Services)
Services AD RMS (Active Directory Rights Management Services)

Services ADFS (Active Directory Federation Services) Services de certificats Active Directory.
Installation du rle Services de domaine Active Directory (AD

DS)
1. Contrle des prrequis

Aprs une installation du serveur Windows 2008, il est possible dinstaller les services AD DS si les prrequis pour installer le rle AD DS sont respects sinon lassistant dinstallation sarrte.
Systme de fichiers NTFS: Il est requis que tous les volumes ou partitions soient formats au format NTFS. Utiliser un nom correct: Il faut dabord sassurer que le nom du serveur est conforme aux spcifications DNS. Paramtres IP: Il faut utiliser une adresse IPv4 et/ou IPv6 valide. Nom de domaine: Le choix du nom de domaine est important car il permet
lutilisateur de bien sidentifier lentreprise.

Serveur DNS: Il nest pas obligatoire de disposer dun serveur DNS sur le rseau si vous envisagez dinstaller le rle AD DS sur un serveur Active Directory en mme temps que les services AD DS

DS)
2. Installation du rle Services de domaine Active Directory

Il existe deux procdures dinstallation.
La premire consiste utiliser le Gestionnaire de serveur pour installer les
La seconde utilise uniquement la commande dcpromo. services puis lassistant dcpromo pour configurer lAD.
Effectuer linstallation directement avec dcpromo sans avoir install le rle

Pour effectuer une installation en 2 tapes, commencez au point "Ajout du rle via le Gestionnaire de serveur " , sinon allez directement au point "Lassistant dcpromo ". est plus rapide.

DS)

Ajout du rle via le Gestionnaire de serveur:
Dans le volet de gauche, cliquez sur Rles. Dans Rles, cliquez sur Ajouter des rles.
Cliquez sur Dmarrer - Outils dadministration et enfin sur Gestionnaire de serveur.
Dans le cas o la page Avant de commencer de lAssistant Ajout de rles apparat, cliquez sur Suivant.
Dans la page Rles de serveurs de lAssistant Ajout de rles, slectionnez Services de domaine Active Directory puis cliquez sur Suivant.
Sur la page Services de domaine Active Directory de lAssistant Ajout de rles, lisez attentivement les informations donnes avant de cliquer sur Suivant. Sur la page Confirmation de lAssistant Ajout de rles, cliquez sur Installer.

DS)

Ajout du rle via le Gestionnaire de serveur (suite):
La page suivante montre ltat davancement de linstallation. la fin, le systme redmarre automatiquement. Pendant le redmarrage, Windows termine la configuration des services de lActive Directory.
Lorsque vous y tes invit, connectez-vous et attendez que la page de rsultats saffiche pour indiquer si linstallation a russi.
Le message davertissement affich sur la fentre Rsultats de linstallation indique que le service Windows Update nest pas configur comme cest le cas si lon ajoute le rle AD DS juste aprs linstallation de Windows 2008. Cliquez sur Fermer. Comme linstallation a russi, il est possible de configurer lActive Directory en lanant la commande dcpromo.

DS)
3. Lassistant dcpromo:
Lassistant dcpromo est un assistant graphique lanc partir de linvite de
commandes. La figure suivante montre la syntaxe de la commande dcpromo sur une installation complte. Veuillez noter que pour obtenir de laide dtaille sur les oprations de promotion, la rtrogradation, etc., il faut utiliser la syntaxe suivante : dcpromo / ?:demotion Lassistant est contextuel et affiche que les pages dont vous avez besoin.
Figure-15: Aide dtaille de la commande dcpromo

DS)
4. Installation dun nouveau domaine dans une nouvelle fort
Cliquez sur Dmarrer puis tapez dcpromo dans la zone Rechercher. Le mode avanc ajoute des pages supplmentaires lassistant. La prsente procdure est ralise en mode avanc et les pages supplmentaires sont indiques.
Aprs quelques instants, la premire page de lassistant vous demande de choisir entre le mode standard (dfaut) et le mode avanc.
Une fois le mode choisi, cliquez sur Suivant.
La page Compatibilit du systme dexploitation vous avertit que les contrleurs de domaine 2008 utilisent un systme de chiffrement SMB fort non reconnu par des clients Windows NT4. Ce paramtre peut galement affecter des clients antrieurs Windows Vista SP1. Pour plus de dtails, consultez la kb942564.

DS)

(suite)
Sur la page Compatibilit du systme dexploitation, cliquez sur Suivant. Sur la page Choisissez une configuration de dploiement, slectionnez Crer un domaine dans une nouvelle fort puis cliquez sur Suivant. Sur la page Nommez le domaine racine de la fort, tapez un nom de domaine compatible avec les rgles DNS puis cliquez sur Suivant.
Si la page Nom de domaine NetBIOS apparat, vrifiez que le nom du domaine NetBIOS est identique au nom de domaine DNS, ici TESTDOM puis cliquez sur Suivant.
Si vous tes en mode avanc, lassistant affiche la page Nom de domaine NetBIOS, pour ventuellement modifier le nom NetBIOS propos.
Sur la page Dfinir le niveau fonctionnel de la fort, choisissez un niveau puis cliquez sur Suivant.

DS)

(suite)
Si vous choisissez un niveau fonctionnel de la fort diffrent de Windows 2008, une page supplmentaire apparat pour dfinir le niveau fonctionnel du domaine. En fonction du niveau fonctionnel de la fort, certains niveaux fonctionnels de domaines ne sont pas disponibles. Slectionnez le niveau fonctionnel de domaine puis cliquez sur Suivant.
Sur la page Options supplmentaires pour le contrleur de domaine, slectionnez Serveur DNS si aucun serveur DNS nest install ou est utilisable. En slectionnant Serveur DNS, vous indiquez que vous installez galement le rle Serveur DNS puis cliquez sur Suivant. Il se peut que vous receviez un avertissement si une des cartes rseau dispose dune adresse IP dynamique. Souvent, on oublie que le protocole IPv6 est activ et que par dfaut son tat est Stateless. Vous pouvez cliquer sur Oui.

DS)

(suite)
Si vous recevez lavertissement suivant, vous pouvez cliquer sur Oui, car le serveur DNS nest pas encore install.
Figure-16: Avertissement Serveur DNS
Sur la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, tapez ou cherchez les emplacements dsirs puis cliquez sur Suivant.

DS)

(suite)
Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire puis cliquez sur Suivant. Il est obligatoire et doit tre complexe. Sur la page Rsum, vrifiez vos slections puis cliquez sur Suivant. Le bouton Exporter les paramtres permet de crer un fichier des paramtres slectionns. Il peut tre utilis pour crer les fichiers de rponse pour linstallation sur un Server Core ou une installation sans surveillance.
Pendant linstallation de lActive Directory, lassistant affiche une bote de dialogue dans laquelle vous pouvez slectionner la case cocher Redmarrer la fin de lopration afin que le serveur redmarre automatiquement.

DS)

(suite)
Aprs le redmarrage, le Gestionnaire de serveur affiche les nouveaux rles, savoir Serveur DNS et Services de domaine Active Directory.
Figure-16: Gestionnaire de serveur aprs installation DNS et AD DS

DS)
5. Installation dun serveur rplica

Cliquez sur Dmarrer puis tapez dcpromo dans la zone Rechercher. Une fois le mode choisi (standard ou avanc), cliquez sur Suivant. Le domaine doit exister et tre en ligne avant de crer un rplica.
Sur la page Compatibilit du systme dexploitation, cliquez sur Suivant.

Sur la page Choisissez une configuration de dploiement, slectionnez Fort existante, Ajouter un contrleur de domaine un domaine existant puis cliquez sur Suivant.
Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que rplica, ici testdom.fr. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine, ici test\administrateur pour lutilisateur et Pa$$word pour le mot de passe puis cliquez sur Suivant.

DS)
5. Installation dun serveur rplica (suite)
Sur la page Slectionnez un domaine, slectionnez le domaine dans lequel vous voulez ajouter le rplica puis cliquez sur Suivant.
Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose puis cliquez sur Suivant.
Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS, quil devienne serveur Catalogue global ou linstaller en tant que serveur RODC puis cliquez sur Suivant. Ici choisissez les options que vous dsirez tester.

DS)
5. Installation dun serveur rplica (suite)
Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant.
Sur la page Rsum, vrifiez vos slections et cliquez sur Suivant. Pendant linstallation de lActive Directory, lassistant affiche une bote de dialogue dans laquelle vous pouvez slectionner la case cocher Redmarrer la fin de lopration afin que le serveur redmarre automatiquement.
Veuillez vrifier linstallation dActive Directory comme indiqu plus loin la section Vrification raliser aprs linstallation dun contrleur de domaine.

DS)
6. Modification du schma dune fort 2000 ou 2003 pour accueillir un contrleur de domaine Windows Server 2008
Si vous installez le contrleur en tant que premier contrleur de domaine Windows Server 2008 dans une fort autre que Windows Server 2008, alors veuillez modifier le schma laide de la procdure suivante :
de schma.
Insrez le DVD Windows Server 2008 dans lordinateur jouant le rle de matre Ouvrez une invite de commande et dplacez-vous dans le rpertoire Tapez adprep /forestprep puis appuyez sur [Entre].
sources\adprep du DVD.
Pour prparer un domaine. Sur le mme rpertoire sources\adprep

Tapez adprep /domainprep puis appuyez sur [Entre].

DS)
7. Installation dun domaine enfant
Un domaine parent doit exister et tre en ligne.
Cliquez sur Dmarrer puis tapez dcpromo dans la zone Rechercher.

Une fois le mode choisi (standard ou avanc), cliquez sur Suivant. Sur la page Compatibilit du systme dexploitation, cliquez sur Suivant.
Sur la page Choisissez une configuration de dploiement, slectionnez Fort existante, Crer un nouveau domaine dans une fort existante puis cliquez sur Suivant.
Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que DC. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine, puis cliquez sur Suivant

DS)
7. Installation dun domaine enfant (suite)
Sur la page Nommez le nouveau domaine, tapez le nom de domaine complet du domaine parent et le nom DNS, puis cliquez sur Suivant. Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose puis cliquez sur Suivant.
Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS et quil soit Catalogue global puis cliquez sur Suivant.
Sur la page , tapez ou cherchez les emplacements dsirs puis cliquez sur Suivant.

DS)
7. Installation dun domaine enfant (suite)
Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant. Sur la page Rsum, vrifiez vos slections et cliquez sur Suivant.
Pendant linstallation de lActive Directory lassistant affiche une bote de dialogue dans laquelle vous pouvez slectionner la case cocher Redmarrer la fin de lopration afin que le serveur redmarre automatiquement.
Veuillez vrifier linstallation dActive Directory comme indiqu plus loin la section Vrification raliser aprs linstallation dun contrleur de domaine.

DS)
8. Installation dune nouvelle arborescence
Un domaine racine de la fort doit exister et tre en ligne.
Cochez la case Utiliser linstallation en mode avanc puis cliquez sur Suivant.
Sur la page Compatibilit du systme dexploitation, cliquez sur Suivant. Sur la page Choisissez une configuration de dploiement, slectionnez Fort existante, Crer un nouveau domaine dans une fort existante, cochez la case Crer une nouvelle fort racine darborescence de domaine au lieu dun nouveau domaine enfant puis cliquez sur Suivant.

DS)
8. Installation dune nouvelle arborescence (suite)
Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que DC. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine, puis cliquez sur Suivant. Sur la page Nommez la nouvelle racine darborescence de domaine, tapez le nom de domaine de la nouvelle arborescence, puis cliquez sur Suivant. Sur la page Nom de domaine NetBIOS, vrifiez le nom puis cliquez sur Suivant. Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose puis cliquez sur Suivant.

DS)
Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS et quil soit Catalogue global puis cliquez sur Suivant. Sur la page Contrleur de domaine source vrifiez la slection puis cliquez sur Suivant.
Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant.

DS)
Sur la page Rsum, vrifiez vos slections et cliquez sur Suivant.

dialogue dans laquelle vous pouvez slectionner la case cocher
Pendant linstallation de lActive Directory lassistant affiche une bote de
Redmarrer la fin de lopration afin que le serveur redmarre

Veuillez vrifier linstallation dActive Directory comme indiqu plus loin la section Vrification raliser aprs linstallation dun contrleur de domaine. automatiquement.

DS)
9. Installation partir dun mdia
Linstallation partir dun mdia vite de rpliquer tous les objets et de ce fait, diminue le temps consacr la rplication. Il faut donc disposer dune copie de lActive Directory stocke sur un mdia. Pour crer une copie de lAD partir dun mdia, il faut tre sur un contrleur de domaine qui nest pas RODC. Ouvrez une invite de commandes. Tapez ntdsutil puis appuyez sur [Entre]. Tapez ifm puis appuyez sur [Entre].
Tapez activate instance ntds puis appuyez sur [Entre]. Tapez create full c:\media o media est le nom du rpertoire qui contiendra la copie de lAD puis appuyez sur [Entre]. Pour copier galement le rpertoire SYSVOL, tapez create Sysvol full.

DS)
9. Installation partir dun mdia (suite)
Copiez sur lautre machine le contenu de C:\media en prenant soin de conserver le chemin C:\media. Connectez-vous en tant quadministrateur sur cette machine.


DS)
Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que rplica. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine, puis cliquez sur Suivant. Sur la page Slectionnez un domaine, slectionnez le domaine dans lequel vous voulez ajouter le rplica puis cliquez sur Suivant.

Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose puis cliquez sur Suivant. Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS, quil devienne serveur Catalogue global ou linstaller en tant que serveur RODC puis cliquez sur Suivant.

DS)
Sur la page Installation partir du support, slectionnez Rpliquer les donnes partir du support lemplacement suivant et tapez lemplacement puis cliquez sur Suivant. Sur la page Contrleur de domaine source, vrifiez la slection puis cliquez sur Suivant.
Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant. Sur la page Rsum, vrifiez vos slections et cliquez sur Suivant.

DS)
10. Installation dun serveur en mode RODC
Seul un rplica peut devenir RODC, et un seul RODC peut tre cr par site Active Directory. Une mthode consiste crer un compte RODC dans lActive Directory pour un ordinateur qui est encore hors domaine en utilisant la console Utilisateurs et ordinateurs Active Directory. Ensuite sur lordinateur, lors de lopration dcpromo, il sera tenu de devenir serveur RODC. Une autre mthode consiste lancer directement la commande dcpromo sur le futur rplica.

DS)
10. Installation dun serveur en mode RODC (suite)
Sur la page Choisissez une configuration de dploiement, slectionnez Fort existante, Ajouter un contrleur de domaine un domaine existant puis cliquez sur Suivant. Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que rplica. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine puis cliquez sur Suivant.
Sur la page Slectionnez un domaine, slectionnez le domaine dans lequel vous voulez ajouter le rplica ici puis cliquez sur Suivant.
Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose ici puis cliquez sur Suivant.

DS)
Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS, quil devienne serveur Catalogue global et vrifiez que la case cocher serveur RODC est slectionne. Cliquez ensuite sur Suivant. Sur la page Spcifier la stratgie de rplication des mots de passe, ajoutez ou supprimez des utilisateurs ou des groupes puis cliquez sur Suivant.
Sur la page Dlgation de linstallation et de ladministration du RODC, slectionnez le groupe ou ladministrateur puis cliquez sur Suivant. Par dfaut, les membres des groupes administrateurs de domaine ou administrateurs de lentreprise peuvent effectuer cette opration.

DS)
Sur la page Installation partir du support, slectionnez Rpliquer les donnes partir du support lemplacement suivant et tapez lemplacement puis cliquez sur Suivant. Sur la page Contrleur de domaine source, vrifiez la slection puis cliquez sur Suivant. Sur la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, tapez ou cherchez les emplacements dsirs puis cliquez sur Suivant. Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant. Sur la page Rsum, vrifiez vos slections et cliquez sur Suivant.

DS)
11. Vrifications raliser aprs linstallation dun contrleur de domaine

Les points suivants peuvent tre vrifis en partie ou totalement pour garantir le succs de lopration.
Dterminer si le serveur a des objets enfants avec Sites et services Active Directory. Dans tous les cas.
Vrifier quil existe une association en ladresse IP et le sous-rseau associ au site avec Sites et services Active Directory et la commande ipconfig. Si les sites sont utiliss. Vrifier la configuration du serveur DNS avec la console DNS. Dans tous les cas.
Tester le dplacement dun objet vers un nouveau site avec Sites et services Active Directory. Si les sites sont utiliss.

DS)
11. Vrifications raliser aprs linstallation dun contrleur de domaine

Configurer et vrifier les redirecteurs du serveur DNS avec la console DNS. Rarement.
Contrler le statut du rpertoire partag SYSVOL, laide de lExplorateur et de la commande dcdiag /test :netlogons. Dans tous les cas.
Vrifier lappartenance un domaine pour un nouveau contrleur de domaine enfant avec Utilisateurs et ordinateurs Active Directory. Dans tous les cas. Vrifier la rplication entre les contrleurs de domaine avec la commande dcdiag /test :replications. Dans tous les cas.
Vrifier la disponibilit des matres doprations avec la commande dcdiag /s:<ServeurDC> /test:knowsofroleholders. Dans tous les cas.
Redmarrage de lAD
Windows Server 2008 permet darrter et de dmarrer les services Active Les trois tats dun serveur Active Directory sont : AD dmarr : mode normal de fonctionnement dun contrleur de domaine. Ad Stopp : mode des services de lAD arrts, il remplace le mode de restauration des services dannuaire. Mode de restauration des services dannuaire : mode permettant deffectuer les tches de maintenance dans les versions prcdentes. Il
Directory sans devoir redmarrer le serveur.
est prfrable darrter les services sur une version 2008. Pour rentrer
dans ce mode, il faut appuyer sur la touche [F8] au dmarrage.
Redmarrage de lAD
1. Dmarrage/arrt des services Active Directory avec la console MMC Services
Cliquez sur Dmarrer - Outils dadministration - Gestionnaire de serveur.
Dans larborescence, cliquez sur Rles puis sur Services de domaine Active Directory.
Dans la fentre principale, dans la section Services systme, slectionnez Services de domaines Active Directory (nom du service ntds) puis cliquez sur Arrt pour arrter les services ou sur Dmarrer pour dmarrer les services. Si la bote de dialogue Gestionnaire de serveur apparat, cliquez sur Arrter les services dpendants.
2. Dmarrage/arrt des services Active Directory avec linvite de commandes

Ouvrez une invite de commandes. Tapez net stop ntds pour arrter les services de lActive Directory. Tapez net start ntds pour dmarrer les services de lActive Directory.

