Module: Administration Windows Server 2003

Enseignant: A. BenKhalifa

A.U: 2014/2015
Ecole: ESTI

Plan
Introduction lenvironnement Windows Server 2003

Etapes dinstallation de Windows Server 2003

Prsentation du service dannuaire (Active Directory)

Configuration du service DNS

Gestion des comptes dutilisateur et dordinateur
Gestion dordinateur
Base de registre
Gestion daccs aux ressources
Stratgie de scurit (locale/groupe)

Dfinitions
Windows Server 2003 est un systme dexploitation orient serveur dvelopp
par Microsoft.
Un serveur informatique est un dispositif informatique matriel ou logiciel qui
offre des services, diffrents clients. Les services les plus courants sont :
Le partage de fichiers
L'accs aux informations du World Wide Web
Le courrier lectronique
Le partage d'imprimantes
Le stockage en base de donnes
Les serveurs sont utiliss par les entreprises, les institutions et les oprateurs de
tlcommunication. Ils sont courants dans les centres de traitement de donnes
et le rseau Internet
Prsent le 24 avril 2003 comme le successeur de Windows Server 2000,
Windows Server 2003 est considr par Microsoft comme tant la pierre
angulaire de la ligne de produits serveurs professionnels Windows Server System.
Une version volue intitule Windows Server 2003 R2 a t finalise le 6
dcembre 2005. Son successeur, Windows Server 2008 est sorti le 4 fvrier 2008.
3

Evolutions de la famille Windows

Grand Public

Professionnel

Serveurs

Embarqu

1999

2000

2002/2003

La famille Windows Server 2003 R2

Windows Server 2003

Windows Server 2003 R2

5

Gamme Windows Server 2003

Windows 2000

Windows Server 2003

32 et
64 bits

Serveur dapplications critiques qui ncessitent

les plus hauts niveau de performances et de
disponibilit (bases de donnes, progiciels de
gestion intgre, traitement en temps rel de
transactions en gros volume et consolidation
de serveurs )
Serveur dinfrastructure dentreprise et d
applications (DC, mise en cluster, services Web)

32 et
64 bits

Pour les organisations moyennes et grandes

Destin aux petites entreprises et aux
dpartements en tant que contrleurs de
domaine et serveurs membres
Serveur tout en un

Pour les PME de moins de 50 postes

Spcifique pour le dveloppement et le
dploiement des services et applications Web.
6

Configurations minimales requises

Web Edition Standard

Edition

Enterprise
Edition

Datacenter
Edition

Processeurs >133 MHz

>133 MHz

>133 MHz
>400 MHz
>733 MHz type >733 MHz type
Itanium
Itanium

Max 2
processeurs

Max 4
processeurs

Max 8
processeurs

Max 64
Processeurs

Mmoire
vive

Min 128Mo
Rec 256Mo
Max 2Go

Min 128Mo
Rec 256Mo
Max 4Go

Min 128Mo
Rec 256Mo
Max 32Go X86
Max 64Go
Itanium

Min 512Mo
Rec 1Go
Max 32Go X86
Max 512Go
Itanium

Disque dur

1,5 Go

1,5 Go

1,5 Go
2 Go Itanium

1,5 Go
2 Go Itanium

Support 64
bits

Non

Non

Oui

Oui
7

Rles des serveurs

Contrleur de domaine

Serveur DNS

Serveur
de fichiers

Serveur d'impression

Serveur
d'applications

Serveur
Terminal
Server .
8

Rles des serveurs

Un serveur peut jouer diffrents rles

Contrleur de Domaine (Domain Controller ou DC) dans un domaine
avec Active Directory)
Serveur Membre (dans un domaine mais sans AD)
Serveur Autonome (hors domaine, en groupe de travail workgroup et donc sans AD)
Serveur de fichiers
Serveur dimpression
Serveur DNS (Domain Name System)
Serveur dapplications
Serveur Terminal Server .

Administration Windows Server 2003

Grer la
rcupration
d'urgence

Implmenter
SUS

Grer IIS 6.0

Grer les services
Terminal Server

Grer les
utilisateurs,
les ordinateurs et
les groupes
Grer la
stratgie de
groupe

Administration
des systmes dans
Windows Server 2003

Grer les
ressources
et la
scurit

Configurer
et grer le
systme DNS
Grer les serveurs
distants
10

Liste des tches vrifier avant l'installation

Slectionnez le systme d'exploitation Windows 2003 installer
Vrifiez que tous vos lments matriels figurent sur la liste HCL
Vrifiez que vos ordinateurs rpondent la configuration systme
minimale requise
Vrifiez que Windows 2003 est install sur un disque dur de 4 Go au
minimum
Slectionnez le systme de fichiers pour la partition sur laquelle
vous allez installer Windows 2003
Slectionnez le mode de licence pour Windows 20003 Server
Dterminez le nom du domaine ou du groupe de travail
Vrifiez qu'un compte d'ordinateur existe dans le domaine auquel vous
adhrez ou que vous tes habilit en crer un pendant l'installation
Dfinissez un mot de passe pour le compte Administrateur de
l'ordinateur local
11

Installation de Windows 2003 Server partir d'un CD-ROM

Excution du programme d'installation

Excution de l'Assistant Installation
Installation des composants rseau

Configuration du serveur

12

Excution du programme dInstallation

Pour excuter le programme d'installation

Dmarrez l'ordinateur partir du CD-ROM
Slectionnez l'option permettant d'installer
une nouvelle copie de Windows 2003
Lisez et acceptez le contrat de licence
Slectionnez la partition sur laquelle vous
souhaitez installer Windows 2003
Slectionnez un systme de fichiers
13

Excution de l'Assistant Installation

Pour excuter l'Assistant Installation

Modifiez les paramtres rgionaux
(si ncessaire)

Entrez votre nom et celui de votre socit

Choisissez un mode de licence
Entrez le nom de l'ordinateur et le mot de
passe du compte Administrateur local
Slectionnez les composants facultatifs de
Windows 2003
Slectionnez les paramtres de date, heure
et fuseau horaire
14

Installation des composants rseau

Pour installer des composants rseau

Cliquez sur Par dfaut ou Personnalis
Entrez un nom de groupe de travail ou de
domaine
Entrez le mot de passe du compte
Administrateur de l'ordinateur local pour
ouvrir une session

15

Installation: captures d'cran

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

Description des outils d'administration

Outils d'administration couramment utiliss :

Gestion de l'ordinateur
Bureaux distance
DNS
Utilisateurs et ordinateurs Active Directory
Domaines et approbations Active Directory
Sites et services Active Directory
Les outils dadministration permettent la gestion des serveurs distance.
Ils peuvent tre installs sur nimporte quelle machine sous Windows
2003 par lintermdiaire de adminpak.msi qui se trouve dans le dossier
i386 du CD ROM dinstallation du systme.