1. Supprimer un contrleur de domaine dun domaine
Sur la page Assistant Installation des services de domaine Active Directory, cliquez sur Suivant.
Si le serveur de domaine est catalogue global, une bote de dialogue vous avertit quil doit y avoir au moins un autre serveur catalogue global dans la fort. Si ce nest pas le cas, il faut en crer un autre avant de continuer lopration. Cliquez sur OK.
Sur la page Supprimez le domaine, activez la case cocher Supprimer le domaine car ce serveur est le dernier du domaine si cest le cas puis cliquez sur Suivant.

1. Supprimer un contrleur de domaine dun domaine (suite)
Cliquez Sur la page Partitions de lannuaire dapplications, vrifiez les partitions applicatives qui seront galement supprimes.
Si la page Confirmation de la suppression apparat, activez la case cocher Supprimer toutes les partitions de lannuaire dapplications prsentes sur ce contrleur de domaine Active Directory pour pouvoir continuer, puis cliquez sur Suivant. Sur la page Supprimer la dlgation DNS, activez la case cocher Supprimer les dlgations DNS pointant vers ce serveur. Il faut galement indiquer un administrateur DNS. Dans le cas contraire, vous devrez le faire manuellement. Puis cliquez sur Suivant.
Sur la page Administrateur, tapez le mot de passe de ladministrateur puis cliquez sur Suivant.
Sur la page Rsum, cliquez sur Suivant.
la fin, vous devez redmarrer le serveur.

2. Forcer la suppression dun contrleur de domaine
Dans le scnario o aucun contrleur de domaine ne peut tre contact, il est possible de forcer la suppression des services dannuaire de la manire suivante
Cliquez sur Dmarrer puis tapez dcpromo /forceremoval dans la zone Rechercher. Sur la page Assistant Installation des services de domaine Active Directory, cliquez sur Suivant.
Sur la page Forcer la suppression des services de domaine Active Directory, vrifiez les informations puis cliquez sur Suivant.
Sur la page Administrateur, tapez le mot de passe de ladministrateur puis cliquez sur Suivant. Sur la page Rsum, cliquez sur Suivant. la fin, vous devez redmarrer le serveur.

1. Utilisateurs et ordinateurs Active Directory
Cet outil permet de grer tous les objets de la partition de domaine de lActive Directory. Bien qutant loutil de base, il naffiche pas tous les attributs des objets. Il faut modifier laffichage pour afficher les fonctionnalits avances afin de voir tous les objets de la partition de domaine.
Nanmoins, son utilisation est adapte ladministration normale dune Active Directory.
Figure-17: Utilisateurs et Ordinateurs Active Directory

2. Sites et services Active Directory
Cet outil permet dafficher le contenu de la partition de configuration, donc le

ct implmentation physique de lAD puisque vous pouvez y grer la notion des sites Active Directory des sous-rseaux, de la rplication intersites et
surtout dfinir les serveurs catalogues globaux.
Figure-18: Sites et services Active Directory

3. Domaines et approbations Active Directory
Cet outil sert surtout dfinir les relations dapprobation entre domaines ou forts, le matre des oprations dattributs de noms de domaine ainsi qu dfinir le niveau fonctionnel de la fort.
Figure-19: Domaines et approbations Active Directory

4. Console MMC schma
Le snap-in pour grer le schma nest pas activ par dfaut, pour cela, il faut taper la commande suivante :
Ensuite, il faut crer une console MMC qui contient le snap-in Schma Active Directory. Il affiche le contenu de la partition de schma de lActive Directory. Regsvr32 %systemroot%\system32\schmmgmt.dll
Avec cette console, il est possible de connatre tous les attributs et classes permettant de crer des objets dans lActive Directory. Il est galement possible dajouter de nouveaux attributs ou classes, de dfinir si un attribut peut tre rpliqu dans le catalogue global et enfin de dsactiver un attribut. ! Il faut rserver lusage de cet outil aux administrateurs avancs. La modification dun paramtre peut avoir des consquences graves jusqu rendre lActive Directory inutilisable.
Sommaire



Ch3: Configuration de la rsolution de noms.

1. 2. 3. 4.
Introduction Installation du rle Serveur DNS Configuration dun serveur DNS Gestion dune zone
5.
6.
Utilitaires en ligne de commande

Intgration avec lActive Directory
Le systme DNS (Domain Name System) utilise un espace de noms. Il se compose dune arborescence de domaines dont le niveau le plus bas correspond un enregistrement de ressources. Les nuds de niveaux suprieurs permettent dorganiser ces enregistrements de manire hirarchique, on les appelle domaines.
Introduction
La racine dun espace de noms peut tre une racine Internet ou une racine dentreprise. Dans la suite du chapitre, il sera toujours fait rfrence la racine Internet.
La racine dun espace de noms peut tre une racine Internet ou une racine dentreprise. Dans la suite du chapitre, il sera toujours fait rfrence la racine Internet. ! Pour savoir plus sur le fonctionnement du systme DNS, merci de se rfrer au cours sur le DNS Partie administration de rseau sous linux .
Pour installer le rle Serveur DNS, il existe deux mthodes. La premire consiste installer le rle Serveur DNS en mme temps que lActive Directory. La seconde mthode, dcrite ici, effectue linstallation du rle par lintermdiaire du Gestionnaire de serveur.
Installation du rle Serveur DNS
1- Prrequis
Le serveur doit avoir une adresse IP statique configure manuellement ou fixe via un serveur DHCP.
2- Installation
Lassistant dajout de rles installe le service DNS et permet galement de configurer le serveur DNS avec les options les plus courantes. Connectez-vous en tant quadministrateur. Pour dmarrer linstallation, lancez le Gestionnaire de serveur en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur Gestionnaire de serveur.
Pour installer le rle Serveur DNS, il existe deux mthodes. La premire consiste installer le rle Serveur DNS en mme temps que lActive Directory. La seconde mthode, dcrite ici, effectue linstallation du rle par lintermdiaire du Gestionnaire de serveur.
1- Prrequis
Le serveur doit avoir une adresse IP statique configure manuellement ou fixe via un serveur DHCP.
2- Installation
Lassistant dajout de rles installe le service DNS et permet galement de configurer le serveur DNS avec les options les plus courantes. Connectez-vous en tant quadministrateur. Pour dmarrer linstallation, lancez le Gestionnaire de serveur en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur Gestionnaire de serveur.

2- Installation (suite)
Dans le volet de gauche, cliquez sur Rles.
Dans Rles, cliquez sur Ajouter des rles.
Dans lAssistant Ajout de rles, si la page Avant de commencer apparat, cliquez sur Suivant.
Sur la page Rles de serveurs, slectionnez le rle Serveur DNS puis cliquez sur Suivant. Sur la page Serveur DNS, cliquez sur Suivant. Sur la page Confirmation, cliquez sur Installer.
Consultez la page Rsultats pour voir si linstallation a russi puis cliquez sur Fermer.
Configuration dun serveur DNS

1- Configurer le serveur DNS
Lutilisation de lassistant Configuration dun serveur DNS permet de : Crer une zone de recherche directe. ventuellement crer une zone de recherche inverse. Configurer les mises jour dynamiques. Il nest pas recommand deffectuer la cration de zone par cette mthode, elle est plutt rserve un administrateur peu expriment. Elle est totalement inutile si le serveur DNS est un contrleur de domaine. La procdure suivante montre comment lutiliser. Connectez-vous en tant quadministrateur. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS. Configurer les racines ou les redirecteurs.

1- Configurer le serveur DNS (suite)
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis choisissez Configurer un serveur DNS.
Sur la page Bienvenue dans lassistant Configuration dun serveur DNS, cliquez sur Suivant.
Sur la page Slectionnez une action de configuration, slectionnez Configurer les indications de racine uniquement, puis cliquez sur Suivant. Vous pouvez choisir une autre option si vous voulez crer une zone. Sur la page Fin de lassistant Configuration dun serveur DNS, cliquez sur Terminer.

2- Dfinir le vieillissement et le nettoyage
Il est recommand de mettre jour rgulirement le contenu de la base de donnes du serveur DNS afin que des enregistrements devenus obsoltes ne polluent pas la base. Pour que le nettoyage seffectue, il faut configurer correctement les lments suivants :
Il faut garantir que chaque enregistrement puisse tre supprim. Il faut garantir que la zone DNS puisse tre nettoye. Il faut garantir quau moins un serveur DNS puisse nettoyer les enregistrements.
Comme vous pouvez le constater, il faut activer le nettoyage au niveau de lenregistrement, de la zone et dau moins un serveur qui gre la zone.

2- Dfinir le vieillissement et le nettoyage (suite)
a. Permettre la suppression dun enregistrement Les procdures suivantes devraient toujours tre effectues.
Il faut distinguer entre des enregistrements statiques et des enregistrements dynamiques. Par dfaut un enregistrement statique ne permet pas la suppression automatique de lenregistrement. Si vous voulez leffacer automatiquement suivez la procdure ci-dessous.
Connectez-vous en tant quadministrateur.
dadministration et enfin sur DNS. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils Dans le volet de gauche du Gestionnaire DNS, dveloppez larborescence pour Cliquez avec le bouton droit de la souris sur lenregistrement puis sur Proprits dans le menu contextuel. faire apparatre dans la fentre principale lenregistrement statique concern.

a. Permettre la suppression dun enregistrement (suite) Cochez la case Supprimer cet enregistrement lorsquil deviendra prim puis cliquez sur Appliquer pour faire apparatre la valeur de lhorodatage. Cliquez sur OK pour fermer la bote de dialogue.
! Si cette case cocher nest pas visible, fermez la bote de dialogue Proprits puis cliquez sur Affichage dtaill dans le menu Affichage et
ouvrez nouveau la bote de dialogue Proprits. Figure-20: Proprits du RR www

b. Dfinir le vieillissement/nettoyage pour toutes les zones Connectez-vous en tant quadministrateur.
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis sur Dfinir le vieillissement/nettoyage pour toutes les zones.
La case cocher Nettoyer les enregistrements de ressources obsoltes devrait tre toujours slectionne afin que le systme efface automatiquement ces enregistrements. LIntervalle de non-actualisation indique un intervalle durant lequel il nest pas possible de ractualiser cet enregistrement. Ladresse IP peut tre modifie.

b. Dfinir le vieillissement/nettoyage pour toutes les zones (suite) LIntervalle dactualisation indique lintervalle durant lequel les enregistrements doivent rester dans le serveur DNS aprs la fin de lintervalle de non-actualisation. Cet intervalle devrait correspondre la dure de bail du serveur DHCP.
Vous pouvez galement dfinir le vieillissement/nettoyage pour chaque zone partir de longlet Gnral de la bote de dialogue Proprits de la zone, en cliquant sur Vieillissement.
Figure-21: Dure de vie dun RR dans le DNS

3- Nettoyer les enregistrements de ressources obsoltes
Vous pouvez lancer manuellement ou automatiquement le nettoyage des zones sur lesquelles le serveur a autorit.
a. Activer le nettoyage automatique:
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS. Cliquez sur longlet Avanc, slectionnez la case cocher Activer le nettoyage automatique des enregistrements obsoltes, modifiez ventuellement le Dlai de nettoyage puis cliquez sur OK.
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis sur Proprits.

3- Nettoyer les enregistrements de ressources obsoltes
b. Lancer le nettoyage manuellement: Connectez-vous en tant quadministrateur.
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis sur Nettoyer les enregistrements de ressources obsoltes. Dans la bote de dialogue DNS qui vous demande si vous voulez nettoyer tous les enregistrements prims du serveur, cliquez sur Oui.
Vous pouvez dterminer le moment o un enregistrement sera supprim en recherchant les derniers vnements 2501 et 2502 dans le journal puis en lui ajoutant la valeur du dlai de nettoyage.

4- Journaux globaux
Avec la nouvelle console DNS, les vnements dus au serveur DNS sont placs sous Journaux globaux dans le volet de gauche.
La procdure est la suivante.
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS. Dans le volet de gauche du Gestionnaire DNS, cliquez sur Journaux globaux pour dvelopper larborescence. Cliquez sur vnements DNS pour faire apparatre les vnements dans la fentre principale. Vous pouvez dfinir quels vnements seront enregistrs dans le journal des vnements dans longlet Enregistrement des vnements de la bote de dialogue Proprits du serveur.

5- Dsactiver lcoute de requtes DNS sur une adresse IP
Si le serveur DNS est configur avec plusieurs adresses IP, que ce soient des adresses IPv4 ou IPv6, il est possible de dsactiver lcoute de requtes. La procdure est la suivante. Connectez-vous en tant quadministrateur. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis cliquez sur Proprits. Dans la bote de dialogue Proprits, cliquez sur longlet Interfaces puis cochez les cases des adresses IP sur lesquelles le serveur doit couter et cliquez sur OK.
Remarquez quil est possible de slectionner une adresse IP et non la carte rseau.

6- Serveur de cache DNS
Le serveur DNS peut tre un serveur de cache, cest--dire quil soccupe de la rsolution des noms en adresses IP pour les zones sur lesquelles il na pas autorit. Lorsquil a accs Internet, il faut ouvrir le port UDP 53 dans le pare-feu. Il conserve dans un cache local toutes les rsolutions effectues selon le TTL qui les accompagne. Aucune configuration nest ncessaire, par dfaut le serveur DNS est conu pour fonctionner en tant que serveur de cache en utilisant les serveurs racine configurs. Il est possible de contrler le trafic du serveur de cache en recourant un serveur de cache externe.
Afin de rduire les menaces dues aux serveurs DNS, il est recommand de rediriger les requtes vers un serveur de cache interne qui sera redirig vers un serveur de cache externe.

6- Serveur de cache DNS (suite)
a. Afficher ou masquer la zone de cache
Connectez-vous en tant quadministrateur. Pour afficher la zone de cache, lancez le Gestionnaire DNS en cliquant sur Dans le volet de gauche, cliquez sur le nom du serveur puis sur loption Dmarrer puis sur Outils dadministration et enfin sur DNS.
Affichage dtaill du menu Affichage. La zone Recherches mises en cache apparat dans le volet de gauche.
b. Effacer le cache DNS
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur le nom du serveur puis cliquez sur Effacer le cache.
Cette opration ne vide pas le cache DNS du serveur mais uniquement la zone de cache du serveur DNS. Pour vider le cache DNS dun ordinateur, saisissez la commande ipconfig /flushdns dans une invite de commande Pour visualiser le cache DNS, saisissez la commande ipconfig /displaydns.

7- Serveurs racine

Pour consulter la liste des serveurs racine , modifier ou supprimer un serveur, utilisez la procdure suivante : Connectez-vous en tant quadministrateur. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS. Dans le volet de gauche, cliquez avec le bouton droit de la souris sur le nom du serveur puis choisissez Proprits. Cliquez sur longlet Indications de racine.
Il nest pas conseill de modifier ces serveurs.
Ajouter, Modifier, Supprimer permettent dajouter, modifier ou de supprimer de serveurs racine. Copier partir du serveur permet de copier la liste partir dun serveur qui fait rfrence.

7- Redirecteurs
Il existe plusieurs types de redirecteurs, savoir :

le redirecteur par dfaut, le redirecteur conditionnel, la zone de stub.
Lorsque le serveur DNS reoit une requte, il tente de rsoudre le nom en adresse IP en utilisant les ressources dans lordre suivant :
1. Une zone DNS locale au serveur en utilisant les priorits suivantes :
zone DNS faisant autorit ou non ;
redirection de la zone dlgue ou de la zone de stub.
2. La redirection conditionnelle. 3. La redirection par dfaut. 4. Les serveurs DNS racine.

7- Redirecteurs (suite)
Le redirecteur par dfaut redirige les requtes DNS qui nont pu tre rsolues sur le serveur DNS vers le premier serveur de la liste. En cas de non rponse, il tente de contacter les autres serveurs de la liste selon lordre dfini. Les redirecteurs conditionnels permettent de rediriger les requtes non rsolues localement pour un domaine spcifique vers un serveur DNS particulier. Cette mthode est trs utile lorsque votre entreprise collabore avec des entreprises partenaires et vous donne accs un extranet. Il vous suffit simplement dajouter les adresses des serveurs DNS pour cette zone. Nanmoins, si les adresses des serveurs DNS changent, vous devez tre averti et les modifier.