Installation des outils d'administration

\i386\Adminpak.msi

Installation des outils d'administration

Description de MMC
Windows 2003 (toutes versions) intgre un modle d'outils d'administration
nomm MMC (Microsoft Management Console) qui donne la possibilit aux
administrateurs de crer eux-mmes leur propre console d'administration.
Il suffit pour cela d'intgrer les composants logiciels enfichables (snap-in)
couramment utiliss.

Composants
logiciels
enfichables

On peut en rajouter ou en enlever

Procdure de cration d'une console MMC personnalise

Afin de pouvoir crer une MMC

personnalise, il vous suffit de suivre la
procdure suivante :
Allez dans le menu Dmarrer / Excuter.
Tapez MMC, puis Entrer.
Dans le menu console, slectionnez
Ajouter/Supprimer un composant logiciel
enfichable.
Cliquez ensuite sur Ajouter et slectionnez le
composant que vous souhaitez ajouter
votre console

Active Directory
Windows 2003 Server

51

ADS: Notions de base

Active Directory (AD) est un service d'annuaire LDAP (Lightweight Directory
Access Protocol):
permet une gestion centralise des objets
offre la possibilit dadministrer (ajouter, retirer et de localiser) les ressources facilement
dun point unique.
permet de grer le stockage des millions dobjets grce son moteur de base de
donnes (fichier NTDS.DIT) de type ESE (Extensible Storage Engine).
utilise DNS pour nommer et localiser des ressources

La structure dActive Directory est hirarchique, elle se dcompose comme suit :

Objet : reprsente une ressource du rseau qui peut-tre par exemple un ordinateur
ou un compte utilisateur ou un groupe ou une imprimante.
Unit organisationnelle (OU) : un objet conteneur utilis pour organiser les objets au
sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs,
des groupes, des ordinateurs, des imprimantes ainsi que dautres units
dorganisation. Les units dorganisation permettent dorganiser de faon logique les
objets de lannuaire (ex : reprsentation physique des objets ou reprsentation
logique). Les units dorganisation permettent aussi de faciliter la dlgation de
pouvoir selon lorganisation des objets.
52

ADS: Notions de base

La structure dActive Directory est hirarchique, elle se dcompose

comme suit :
Domaine: Dans Active Directory, un domaine est lensemble d'objets ordinateur,
utilisateur et groupe dfini par l'administrateur. Ces objets partagent une base de
donnes d'annuaire, des stratgies de scurit et des relations de scurit communes
avec d'autres domaines.
Un domaine est scuris, cest dire que laccs aux objets est limit par des ACL (Access
Control List). Les ACL contiennent les permissions, associes aux objets, qui
dterminent quels utilisateurs ou quels types dutilisateurs peuvent y accder.
Toutes les stratgies de scurit et les configurations ne se transmettent pas dun
domaine lautre
Arbre: cest un groupement ou un arrangement hirarchique dun ou plusieurs
domaines Windows 2003 qui partagent des espaces de noms contigus (par
exemple:administration.supinfo.com, comptabilit.supinfo.com, et
training.supinfo.com). Tous les domaines dun mme arbre partagent le mme
schma commun et partagent un catalogue commun.

53

ADS: Notions de base

La structure dActive Directory est hirarchique, elle se dcompose comme suit :
Foret: cest un groupement ou un arrangement hirarchique dun ou plusieurs arbres
qui ont des noms disjoints (par exemple : laboratoire-microsoft.org et supinfo.com).
Tous les arbres dune fort partagent le mme schma commun et le mme catalogue,
mais ont des structures de noms diffrentes.
La fort reprsente un ensemble de domaine lis entre eux par des relations dapprobation
bidirectionnelles et transitives
Elle est caractrise par la prsence dun domaine dit Racine quivalent au premier domaine
install dans la fort.
Les domaines dune fort fonctionnent indpendamment les uns des autres, mais les forts
permettent la communication dun domaine lautre.

Sites: combinaison dune ou plusieurs IP de sous-rseaux connects par des liens

hauts dbits. Ils ne font pas partie dun espace de nommage dActive Directory, et ils
contiennent seulement les ordinateurs, les objets et les connexions ncessaires pour
configurer la rplication entre sites. Ils permettent dintgrer la topologie physique du
54
rseau dans Active Directory

ADS: Notions de base

Contrleur principal de domaine (CPD): dans une fort Active Directory,
un contrleur de domaine est un serveur contenant une copie
inscriptible de la base de donnes Active Directory et contrlant l'accs
aux ressources rseau.
Contrleur secondaire de domaine supplmentaire (CSD): Il sagit dun
contrleur de domaine qui reoit une copie en lecture seule de la base
de donnes de l'annuaire pour le domaine. Cette dernire contient
toutes les informations sur les comptes et les stratgies de scurit du
domaine. En cas de non disponibilit du CPD, un CSD (le premier qui
rpond) est promu CPD, Quand lancien CPD est a nouveau disponible, il
est automatiquement rtrograd en CSD
Relation dapprobation: On peut tablir des relations entre les
domaines : on parle de relation dapprobations. Si un domaine A
approuve un domaine B, les utilisateurs du domaine B sont autoriss
se loguer sur les stations du domaine A . On dit que le domaine A est
autoris approuver et que le domaine B est approuv. Une telle
relation peut tre rciproque
55

Terminologie Active Directory

Fort

a.univ-lyon1.fr

1.a.univ-lyon1.fr

2.a.univ-lyon1.fr

z.1.a.univ-lyon1.fr

y.1.a.univ-lyon1.fr

arbre
domaine

Conteneur ou Unit
Organisationnelle : Contient des
objets (utilisateurs, ordinateurs
ou groupe dutilisateurs) du
domaine pour lesquels on peut
appliquer des rgles spcifiques.

Relation dapprobation implicite, bidirectionnelle et

transitive : permet aux utilisateurs du domaine
z.1.a.univ-lyon1.fr de se loguer sur les machines de
1.a.univ-lyon1.fr et inversement.

56

ADS: Catalogue global

Un catalogue global est un contrleur de domaine contenant une copie de tous les
objets Active Directory d'une fort. Il stocke une copie complte de tous les objets de
l'annuaire de son domaine hte, ainsi qu'une copie partielle de tous les objets des autres
domaines de la fort.

Les copies partielles des objets de domaine qui sont prsentes dans le catalogue
global regroupent les attributs auxquels font appel les utilisateurs le plus frquemment
lors des oprations de recherche
Un catalogue global est cr automatiquement
sur le premier contrleur de domaine de la fort
Pour ajouter ou supprimer manuellement des
attributs d'objet dans le catalogue global, utilisez le
composant logiciel enfichable Schma Active
Directory ou Run->schmmgmt.msc
Pour activer/dsactiver le catalogue global, il faut
utiliser Sites et services Active Directory ou Run>dssite.msc
57

ADS: Les Utilisateurs

Les Comptes dutilisateurs permettent aux utilisateurs daccder aux
ressources du rseau.
Ils sont associs un mot de passe
fonctionnent dans un environnement dfini (machine locale ou domaine).

Un utilisateur disposant dun compte de domaine pourra sauthentifier

sur toutes les machines du domaine (sauf restriction explicite de
ladministrateur).
Un utilisateur disposant dun compte local ne pourra sauthentifier que
sur la machine o est dclar le compte.
Compte local : Les informations de comptes dutilisateurs sont stockes
localement sur les machines hbergeant les ressources rseau.
Compte de domaine : Les informations de comptes sont centralises sur
un serveur, dans lannuaire des objets du rseau. Si une modification doit
tre apporte un compte, elle doit tre effectue uniquement sur le
serveur qui la diffusera lensemble du domaine.
58

ADS: Les Utilisateurs

Un login doit obligatoirement tre unique dans son domaine.
Il y a une nomenclature de cration de login
Une fois le compte cr, il suffit de le placer dans lunit dorganisation
correspondant au dpartement de lutilisateur.
A la cration dun utilisateur, il est possible de spcifier un certain nombre
de proprits concernant la gestion des mots de passe :
Lutilisateur doit changer de mot de passe la prochaine ouverture de
session : cette option permet de dfinir un mot de passe temporaire lors de
la cration dun compte ou de la rinitialisation du mot de passe et dobliger
ensuite lutilisateur le modifier.
Lutilisateur ne peut pas changer de mot de passe : cette option permet de
bloquer la fonctionnalit de modification de mot de passe.
Le mot de passe nexpire jamais : particulirement utile pour les comptes de
service, cette option permet de sassurer que le compte en question ne soit
pas assujetti aux rgles de stratgie de compte.
Le compte est dsactiv : Permet de dsactiver un compte sans le supprimer
59

ADS: Les Groupes

Les groupes permettent de simplifier la gestion de laccs des utilisateurs
aux ressources du rseau.
Les groupes permettent daffecter en une seule action une ressource un
ensemble dutilisateurs
Un utilisateur peut tre membre de plusieurs groupes.
Dans lAD, on peut trouver :
Les groupes de scurit: leurs membres sont susceptibles de se voir attribuer
des autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes
de distribution..
Les groupes de distribution: exploitables entre autres via un logiciel de
messagerie. Ils ne permettent pas daffecter des permissions sur des
ressources aux utilisateurs

Les deux types de groupes dans Active Directory grent chacun 3 niveaux
dtendue.
Groupe tendue globale
Groupe tendue de domaine local
Groupe tendue universelle

60

ADS: Les Groupes globaux

Mode mixte

Mode natif

Membres

Comptes dutilisateurs du
mme domaine

Comptes dutilisateurs et groupes

globaux du mme domaine

Membres de

Membres de Groupes locaux

du mme domaine

Groupes locaux de domaines

Etendue

Visibles dans leur domaine et dans tous les domaines approuvs

Autorisations

Tous les domaines de la fort

61

ADS: Les Groupes domaines locaux

Mode mixte

Mode natif

Membres

Comptes dutilisateurs de tout

domaine

Comptes dutilisateurs, groupes

globaux et groupes universels dun
domaine quelconque de la fort, et
groupes de domaine local du
mme domaine

Membres de

Membres daucun groupe

Groupes de domaine local du

mme domaine

Etendue

Visibles dans leur propre domaine

Autorisations

Le domaine dans lequel le groupe de domaine local existe

62

ADS: Les Groupes universels

Mode mixte

Mode natif

Membres

Non utilisables

Comptes dutilisateurs, groupes

globaux et autres groupes
universels dun domaine
quelconque de la fort.

Membres de

Non utilisables

Groupes de domaine local et

universels de tout domaine.

Etendue

Visibles dans tous les domaines de la fort

Autorisations

Tous les domaines de la fort

63

Stratgie d'utilisation des groupes

Anglais

Franais

A G DL P
A G G DL P
A G U DL P
A G G U DL P

C G DL A
C G G DL A
C G U DL A
C G G U DL A

With:
A: Accounts
G: Global
DL: Domain Local
U: Universal
P: Permissions

Avec:
C: Comptes
G: Global
DL: Domaine Local
U: Universel
A: Autorisations

64

ADS: Les Groupes par dfaut

Les groupes par dfaut possdent des droits et des autorisations
prdfinis qui permettent de faciliter la mise en place dun
environnement scuris.
Ainsi un certain nombre de rles courants sont directement applicables
en rendant membre du groupe par dfaut adquat lutilisateur qui lon
souhaite donner des droits ou autorisations.
Ces groupes et les droits qui leurs sont associs sont crs
automatiquement.

65

ADS: Les Groupes par dfaut

Dans un serveur membre voici les rles et les proprits de certains
dentre eux :
Administrateurs

Pleins pouvoirs sur le serveur. Lorsquun serveur est ajout au

domaine, le groupe Admins du domaine est ajout ce groupe.

Invits

Un profil temporaire est cr pour lutilisateur que lon place dans ce

groupe.

Utilisateurs avec
pouvoir

Privilges d'administration non relatifs aux domaines:

Peut crer des comptes utilisateurs et les grer.
Peut crer des groupes locaux et les grer.
Peut crer des ressources partages.

Utilisateurs

Peut lancer des applications, utiliser les imprimantes.

Oprateurs
dimpression

Peut grer les imprimantes et les files dattentes

66

ADS: Les Groupes par dfaut

Dans Active directory les groupes par dfauts sont dans Builtin et Users
Oprateurs de
compte

Les membres de ce groupe peuvent grer les comptes utilisateurs.