Pour pallier ce problme, vous pouvez crer une zone de stub cest--dire crer une zone qui ne contient que les noms des serveurs DNS de la zone considre et leur adresse IP. La mise jour des donnes de la zone se fait par transfert de zone. Il faut donc que les serveurs source acceptent deffectuer un transfert de zone vers vos serveurs DNS.
La zone de stub est une amlioration du redirecteur conditionnel mais ne peut sutiliser que sil est possible deffectuer un transfert de zone.
a. Ajout dun redirecteur par dfaut Connectez-vous en tant quadministrateur. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS. Dans le volet de gauche, cliquez avec le bouton droit de la souris sur le nom du serveur puis choisissez Proprits. Cliquez sur longlet Redirecteurs.

a. Ajout dun redirecteur par dfaut (suite) Le bouton Modifier permet dajouter, de modifier ou de supprimer ladresse Ds que lon ajoute une adresse IP, le serveur DNS va essayer de retrouver son nom si une zone inverse existe. Vous pouvez modifier la valeur du dlai La slection de la case cocher Utiliser les indications de racine si racine, lorsquaucun redirecteur ne rpond. dexpiration pour recevoir une rponse, par dfaut elle est de 3 secondes.
IP dun serveur DNS.
aucun redirecteur nest disponible permet dutiliser les serveurs DNS

b. Ajout dun redirecteur conditionnel Connectez-vous en tant quadministrateur. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur la zone Redirecteurs conditionnels puis cliquez sur Nouveau redirecteur conditionnel.
Saisissez le nom du domaine, qui doit tre redirig puis associez-lui une ou plusieurs adresses IP qui correspondent aux serveurs DNS qui grent ce domaine en tapant ladresse IP de chaque serveur dans la zone Adresses IP des serveurs matres comme le montre limage suivante.

b. Ajout dun redirecteur conditionnel (suite) Si le serveur DNS est galement un serveur contrleur de domaine (DC), vous pouvez stocker ces informations dans lActive Directory et les rpliquer selon les valeurs de la liste droulante. Vous pouvez modifier la valeur du dlai dexpiration pour recevoir une rponse, par dfaut elle est de 5 secondes. Cliquez ensuite sur OK.
Figure-22: Assistant Nouveau redirecteur conditionnel

c. Ajout dune zone de stub Connectez-vous en tant quadministrateur. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur Zones de recherche directes puis cliquez sur Nouvelle zone.
Sur la page Bienvenue ! de lAssistant Nouvelle zone, cliquez sur Suivant.
Sur la page Type de zone, slectionnez loption Zone de stub. Si le serveur DNS est galement un contrleur de domaine, vous pouvez enregistrer la zone dans lActive Directory en slectionnant la case cocher correspondante. Enfin cliquez sur Suivant.

c. Ajout dune zone de stub (suite) La page tendue de la zone de rplication de Active Directory apparat seulement si vous avez slectionn la case cocher correspondante dans la page prcdente. Slectionnez loption dsire puis cliquez sur Suivant.
Sur la page Nom de la zone, saisissez le nom de domaine DNS qui doit tre redirig, puis cliquez sur Suivant.
La page Fichier de zone apparat si vous navez pas slectionn la case cocher Enregistrer la zone dans Active Directory sur la page Type de zone. Vous pouvez soit crer un nouveau fichier nomm (recommand), soit utiliser un fichier existant. Par dfaut, ces fichiers sont stocks dans le rpertoire %systemroot%\sytem32\dns. Cliquez sur Suivant.

c. Ajout dune zone de stub (suite) Sur la page Serveurs DNS matres, ajoutez les serveurs DNS servant de
rfrences pour la zone considre. Si vous stockez la zone dans lActive

Directory, la case cocher Utiliser les serveurs suivants pour crer une liste locale des serveurs matres apparat. Vous pourrez alors utiliser les
serveurs de la liste en tant que matre pour la zone et non les serveurs
Sur la page Fin de lAssistant Nouvelle zone, vrifiez vos informations matres stocks dans lActive Directory. Cliquez ensuite sur Suivant.
puis cliquez sur Terminer.
Gestion dune zone

1- Cration dune zone de recherche directe
La cration dune zone de recherche directe permet de rsoudre des noms en adresses IP. Une zone directe est requise la cration dActive Directory. Elle peut tre cre automatiquement en mme temps que lActive Directory. La procdure manuelle est la suivante : Connectez-vous en tant quadministrateur.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur Zones de recherche directes puis cliquez sur Nouvelle zone.
Gestion dune zone

1- Cration dune zone de recherche directe (suite)
Zone principale permet de crer une zone DNS en lecture et criture. La zone peut tre stocke dans un fichier ou dans lActive Directory. Zone secondaire permet de crer une copie de la zone en lecture uniquement sur le serveur DNS. Il faut galement configurer le transfert de zone
correctement. La zone ne peut tre stocke que dans un fichier.

Zone de stub permet de crer une zone en lecture qui ne contient que les enregistrements SOA, NS et les enregistrements A correspondant aux enregistrements des serveurs DNS hbergeurs de la zone (appels aussi "glue A records"). Elle peut tre stocke dans un fichier ou lActive Directory. La case cocher Enregistrer la zone dans Active Directory permet de stocker la zone dans lActive Directory au lieu dun fichier. On parle alors de zone intgre Active Directory.
Cliquez sur Suivant.
Gestion dune zone

Si la page tendue de la zone de rplication de Active Directory apparat, il faut indiquer la faon de stocker les informations dans lActive Directory. Les options proposes sont :
Vers tous les serveurs DNS de cette fort.
Vers tous les serveurs DNS de ce domaine. Il sagit du paramtre par dfaut.
Vers tous les contrleurs de ce domaine rplique la zone sur tous les contrleurs de domaine du domaine. Ce paramtre doit tre utilis si vous disposez de contrleurs de domaine Windows Server 2000 agissant en tant que serveurs DNS. Dans la partition de domaine applicative rplique la zone uniquement vers les serveurs qui font partie de ltendue de rplication de la zone applicative. Il faut
Vous pouvez cliquer sur Suivant.
au pralable crer une partition dapplication.
Gestion dune zone

Sur la page Nom de la zone, saisissez le nom DNS de la zone crer, test.fr par exemple, puis cliquez sur Suivant.
Sur la page Mise niveau dynamique, choisissez soit daccepter les mises jour dynamiques des enregistrements DNS, soit de les interdire. Les mises jour dynamiques scurises ne sont disponibles quavec des zones intgres Active Directory.
Si votre serveur DNS hberge une zone utilise par Active Directory, il est conseill dautoriser les mises jour dynamiques. Il est mme conseill que le serveur DNS soit galement un serveur contrleur de domaine afin de bnficier de la scurit induite par lActive Directory. Loption Ne pas autoriser les mises jour dynamiques est utiliser dans une zone primtre (DMZ) ou directement sur Internet.
Gestion dune zone

Sur la page Fin de lAssistant Nouvelle zone, vrifiez vos informations puis cliquez sur Terminer. La nouvelle zone apparat dans le volet gauche. Lcran suivant montre le rsultat dune cration de zone ; remarquez que seuls les enregistrements SOA et NS ont t crs et que le serveur DNS se trouve dans une autre zone.
Figure-23: Gestionnaire DNS zone de recherche directe
Gestion dune zone

2- Cration dune zone de recherche invers
La cration dune zone de recherche inverse permet de rsoudre des adresses IP en noms. Une zone de recherche inverse nest pas requise pour crer une Active Directory mais elle est conseille. Elle nest pas cre automatiquement lors de la cration de lActive Directory. Il vous faut crer autant de zones de recherche inverse que vous avez de sous-rseaux (un octet gale un domaine). La procdure est la suivante : Connectez-vous en tant quadministrateur. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur Zones de recherche inverse puis cliquez sur Nouvelle zone.
Gestion dune zone

2- Cration dune zone de recherche invers (suite)
Sur la page Type de zone, slectionnez loption Zone principale. Si le serveur DNS est galement un contrleur de domaine, vous pouvez enregistrer la zone dans lActive Directory en slectionnant la case cocher correspondante. Cliquez sur Suivant.
Si la page tendue de la zone de rplication de Active Directory apparat, il faut indiquer la faon de stocker les informations dans lActive Directory, puis vous pouvez cliquer sur Suivant.
Sur la page Nom de la zone de recherche inverse, slectionnez le type dadressage IPv4 ou IPv6, puis cliquez sur Suivant. La nouvelle page porte le mme nom dans les deux cas mais vous devez saisir lID rseau, ou le Nom de la zone de recherche inverse en IPv4.
2- Cration dune zone de recherche invers (suite)
Gestion dune zone
Lcran suivant montre un ID rseau IPv4, remarquez que le nom de la zone est renseign automatiquement et est gris.
Sur la page Mise niveau dynamique, choisissez daccepter les mises jour dynamiques des enregistrements DNS ou de les interdire. Sur la page Fin de lAssistant Nouvelle zone, vrifiez vos informations puis cliquez sur Terminer. La nouvelle zone apparat dans le volet gauche.
Figure-24: Identification de la zone invers en IPv4
3- Gestion de la source de noms SOA
Gestion dune zone
La source de noms permet de configurer plusieurs paramtres importants pour la zone. Microsoft dfinit ces paramtres par dfaut mais il peut tre utile de les modifier pour quils correspondent vos besoins. La procdure est la suivante :
Connectez-vous en tant quadministrateur. dadministration et enfin sur DNS.
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils

Dans le volet de gauche, cliquez sur le nud Zones de recherche directes ou Cliquez sur la zone pour dvelopper le nud. Zones de recherche inverse pour faire apparatre la zone considre.
Cliquez avec le bouton droit de la souris sur la zone puis sur Proprits.
Cliquez sur longlet Source de noms (SOA) de la bote de dialogue Proprits.
Gestion dune zone

4- Gestion des enregistrements
Un enregistrement reprsente un hte ou un service dun hte se situant dans la zone. Les ordinateurs peuvent sinscrire dynamiquement, par lintermdiaire dun serveur DHCP, ou manuellement grce un administrateur. Utilisez la commande ipconfig /registerdns pour rinscrire un enregistrement dans le serveur DNS sil accepte les mises jour dynamiques. La procdure pour crer un enregistrement est la suivante :
dadministration et enfin sur DNS. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils Dans le volet de gauche, cliquez sur le nud Zones de recherche directes ou Zones de recherche inverse pour faire apparatre les zones. Recommencez lopration jusquau niveau du domaine/sous-domaine considr.
Gestion dune zone

4- Gestion des enregistrements (suite)
Cliquez avec le bouton droit de la souris sur le domaine/sous-domaine puis cliquez sur Nouvel hte (A ou AAAA) ou Nouvel alias (CNAME) ou Nouveau
Les pages suivantes montrent comment configurer les enregistrements les plus importants.
serveur de messagerie (MX) ou Nouveau pointeur (PTR) ou Nouveaux enregistrements.
a. Enregistrement dhte A ou AAAA et pointeur PTR
Saisissez au minimum le Nom et lAdresse IP. Laissez la slection pour la cration du pointeur PTR. La case cocher Autoriser tout utilisateur identifi mettre jour les enregistrements DNS avec le mme nom propritaire ne saffiche que lorsque la zone est intgre lActive Directory et permet un administrateur denregistrer un nom hte dans le serveur DNS au nom de ce dernier mme si lhte est hors ligne.
Gestion dune zone

b. Enregistrement dalias ou CNAME Il faut saisir le Nom de lalias et le nom de lhte qui doit tre associ. Vous pouvez utiliser le bouton Parcourir pour le rechercher. c. Nouveau serveur de messagerie MX Gnralement, il faut laisser vide le champ Hte ou domaine enfant. Ajoutez simplement le nom du serveur de messagerie dans le champ Nom de domaine pleinement qualifi (FQDN) pour le serveur de messagerie ainsi quune valeur pour la Priorit du serveur de messagerie. d. Emplacement de services SRV
SRV ou emplacement de service , permet dassocier un service spcifique un hte. Le Service peut tre un service existant ou un nom que vous ajoutez.
Gestion dune zone

d. Emplacement de services SRV (suite)
Il faut indiquer le Protocole support par le service, UDP ou TCP, mais galement un protocole personnalis.
Concernant la Priorit, vous pouvez y placer

une valeur allant de 0 65535, la valeur la plus leve correspondant la priorit la plus forte. Le Poids, dont la valeur peut aller de 1
65535, met en place un mcanisme

dquilibrage de la charge. Le Numro de port correspond au numro de port utilis pour le service. Enfin, indiquez lhte, soit le serveur qui offre le service.
Figure-25:Nouvel RR (SRV)
Gestion dune zone

e. Enregistrement dalias de domaine DNAME
Lenregistrement DNAME est une nouveaut dans Windows 2008, base sur la
RFC2672.
DNAME permet de mapper une arborescence dun espace de nom DNS sous un autre domaine. Vous pouvez lutiliser pour une migration en douceur dun espace de nom comme peut lillustrer lexemple suivant : Avec linvite de commande, vous allez crer deux domaines et un enregistrement dans le domaine qui doit avoir un alias. Puis vous allez crer lalias et voir le rsultat avec lutilitaire nslookup. Cration du domaine migrer : dnscmd /zoneadd MonVieuxDomaine.local /primary Cration dun enregistrement dans ce domaine : dnscmd /recordadd MonvieuxDomaine.local www A 192.168.6.1
Gestion dune zone

e. Enregistrement dalias de domaine DNAME (suite)
Cration du nouveau nom pour le domaine :
dnscmd /zoneadd MonNouveauDomaine.local /primary

Cration dun enregistrement DNAME : dnscmd /recordadd MonNouveauDomaine.local @ DNAME MonVieuxDomaine Test avec nslookup : nslookup www.MonNouveauDomaine.local nslookup www.MonVieuxDomaine.local
Lenregistrement DNAME nest configurable que via linvite de commande dnscmd. Il faut noter que le domaine dalias doit tre cr sur le serveur DNS et ne peut contenir denregistrements lors de la cration de lenregistrement DNAME.
Gestion dune zone

5- Dplacement du stockage
Le serveur DNS peut stocker les enregistrements DNS soit dans un fichier plac dans %systemroot%\system32\dns, soit dans lActive Directory.
Pour des raisons de scurit, que ce soit au niveau du stockage, du transfert de zone ou de la mise jour dynamique des enregistrements, il est prfrable de stocker les zones dans lActive Directory. Effectuez la procdure suivante successivement avec deux machines virtuelles (une avec AD et lautre sans) et remarquez les diffrences en fonction du rle Active Directory qui est install ou non. Vous pouvez tout moment modifier le type de stockage ou lemplacement en utilisant la procdure suivante :
Connectez-vous en tant quadministrateur. dadministration et enfin sur DNS. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils
5- Dplacement du stockage (suite)
Gestion dune zone
Dans le volet de gauche, cliquez sur le nud Zones de recherche directes ou

Cliquez sur la zone pour dvelopper le nud. Zones de recherche inverse pour faire apparatre la zone considre.
Cliquez avec le bouton droit de la souris sur la zone puis sur Proprits. Cliquez sur longlet Gnral de la bote de dialogue Proprits. La zone Type indique sil sagit dune zone intgre Active Directory. Vous pouvez modifier le type de zone tout moment en cliquant sur le bouton
correspondant comme le montre limage suivante :
Figure-26: Modification du type de zone
5- Dplacement du stockage (suite)
Gestion dune zone
Le bouton Rplication nest activ que pour une zone intgre Active Directory. Il permet de dfinir la manire dont la zone est rplique vers les autres contrleurs de domaine.
Figure-26: Rplication de la zone
La liste droulante Mises jour dynamiques permet de dfinir si la zone accepte les mises jour des enregistrements de manire dynamique, voire scurise, cest--dire quun contrle des ACLs (Access Control List) de lActive Directory est effectu pour savoir si la mise jour est permise.
Gestion dune zone

6- Rplication des zones du serveur DNS
Selon que la zone est intgre lActive Directory ou non, le transfert de zone ne fonctionne pas de la mme manire.
Le transfert dune zone intgre lActive Directory utilise la rplication de lActive Directory et requiert que chaque serveur DNS soit galement un contrleur de domaine.
Si le stockage de la zone se fait dans un fichier, alors il faut configurer le transfert de zone ; plusieurs cas peuvent se prsenter mais ils utilisent tous la notion de zone secondaire et de serveur matre.
Au pralable, il faut autoriser le transfert de zone en suivant cette procdure. Pour effectuer un exercice complet, vous allez crer une zone secondaire sur le serveur Win1 dont le nom correspond au domaine et utiliser le Server Win2 en tant que matre.
Gestion dune zone

6- Rplication des zones du serveur DNS (suite)
Connectez-vous en tant quadministrateur sur Win2.
Dans le volet de gauche, cliquez sur le nud Zones de recherche directes ou Zones de recherche inverse pour faire apparatre la zone considre, ici pffc.fr (si elle nexiste pas, crez-la). Cliquez sur la zone pour dvelopper le nud. Cliquez avec le bouton droit de la souris sur la zone puis sur Proprits. La case cocher Autoriser les transferts de zone doit tre coche. Ensuite vous devez dterminer la mthode.
Cliquez sur longlet Transferts de zone de la bote de dialogue Proprits.
Gestion dune zone

Vous pouvez ajouter des serveurs de noms pour la zone, que ce soient des serveurs DNS Microsoft ou autres. Connectez-vous en tant quadministrateur sur Win1. Lancez le gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur le nud Zones de recherches directes (ici) ou Zones recherches inverses puis cliquez sur Nouvelle Zone.
Sur la page Bienvenue! de lassistant Nouvelle zone, cliquez sur Suivant.
Sur la page Type de zone, slectionnez loption Zone secondaire puis cliquez sur Suivant.
Sur la page Nom de la zone, saisissez la zone rpliquer, puis cliquez sur Suivant.
Gestion dune zone

Sur la page Serveur DNS matre, saisissez ladresse IP ou le nom DNS du serveur matre, ici ladresse IP de Win2 (ce dernier doit tre en ligne pour tre valid) puis cliquez sur Suivant. Sur la page Fin de lassistant nouvelle zone, cliquez sur Terminer. Contrlez que la rplication sest bien effectue.
Si la rplication ne sest pas faite correctement, cliquez avec le bouton droit de la souris sur la zone considre puis, soit sur Transfert partir du matre (transfert IXFR) soit sur Recharge partir du matre (transfert AXFR). Si le problme persiste, vrifiez la connexion rseau entre les deux serveurs et si la zone peut tre transfre. Sur le serveur qui hberge la zone secondaire contrlez que la rplication seffectue correctement.
Gestion dune zone