Oprateurs de
serveur

Les membres de ce groupe peuvent administrer les serveurs du

domaine.

Contrleurs de
domaine

Ce groupe contient tous les comptes dordinateurs des

contrleurs de domaine.

Invits du domaine

Les membres de ce groupe vont bnficier dun profil

temporaire.

Utilisateurs du
domaine

Contient tous les utilisateurs du domaine. Tous les utilisateurs crs

du domaine sont membre de ce groupe

67

ADS: Les Groupes par dfaut

Dans Active directory les groupes par dfauts sont dans Builtin et Users
Ordinateurs du
domaine

Ce groupe contient tous les ordinateurs du domaine

Administrateurs du
domaine

Ce groupe contient les utilisateurs administrateurs du domaine.

Administrateurs de
lentreprise

Ce groupe contient les administrateurs de lentreprise. Permet de

crer les relations dapprobations entre domaines.

Administrateurs du
schma

Ce groupe contient les utilisateurs capables de faire des

modifications sur le schma Active Directory.

68

ADS: Les Groupes par dfaut

Les groupes systmes sont utiles dans le cas daffectations
dautorisations.
Anonymous Logon

Reprsente les utilisateurs qui ne se sont pas authentifis.

Tout le monde

Tous les utilisateurs se retrouvent automatiquement dans ce groupe.

Rseau

Regroupe les utilisateurs connects via le rseau.

Utilisateurs
authentifis

Regroupe les utilisateurs authentifis.

Crateur propritaire

Reprsente lutilisateur qui est propritaire de lobjet.

69

Linstallation et la gestion de Active Directory

Deux mthodes sont possibles pour installer Active Directory :

Utiliser l'utilitaire "Grer votre serveur" (Dmarrer>Tous les
programmes>Outils dadministration>Grer votre serveur) qui
simplifie l'installation sans poser les questions les plus pointues.
Il installe et configure AD, DNS et DHCP pour un nouveau
domaine dans une nouvelle fort..
Utiliser l'assistant "dcpromo" (lanc en ligne de commande) qui
permet de contrler tous les aspects de l'installation.

70

l'utilitaire "Grer votre serveur"

Ajouter ou supprimer un rle.
Choix de la configuration par
dfaut pour un premier
serveur. Si "Configuration
personnalise" est choisi,
bascule sur dcpromo.
Choix du nom du
nouveau domaine.
Choix du nom
compatible NetBIOS.
Choix d'un ventuel
redirecteur DNS.
Confirmation
-> Dmarrage de l'installation

71

Lassistant dcpromo

72

Lassistant dcpromo

Choix du nom du domaine cr (nom complet)

Choix du nom du domaine NetBIOS pour compatibilit avec
les versions antrieures de Windows
Choix des emplacements de stockage des informations ADS
Dfinition du mot de passe administrateur
pour le redmarrage en mode restauration ADS
Dbut de linstallation.

73

Creating the first Windows Server 2003 Domain Controller in a domain

74

Click Start -> Run

75

Type "dcpromo" and click "OK"

76

You will see the first window of the wizard. After this, click
"Next"

77

Click "Next" on the compatibility window, and in the next window

keep the default option of "Domain Controller for a new domain"
selected, and click "Next"

78

In this tutorial we will create a domain in a new forest, because it is

the first DC, so keep that option selected

79

Now we have to think of a name for our domain.

Active Directory domains don't need to be "real" domains - they can
be anything you wish. So here we will create "visualwin.testdomain"

80

Now in order to keep things simple, we will use the first part of our
domain ("visualwin"), which is the default selection, as the NetBIOS
name of the domain

81

The next dialog suggests storing the AD database and log on

separate hard disks but for this tutorial we will just keep the defaults

82

The SYSVOL folder is a public share.

Once again, we will keep the default selection but it can be changed
if you wish to use the space of another drive

83

Now we will get a message that basically says that you will need a
DNS server in order for everything to work the way we want it (i.e.,
our "visualwin.testdomain" to be reachable). We will install the DNS
server on this machine as well, but it can be installed elsewhere. So
keep the default selection of "Install and configure", and click "Next"

84

Because, after all, this is a Windows Server 2003 tutorial website,

we'll assume there are no pre-Windows 2000 servers that will be
accessing this domain, so keep the default of "Permissions
compatible only with Windows 2000 or Windows Server 2003
operating systems" and click "Next"

85

The restore mode password is the single password that all

administrators hope to never use, however they should also never
forget it because this is the single password that might save a failed
server. Make sure it's easy to remember but difficult to guess

86

Now we will see a summary of what will happen. Make sure it's all
correct because changing it afterwards can prove to be difficult

87

After the previous next was clicked, the actual process occurs. This
can take several minutes. It's likely that you will be prompted for
your Windows Server 2003 CD (for DNS) so have it handy

88

Rsultat de linstallation

Aprs linstallation dActive

Directory Service, un certain
nombre doutils
d'administration sont
disponibles.
Aprs redmarrage, ADS est
en fonctionnement pour la
gestion de notre domaine.
Le service DNS est lui aussi
en fonctionnement, mais il
n'est pas configur.

89

Configuration du service DNS

Les tches raliser via le gestionnaire DNS sont:
Dfinition de zones de recherche directes pour les rsolution
nom IP -> adresse IP
Dfinition de zones de recherche inverses pour les rsolutions
adresse IP -> nom IP

90

Configuration de la zone directe

Dclaration des nouvelles machines (htes) avec demande de

cration automatique du pointeur PTR associ.

91

Configuration de la zone inverse

Lancement de l'assistant de cration de zone inverse

Cration d'une zne principale intgre Active Directory
Choix de l'tendue de rplication de cette zne
Dfinition de l'ID rseau de cette zone
Choix du mode de mise jour dynamique
Fin de l'assistant de cration de zone inverse

92

Reconfiguration des paramtres TCP/IP

Reconfiguration
des paramtres
TCP/IP pour
intgrer le DNS
principal et nom
domaine choisi
comme premier
suffixe DNS

93

La gestion des utilisateurs, des groupes d'utilisateurs et des

ordinateurs du domaine
Outil : utilisateurs et ordinateurs Active Directory.
Rundsa.msc

Cet outil ralise l'administration des utilisateurs, des groupes

dutilisateurs et des ordinateurs d'un domaine (il leur est
attribu un compte).
94

La gestion des utilisateurs, des groupes d'utilisateurs et des

ordinateurs du domaine

Groupes cres
linstallation

Utilisateurs et groupes dutilisateurs

du domaine

95

La gestion des utilisateurs, des groupes d'utilisateurs et des

ordinateurs du domaine
Contrleurs de domaine

96

Cration dun nouvel utilisateur

97

Cration dun nouvel utilisateur

Choix des
Paramtres
de cration:

98

Proprits dun utilisateur

99

Proprits dun utilisateur

Use 01 Properties

User01
User02
User03
User04
User05
User06

User
User
User
User
User
User

Options d'ouverture de session

Par dfaut

Copie de comptes d'utilisateur de domaine

Copier un compte d'utilisateur de domaine pour simplifier le
processus de cration d'un compte d'utilisateur de domaine

Compte
d'utilisateur
de domaine
(Utilisateur1)

Utilisateur1

Copie

Compte
d'utilisateur
de domaine
(Utilisateur2)

Utilisateur2

Cration de modles de compte d'utilisateur

Un modle de compte est un compte utilisateur gnrique contenant
Les informations communes tous les comptes ayant le mme rle dans
lentreprise.
Une fois ce modle de compte cr (en utilisant la mme procdure que
nimporte quel compte utilisateur), il suffira de le dupliquer chaque cration
dun nouveau compte correspondant au rle.
Ainsi le nouveau compte cr, hritera des proprits du modle.
Proprits maintenues lors de la copie du modle de compte
Lorsquun modle de compte est dupliqu, toutes les proprits ne sont pas copies.
La liste qui suit vous informe des proprits qui le sont :

Onglet Adresse : Les informations sont copies, lexception de la proprit Adresse.

Onglet Compte : Les informations sont copies, lexception de la proprit Nom
douverture de session de lutilisateur qui est rcupr de lassistant de duplication de compte.
Onglet Profil : Les informations sont copies, lexception des proprits Chemin du profil et
Dossier de base qui sont modifies pour reflter le changement de nom douverture de session.
Onglet Organisation : Les informations sont copies, lexception de la proprit Titre

Cration de modles de compte d'utilisateur

Configurez un compte d'utilisateur

comme modle de compte
Crez un compte d'utilisateur en
copiant le modle de compte

Profils d'utilisateur et rpertoire de base

Profil dutilisateur : Le profil de lutilisateur, stock dans un rpertoire,
contient tous les paramtres qui dfinissent lenvironnement utilisateur (bureau,
menu programmes, imprimantes, variables denvironnement, connexion rseau, fond
dcran, rsolution dcran ). Il est compos de deux parties :
une partie commune tous les utilisateurs (non modifiable) stocke dans le
rpertoire \Documents and Settings\All Users,
une partie spcifique l'utilisateur (ventuellement modifiable) stocke dans un
rpertoire portant le nom de l'utilisateur sous \Documents and Settings.

Profil prdfini l'installation:

"Default User" (utilisateur par dfaut): Profil attribu tout utilisateur n'en
possdant encore aucun (Attribution ralise par cration d'une copie) profil
Le profil peut tre local (disponible sur une seule machine) ou errant (rseau ou
disponible sur toutes les machines du domaine).

Profil dutilisateur local: Profil stock uniquement localement. A chaque

premire ouverture de session dun utilisateur sur un ordinateur client du domaine,
un profil local est cr dans le dossier Documents and Settings ; ainsi lors de
louverture de session suivante lutilisateur retrouve la mme configuration du
bureau et ses fichiers de dossier My Documents . Ce type de profil nest viable
105
que si lutilisateur utilise toujours le mme ordinateur.

Profils d'utilisateur et rpertoire de base

Profil dutilisateur itinrant (errant): La cration dun profil itinrant

permettra un utilisateur de retrouver un environnement de bureau identique et
personnalis sur tous les ordinateurs clients du domaine. Les informations
concernant les profils itinrants des utilisateurs seront stockes sur le contrleur
de domaine et charges travers le rseau chaque ouverture de session.
Remarque : pour rendre un profil obligatoire, cest a dire non modifiable, il suffit de
renommer le fichier ntuser.dat (contient tous les paramtres personnaliss de l'
utilisateur pour la plupart des logiciels installs sur l' ordinateur incluant Windows
lui-mme et se trouve sous sous C:\Documents and Settings\<<user_name>>) en
ntuser.man.

Rpertoire de base: Le rpertoire de base dun utilisateur est son dossier

dacceuil. Ce rpertoire de base peut tre un chemin local ou un chemin rseau.
Un chemin rseau permet un utilisateur itinrant de centraliser ses donnes sur
le disque dur dun serveur de fichiers. Lutilisation de dossiers de base permet
lutilisateur daccder ses donnes depuis nimporte quel ordinateur du rseau,
tout en permettant de centraliser la sauvegarde et la gestion des fichiers
utilisateurs
106

Types de profils d'utilisateur

Profil d'utilisateur par dfaut
Sert de base tous les profils
d'utilisateur

Affichage

Profil d'utilisateur local

Modification

Paramtres
rgionaux

Enregistrement

Profil
d'utilisateur

Cr la premire fois qu'un

utilisateur ouvre une session
sur un ordinateur
Stock sur le disque dur local
de l'ordinateur

Souris

Sons

Profil d'utilisateur
itinrant

Cr par l'administrateur
systme
Stock sur un serveur

Ordinateur client
Windows 2003

Affichage

Cr par l'administrateur
systme
Stock sur un serveur

Paramtres
rgionaux

Profil d'utilisateur
obligatoire

Profil

Serveur
de profils

Souris

Sons

Ordinateur client
Windows 2003
Ordinateur client
Windows 2003
107

Affectation d'un rpertoire de base et d'un profil itinrant un

utilisateur
Cration d'un rpertoire destin hberger les rpertoires de
base et les profils itinrants(Utilisateurs>Profils)

108

Affectation d'un rpertoire de base et d'un profil itinrant un

utilisateur
Partage de ce rpertoire (sous le nom Users) et configuration
des autorisations sur le rpertoire et sur le partage

109

Affectation d'un rpertoire de base et d'un profil itinrant un

utilisateur

Configuration de l'utilisateur concern dans l'onglet profil de

ses proprits au sein du gestionnaire des utilisateurs

110

Affectation d'un rpertoire de base et d'un profil itinrant un

utilisateur
Le gestionnaire des utilisateurs cre lui-mme le rpertoire de
base et lui affecte les permissions en limitant l'accs au seul
administrateur et l'utilisateur.