7- WINS
Lautre mthode pour rsoudre des noms en adresses IP se base sur le protocole NetBIOS qui utilise un serveur WINS la place dun serveur DNS.Sur la page Fin de lassistant nouvelle zone, cliquez sur Terminer. Contrlez que la rplication sest bien effectue.
Si un serveur WINS existe, il peut tre intressant de lassocier une zone de recherche directe ou inverse. Dans ce cas, si le serveur DNS ne peut rsoudre le nom dans la zone considre, il fait appel aux serveurs WINS dfinis pour tenter de rsoudre le nom. Le scnario le plus commun est de dsactiver la rsolution de noms NetBIOS pour les ordinateurs fonctionnant sous Windows Vista, voire Windows XP et de permettre une recherche via un serveur WINS par lintermdiaire du serveur DNS.
7- WINS (suite)
Gestion dune zone
a. Dsactiver la rsolution NetBIOS
Connectez-vous en tant quadministrateur sur Win1. Rechercher et appuyez sur [Entre].
Cliquez sur Dmarrer puis saisissez control ncpa.cpl dans la zone de saisie Cliquez avec le bouton droit de la souris sur linterface dsire puis cliquez sur Double cliquez sur Protocole Internet version 4 (TCP/IPv4). Proprits.
Dans la bote de dialogue Proprits de protocole Internet version 4 (TCP/IPv4), Dans la bote de dialogue Paramtres TCP/IP avancs, cliquez sur longlet WINS. cliquez sur loption Dsactiver NetBIOS sur TCP/IP.
cliquez sur Avanc.
Dans longlet WINS, dsactivez la case cocher Activer la recherche LMHOSTS et Cliquez trois fois sur OK.
7- WINS (suite)
Gestion dune zone
b. Configurer un serveur DNS pour utiliser la rsolution WINS Connectez-vous en tant quadministrateur.
Si vous devez installer un serveur WINS, il est plac en tant que fonctionnalit et non en tant que rle. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche, cliquez sur le nud Zones de recherche directes ou Zones de recherche inverse pour faire apparatre la zone considre.
Cliquez sur la zone pour dvelopper le nud.
Cliquez avec le bouton droit de la souris sur la zone puis sur Proprits.
Cliquez sur longlet WINS ou WINS-R de la bote de dialogue Proprits.
Pour activer la recherche galement vers un serveur DNS, cochez la case Utiliser la recherche directe WINS.
7- WINS (suite)
Gestion dune zone
b. Configurer un serveur DNS pour utiliser la rsolution WINS (suite) Si dautres serveurs DNS grant la zone ne reconnaissent pas les enregistrements de type WINS, comme certains serveurs DNS non Microsoft et en particulier les serveurs BIND/Unix, il peut y avoir des problmes lors du transfert de zone ; pour viter ces problmes, il est conseill de cocher la case Ne pas rpliquer cet enregistrement. Sous Adresse IP, ajoutez les adresses des serveurs WINS.
En cliquant sur le bouton Avanc, vous configurez le Dlai dexpiration du cache, cest--dire le TTL de lenregistrement retourn par le serveur WINS et le Dlai dexpiration de la recherche, cest--dire le dlai avant que le serveur ne retourne une rponse de type "Nom introuvable". Un serveur WINS nest utilisable que pour des adresses IPv4.
7- WINS (suite)
Gestion dune zone
c. Crer et configurer une zone globale DNS
Cette procdure montre comment crer la zone, la configurer avec un enregistrement et ce quil se passe lorsque le client effectue une demande de rsolution du nom.
Ouvrez une invite de commande avec les privilges dadministration.
Saisissez la commande suivante : dnscmd NomDuServeur /config /enableglobalnamessupport 1 puis appuyez sur [Entre].
Pour crer la zone, vous pouvez passer par linterface graphique mais galement saisir la commande suivante : dnscmd NomDuServeur /ZoneAdd GlobalNames /DsPrimary /DP /forest puis appuyer sur [Entre]. La zone GlobalNames est
NomDuServeur est un serveur DNS Windows Server 2008 qui est contrleur de domaine.
cre sur le serveur.
7- WINS (suite)
Gestion dune zone
c. Crer et configurer une zone globale DNS (suite)
Ajoutez un enregistrement de type CNAME dans la zone globale. Pour le test, vous allez ajouter lenregistrement Web comme le montre la figure suivante. partir de linvite de commande, saisissez dnscmd /RecordAdd GlobalNames web CNAME www.test.ch puis appuyez sur [Entre].
Lordinateur client na pas besoin dtre configur. Il lui suffit de faire partie du domaine considr. Car si vous saisissez ping web sur lordinateur client, il va automatiquement rajouter un suffixe pour lenregistrement.
Figure-27: Gestionnaire DNS zone globale GlobalNames

1- Commande nslookup
Lutilitaire nslookup est utilis pour isoler des problmes provenant de la rsolution de noms en adresses IP. La commande nslookup permet disoler les problmes rseau entre lordinateur et le serveur DNS qui fait autorit, et un problme de cache DNS sur un serveur DNS servant de cache ou sur lordinateur local.
Avant dutiliser nslookup, vous devez vous assurer quune connexion IP est possible
entre ladresse IP de lordinateur et ladresse IP du serveur DNS. Pour rechercher un hte en utilisant un serveur DNS particulier
Saisissez nslookup www.eni.fr MonServeur DNS
Pour dmarrer nslookup en mode interactif, Saisissez nslookup puis [Entre]

utiliser help pour avoir laide, nom de machine ou adresse IP ou prciser lenregistrement dsir via set type= <type RR>
Pour afficher un maximum dinformations Saisissez set debug = true puis [Entre]

2- Commande dnscmd
La commande dnscmd permet de grer compltement un serveur DNS laide dune invite de commandes ou de scripts. Il est fortement recommand de lutiliser.
Voici quelques exemples dutilisation de lutilitaire dnscmd.

localhost /info par exemple puis [Entre].
Pour afficher les informations concernant le serveur DNS, saisissez dnscmd Pour afficher les zones stockes sur le serveur DNS, saisissez dnscmd localhost /enumzones puis [Entre]. Pour ajouter une zone, saisissez dnscmd localhost /addzone MaZone.com /Primary /File mazone.dns par exemple puis [Entre].
Pour recharger une zone, saisissez dnscmd localhost /zonereload

MaZone.com par exemple puis [Entre].

3- Commande dnslint
La commande dnslint est tlcharger partir du site Web de Microsoft. Il peut crer des rapports
au format HTML. Il peut tre utilis

pour rsoudre des problmes lis lActive Directory comme la rplication, mais galement un
domaine particulier.
Il sutilise aussi bien pour une entreprise que sur Internet.

Figure-28: Exemples dinformations affiches par la commande dnslint
Intgration avec lActive Directory

Comme il a t cit plusieurs fois, le stockage de la base de donnes DNS dans lActive Directory appele zone intgre Active Directory est une mthode conseille. Pour cela, il faut installer le rle Serveur DNS sur le contrleur de domaine, soit en mme temps que linstallation de lActive Directory pour le premier contrleur de domaine, soit plus tard.
1- Quelques mots sur la rplication

Ensuite la rplication est entirement gre par lActive Directory. Il faut noter quen
fonction de lemplacement de stockage spcifi pour la zone, la rplication concerne:

tous les contrleurs de domaine DNS de la fort ; tous les contrleurs de domaine DNS du domaine ; seulement les contrleurs de domaine du domaine ; plus spcifiquement les contrleurs de domaine de la fort qui hbergent une partition applicative.
Bien entendu, il est galement possible de crer une rplication mixte avec des serveurs hbergeant des zones secondaires, nanmoins ce nest pas une solution scurise, ni efficace.
Sommaire



Ch4: Configuration autour du protocole DHCP

1. 2. 3.
Prsentation du protocole DHCP Service DHCP de Windows Installation et dsinstallation du rle DHCP
4.
5.
Configuration
Gestion dun serveur DHCP
Prsentation du protocole DHCP

1- Introduction
DHCP est un protocole client/serveur qui fournit automatiquement un hte IP une adresse IP et dautres paramtres de configuration comme le masque de sous-rseau. On utilise les termes de client ou client DHCP pour lhte IP qui reoit une adresse IP provenant dun serveur DHCP. Le serveur DHCP peut tre un routeur ADSL, donc bas sur du matriel, ou un logiciel comme le rle DHCP de Windows Server 2008. Le serveur DHCP gre et distribue de manire centralise et automatique les adresses IP sur un rseau donn. Le rseau peut tre local ou distant
2- Processus dacquisition dune adresse IPv4

Voir cours administration rseau sous linux
Voir cours administration rseau sous linux
3- Processus de renouvellement dune adresse IP
Service DHCP de Windows

1- Introduction
Le service DHCP, sil fonctionne dans un domaine, doit tre autoris par lActive Directory, sinon le service ne dmarre pas. Pour cela, le serveur DHCP envoie un message DHCPINFORM lActive Directory qui lui rpond avec un message DHCPACK ou DHCPNACK.
Le serveur DHCP peut mettre jour le DNS au nom du client DHCP,pour un client qui ne peut mettre jour le serveur DNS ou si le client le demande.
Dans certains rseaux, on voit parfois plusieurs sous-rseaux IP partager le mme rseau physique. Le serveur DHCP permet de runir ces diffrents rseaux IP pour crer une tendue globale de manire ce que les clients DHCP se trouvant sur le rseau physique reoivent une adresse provenant de lun des sous-rseaux IP.

2- Options
Parmi les quelques 80 options standardises, les clients DHCP Windows nutilisent par dfaut que les suivants : PAD, Masque de sous-rseau, Routeur, Serveur DNS, Nom de lhte, Nom de Domaine DNS, Nom du serveur Wins, Informations spcifiques au fournisseur, Type de nud pour la rsolution de nom NetBIOS sur TCP/IP, ID de ltendue NetBIOS, Adresse demande, Dure du bail, Type de message DHCP
Dcouvrir les routeurs, Option ditinraire statique, Itinraires statiques sans

classe* Ces derniers options sont valables juste pour des clients postrieurs Windows 2000 Dans le cas o le serveur DHCP distribue des adresses des clients Microsoft ayant besoin doptions particulires, il est tout fait possible de crer des options personnalises bases sur des classes utilisateurs ou fournisseurs.

3- Les nouveauts de Windows Server 2008
Le support du protocole DHCPv6 signifie quil est possible de dfinir des tendues et de distribuer des adresses IPv6.
Le support du protocole NAP permet de contrler la distribution dadresses IP de manire ce quun client non conforme ne puisse recevoir toutes les options DHCP et soit renvoy vers le rseau de remdiation.
4. Les outils de configuration
Les outils de configuration et de gestion sont :

La console DHCP, soit une console MMC permettant de grer un ou plusieurs serveurs DHCP.
Les commandes netsh permettent galement deffectuer une gestion efficace

dun serveur DHCP.
Installation et dsinstallation du rle DHCP

1- Installation
Lassistant installe le service DHCP et permet galement de configurer le serveur DHCP avec les options les plus courantes.
Connectez-vous en tant quadministrateur sur Win1. Pour dmarrer linstallation, lancez le Gestionnaire de serveur en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur Gestionnaire de Dans le volet de gauche, cliquez sur Rles. Dans Rles, cliquez sur Ajouter des rles. cliquez sur Suivant. sur Suivant. Dans lAssistant Ajout de rles, si la page Avant de commencer apparat, Sur la page Rles de serveurs, slectionnez le rle Serveur DHCP puis cliquez serveur.

Sur la page Serveur DHCP, prenez connaissance si ncessaire des informations supplmentaires concernant le serveur DHCP puis cliquez sur Suivant. Sur la page Liaisons de connexion rseau de lassistant, choisissez quelle(s) connexion(s) rseau traitera(ont) les demandes DHCP puis appuyez sur Suivant. Sur la page Paramtres DNS IPv4, spcifiez les options DNS que recevra un client DHCP, puis appuyez sur Suivant. Les options entres dans lassistant sont enregistres en tant quOptions de serveur.
Un serveur DHCP disposant de plusieurs cartes rseau peut ncouter les requtes DHCP que sur certaines de ses cartes.
En cliquant sur le bouton Valider, lassistant contrle quun serveur DNS rpond. Sur la page Paramtres WINS IPv4, spcifiez les options WINS cest--dire les adresses des serveurs WINS que recevra un client DHCP, puis appuyez sur Suivant.

Sur la page tendues DHCP, ajoutez au moins une tendue en cliquant sur le bouton Ajouter. Dans la bote de dialogue Ajouter une tendue, saisissez les informations demandes comme dans lexemple suivant : Activer cette tendue : indique si ltendue une fois cre peut tre utilise par le serveur DHCP ou non.
Figure-29: Ajouter ou modifier les tendues DHCP

Dans la page Mode DHCPv6 sans tat, vous pouvez activer le mode stateless DHCPv6 (choix par dfaut) qui permet de fournir aux clients IPv6 les paramtres autres que ladresse IP. Si vous voulez galement fournir ladresse IP ou activer le mode stateful, il faut slectionner loption Dsactiver le mode sans tat DHCPv6 pour ce serveur. la fin, cliquez sur Suivant.
La page Paramtres DNS IPv6 napparat que si le mode sans tat (stateless) est slectionn dans la page prcdente. Saisissez les options de serveur.
Sur la page Autorisation du serveur DHCP, il faut indiquer si cest lutilisateur actuel ou un utilisateur spcifique qui autorise le serveur DHCP distribuer des adresses IP.

Si vous tes administrateur de domaine, cliquez simplement sur Suivant, sinon spcifiez dautres informations didentification ou reportez lautorisation plus tard en slectionnant Ignorer lautorisation de ce serveur DHCP dans les services de domaine Active Directory. La page Confirmation rsume les paramtres entrs durant les diffrentes tapes de lassistant. Prenez le temps de les vrifier puis cliquez sur Installer.
La page suivante, appele tat davancement, affiche un curseur montrant la progression de linstallation.
Enfin, la page Rsultats indique si linstallation du serveur DHCP a russi.
Dans ce cas, votre serveur DHCP est install et oprationnel.

2- Dsinstallation
Connectez-vous en tant quadministrateur sur Win1. Pour dsinstaller le serveur DHCP, lancez le Gestionnaire de serveur en cliquant sur Dans le volet de gauche, cliquez sur Rles. Dmarrer puis sur Outils dadministration et enfin sur Gestionnaire de serveur.
Dans Rles, cliquez sur Supprimer des rles. cliquez sur Suivant.
Dans lAssistant Suppression de rles, si la page Avant de commencer apparat,
Sur la page Rles de serveurs, slectionnez le rle Serveur DHCP puis cliquez sur
Sur la page Confirmation, vrifiez que vous supprimez le serveur DHCP puis La page Etat davancement montre une barre de progression pour vous faire patienter pendant la suppression. cliquez sur Supprimer. Suivant.

2- Dsinstallation (suite)
Cliquez sur Fermer. redmarrer le serveur. Enfin, la page Rsultats indique que pour terminer la suppression du rle, il faut
Dans la bote de dialogue Assistant Suppression de rle, cliquez sur Oui pour
Lors de la prochaine connexion, lassistant affiche le rsultat de la suppression du serveur DHCP. Vrifiez que la suppression est russie.
redmarrer le serveur maintenant.
Lassistant de suppression du serveur DHCP ne supprime que les services et pas la base de donnes qui est toujours prsente dans le rpertoire %systemroot%\system32\dhcp. Effacez le rpertoire pour une suppression complte.
Configuration du server DHCP

1- Configuration de la base de donnes DHCP
Il est possible de modifier lemplacement de la base de donnes du serveur DHCP et de la sauvegarde.

Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP. Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence. Proprits.
Cliquez avec le bouton droit de la souris sur le nud du serveur puis sur Dans la bote de dialogue Proprits, saisissez le nouveau chemin pour la base
de donnes ou utilisez le bouton Parcourir. Par dfaut, le rpertoire est

Saisissez le nouveau chemin pour la sauvegarde ou utilisez le bouton Parcourir. Par dfaut, le rpertoire est %systemroot%\system32\dhcp\backup. %systemroot%\system32\dhcp.

2- Intgration du DHCP avec DNS
La mise jour des enregistrements DNS partir du serveur DHCP est possible au niveau de ltendue ou du serveur DHCPv4 ou DHCPv6. Il est recommand de la paramtrer au niveau du serveur DHCP.
Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP. Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence. Cliquez sur IPv4 ou IPv6 pour dvelopper larborescence. Cliquez avec le bouton droit de la souris sur IPv4 ou IPv6, puis sur Proprits.
Par dfaut, il ny a rien modifier.
Dans la bote de dialogue Proprits, cliquez sur longlet DNS.

2- Intgration du DHCP avec DNS
ny a rien modifier. Dans la bote de dialogue Proprits, cliquez sur longlet Avanc. Par dfaut, il
Ne modifiez Tentatives de dtection de conflit que dans des environnements o vous disposez dordinateurs antrieurs Windows 2000.

Vous pouvez modifier le chemin daccs du fichier journal daudit. En cliquant sur Liaisons, vous pouvez modifier les interfaces dcoute pour le protocole DHCP. En cliquant sur Information didentification, vous pouvez scuriser les inscriptions DNS effectues par le serveur DHCP. Pour cela, il faut dfinir un compte dutilisateur ddi qui doit tre membre du groupe DnsUpdateProxy et ensuite ajouter son login chaque serveur DHCP. Cela permet galement dviter des erreurs denregistrement.

3- Cration dune tendue IPv4
Lassistant de cration dune tendue post-installation est plus complet que celui propos lors de linstallation du serveur DHCP.
Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP. Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence. Cliquez sur IPv4 pour dvelopper larborescence. tendue. Cliquez avec le bouton droit de la souris sur le nud IPv4, puis sur Nouvelle
Dans Assistant Nouvelle tendue, cliquez sur Suivant.

Description.
Dans la page Nom de ltendue, saisissez le Nom et ventuellement une

3- Cration dune tendue IPv4 (suite)
Sur la page Plage dadresses IP, saisissez une Adresse IP de dbut, une Adresse IP de fin puis soit la Longueur (suffixe IP), soit le Masque de sous Sur la page Ajout dexclusions, entrez ventuellement des adresses exclues, Sur la page Dure du bail dfinissez la dure, par dfaut elle est de 8 jours. Pour un bail de dure infinie, la configuration se fait aprs la cration de Sur la page Configuration des paramtres DHCP, slectionnez loption Oui puis cliquez sur Suivant. ltendue. rseau puis cliquez sur Suivant.
puis cliquez sur Suivant.

3- Cration dune tendue IPv4 (suite)
Sur la page Routeur (Passerelle par dfaut), saisissez ladresse de la passerelle par dfaut puis cliquez sur Ajouter. ventuellement, saisissez plusieurs passerelles si tous les clients sont des ordinateurs Windows Server 2008, puis cliquez sur Suivant.
Sur la page Nom de domaine et serveur DNS, saisissez une une les
adresses des serveurs DNS puis cliquez sur Ajouter, cliquez ensuite sur Sur la page Serveur WINS, saisissez ventuellement ladresse dun serveur Sur la page Activer ltendue, cliquez sur Oui (dfaut) pour lactiver WINS puis cliquez sur Ajouter avant de cliquer sur Suivant. Suivant.
Sur la page Fin de lAssistant Nouvelle tendue, cliquez sur Terminer.
immdiatement ou sur Non pour lactiver plus tard, puis cliquez sur Suivant.