Montage automatique du rpertoire de base au niveau du

client.
111

Cration dun groupe

Nom : unique
Etendue : sur le domaine local ou globalement

Type : groupe de scurit ou de distribution

112

Proprits dun groupe

Paramtres gnraux,Membres,Groupes du domaine dont il
est membre,Utilisateur gestionnaire

113

Cration dun nouvel ordinateur

Dfinir son nom (unique)

Possibilit de le dclarer en tant

que machine systme pr
Windows 2000 ou non
Possibilit de le dclarer en tant
que contrleur supplmentaire
ou en tant que membre simple

114

Joindre un ordinateur un domaine

Onglet "Identification"
ou "Nom de
l'ordinateur"
du panneau de
configuration "Systme"
Ulysse membre du
Workgroup WK

115

Joindre un ordinateur un domaine

116

Joindre un ordinateur un domaine

117

Cration dun groupe d'ordinateurs

Cration d'un nouveau groupe

Ajout des ordinateurs ce groupe

118

Gestion locale de lordinateur

Outils:
"My computer"->Manage (Poste de travail->Grer)
Run->compmgmt.msc (Excuter->compmgmt.msc)

Le gestionnaire d'ordinateur prend en charge un certain nombre des options

de configuration locales de l'ordinateur

Trois entres principales:

Outils sytme, stockage et
services et applications

119

Gestion locale de lordinateur- Utilisateurs/groupes locaux

Permet de grer les comptes dutilisateurs et groupes locaux de la machine. Si lordinateur est
un contrleur de domaine, cet lment est masqu car la console est remplace par Utilisateurs
et ordinateurs Active Directory.

120

Gestion locale de lordinateur- priphrique

Permet de contrler lensemble de priphriques et pilotes de matriel sur la machine.

121

Gestion locale de lordinateur- Services

Loutil services permet d'administrer les services (tches de fond)
fonctionnant localement sur l'ordinateur

122

Gestion locale de lordinateur- Services

Cet outil sappuie sur la console Services et a dj t mentionn dans la
console Gestion de lordinateur

123

Base de registre
L'ensemble des paramtres systme est sauvegard dans une base de
donnes scurise appel Registre .
Jusqu' Windows 2000, il y avait 2 utilitaires lgrement
diffrents regedit et regedt32 pour modifier la base de registre.
regedit tait plus convivial, alors que regedt32 permettait de faire des
modifications plus pointues.
Avec Windows XP, Microsoft a unifi les 2 utilitaires : dsormais, les 2
commandes appellent le mme outil.

ATTENTION: Ces deux utilitaires sont utiliser de manire

extrmement prudente car les actions ralises sont irrversibles

124

Base de registre
Rpertoire de la base de registre:
Sous Windows Server 2003, Windows XP, Windows Server 2000 et NT, par dfaut,
c'est dans le rpertoire %SystemRoot%\System32\Config que sont stocks les
fichiers de ruche suivants : SAM (Security Account Manager), Security, Software,
System.
Les informations concernant un utilisateur sont stockes dans le rpertoire
correspondant la variable d'environnement %UserProfile%. Par exemple, pour
un utilisateur dont le login est "dupont", la valeur %UserProfile% sera par
dfaut "C:\Documents and settings\dupont". Il y a un fichier de
ruche NTUSER.DAT par utilisateur.
Le rpertoire %SystemRoot%\repair contient une sauvegarde de la base de
registre ; elle est utilise par Windows pour certains cas de figure.
Des fichiers journaux (extension .LOG) et des fichiers de sauvegarde
(extension .SAV) sont utiliss en interne par Windows pour pallier des coupures
de courant intempestives, ou toute autre forme d'arrt brutal

125

Base de registre
La base de registre est organise de faon hirarchique. Elle se compose
de sous arbres avec les cls et les valeurs.
HKEY_LOCAL_MACHINE

Contient les informations relatives lordinateur local : donnes sur le matriel et sur le systme
dexploitation (type de bus, la RAM, les pilotes de priphrique

HKEY_CLASSES_ROOT

regroupe des paramtres spcifiques aux programmes comme les extensions de fichiers, icnes
spcifiques, menus contextuels, fichiers communs (dll par exemple), licence

HKEY_CURRENT_USER

Contient le profil de lutilisateur en cours de session (variable denvironnement, bureau,

connexion rseau, les imprimantes )

HKEY_USERS

Contient tous les profil utilisateurs chargs activement, y compris HKEY_USER, le profil par dfaut.

HKEY_CURRENT_CONFIG

Contient les informations sur le profil matriel utilis par lordinateur local au dmarrage (pilotes
charger, rsolution dcran)

126

Base de registre
On peut exporter toute la base ou une branche de la base de registres dans un
fichier .REG. Pour limporter, il suffit de double cliquer dessus, et davoir les
permissions de mise jour.

127

Gestion daccs aux

ressources

128

Gestion daccs aux ressources - Introduction

Le systme de contrle daccs dans Windows 2003 est bas sur trois composants
qui permettent la dfinition du contexte de scurit des lments du systme.
Ces trois lments sont :
Les entits de scurit : Les entits de scurit peuvent tre un compte
utilisateur, dordinateur ou un groupe. Ils permettent daffecter laccs un
objet en le reprsentant dans le systme informatique.
Le SID - Security Identifier: Toutes les entits de scurit sont identifies
dans le systme par un numro unique appel SID.
DACL - Discretionary Access Control List : associe chaque objet un contrle
daccs. Les DACL sont composes dACE (Access Control Entry) qui
dfinissent les accs lobjet.
Les ACE se composent de la faon suivante :
Le SID de lentit qui lon va donner ou refuser un accs.
Les informations sur laccs (ex : Lecture, Ecriture, )
Les informations dhritage.
Lindicateur de type dACE (Autoriser ou refuser).
129

Description des autorisations

Les autorisations dfinissent le type d'accs accord un utilisateur, un
groupe ou un ordinateur sur un objet
Les autorisations sont appliques aux objets tels que les fichiers, les
dossiers, les fichiers partags et les imprimantes
Les autorisations sont attribues aux utilisateurs et aux groupes dans Active
Directory ou sur un ordinateur local

130

Description des autorisations standard et speciales

Autorisations standard

Autorisations spciales

131

Les ressources - Dossiers partags

Le partage dun dossier permet de rendre disponible lensemble de son contenu via le
rseau.
Par dfaut, lors de la cration dun partage, le groupe Tout le monde bnficie de
lautorisation Lecture .
Il est possible de cacher le partage dun dossier en ajoutant le caractre $ la fin du
nom. Pour pouvoir y accder, il sera obligatoire de spcifier le chemin UNC
(Universal Naming Convention) complet: \\nom_du_serveur\nom_du_partage$
Windows 2003 cre automatiquement des partages administratifs.
Les noms de ces partages se terminent avec un caractre $ qui permet de cacher le
partage lors de l'exploration par le rseau :
C$, D$, E$: Fournit un accs complet l'administrateur sur les lecteurs.
\\nom_ordinateur\C$
Admin$: Utilis pour la gestion d'une station travers le rseau. Il s'agit du rpertoire
%systemroot% (c:\windows)
IPC$: Ce partage sert pour la communication entre les processus. Il est utilis
notamment lors de l'administration distance d'une station ou mme lorsque on
consulte un rpertoire partag.
Print$: Est utilis pour l'administration distance des imprimantes
Seuls les membres du groupe Administrateurs peuvent accder ces partages en
132
accs Contrle Total.

Dossiers d'administration partags

133

Les ressources - Dossiers partags

Chaque dossier partag peut tre protg par une autorisation qui va restreindre
son accs spcifiquement aux Utilisateurs, Groupes et Ordinateurs
Il existe trois niveaux dautorisations affectables :
Lecture : Permet dafficher les donnes et dexcuter les logiciels.
Modifier : Comprend toutes les proprits de lautorisation lecture avec la
possibilit de crer des fichiers et dossiers, modifier leurs contenus et supprimer
leurs contenus.
Contrle total : Comprend toutes les proprits de lautorisation Modifier avec
la possibilit de modifier aux travers le rseau les autorisations NTFS des fichiers
et dossiers.
Les trois niveaux dautorisations sont disponibles en Autoriser ou en Refuser
en sachant que les autorisations de refus sont prioritaires.
Pour affecter des autorisations de partage, vous avez deux solutions :
A laide de loutil dadministration Gestion de lordinateur et du composant
enfichable Dossiers Partags .
134
A laide de lexplorateur dans les proprits du dossier partag.

Les ressources - Dossiers partags

Afin quun client puisse accder un dossier partag, plusieurs moyens sont
disponibles :
Favoris rseau : Permet de crer des raccourcis vers les partages dsirs.
Lecteur rseau : Permet dajouter le dossier partag directement dans le poste de
travail en lui attribuant une lettre.
Excuter : Permet daccder ponctuellement la ressource en spcifiant
simplement le chemin UNC daccs la ressource.

135

Procdure de publication d'un dossier partag

Un dossier partag publi est un objet Dossier partag dans Active Directory
Les clients peuvent rechercher facilement dans Active Directory les dossiers partags qui sont
publis
Les clients n'ont pas besoin de connatre le nom du serveur pour se connecter un dossier partag

136

Procdure de connexion un dossier partag

137

Les ressources - Accs au fichiers et dossiers NTFS

NTFS (New Technology File System) est un systme de fichiers qui offre les avantages
suivants :
Fiabilit : NTFS est un systme de fichiers journalis.
Scurit : Le systme NTFS prend en charge le cryptage de fichiers avec EFS
(Encrypted File System). NTFS permet aussi lutilisation dautorisations NTFS qui
permettent de restreindre laccs aux donnes de la partition.
Gestion du stockage : NTFS permet la compression de donnes transparente pour
tous les fichiers stocks sur la partition. Il permet aussi limplmentation de la gestion
de quotas pour restreindre de faon logique lespace dont peut bnficier un
utilisateur sur une partition.
Les autorisations NTFS permettent de dfinir les actions que vont pouvoir effectuer les
utilisateurs, groupes ou ordinateurs sur les fichiers.
Contrle total : Dispose de toutes les autorisations de Modification avec la prise de
possession et la possibilit de modifier les autorisations du fichier.
Modification : Permet de modifier, supprimer, lire et crire les fichiers.
Lecture et excutions : Permet de lire les fichiers et dexcuter les applications.
Ecriture : Permet dcraser le fichier, de changer ses attributs et dafficher le
propritaire.
Lecture : Permet de lire le fichier, dafficher ses attributs, son propritaire138
et ses
autorisations.

Les ressources - Accs au fichiers et dossiers NTFS

Les autorisations NTFS permettent de dfinir les actions que vont pouvoir
effectuer les utilisateurs, groupes ou ordinateurs sur les dossiers.
Contrle total : Dispose de toutes les autorisations de Modification avec
la prise de possession et la possibilit de modifier les autorisations du
dossier.
Modification : Dispose de toutes les autorisations de Ecriture avec la
possibilit de supprimer le dossier.
Lecture et excutions : Permet dafficher le contenu du dossier et dexcuter
les applications
Ecriture : Permet de crer des fichiers et sous-dossiers, de modifier ses
attributs et dafficher le propritaire.
Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propritaire
et autorisations du dossier.
Affichage du contenu des dossiers : Affichage seul du contenu direct du
dossier.
Les autorisations sur les fichiers sont prioritaires sur les autorisations sur les
dossiers
139

Les ressources - Accs au fichiers et dossiers NTFS

Toutes les oprations de copie hritent des autorisations du dossier cible. Seul le
dplacement vers la mme partition permet le maintien des autorisations.
Les fichiers dplacs depuis une partition NTFS vers une partition FAT perdent leurs
attributs et leurs descripteurs de scurit.
Les attributs de fichiers pendant la copie/dplacement dun fichier lintrieur dune
partition ou entre deux partitions sont grs ainsi:
Copier lintrieur dune partition : Cre un nouveau fichier identique au fichier original.
Il hrite des permissions du rpertoire de destination.
Dplacer lintrieur dune partition : Ne cre pas un nouveau fichier. Il y a seulement
une mise jour des pointeurs du dossier. Garde les permissions appliques lorigine au
fichier.
Dplacer vers une autre partition : Cre un nouveau fichier identique loriginal et dtruit
le fichier original. Le nouveau fichier hrite des permissions du rpertoire de destination.
Copier
Partition NTFS
C:\
Partition NTFS
D:\

Dplacer

Partition NTFS
E:\

Copier
ou
Dplacer
140

Les ressources - Hritage NTFS

Les autorisations sur un dossier parent sont hrites et propages tous les sousdossiers, et les fichiers quil contient.
Tous les nouveaux fichiers et dossiers crs dans ce dossier hriteront aussi de ces
permissions.
Il est possible de bloquer cet hritage afin que les permissions ne soient pas propages
aux dossiers et aux fichiers contenus dans le dossier parent.
Plusieurs solutions dhritage partir dun dossier
Copier
Supprimer
Pour bloquer lhritage des permissions, afficher les proprits du dossier:
Onglet Scurit
Paramtres avancs
Dsactiver la case cocher Permettre aux autorisations hrites du parent de se
propager cet objet et aux objets enfants. Cela inclut les objets dont les entres sont
spcifiquement dfinies ici.
Dans la nouvelle fentre, cliquez sur :
Copier si vous souhaitez garder les autorisations prcdemment hrites sur cet objet
Supprimer afin de supprimer les autorisations hrites et ne conserver que les 141
autorisations explicitement spcifies.