4- Gestion dune tendue
Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP.
Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence.
Cliquez sur IPv4 pour dvelopper larborescence.

contextuel pour une tendue sont les suivantes : Activer, dsactiver ou supprimer une tendue Afficher les statistiques Rconcilier
Les actions possibles laide du menu Action de la console DHCP ou du menu
Proprits: affiche la bote de dialogue pour modifier des paramtres de ltendue.

5- Cration dune rservation
Une rservation est un assignement permanent dune adresse physique (Mac Address) dun ordinateur client une adresse IP de ltendue.
Pour crer une nouvelle rservation :
Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration puis sur DHCP.
Cliquez sur le nud du serveur pour dvelopper larborescence.

Cliquez sur le nud de ltendue pour dvelopper larborescence.
Cliquez avec le bouton droit de la souris sur Rservations, puis sur Nouvelle rservation. Dans la bote de dialogue Nouvelle rservation, saisissez les informations demandes puis cliquez sur Ajouter. Saisissez le Nom de la rservation afin de lidentifier.

5- Cration dune rservation (suite)
Pour crer une nouvelle rservation :
Une rservation est un assignement permanent dune adresse physique (Mac Address) dun ordinateur client une adresse IP de ltendue.
Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration puis sur DHCP.

Cliquez sur le nud de ltendue pour dvelopper larborescence.
Cliquez avec le bouton droit de la souris sur Rservations, puis sur Nouvelle rservation. Dans la bote de dialogue Nouvelle rservation, saisissez les informations demandes puis cliquez sur Ajouter. Saisissez le Nom de la rservation afin de lidentifier.

4- Cration dune rservation

Ladresse IP correspond ladresse IP attribue cette rservation. Ladresse MAC correspond ladresse physique (Mac Address) de la carte rseau de lhte.
Pour afficher ladresse MAC de la carte locale, vous pouvez utiliser la commande ipconfig /all. La commande arp -a affiche les adresses MAC sur le mme segment de rseau. Enfin, si le protocole NetBIOS est toujours activ, vous pouvez saisir nbtstat -A <AdresseIP> ou nbtstat -a <nomIP>.

La Description est facultative. Les Types pris en charge sont les clients DHCP, BOOTP ou les deux.
Pour entrer un grand nombre de rservations, il est prfrable dutiliser un script

spcialis et/ou de recourir la commande netsh.

6- Configuration des options
Il est possible de dfinir des options au niveau : du serveur IPv4 ;
de ltendue ;
de la classe ; de la rservation. Concernant les priorits des options, le niveau de la rservation est la plus prioritaire alors que le niveau serveur est le moins prioritaire. > La meilleure pratique veut quil faille dfinir les options globales valables pour toutes les tendues au niveau du serveur, comme les adresses de serveurs DNS, WINS, le
nom de domaine, etc. Les options dtendue peuvent disposer de ladresse du routeur.
Enfin, les options placer au niveau de la rservation doivent tre les exceptions. > La procdure est la mme pour grer les options au niveau du serveur ou de la rservation.

6- Configuration des options (Suite)
Pour grer les options au niveau de ltendue :
Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP.
Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration

Cliquez sur le nud du serveur pour dvelopper larborescence. Cliquez sur IPv4 pour dvelopper larborescence. Cliquez sur le nud de ltendue pour dvelopper larborescence. Configurer les options.
Cliquez avec le bouton droit de la souris sur Options dtendue puis choisissez
Onglet Gnral
La slection dune option seffectue en activant la case cocher de loption dsire. Ensuite, vous devez configurer loption dans Entre de donnes. Le cadre change pour chaque option.

Onglet Paramtres avancs
Longlet Paramtres avancs diffre du fait quil est possible de restreindre les ordinateurs concerns par les options soit en utilisant une classe Fournisseur comme :
Options Microsoft regroupe les classes Options Microsoft Windows 2000 et Options Microsoft Windows 98. Options Microsoft Windows 2000 uniquement pour Windows 2000 et suprieur. Options Microsoft Windows 98 pour Windows 98. Options standard DHCP (dfaut), comme son nom lindique. Cette notion de classe nest plus vraiment utilise.

Onglet Paramtres avancs (suite)
Il est galement possible de cibler le type de client en utilisant une classe dutilisateur comme :
Classe BOOTP par dfaut pour les clients BOOTP uniquement. Classe de protection daccs rseau par dfaut qui correspond au client NAP. Classe de routage et daccs distant par dfaut qui correspond au client VPN. Classe utilisateur par dfaut (dfaut), soit les autres. Cette classe Utilisateur est plus intressante que la classe Fournisseur car elle permet de dfinir clairement les options spcifiques chaque type daccs client.

7- Configuration du service DHCP dans un environnement rout (Agent Relais DHCP)
Le serveur Agent Relay DHCP agit comme un proxy situ entre le client DHCP et le serveur DHCP. Il coute les messages de diffusion BOOTP (1) sur le segment de rseau local et transmet la demande auprs dun serveur DHCP (2) situ sur un
autre segment de rseau en monodiffusion.

a. Installation du service de rle Routage voir cours Configuration des services rseau
Il est galement possible dajouter lagent relais DHCP en ajoutant le Service

daccs distance. b. Activation du service de routage voir cours Configuration des services
rseau

7- Configuration du service DHCP dans un environnement rout (Agent Relais DHCP) (suite)
c. Ajout de lagent relais DHCP pour IPv4 ou IPv6 Connectez-vous en tant quadministrateur. serveur. Cliquez sur Dmarrer - Outils dadministration puis sur Gestionnaire de
Dans larborescence de la console, cliquez sur le nud Rles.
Cliquez sur le nud Services de stratgie et daccs distant.
Cliquez sur le nud IPv4 ou IPv6 selon lagent relais DHCP activer. souris sur Gnral, puis sur Nouveau protocole de routage.
Si lagent de relais DHCP nest pas install, cliquez avec le bouton droit de la Dans la bote de dialogue Nouveau protocole de routage, slectionnez Agent de relais DHCP dans la liste Protocoles de routage puis cliquez sur OK.
Lagent relais DHCP apparat sous routage IPv4 ou IPv6.

d. Configuration de lagent de relais DHCPv4
Cliquez sur Dmarrer - Outils dadministration puis sur Gestionnaire de serveur. Dans larborescence de la console, cliquez sur le nud Rles. Cliquez sur le nud IPv4. Cliquez sur le nud Services de stratgie et daccs distant. Cliquez avec le bouton droit de la souris sur Agent de relais DHCP puis sur Proprits.
Saisissez ladresse du serveur DHCP disposant dune tendue pour le sousrseau. Il faut galement crer une tendue pour le rseau. Puis cliquez sur Ajouter. Rptez lopration sil existe dautres serveurs DHCP. la fin, cliquez sur OK.

e. Ajout et configuration des interfaces dcoute pour lagent de relais DHCPv4 Connectez-vous en tant quadministrateur. Cliquez sur Dmarrer - Outils dadministration puis sur Gestionnaire de serveur. Dans larborescence de la console, cliquez sur le nud Rles. Cliquez sur le nud IPv4.
Cliquez sur le nud Services de stratgie et daccs distant.

Cliquez avec le bouton droit de la souris sur Agent de relais DHCP puis sur Nouvelle interface.
Dans la bote de dialogue Nouvelle interface pour Agent de relais DHCP, slectionnez linterface dcoute dans la liste des interfaces puis cliquez sur OK. Dans la bote de dialogue Proprits de Proprits de relais DHCP, assurezvous que la case cocher Relayer les paquets DHCP est slectionne, puis cliquez sur OK.
Pour assurer la gestion dun serveur DHCP, il faut tre membre du groupe Administrateurs ou membre du groupe Administrateurs DHCP des serveurs DHCP.
1. Migration de la base de donnes DHCP

a. Sauvegarde de la base de donnes
Connectez-vous en tant quadministrateur sur Win1. Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration puis sur DHCP.
Cliquez avec le bouton droit de la souris sur le nud du serveur, puis sur Sauvegarder.
Dans la bote de dialogue Rechercher un dossier, dplacez-vous vers le dossier prvu pour la sauvegarde et cliquez sur OK.
Arrtez le service DHCP en cliquant avec le bouton droit de la souris sur le nud du serveur, puis en cliquant sur Toutes les tches et Arrter.

1.
Migration de la base de donnes DHCP (suite)

Arrtez le service DHCP en cliquant avec le bouton droit de la souris sur le nud Dplacez le dossier qui contient la sauvegarde vers le nouvel ordinateur. du serveur, puis en cliquant sur Toutes les tches et Arrter.
a. Sauvegarde de la base de donnes (suite)
Noubliez pas de dsinstaller le rle DHCP ou de vrifier que le service
Cette procdure sauvegarde les informations dtendues, les fichiers

journaux, les cls de registre et la configuration du serveur DHCP. Cest une bonne pratique que de lexcuter intervalles rguliers.
DHCP ne puisse pas dmarrer au prochain dmarrage.

1.
Migration de la base de donnes DHCP (suite)

b. Restauration de la base de donnes
Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP. Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence. Restaurer.
Cliquez avec le bouton droit de la souris sur le nud du serveur, puis cliquez sur
Dans la bote de dialogue Rechercher un dossier, dplacez-vous vers le

Il est galement possible dutiliser la base de donnes de sauvegarde standard, Si une bote de dialogue vous invite arrter les services, cliquez sur Oui. soit le dossier %systemroot%\system32\dhcp\backup. dossier qui contient la sauvegarde et cliquez sur OK.

2- Sauvegarde
Dans la procdure de sauvegarde du serveur, il ne faut pas oublier dajouter le dossier de la base de donnes DHCP, par dfaut %systemroot%\system32\dhcp ainsi que le rpertoire de sauvegarde %systemroot%\system32\dhcp\backup.
3. Statistiques
Il est possible dafficher des statistiques pour les serveurs DHCPv4 et DHCPv6. La
procdure est la suivante : Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP.
Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence. statistiques IPv4 ou IPv6, puis sur Afficher les statistiques.
Cliquez avec le bouton droit de la souris sur IPv4 ou sur IPv6 pour afficher les

4- Gestionnaire de serveur
Le Gestionnaire de serveur complte la console DHCP car il permet de :
Visualiser les vnements lis au serveur DHCP. Grer le service Serveur DHCP. Obtenir des informations supplmentaires.
Figure-29: Extrait Gestionnaire de serveur Serveur DHCP

5- Commande netsh
La commande netsh dont lintrt principal est la cration de scripts permet
de grer totalement le serveur DHCP. a. Ajout dune tendue
Les commandes ci-aprs crent une tendue appele Etendue4 avec des
adresses allant de 172.30.1.50 172.30.1.59 avec un masque de 255.255.255.0 dont le bail est de 1 heure ; on y ajoute ladresse du routeur
et du DNS et la fin, on active ltendue.

5- Commande netsh (suite)
a. Ajout dune tendue (suite)
REM Cration de ltendue netsh dhcp server 172.30.1.170 add scope 172.30.1.0.255.255.255.0 Etendue4 "commentaire de ltendue 4" REM Ajout des adresses IP de ltendue netsh dhcp server 172.30.1.170 scope 172.30.1.0 add iprange 172.30.1.50 172.30.1.59 REM Modification de la dure du bail (1heure) netsh dhcp server 172.30.1.170 scope 172.30.1.0 optionvalue 051 DWORD "3600" REM Ajout du routeur netsh dhcp server 172.30.1.170 scope 172.30.1.0 optionvalue 003 IPADDRESS 172.30.1.254 REM Ajout du DNS netsh dhcp server 172.30.1.170 scope 172.30.1.0 optionvalue 006 IPADDRESS 172.30.1.170 REM Activation de ltendue netsh dhcp server 172.30.1.170 scope 172.30.1.0 set state 1 REM Affiche le contenu de la base DHCP netsh dhcp server 172.30.1.170 scope 172.30.1.0 dump

5- Commande netsh (suite)
Les serveurs DHCP Microsoft Windows doivent tre autoriss par lActive Directory pour distribuer des adresses sils font partie dun domaine. Si un
b. Autorisation dun serveur DHCP auprs de lActive Directory
serveur DHCP ne faisant pas partie dun domaine dtecte quil se trouve sur
un segment de rseau o existe un serveur DHCP de domaine, son service DHCP sarrte.
Pour autoriser un serveur DHCP distribuer des adresses :

Pour interdire un serveur DHCP, la commande est la suivante :
netsh dhcp add server mondhcpserver.pffc.ch 172.30.1.10
netsh dhcp delete server mondhcpserver.pffc.ch 172.30.1.10
Sommaire



Ch3: Utilisteurs.
1. 2. 3.
Utilisateurs et groupes Utilisateur local Utilisateur de domaine
Utilisateurs et groupes
1.
le compte dutilisateur sert authentifier et autoriser un utilisateur sur un ordinateur ou un rseau ainsi que dannuaire dentreprise.
Le compte utilisateur
On distingue le compte dutilisateur local dont les informations de compte rsident dans la SAM (Secure Account Manager) locale de tout ordinateur station de travail, serveur membre de domaine et serveur membre dun groupe de travail du compte dutilisateur de domaine qui est stock dans lActive Directory. Un compte dutilisateur de domaine peut se connecter sur nimporte quel ordinateur et accder toutes les ressources du domaine, alors quun compte dutilisateur local ne peut le faire que sur lordinateur considr. Dans Windows, lutilisateur est identifi par son identificateur de scurit SID (Security IDentifier) qui commence toujours par 1-5-20<guid domaine>-ValueID, ValueID est toujours un nombre suprieur 1000, except pour lutilisateur administrateur et invit. Le SID est unique.
1.
Pour afficher les SID, il faut un utilitaire. Pour cela, vous pouvez tlcharger getsid.exe du kit de ressources techniques Windows 2000.
Le compte utilisateur (suite)
Vous pouvez aussi utiliser la commande : WMIC USERACCOUNT LIST Brief. Pour un utilisateur donn : WMIC USERACCOUNT WHERE "name = test Ad2 " get SID. Par dfaut, les utilisateurs suivants sont toujours crs :
Administrateur : compte dutilisateur qui a accs tout lordinateur (local) ou la fort ou au domaine (Active Directory). Ce compte ne peut tre dtruit ou
dsactiv, par contre il peut tre renomm.

Invit : compte utilis pour des personnes devant disposer de droits limits sur le systme. Par dfaut, il est dsactiv et na pas de mot de passe. Il nest pas possible de le supprimer.
1.
Le compte utilisateur (suite)

Systme local : pseudo-compte de services. Il reprsente le systme lui-mme
et a donc un accs illimit. Il fait galement partie du groupe Administrateurs.

Cest la raison pour laquelle il faut limiter le nombre de services qui tournent sous ce compte ou il faut restreindre le service laide du pare-feu. Service rseau :pseudo-compte de services disposant de droits et permissions limits, de type Invit bien que faisant partie du groupe Utilisateurs. Identique au pseudo-compte service local except quil a accs au rseau. Il peut galement tre limit par des permissions ou laide du pare-feu. Service local : pseudo-compte de services disposant de droits et permissions limits, de type Invit bien que faisant partie du groupe Utilisateurs. Identique au pseudo-compte service rseau except quil na pas accs au rseau. Il peut galement tre limit par des permissions ou laide du pare-feu.
2- Les groupes
Dans le but de faciliter la gestion des comptes dutilisateurs, il peut tre utile de les regrouper en fonction de leurs besoins pour effectuer des tches spcifiques et de les placer dans un groupe afin de ne grer quune seule entit plutt que chaque utilisateur. Cest dans cette optique que la notion de groupe a t cre. Microsoft a intgr un certain nombre de groupes appels prdfinis et builtin permettant deffectuer des oprations dadministration pour les administrateurs et des oprations standards pour les utilisateurs. Ladministrateur doit placer des utilisateurs dans ces groupes.
Il existe des groupes appels identits spciales ou entits de scurit intgres dont les membres sont contextuels, cest--dire quen fonction dun objet ou dune ressource considre lutilisateur slectionn est plac par le systme dexploitation dans ce groupe.
2- Les groupes
Par exemple, un utilisateur connect localement un ordinateur est membre du groupe Interactif alors quun autre utilisateur connect distance fait partie lui, du groupe Rseau. Les types de groupe possibles sont :
Scurit, prvu pour grer des lments de scurit comme les permissions. Distribution, utilis comme un groupe de distribution pour envoyer des emails par exemple. Les groupes de distribution ne permettent pas de dfinir des autorisations. En revanche, les groupes de scurit peuvent tre utiliss dans la plupart des systmes de messagerie.
La porte du groupe dfinit sa visibilit (voir tableau ci- aprs).
2- Les groupes (suite)
Groupe Type Porte Ordinateur local Stock sur Ordinateur local SAM Utilis principalement pour Grer des utilisateurs et des permissions dans des groupes de travail ou des permissions dans une AD
Local
Scurit
Local de domaine
Scurit ou Domaine distribution AD
Partition de domaine Grer des ressources dans une AD AD
Groupe global
Scurit ou Fort AD distribution

Scurit ou Fort AD distribution Ordinateur local
Partition de domaine Grer des utilisateurs dun domaine dans AD une AD

Catalogue global AD Ordinateur local Grer des droits et permissions SAM Grer des utilisateurs ou des groupes globaux dans une fort AD
Groupe universel
Identit intgre de Scurit scurit
* Nommez vos groupes avec un prfixe qui permet didentifier ltendue.
Liste des groupes prdfinis sur un ordinateur local
Lorsquun ordinateur rejoint le domaine, le groupe administrateurs de domaine est automatiquement ajout au groupe local Administrateurs et le groupe utilisateurs de domaine est ajout au groupe local utilisateurs.
Figure-30: Liste des groupes prdfinis sur un ordinateur local
Liste des entits de scurit intgres sur un ordinateur local
Figure-31: Liste des entits de scurit intgres sur un ordinateur local
Affichage possible via la commande : WMIC SYSACCOUNT LIST BRIEF Le groupe Tout le monde ninclut plus les utilisateurs du groupe Anonymous Logon.
Liste des groupes Builtin de lActive Directory: Cette liste se trouve dans le conteneur Builtin.
Liste des groupes prdfinis de lActive Directory: Cette liste se trouve dans le conteneur Users. Liste des identits intgres de scurit sur un contrleur de domaine
Les groupes de la figure,
disposant dune flche rouge sont galement visibles sur tout ordinateur de la fort si ladministrateur connect est un administrateur de domaine.
Figure-32: Liste des entits de scurit sur un contrleur de domaine (extrait)
3- Profil utilisateur
Le profil utilisateur se compose dun ensemble de paramtres permettant de construire lenvironnement de lutilisateur et dy stocker des documents et des fichiers de configuration. Dans un environnement Active Directory, une grande partie du profil de lutilisateur peut tre gr de manire efficace par les stratgies de groupe afin de donner aux utilisateurs un Bureau consistant.
Par dfaut, le profil utilisateur est stock par ordinateur dans un rpertoire qui porte le nom du login et se trouve lintrieur du rpertoire Users sur Windows Vista ou Documents and Settings pour Windows XP.
Si lutilisateur change dordinateur, toute la personnalisation du Bureau et les documents enregistrs dans le profil ne sont pas retrouvs sur le nouvel ordinateur. Pour pallier ce problme, il est possible de crer des profils itinrants qui sont sauvegards sur un serveur.
3- Profil utilisateur (suite)
Ds quun utilisateur se connecte sur un ordinateur, son profil est alors charg du serveur en local puis le profil local est utilis durant sa session. la fin de sa session, le profil ventuellement modifi est sauvegard (dfaut) ou ne lest pas sil sagit dun profil itinrant obligatoire. Pour crer un profil itinrant obligatoire, cest--dire un profil itinrant dont les modifications ne sont pas enregistres, il faut renommer le fichier ntuser.dat se situant dans le rpertoire partag ct serveur utilisateurs\%username% en ntuser.man. Le profil de lutilisateur est cr dans les conditions suivantes :
lavance en copiant un profil existant.
lors de la premire connexion de lutilisateur si aucun profil nexiste,
Lorsquaucun profil utilisateur nexiste, le profil de lutilisateur est cr en copiant le profil appel Default sur Windows Vista/2008 vers le profil de lutilisateur.
4- Stratgies dutilisation des utilisateurs et des groupes
Dans la philosophie Microsoft, il existe deux sortes de groupe, savoir des groupes permettant de grer des utilisateurs et des groupes associs aux ressources pour
recevoir les permissions qui y sont appliques.
a. Ordinateur local dans un groupe de travail

La stratgie est la suivante : Les utilisateurs sont placs dans des groupes locaux et lon dfinit les permissions NTFS sur les groupes locaux. Utilisateurs Groupes Locaux Permissions
b. Ordinateurs faisant partie dun domaine Active Directory
Dans un domaine, il nexiste pas une mais plusieurs stratgies. Celles-ci dpendent du niveau fonctionnel du domaine et du nombre de domaines.
Il faut utiliser les groupes globaux pour regrouper les utilisateurs et les groupes Domaine local pour y appliquer les permissions, ce qui donne la stratgie suivante:
Utilisateurs Groupes globaux Groupes Domaine local Permissions
4- Stratgies dutilisation des utilisateurs et des groupes
Les autres stratgies comme :
Utilisateurs Groupe global Permissions Utilisateurs Groupe Domaine local Permissions Utilisateurs Permissions
sont possibles mais dconseilles car elles ne sont pas adaptes une volution de lentreprise si le nombre de domaines augmente.
La dernire stratgie a un effet indsirable lorsque lutilisateur est supprim car sil reoit des permissions, son SID reste toujours associ la permission et devient visible en tant que SID et plus en tant quutilisateur. Enfin, ladministrateur ne devrait crer de nouveaux groupes que si cest vraiment ncessaire.
linstallation dun serveur Windows Server 2008, deux comptes dutilisateurs sont automatiquement crs, savoir :
Administrateur, ou administrator sur une version anglaise. Invit, ou guest sur une version anglaise.
Utilisateur local
Leur compte rside dans la SAM locale de lordinateur situe dans le fichier SAM du rpertoire %systemroot%\system32\config ainsi que dans la copie de sauvegarde, dans le dossier %systemroot%\system32\config\regback.
Pour des raisons videntes de scurit, les fichiers SAM ne sont pas accessibles pour tre copis ou lus pendant que lordinateur fonctionne. La seule mthode consiste utiliser soit la console Utilisateurs et groupes locaux soit la base de registre pour accder certaines informations sur lutilisateur.
Dans un domaine, le compte utilisateur local ne peut tre acceptable que pour excuter un service ou une application qui fonctionne en tant que service.
Utilisateur local
1- Cration dun utilisateur local
Pour crer un utilisateur local, il faut lancer le Gestionnaire de serveur.
Connectez-vous en tant quadministrateur sur Win1. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Configuration pour dvelopper larborescence. Utilisateurs et groupes locaux pour dvelopper larborescence.
dadministration puis Gestionnaire de serveur.
Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Cliquez avec le bouton droit de la souris sur Utilisateurs puis cliquez sur Nouvel utilisateur.
Tapez un nom de login dans la zone de saisie Nom dutilisateur comportant au maximum 20 caractres sauf les caractres suivants " / \ [ ] : ; | =, + * ? < > @ et un Mot de passe comportant au maximum 14 caractres. Tapez-le nouveau dans la zone de saisie Confirmer le mot de passe avant de cliquer sur Crer.
Utilisateur local
2- Configuration dun utilisateur local
Une fois lutilisateur cr, il est possible de modifier les paramtres de lutilisateur. Procdez comme suit :
Connectez-vous en tant quadministrateur sur Win1. dadministration puis Gestionnaire de serveur. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Dans la fentre principale, cliquez avec le bouton droit de la souris sur Utilisateurs. La liste des utilisateurs apparat dans la fentre principale. lutilisateur dont vous voulez modifier les paramtres puis cliquez sur Proprits. Utilisateurs et groupes locaux pour dvelopper larborescence.
Configuration pour dvelopper larborescence.
Utilisateur local
2- Configuration dun utilisateur local (suite)
Onglet Gnral Les paramtres de longlet Gnral correspondent aux paramtres de compte indiqus lors de la cration du compte. Onglet Membre de Il est possible de rajouter le compte de lutilisateur un groupe local en utilisant le bouton Ajouter. Par dfaut, chaque utilisateur local est membre du groupe local
Utilisateurs.
Onglet Profil Chemin du profil : indique le chemin pour stocker le profil de lutilisateur. Script douverture de session : permet de lancer un script louverture de session. Chemin daccs local : le rpertoire de base peut tre local. Connecter : le rpertoire de base peut se trouver sur le rseau. Dans ce cas, il est identifi par une lettre de lecteur, le chemin rseau tant un chemin UNC.
Utilisateur local
2- Configuration dun utilisateur local (suite)
Onglet Appel entrant Loption Autorisation daccs rseau permet de dfinir si lutilisateur peut accder au serveur distance laide des services daccs distant. La case cocher Vrifier lidentit de lappelant restreint la connexion un numro de tlphone. Les Options de rappel dfinissent sil faut rappeler lutilisateur (meilleur pour la
scurit) ou non.
Il est galement possible de dfinir une adresse IP statique et des itinraires statiques pour cette connexion. Autres onglets Les autres onglets, savoir : Environnement, Sessions, Contrle distance et Profil de services Terminal Server concernent la gestion des accs en mode Terminal Services.
Utilisateur local
3- Rinitialisation du mot de passe de lutilisateur local
La rinitialisation du mot de passe est une opration dangereuse car elle rinitialise galement son certificat. En dautres termes, il naura plus accs aux fichiers crypts laide dEFS, aux mots de passe Internet enregistrs sur lordinateur et aux messages lectroniques chiffrs avec la cl publique de lutilisateur.
dadministration puis Gestionnaire de Serveur. Configuration pour dvelopper larborescence. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Utilisateurs et groupes locaux pour dvelopper larborescence.
Utilisateur local
3- Rinitialisation du mot de passe de lutilisateur local (suite)
Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Dans la fentre principale, cliquez avec le bouton droit de la souris sur le mot de passe. Utilisateurs. La liste des utilisateurs apparat dans la fentre principale.
lutilisateur dont vous voulez rinitialiser le mot de passe puis cliquez sur Dfinir
Lisez attentivement lavertissement avant de continuer lopration.

confirmez-le puis cliquez sur OK.
Dans la bote de dialogue Dfinir le mot de passe, tapez le nouveau nom et Dans la bote de dialogue Utilisateurs et groupes locaux qui indique si lopration sest bien droule, prenez connaissance du rsultat et cliquez sur OK.
Utilisateur local
4- Suppression dun utilisateur
Supprimer un utilisateur dtruit le compte dutilisateur.
Connectez-vous en tant quadministrateur sur Win1. dadministration puis Gestionnaire de Serveur. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Dans la fentre principale, cliquez avec le bouton droit de la souris sur lutilisateur que vous voulez dtruire puis cliquez sur Supprimer. Utilisateurs. La liste des utilisateurs apparat dans la fentre principale. Utilisateurs et groupes locaux pour dvelopper larborescence.
Utilisateur local
5- Cration dun groupe local
Connectez-vous en tant quadministrateur sur Win1. dadministration puis Gestionnaire de Serveur. Configuration pour dvelopper larborescence. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud
Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Utilisateurs

Cliquez avec le bouton droit de la souris sur Groupes puis cliquez sur Nouveau Tapez au minimum le Nom du groupe, ventuellement une description. Vous pouvez galement ajouter des utilisateurs ou des entits de scurit intgres au groupe en cliquant sur le bouton Ajouter. Ds que vous avez fini, cliquez sur Crer. groupe. et groupes locaux pour dvelopper larborescence.
Utilisateur local
6- Ajout dun utilisateur un groupe local
Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Groupes. Dans la fentre principale, cliquez avec le bouton droit de la souris sur le groupe dont vous voulez modifier les paramtres puis cliquez sur Proprits ou sur Ajouter En cliquant sur Ajouter, vous pouvez ajouter des utilisateurs et des entits de scurit intgres. la fin, cliquez sur Appliquer pour ajouter les utilisateurs au groupe sans fermer la bote de dialogue ou sur OK pour ajouter les utilisateurs et Il nest pas possible de renommer le compte dans la bote de dialogue Proprits mais uniquement depuis le menu Actions de la fentre principale. fermer la bote de dialogue. La liste des groupes apparat dans la fentre principale.
au groupe.
Utilisateur local
7- Suppression dun groupe
Connectez-vous en tant quadministrateur sur Win1. dadministration puis Gestionnaire de Serveur. Supprimer un groupe supprime le groupe mais pas les utilisateurs qui sont membres. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Utilisateurs Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Groupes. Dans la fentre principale, cliquez avec le bouton droit de la souris sur le groupe que vous voulez dtruire puis cliquez sur Supprimer. La liste des groupes apparat dans la fentre principale. et groupes locaux pour dvelopper larborescence.
Utilisateur de domaine
1- Cration dun utilisateur
Connectez-vous en tant quadministrateur de domaine.
Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active Directory.
Ouvrez ou crez une unit dorganisation qui deviendra le conteneur de
Tapez au minimum le Prnom ou le Nom de lutilisateur. Le Nom complet reprend et affiche le contenu du Prnom, des Initiales et du Nom. de nom dfinie. Le Nom douverture de session devrait tre identique au Nom douverture de session de lutilisateur (antrieur Windows 2000), puis cliquez
lutilisateur, puis slectionnez le conteneur, cliquez avec le bouton droit de la souris puis cliquez sur Nouveau puis sur Utilisateur.
Ensuite, il faut taper le nom du compte de lutilisateur selon les rgles de la stratgie
sur Suivant. Le nom doit comporter au maximum 256 caractres sauf les caractres suivants " / \ [ ] : ; | =, + * ? < > @.
1- Cration dun utilisateur (suite)
Tapez un Mot de passe comportant au maximum 127 caractres puis confirmez-le.
Prcisez galement si le compte doit tre dsactiv, si lutilisateur peut changer de

mot de passe si le mot de passe expire et si Lutilisateur doit changer de mot de Sur la page suivante, contrlez vos valeurs puis cliquez sur Terminer. Lutilisateur La commande dsadd permet dutiliser la ligne de commande ou de scripter lajout dun utilisateur, comme le montre lexemple suivant :
Dsadd user cn=tara,ou=marketing,dc=helptest,dc=com -pwd Pa$$w0rd -disabled no.
passe la prochaine ouverture de session puis cliquez sur Suivant.
est cr.
Lunit dorganisation marketing doit obligatoirement exister. Dans lexemple prcdent, seul le nom douverture de session antrieur Windows 2000 a t dfini.
2- Configuration dun utilisateur

Pour modifier les paramtres de lutilisateur :

Dans larborescence de domaine, recherchez votre utilisateur puis slectionnezle et cliquez avec le bouton droit de la souris pour afficher le menu contextuel Dans les onglets Gnral, Adresse, Tlphones et Organisation il est possible de renseigner des informations pouvant servir lannuaire de lentreprise. Pour consulter ces informations, lutilisateur peut utiliser des outils tiers, y compris Les onglets Environnement, Sessions, Contrle distance, Profil de services Terminal Server sont prvus pour une utilisation avec les services Longlet COM+ permet dassocier un groupe de partitions COM+ un utilisateur. Terminal Server. puis cliquez sur Proprits.
des appliquettes cres laide de scripts simples.
Dans longlet Compte, il est possible de modifier le nom douverture de session de lutilisateur et le suffixe utilis. Ladministrateur peut dverrouiller un compte bloqu par le systme dexploitation.
Les Options de compte permettent de dfinir des paramtres pour lutilisation du compte, comme le montre limage suivante : Longlet Compte
Figure-33: Onglet compte Options de compte
Chemin du profil : indique le chemin pour stocker le profil de lutilisateur. Celui-ci peut tre enregistr localement ou sur un domaine en utilisant un chemin UNC (\\Serveur\partage\NomUtilisateur). Il est galement possible de crer des profils itinrants obligatoires. Script douverture de session : permet de lancer un script louverture de session.
Chemin daccs local : le rpertoire de base peut tre local. Longlet Profil
Connecter : le rpertoire de base peut se trouver sur le rseau. Dans ce cas, il est identifi par une lettre de lecteur, le chemin rseau tant un chemin UNC.
Les scripts douvertures de session peuvent tre avantageusement remplacs par les stratgies de groupe.
Longlet Membre de
Le bouton Ajouter permet dajouter lutilisateur des groupes Domaine local,
Globaux ou universels. Le bouton Supprimer supprime lappartenance de lutilisateur aux groupes slectionns. Le bouton Dfinir le groupe principal est utilis pour les clients Mac ou des applications compatibles avec Posix. Par dfaut, cest toujours le groupe Utilisateurs du domaine.
Longlet Appel entrant Loption Autorisation daccs rseau permet de dfinir si lutilisateur peut accder au serveur distance laide des services daccs distant.
La commande dsmod permet galement de modifier des paramtres de lutilisateur : dsmod user cn=tara,ou=marketing,dc=helptest,dc=com -disabled yes
3- Suppression dun utilisateur
Connectez-vous en tant quadministrateur de domaine. Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur
Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active

Dans larborescence du domaine, recherchez votre utilisateur puis slectionnez-le et cliquez avec le bouton droit de la souris pour afficher le menu contextuel puis cliquez Dans la bote de dialogue Services de domaine Active Directory, cliquez sur Oui. Si vous avez supprim un utilisateur par mgarde, il vous faut le restaurer partir dune sur Supprimer. Directory.
sauvegarde. La cration dun utilisateur portant le mme nom ne restaure pas le mme SID.
4- Dplacement dun utilisateur
Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur

Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active Dans larborescence de domaine, recherchez votre utilisateur puis slectionnez-le et cliquez avec le bouton droit de la souris pour afficher le menu contextuel puis cliquez Slectionnez le nouvel emplacement puis cliquez sur OK. sur Dplacer. La bote de dialogue Dplacer souvre. Directory.
Il est galement possible et plus simple de slectionner lutilisateur et deffectuer un

glisser-dplacer vers le nouvel emplacement.
5- Autres actions possibles
partir du menu de la console Utilisateurs et ordinateurs Active Directory, vous
pouvez :
Activer ou dsactiver un compte dutilisateur. Rinitialiser son mot de passe ; il ny a pas deffets indsirables sur les certificats comme pour un utilisateur local. Ouvrir la page de dmarrage de lutilisateur. Envoyer un message si une adresse de messagerie a t dfinie. Ajouter un compte dutilisateur un groupe.
6- Cration dun modle dutilisateur avec un profil itinrant
Etre efficace passe par lutilisation de modles utilisateur. Il est possible de crer des modles pour les diffrents types dutilisateurs identifis dans lentreprise. Pour ce faire, il faut :
Prparer le rpertoire profil et le rpertoire de base si ncessaire, Crer un utilisateur modle disposant dun profil itinrant, Se connecter avec lutilisateur modle pour personnaliser le profil, Dsactiver le compte modle.
Pour crer un utilisateur, il faut :

Copier lutilisateur,
Copier le profil.
Lors de la copie, les paramtres suivants sont conservs :
Les options de compte :

Lutilisateur doit changer de mot de passe la prochaine ouverture de session

Lutilisateur ne peut pas changer de mot de passe Le mot de passe nexpire jamais Le compte est dsactiv
Les restrictions daccs

Les restrictions horaires La date dexpiration Le chemin du profil Le script douverture de session Le chemin du dossier de base. Lappartenance aux groupes etc.
La procdure est la suivante :
a. Prparer le rpertoire profil et le rpertoire de base si ncessaire

Sur le serveur qui hberge les profils itinrants et les rpertoires de base, ici le serveur
WinAD : Crez deux rpertoires appels respectivement Home et profil, sur c:\ par Modifiez les permissions dans longlet Scurit de manire ce que les Crez des partages cachs en ajoutant le caractre $ la fin du nom de partage utilisateurs du domaine aient accs chacun des dossiers en modification. exemple.
et modifiez les autorisations au point de partage comme le montre limage

suivante.
b. Crer un utilisateur modle disposant dun profil itinrant
Connectez-vous en tant quadministrateur de domaine. Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active Ouvrez ou crez une unit dorganisation qui deviendra le conteneur de lutilisateur, puis slectionnez le conteneur, cliquez avec le bouton droit de la Tapez _Marketing pour le Prnom et le Nom douverture de session, le prfixe tant _ pour le faire apparatre en dbut de liste. Ensuite, cliquez sur Tapez un Mot de passe complexe comme Pa$$w0rd et cochez les cases comme le montre limage suivante avant de cliquer sur Suivant. Suivant. Directory.
souris puis cliquez sur Nouveau puis sur Utilisateur.
b. Crer un utilisateur modle disposant dun profil itinrant (suite)
Contrlez vos informations puis cliquez sur Terminer. Lutilisateur est cr. Il faut maintenant modifier les proprits du compte de lutilisateur.
Slectionnez lutilisateur _Marketing et cliquez avec le bouton droit de la souris puis cliquez sur Proprits. Dans longlet Adresse, tapez une adresse (exp. ISTA, Hay Riad).
Dans longlet Profil, indiquez le Chemin du profil et un Dossier de base.

Remarquez que le nom de lutilisateur est remplac par la variable denvironnement %username% (au moment de la saisie) ; aprs validation, cest la valeur de la variable qui apparat. Dans longlet Membre de, ajoutez lutilisateur au groupe Admins du domaine. Ici, ce nest quun exemple pour que lutilisateur puisse se connecter au serveur. Ensuite, cliquez sur OK.
c. Se connecter avec lutilisateur modle pour personnaliser le profil
Sur un ordinateur client, connectez-vous en tant que lutilisateur modle _marketing.
Avec le bouton droit de la souris, cliquez sur un espace vide du Bureau puis sur
Cliquez sur Couleur et apparence des fentres. Personnaliser.
Dans la bote de dialogue Paramtres de lapparence, slectionnez Contraste Fermez la session. blanc lev dans la liste Modle de couleurs puis cliquez sur OK.
Le menu Dmarrer et dautres lments peuvent tre personnaliss.
Ne modifiez pas manuellement des paramtres qui peuvent ltre laide dune
stratgie de groupe.
d. Dsactiver le compte modle
Connectez-vous en tant quadministrateur de domaine. Ouvrez Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer Outils dadministration puis sur Utilisateurs et ordinateurs Active Directory. Dveloppez les arborescences pour slectionner lutilisateur _marketing puis cliquez avec le bouton droit de la souris et choisissez Dsactiver le compte.
e. Copier lutilisateur
.. Dveloppez les arborescences pour slectionner lutilisateur _marketing puis cliquez avec le bouton droit de la souris et choisissez Copier. Sur la page suivante, tapez un Mot de passe complexe comme Pa$$w0rd et dcochez Le compte est dsactiv avant de cliquer sur Suivant. Contrlez vos valeurs avant de cliquer sur Terminer.
Dans la bote de dialogue Copier lobjet Utilisateur, tapez TestUser dans Nom et Nom douverture de session puis cliquez sur Suivant.
f. Copier le profil dun utilisateur de domaine
Pour copier le profil, cliquez sur Dmarrer, puis cliquez avec le bouton droit de la souris sur Ordinateur et enfin, cliquez sur Proprits. Le profil copier doit Dans la fentre Systme, cliquez sur Paramtres systme avancs. exister sur cet ordinateur.
Dans la bote de dialogue Proprits systme, dans longlet Paramtres systme avancs, cliquez sur le bouton Paramtres de la zone Profil des Dans la bote de dialogue Profil des utilisateurs, slectionnez lutilisateur _Marketing et cliquez sur le bouton Copier dans.
utilisateurs.
Dans la bote de dialogue Copier dans, tapez le chemin du profil o sera stock le profil de lutilisateur TestUser. Actuellement seul c:\profil existe. Noubliez pas de modifier les autorisations sur le rpertoire profil de TestUser. Il ne vous reste plus qu tester votre utilisateur.
7- Cration dun groupe
Connectez-vous en tant quadministrateur de domaine. Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active Ouvrez ou crez une unit dorganisation qui deviendra le conteneur de lutilisateur, puis slectionnez le conteneur, cliquez avec le bouton droit de la souris puis cliquez sur Nouveau puis sur Groupe.
Directory.
Tapez le Nom du groupe, le Nom de groupe (antrieur Windows 2000) est

automatiquement copi et il nest pas ncessaire de le modifier. Modifiez ventuellement le Type et ltendue du groupe, puis cliquez sur OK. Noubliez pas de prfixer le nom du groupe en fonction de ltendue : G pour global, D ou DL pour domaine local et U pour universel. Un nom explicite simplifie ladministration.
8- Modification dun groupe
Dans larborescence de domaine, recherchez votre groupe puis slectionnez-le et cliquez avec le bouton droit de la souris pour afficher le menu contextuel puis Il nest pas possible de modifier le nom du groupe dans la bote de dialogue. Vous pouvez modifier ltendue du groupe selon les chemins suivants :
Globale Universel Domaine local Domain local Universel Globale
cliquez sur Proprits.
Le Type de groupe peut galement tre modifi.
Les onglets Membres et Membre de permettent de grer respectivement les Longlet Gr par permet dindiquer le nom du gestionnaire du groupe. Il peut tre utile dans de grandes entreprises de dfinir qui gre quoi. Attention, cest une dlgation de droit au niveau de lobjet.
membres du groupe et lappartenance dautres groupes.
8- Suppression dun groupe
Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active Dans larborescence de domaine, recherchez votre groupe puis slectionnez-le et cliquez avec le bouton droit de la souris pour afficher le menu contextuel puis Dans la bote de dialogue Services de domaine Active Directory, cliquez sur Oui. Supprimer un groupe ne supprime pas les membres du groupe. cliquez sur Supprimer. Directory.
Sommaire



Ch5: Administration via les stratgies de groupe.

1. 2. 3.
Stratgies de groupe ou GPO Stratgies de groupe (de domaine) Stratgies locales
4.
Gestion des stratgies de groupe
Stratgies de groupe ou GPO

1- Introduction
Les stratgies de groupe sont apparues avec lActive Directory de Windows 2000 pour contrler de manire centralise et efficace les droits de lutilisateur. Une stratgie de groupe est un ensemble de paramtres formant une rgle qui sapplique automatiquement des utilisateurs ou des groupes placs lintrieur dun objet conteneur.
Lobjet conteneur peut tre un site Active Directory, un domaine ou une unit dorganisation.
Ce modle simplifie ladministration car si un utilisateur est dplac dune unit dorganisation vers une autre, automatiquement il subira les stratgies de groupe appliques dans la nouvelle unit dorganisation lorsquelles seront rappliques.

1- Introduction (suite)
Lutilisateur ou le groupe subit toutes les stratgies de groupe appliques au conteneur, cela signifie que toutes les stratgies de groupe sont traites les unes aprs les autres dans la hirarchie, selon lordre suivant :
stratgies de groupe locales,
stratgies de groupe lies au site,

stratgies de groupe lies au domaine, stratgies de groupe lies aux units dorganisation, stratgies de groupe lies aux units dorganisation enfant.
Il est possible que plusieurs stratgies de groupe existent pour le mme conteneur.
Si un paramtre (stratgie) est dfini plusieurs niveaux avec des valeurs conflictuelles, par dfaut, cest toujours le dernier paramtre lu qui sapplique.

1- Introduction (suite)
La figure suivante montre un utilisateur U1 se trouvant dans une unit dorganisation OU7 subissant les stratgies appliques, dans lordre : GPO1, GPO2, GPO8 et GP09. Ensuite, lon dplace cet utilisateur dans lunit dorganisation OU4 ; il subit alors les stratgies GPO1, GPO2, GPO3, GPO4, GPO6 et GP07.
Figure-34: Dplacent dun utilisateur et stratgies de
groupes

2- Outil de gestion des stratgies de groupe (GPMC)
Peu aprs la sortie de Windows Server 2003, Microsoft a lanc un outil permettant dafficher et de grer les stratgies de groupe de toute une fort, appel console de Gestion des stratgies de groupe ou simplement GPMC (Group Policy Management Consol), quil faut tlcharger. Avec Windows Server 2008, une nouvelle mouture de la console est livre en standard. Elle sinstalle en tant que fonctionnalit ou avec le rle Active Directory. Pour ouvrir loutil GPMC
stratgies de groupe.
Cliquez sur Dmarrer - Outils dadministration puis sur Gestion des

3- Stratgies de groupe et liaison
Une stratgie de groupe se compose dun certain nombre de fichiers de paramtres organiss dans une structure arborescente de dossiers situe dans le dossier SYSVOL\domain\Policies, comme le montre Sous le dossier ayant un nom de type GUID, les sous-dossiers sont crs en fonction des la figure ci-contre :
paramtres qui sont configurs. Ces

paramtres sont stocks dans des fichiers quil est possible de modifier manuellement mais ceci nest pas conseill.
Figure-35: Dossiers Stratgies de groupe

3- Stratgies de groupe et liaison (suite)
a. Cration dune stratgie de groupe et liaison automatique lobjet
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des stratgies de groupe.
Dans le volet de gauche, cliquez sur le nud du domaine ou du site dans lequel Dveloppez la structure arborescente du domaine ou du site pour slectionner le Sur lobjet, cliquez avec le bouton droit de la souris puis cliquez sur Crer un Tapez le Nom de la stratgie, ventuellement slectionnez un modle bas sur un objet Starter, soit un modle de stratgie puis cliquez sur OK. Lobjet stratgie objet GPO dans ce domaine, et le lier ici. conteneur qui sera li au GPO.
vous voulez ajouter un objet GPO.
de groupe est cr.

b. Liaison dune stratgie de groupe un conteneur
Une stratgie de groupe peut ne pas tre lie un conteneur ou tre lie plusieurs conteneurs. Dans ce dernier cas, il faut tre prudent lorsque vous modifiez un paramtre pour la stratgie, il peut entrer en conflit avec les besoins dun des conteneurs. La procdure pour lier les stratgies de groupe un objet Active Directory est la suivante :
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des stratgies de groupe. Dveloppez la structure arborescente du domaine ou du site pour slectionner le conteneur qui sera li au GPO. Sur lobjet, cliquez avec le bouton droit de la souris puis cliquez sur Lier un objet stratgie de groupe existant. Slectionnez la stratgie de groupe que vous voulez lier au conteneur puis cliquez sur OK. Lobjet est li.

Supprimer un objet stratgie de groupe ne supprime pas la stratgie mais uniquement le lien correspondant, except pour le conteneur Objets de stratgie de groupe ; dans ce cas, vous recevez un message davertissement. c. Suppression dune liaison
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des stratgies de groupe. Dveloppez la structure arborescente du domaine ou du site pour slectionner le conteneur dont vous voulez supprimer lobjet GPO. Cliquez avec le bouton droit de la souris sur lobjet puis cliquez sur Supprimer. Si le conteneur est Objets de stratgie de groupe, le message suivant apparat.
Figure-36: Avertissement suppression Objet de stratgie de groupe

4- Hritage
Comme pour les permissions NTFS, les stratgies de groupe sont hrites dans les niveaux enfants dun conteneur. Cette souplesse permet de dfinir des stratgies trs globales au niveau dun site ou dun domaine puis de crer des stratgies plus fines adaptes aux besoins de certains utilisateurs, voire dordinateurs.
Comme la stratgie est lie au niveau de lobjet conteneur, les objets inclus dans ces conteneurs subissent automatiquement les stratgies qui doivent sappliquer. Nanmoins, il est possible de bloquer lhritage pour ne plus recevoir des stratgies provenant dun niveau parent. il est possible dindiquer que lhritage de certains objets GPO ne peut tre bloqu. Le terme utilis pour dfinir quune stratgie ne peut pas tre bloque est Appliqu.
Si la proprit Appliqu dun GPO est active, alors ce GPO sapplique en dernier.

4- Hritage (suite)
Le blocage de lhritage se fait au niveau du conteneur en utilisant la procdure suivante :
a. Blocage de lhritage
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des
Dveloppez la structure arborescente du domaine ou du site pour slectionner le

Cliquez avec le bouton droit de la souris sur le conteneur puis cliquez sur Bloquer lhritage. Licne du conteneur change, comme le montre la figure suivante pour lunit dorganisation ou1. conteneur dont vous voulez bloquer lhritage.
Figure-37: Icne de conteneur aprs bocage de lhritage.

4- Hritage (suite)
b. appliquer une stratgie Forcer une stratgie seffectue au niveau de la stratgie elle-mme en utilisant la procdure suivante :
Dveloppez la structure arborescente du domaine ou du site pour slectionner la stratgie GPO que vous voulez forcer. Cliquez avec le bouton droit de la souris sur lobjet puis cliquez sur Appliqu. Licne du conteneur change, comme le montre la figure suivante pour la stratgie Default Domain Policy.
Figure-38: Icne de conteneur aprs lapplication de la

stratgie GPO

5- Traitement par boucle
Lorsque lutilisateur et lordinateur sont dans des units dorganisation diffrentes, le rsultat peut ne pas tre celui escompt. En effet, si lapplication des stratgies pour lordinateur correspond bien celui de son unit dorganisation, quen est-il pour lutilisateur ? Par dfaut, ce sont les stratgies de lutilisateur qui sont appliques. Pourtant, il pourrait tre intressant de restreindre les droits de lutilisateur sur certains ordinateurs. Cette restriction peut tre ralise laide du traitement par boucle comme le montre lexemple suivant :
Lutilisateur se trouve dans lunit dorganisation OU4 et lordinateur dans lunit
dorganisation OU3. Trois scnarios sont possibles :

Sans utiliser le traitement par boucle. En utilisant le traitement par boucle en mode Remplacer. En utilisant le traitement par boucle en mode Fusionner.

5- Traitement par boucle (suite)
Figure-39: Schma de lexemple, utilisateur sur OU4 et ordinateur sur OU3

a. Sans utiliser le traitement par boucle.
Dans ce scnario, lordinateur applique les stratgies de configuration ordinateur Pour lutilisateur, ce sont les stratgies de configuration utilisateur pour le conteneur de lutilisateur qui sappliquent, soit GPO1, GPO2, GPO3, GPO4, GPO6 et GPO7. b. En utilisant le traitement par boucle en mode Remplacer. lordinateur sur lequel lutilisateur se trouve.
GPO1, GPO2, GPO3, GPO4 et GPO5.
suivantes : GPO1, GPO2, GPO3, GPO4 et GPO5.
Dans ce scnario, les stratgies de configuration utilisateur sont celles de

Lordinateur applique les stratgies de configuration ordinateur suivantes : Au final pour lutilisateur, ce sont les stratgies suivantes qui sappliquent : GPO1, GPO2, GPO3, GPO4 et GPO5.

Dans ce scnario, les stratgies de configuration utilisateur pour lutilisateur et lordinateur sur lequel lutilisateur se trouve fusionnent. Les stratgies de lutilisateur sont appliques en premier puis les stratgies de lordinateur. Cela permet par exemple de restreindre les droits de lutilisateur sur des ordinateurs sensibles mais de manire moins forte que dans le mode Remplacer.
c. En utilisant le traitement par boucle en mode Fusionner.
Lordinateur applique les stratgies de configuration ordinateur suivantes : GPO1, GPO2, GPO3, GPO4 et GPO5.
Pour lutilisateur, ce sont les stratgies de configuration utilisateur pour les conteneurs de lordinateur et de lutilisateur qui sappliquent dans lordre suivant, soit GPO1, GPO2, GPO3, GPO4, GPO6 et GPO7 puis GPO1, GPO2, GPO3, GPO4 et GPO5.

Pour utiliser le traitement par boucle, il faut crer une unit dorganisation dans laquelle vous allez placer les ordinateurs qui doivent tre restreints et crer la stratgie de groupe correspondante pour la configuration ordinateur et la configuration utilisateur. La procdure suivante montre uniquement comment activer le traitement par boucle.
d. Utilisation du traitement par boucle.
Sur lobjet, cliquez avec le bouton droit de la souris puis cliquez sur Modifier. Lditeur de gestion des stratgies de groupe apparat. Dveloppez Configuration ordinateur\Stratgie\Modles d administration\Systme\Stratgie de groupe puis double cliquez sur le paramtre Mode de traitement par boucle de rappel de la stratgie de groupe. Slectionnez loption Activ, puis choisissez un mode, Fusionner ou Remplacer, enfin cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe.

6- Dtection des connexions lentes
Avant dappliquer une stratgie, Windows vrifie que la connexion rseau est rapide, soit par dfaut un dbit dau moins 500 kbits/seconde. Si ce nest pas le cas, certains paramtres ne sont pas traits, comme le montre le tableau suivant : Paramtres Traitement
Paramtres de scurit Activ mais peut tre dsactiv Scurit IP Activ Paramtres EFS Activ Stratgie de restriction logicielle Activ Rseau sans fil Activ Modles dadministration Activ mais peut tre dsactiv Installation de logiciels Dsactiv Scripts Dsactiv Redirection de dossiers Dsactiv Maintenance Internet Explorer Activ Vous pouvez dfinir le dbit avec le paramtre suivant de la stratgie de configuration de lordinateur Dtection dune liaison lente de stratgie de groupe dans Configuration ordinateur\Modles dadministration\Systme\Stratgie de groupe. Vous pouvez galement y dfinir les paramtres qui y sont appliqus.

7- Rafrachissement des stratgies de groupe
Les stratgies sont rappliques lorsque :
Lordinateur dmarre. Un utilisateur se connecte. Lorsque lintervalle de rafrachissement est atteint. Lorsquun utilisateur lance la commande gpupdate. Lorsquune application le demande.
Par dfaut, lintervalle de rafrachissement est de 5 minutes pour les contrleurs de domaine et de 90 minutes plus un intervalle alatoire allant jusqu 30 minutes pour les autres ordinateurs.
Seule les stratgies de scurit sont rafrachies toutes les 16 heures, soit 960 minutes plus un intervalle alatoire allant jusqu 30 minutes.
Vous pouvez modifier ces valeurs en utilisant les paramtres Intervalle dactualisation de la stratgie de groupe pour les ordinateurs ou Intervalle dactualisation de la stratgie de groupe pour les contrleurs de domaine dans Configuration ordinateur - Modles dadministration - Systme - Stratgie de groupe.
Stratgies de groupe (de domaine)

Une stratgie de groupe se compose de paramtres que ladministrateur peut modifier, voire ajouter. Ils peuvent sappliquer soit lordinateur, soit lutilisateur, comme le montre la figure suivante :
Figure-40: Paramtres de Stratgie de groupe

1- Stratgies et prfrences
La diffrence essentielle entre une stratgie et une prfrence est quune stratgie est strictement applique alors que la prfrence ne lest pas. Un utilisateur peut modifier une prfrence alors quil nest pas possible de modifier une stratgie.
2- Paramtres du logiciel
Sous ce nud, vous pouvez installer, modifier ou supprimer des logiciels en tant que package Windows Installer (*.MSI). Le logiciel peut tre install au dmarrage de lordinateur, lors de la connexion de lutilisateur ou lorsque lutilisateur clique sur le lien dans le menu Dmarrer. Il peut galement tre dsinstall lorsque lordinateur est en dehors de ltendue de gestion. Les mises niveau et les modifications peuvent tre associes lapplication.

3- Paramtres Windows
Les paramtres Windows regroupent les paramtres suivants :
Configuration ordinateur: On trouve les paramtres comme Scripts, Imprimantes dployes, Paramtres de scurit, Stratgies de comptes, Stratgies locales, Configuration utilisateur: On trouve les paramtres comme Services dinstallation Windows, Scripts, Paramtres de scurit, Stratgies de cl publique, Stratgie de restriction logicielle, Redirection de dossiers etc.
Registre, Services systme etc.
Les paramtres de scurit devraient tre configurs laide de modles de scurit

crs en utilisant une console MMC compose des composants logiciels enfichables Configuration et analyse de la scurit et Modles de scurit. Les modles de scurit sont stocks dans le dossier %systemroot%\security\templates\policies.

4. Prfrences
Les paramtres Windows Server 2008 et Windows Vista SP1 introduisent les prfrences de stratgies de groupe qui sont des extensions des stratgies de groupe. Elles regroupent les paramtres suivants.
Pour la configuration ordinateur : Pour la configuration utilisateur :
Figure-41: Prfrences configuration utilisateur et ordinateur
Stratgies locales
1- Prsentation
Windows Server 2008 permet de crer plusieurs stratgies locales soit :
base sur lordinateur, la stratgie est identique aux autres versions de Windows. Vous pouvez configurer la partie utilisateur et ordinateur.
base sur le groupe Administrateurs local, vous ne pouvez configurer que la partie utilisateur.
base sur les Non-administrateurs, soit un utilisateur qui nest pas membre du groupe Administrateurs. Vous ne pouvez configurer que la partie utilisateur.
Dans un domaine, par dfaut, en plus des stratgies locales, le traitement inclut galement les stratgies de domaine. Vous pouvez dsactiver le traitement des stratgies locales en modifiant le paramtre Dsactiver le traitement des objets de stratgie de groupe locaux dans Configuration ordinateur - Modles dadministration Systme - Stratgie de groupe.
Spcifique lutilisateur connect, vous ne pouvez configurer que la partie utilisateur, elle porte le nom de lutilisateur.
Stratgies locales
2- Cration de la console MMC pour grer les stratgies locales
Connectez-vous en tant quadministrateur. Cliquez sur Dmarrer et tapez MMC dans la zone Rechercher. Dans la console, cliquez sur le menu Fichier puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans la liste des composants logiciels enfichables disponibles, slectionnez diteur dobjets de stratgie de groupe puis cliquez sur Ajouter. Dans la bote de dialogue Slectionner un objet de stratgie de groupe, si vous cliquez sur Terminer, vous ajoutez lobjet de stratgie locale. Si vous dsirez ajouter un autre objet, cliquez sur Parcourir. Dans la bote de dialogue Rechercher un objet Stratgie de groupe, onglet Ordinateurs, vous pouvez slectionner Cet ordinateur ou Un autre ordinateur et dans longlet Utilisateurs, vous pouvez slectionner un groupe ou un utilisateur spcifique. Une fois votre slection faite, cliquez sur OK puis sur Terminer. Cliquez sur OK. Noubliez pas de sauvegarder votre console.

1- Ajouter une fort ou afficher des domaines
a. Ajouter une fort Si vous grez plusieurs forts et quil existe une approbation entre la fort distante et vous-mme, alors vous pouvez ajouter et grer cette fort partir de la mme console.
Au pralable, assurez-vous quil existe une relation dapprobation entre la fort et vous-mme.
Cliquez avec le bouton droit de la souris sur Gestion de stratgie de groupe puis cliquez sur Ajouter une fort.
Dans la bote de dialogue Ajouter une fort, tapez le nom complet du domaine que vous voulez grer puis cliquez sur OK. Un message derreur apparat si le domaine ne peut tre contact ou si vous ntes pas approuv

1- Ajouter une fort ou afficher des domaines (suite)
b. Afficher les domaines Vous avez la possibilit de modifier laffichage des domaines en utilisant la procdure suivante.

Si le nud Domaines nest pas visible, cliquez sur Fort pour dvelopper la Cliquez avec le bouton droit de la souris sur Domaines puis cliquez sur Afficher Dans la bote de dialogue Afficher les domaines, slectionnez/dslectionnez les cases cocher pour nafficher que les domaines que vous dsirez, puis cliquez sur OK. les domaines. fort.

1- Ajouter une fort ou afficher des domaines (suite)
c. Slection dun objet Domaine ou dune unit dorganisation Ds quun domaine est slectionn, vous pouvez vous dplacer dans larborescence dunit dorganisation en unit dorganisation et voir les stratgies de groupe qui y sont lies. Vous pouvez galement voir tous les objets de stratgie de groupe, les filtres WMI et les objets GPO Starter.
2- Gestion des paramtres dune stratgie


Si la stratgie nest pas visible, cliquez sur les nuds pour dvelopper Cliquez sur la stratgie pour faire apparatre les paramtres dans la fentre principale. larborescence.

2- Gestion des paramtres dune stratgie (suite)
Onglet tendue Longlet tendue permet dafficher et de grer les liaisons qui existent entre une stratgie de groupe et un conteneur, de grer les filtres de scurit et WMI. Onglet Dtails Cet onglet affiche des informations sur la stratgie et permet de spcifier si le GPO est activ, voire de dsactiver les paramtres de configuration ordinateurs ou de
configuration utilisateurs.
Onglet Paramtres Longlet Paramtres affiche les paramtres qui sont dfinis pour la stratgie ainsi que leur valeur actuelle. Onglet Dlgation Longlet Dlgation permet de dfinir des autorisations DACLs pour un groupe ou un utilisateur sur un objet stratgie de groupe.

3- Gestion dune stratgie de groupe
a. Sauvegarde et restauration dune stratgie de groupe Il est conseill de sauvegarder rgulirement les stratgies. Vous pouvez utiliser la console GPMC pour cela en utilisant la procdure suivante :
Si le nud Objets de stratgie de groupe nest pas dvelopp, cliquez sur les Cliquez avec le bouton droit de la souris sur la stratgie dsire puis cliquez sur Dans la bote de dialogue Sauvegarde de lobjet GPO, spcifiez un Dans la bote de dialogue Sauvegarder, lisez ltat puis cliquez sur OK. emplacement et ventuellement une description puis cliquez sur Sauvegarder. Sauvegarder. nuds pour dvelopper larborescence.

b. Gestion des sauvegardes Vous pouvez grer les sauvegardes ralises laide de la bote de dialogue Gestion des sauvegardes.

Si le nud Domaines nest pas dvelopp, cliquez sur les nuds pour Cliquez avec le bouton droit de la souris sur Domaines puis cliquez sur Gestion La liste droulante Emplacement de sauvegarde ou le bouton Parcourir permettent de slectionner le dossier qui contient les sauvegardes. des sauvegardes. dvelopper larborescence.

b. Gestion des sauvegardes (suite)
La case cocher Nafficher que la dernire version des objets GPO cache les
Le bouton Restaurer permet de restaurer une stratgie en utilisant une

sauvegarde. Il est aussi possible deffectuer une restauration partir dune sauvegarde en passant directement par la stratgie dans le conteneur Objets de stratgie de groupe.

sauvegardes qui ne sont pas les plus rcentes.
Le bouton Supprimer enlve la sauvegarde de la stratgie slectionne. La sauvegarde est supprime du disque. Le bouton Afficher les paramtres ouvre une page HTML dans laquelle les
paramtres de la stratgie slectionne sont affichs.

4- Filtres WMI (Windows Management Instrumentation)
Un filtre WMI permet dappliquer une stratgie de groupe lorsque la condition du filtre est vraie. Pour les ordinateurs Windows 2000, le filtre est ignor et la stratgie de groupe est applique. Un filtre WMI est bas sur une requte WQL (anlogue SQL) (WMI Query Language). Grce WMI, vous pouvez contrler nimporte quelle partie du systme dexploitation ou du matriel, comme vrifier sil y a suffisamment despace libre sur un disque ou que lordinateur dispose dun processeur minimum dans le but dy dployer un logiciel.
Le nom des champs SQL est remplac par les proprits de la classe WMI et le nom de la table par le nom de la classe. Toute la difficult consiste connatre les classes WMI utilisables. Pour cela, vous pouvez utiliser PowerShell WMI Explorer, un explorateur WMI crit en PowerShell tlchargeable sur le site WEB http://thepowershellguy.com ou scriptomatic, un des nombreux utilitaires disponibles sur le site de Microsoft.

4- Filtres WMI (Windows Management Instrumentation) (suite)
a. Cration dun filtre WMI
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des Si le nud Filtres WMI nest pas dvelopp, cliquez sur les nuds pour Cliquez avec le bouton droit de la souris sur Filtres WMI puis cliquez sur Tapez un Nom explicite pour la requte que vous allez crer, ventuellement Nouveau. dvelopper larborescence.
ventuellement, modifiez lEspace de noms (gnralement ce nest pas

ncessaire) puis tapez une Requte ou mieux copiez une Requte que vous Cliquez sur Enregistrer. Le filtre WMI est cr. aurez prpare avec lexplorateur WMI puis cliquez sur OK.
une Description puis cliquez sur Ajouter.

5- Objets GPO Starter
Un objet GPO Starter est un modle de stratgie qui permet de dfinir des paramtres de stratgie afin de les dployer aisment vers dautres systmes. a. Cration du dossier des objets GPO Starter Par dfaut, le dossier des objets GPO Starter nexiste pas, il est donc ncessaire de le crer avant de pouvoir crer un objet
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des Si le nud Objets GPO Starter nest pas dvelopp, cliquez sur les nuds pour Dans la fentre principale, cliquez sur le bouton Crer le dossier des objets GPO Starter. Un dossier nomm StarterGPOs est cr dans le rpertoire %systemroot%\SYSVOL\domain.
dvelopper larborescence.

6- Sauvegarde dune stratgie de groupe
Loutil GPMC permet de sauvegarder une GPO ou lensemble des GPOs en suivant la procdure suivante :
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des stratgies de groupe. Si le nud Objets de stratgie de groupe nest pas dvelopp, cliquez sur les nuds pour dvelopper larborescence. Cliquez avec le bouton droit de la souris sur Objets de stratgie de groupe puis cliquez sur Sauvegarder tout pour sauvegarder toutes les stratgies existantes ou cliquez avec le bouton droit de la souris sur le nom dune stratgie se trouvant sous le nud Objets de stratgie de groupe puis cliquez sur Sauvegarder pour la sauvegarde. Dans la bote de dialogue Sauvegarde de lobjet GPO, slectionnez un emplacement et ajoutez ventuellement une description avant de cliquer sur Sauvegarder. Ensuite la sauvegarde commence. Dans la bote de dialogue Sauvegarder, prenez le temps de lire le rsultat de la sauvegarde avant de cliquer sur OK.

6- Sauvegarde dune stratgie de groupe (suite)
Dans tous les cas, chaque stratgie sauvegarde se trouve dans un dossier identifi par un GUID qui nest pas celui de la stratgie. Pour connatre lassociation
entre le GUID du dossier et la stratgie, vous pouvez passer par la bote de

dialogue Gestion des sauvegardes. stratgies de groupe. Connectez-vous en tant quadministrateur et ouvrez la console Gestion des
Si le nud Objets de stratgies de groupe nest pas dvelopp, cliquez sur le

Cliquez avec le bouton droit de la souris sur Objets de la stratgie de groupe puis cliquez sur Grer les sauvegardes. ventuellement cliquez sur Afficher les paramtres pour afficher les paramtres de la GPO. La sauvegarde permet dchanger facilement des GPOs entre domaine et forts. nud pour dvelopper larborescence.

7- Restauration dune stratgie de groupe (1)
Il est dcrit ici la procdure pour restaurer via GPMC une stratgie de groupe qui a t supprime mais galement une version prcdente.
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des stratgies de groupe. Si le nud Objets de stratgie de groupe nest pas dvelopp, cliquez sur les nuds pour dvelopper larborescence. Cliquez avec le bouton droit de la souris sur le nud Objets de stratgie de groupe puis cliquez sur Grer les sauvegardes. Sur la fentre Gestion des sauvegardes, si lemplacement nest pas le bon, modifiez-le, ventuellement naffichez que la dernire version des objets GPO puis slectionnez le nom dune sauvegarde avant de cliquer sur Restaurer. Une bote de dialogue souvre vous demandant de confirmer que vous voulez bien effectuer la restauration de la sauvegarde slectionne, cliquez sur OK. La restauration dmarre. Dans la bote de dialogue Restaurer, prenez quelques instants pour lire le rsultat de la restauration puis cliquez sur OK.

8- Restauration dune stratgie de groupe (2)
Il est dcrit ici la procdure pour restaurer via GPMC une stratgie de groupe qui a t supprime mais galement une version prcdente.
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des Si le nud Objets de stratgie de groupe nest pas dvelopp, cliquez sur les
Cliquez avec le bouton droit de la souris sur la stratgie de groupe sous le nud
Objets de stratgie de groupe puis cliquez sur Restaurer partir dune Lassistant Restauration dobjet de stratgie de groupe souvre, cliquez sur Sur la page Emplacement de sauvegarde, si lemplacement nest pas le bon, modifiez avant de cliquer sur Suivant. Suivant. sauvegarde.
nuds pour dvelopper larborescence.

8- Restauration dune stratgie de groupe (2) -suite
Sur la page Objet de stratgie de groupe source, slectionnez la bonne version de la stratgie restaurer, vous pouvez vous aider en affichant les ventuellement naffichez que la dernire version des objets GPO puis Sur la page Fin de lassistant de Restauration dobjet de stratgie de slectionnez le nom dune sauvegarde avant de cliquer sur Restaurer. paramtres de la stratgie avant de cliquer sur Suivant.
groupe, prenez quelques instants pour lire le rsum de la restauration puis

Dans la bote de dialogue Restaurer, prenez quelques instants pour lire le rsultat de la restauration puis cliquez sur OK. cliquez Terminer. La restauration dmarre.

9- Importation dune stratgie de groupe
Limportation se diffrencie de la restauration car seuls les paramtres sont imports et pas les filtres de scurit, la dlgation etc. Limportation peut se faire partir de nimporte quel objet GPO sauvegard.
10- Modlisation de la stratgie de groupe
LAssistant Modlisation de stratgie de groupe permet de modliser et simuler plusieurs scnarios concernant les stratgies de groupe, par exemple que se passe-t-il si lutilisateur dispose dune connexion lente ou si lutilisateur se connecte sur tel ordinateur, etc.
11- Rsultats de la stratgie de groupe
Cet outil affiche le rsultat de la stratgie de groupe pour un utilisateur donn sur un ordinateur donn pour autant que lordinateur soit accessible et que lutilisateur se soit dj connect. Il sert galement dpanner des problmes qui peuvent survenir sur la non-application dune stratgie.

Administration Réseaux Sous Server 2008

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Administration Réseaux Sous Server 2008

Încărcat de

Drepturi de autor:

Formate disponibile

Office de la Formation Professionnelle et de la Promotion du Travail

Configuration des services rseau. Mise en uvre de lActive Directory. Utilisateurs.

Configuration de la rsolution de noms.

Administration via les stratgies de groupe.

Ch1: Configuration des services rseau.

Configuration de la carte rseau Configuration du centre rseau et partage Prsentation du routage

Configuration de la carte rseau

protocole IPv4 et un pour le protocole IPv6.

Configuration de la carte rseau

a. Adresse IPv4 statique:

mask=netmask gateway=@IP passerelle puis appuyez sur [Entre].

Configuration de la carte rseau

a. Adresse IPv4 dynamique:

Configuration de la carte rseau

Configuration via linterface graphique

Configuration de la carte rseau

Configuration via linterface graphique

Utiliser ladresse IP suivante: Permet dindiquer une adresse IP statique.

Configuration de la carte rseau

Configuration via linterface graphique

Configuration de la carte rseau

Configuration via linterface graphique

Configuration de la carte rseau

Configuration via linterface graphique

Paramtres TCP/IP avancs-onglet Paramtres IP

Configuration de la carte rseau

Configuration via linterface graphique

Paramtres TCP/IP avancs-onglet DNS

Configuration de la carte rseau

Configuration via linterface graphique

Paramtres TCP/IP avancs-onglet WINS

Configuration de la carte rseau

Activation/dsactivation du protocole IPv4

Configuration du Centre Rseau et partage

Figure -1: Centre Rseau et partage

Configuration du Centre Rseau et partage

Ouvrir le centre rseau et partage

Configuration du Centre Rseau et partage

Ouvrir le centre rseau et partage

Configuration du Centre Rseau et partage

Ouvrir le centre rseau et partage

Configuration du Centre Rseau et partage

Type demplacement rseau

Configuration du Centre Rseau et partage

Type demplacement rseau

* Seulement si une imprimante est dfinie sur lordinateur

Configuration du Centre Rseau et partage

Dans le centre de Rseau et partage, les tches sont situes gauche.

Le lien Diagnostiquer et rparer lance loutil diagnostic rseau de windows.

Activation du routage par modification de la valeur de la

Dutiliser des filtres.

Ajout du service de routage et daccs distant

Si le service de rle nest pas encore install:

Sur la page avant de commencer apparat, cliquez sur Suivant.

Ajout du service de routage et daccs distant (suite des

Dans la boite de dialogue Assistant ajout de rles, cliquez sur le bouton

Sur la page Confirmation, cliquez sur installer.

Activation du service de routage et daccs distant

Dans larborescence de la console, cliquez sur Rles.

puis cliquez sur Configurer et activer le routage et laccs distant.

Activation du service de routage et daccs distant

Sur la page Configuration personnalis, slectionnez

Routage rseau puis cliquez sur

Figure-2: Assistant installation dun serveur Routage et accs distant