Identification des autorisations effectives sur les fichiers et les

dossiers NTFS
Lorsque vous accordez des autorisations un utilisateur, un groupe ou un
utilisateur, il est parfois difficile de sy retrouver avec par exemple les groupes
auxquels un utilisateur peut appartenir et les autorisations hrites.
Lorsque lon dfinit des autorisations, il est possible quun mme utilisateur obtienne
plusieurs autorisations diffrentes car il est membre de diffrents groupes. Dans ce
cas, les autorisations se cumulent et il en rsulte lautorisations la plus forte (ex :
lecture + contrle total contrle total).
Lorsquun utilisateur ne se trouve pas dans la DACL de lobjet, il na aucune
autorisation dessus. Cest une autorisation Refuser implicite.
Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers.
Les autorisations Refuser sont prioritaires sur les autres autorisations et ceci
dans TOUS les cas (ex : contrle total + refuser lecture La lecture sera bien
refuse).
Le propritaire a la possibilit daffecter les autorisations quil dsire sur tous les
fichiers dont il est le propritaire mme si il na pas dautorisations contrle total
dessus.
Il est possible de vrifier les permissions effectives dun utilisateur laide de longlet
Autorisations effectives de la fentre de paramtres de scurit avanc.

Cumul des autorisations NTFS et des

autorisations de partage
Lorsqu un utilisateur est sujet aussi bien aux autorisations NTFS quaux
autorisations de partage, ses permissions effectives sobtiennent en combinant le
niveau maximum dautorisations indpendamment pour les autorisations NTFS et
pour les autorisations de partage et une fois les deux autorisations dfinies, il
suffit de prendre la plus restrictive des deux.
Exemple :
Partage (lecture) + NTFS (contrle total) lecture
Inversement
Partage (contrle total) + NTFS (lecture) lecture

143

Fichiers hors connexion

Les fichiers hors connexion sont une fonction d'administration des documents qui
permet l'utilisateur d'accder de manire cohrente aux fichiers en ligne et hors
connexion
Avantages de l'utilisation des fichiers hors connexion :
Prise en charge des utilisateurs itinrants
Synchronisation automatique
Avantages en termes de performances
Avantages de sauvegarde

Procedure de synchronisation de fichiers hors connexion :

Dconnects du rseau
Windows Server 2003 synchronise les fichiers rseau avec une copie localement
mise en cache des fichiers
L'utilisateur travaille avec la copie en cache local
Connects au rseau
Windows Server 2003 synchronise les fichiers hors connexion que l'utilisateur a
modifis avec la version des fichiers sur le rseau
Si un fichier a t modifi dans les deux emplacements
L'utilisateur est invit choisir la version du fichier conserver ou renommer le
fichier pour conserver les deux versions
144

Options de la mise en cache hors connexion des fichiers

Activer le service de fichier hors connexion sur votre machine cliente.
Menu \ outils \ options des dossiers \ fichiers hors connexion puis cocher : Autoriser
lutilisation de fichiers hors connexion
Aller au rpertoire partag sur le rseau,
slectionner la ressource mettre en
cache avec un click droit. Afficher le
menu contextuel et slectionner:
Rendre disponible hors connexion.

145

Stratgies de groupe

146

Prsentation des stratgies de groupe

Une stratgie de groupe (Group Policy Object) est un ensemble d'lments
de configuration de Windows et de logiciels s'appliquant des ordinateurs,
des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou
d'interdire certaines actions ou de configurer des paramtres d'utilisation
Une stratgie de groupe peut sappliquer un ordinateur local, un site, un
domaine ou une unit dorganisation et peut tre assigne plusieurs fois
simultanment sur diffrents conteneurs. On peut lier plusieurs objets
Stratgie de groupe un site, domaine ou une unit d'organisation

Limplmentation des stratgies de groupes va permettre de centraliser la

gestion de lenvironnement des utilisateurs
Deux types de stratgies
locale: ne sapplique que sur lordinateur sur lequel elle est configure. Cest lobjet
de stratgie ayant le moins dautorit dans un environnement Active Directory
Stratgie de groupe AD: s'applique un site, un domaine ou une unit
d'organisation
147

Paramtres des stratgies de groupe

Modles dadministration: modification des proprits du bureau laide de
modifications distantes de la base de registre
Dploiement de logiciels : automatisation complte de linstallation des
programmes sur les postes clients en fonction du profil de lutilisateur
Application des paramtres de scurit : permet de modifier le contexte de
scurit de lenvironnement utilisateur
Redirection de dossiers: possibilit de rediriger certains rpertoires
sensibles vers un serveur distant ou de bloquer la modification de leurs
contenus
Scripts: dmarrage/arrt d'ordinateur ou de session utilisateur

148

Structure des stratgies de groupe

Conteneur (Group Policy Container) : objet Active Directory
Modle (Group Policy Template): dossier contenu dans
%systemroot%\SYSVOL\sysvol\<nom_domaine>\policies

GPO est identifie par le GUID (global unique Identifier)

GPO locale pour des machines individuelles: %systemroot%\System32\GroupPolicy

149

Paramtres de GPO pour Ordinateurs/Utilisateurs

Paramtres de stratgie de groupe pour les ordinateurs
Dfinissent le comportement du systme d'exploitation et du bureau, la
configuration de la scurit, les scripts de dmarrage et d'arrt des ordinateurs, les
options d'application affectes par l'ordinateur et la configuration des applications
S'appliquent au dmarrage de lordinateur (initialisation du systme d'exploitation)
et lors du cycle de rafrachissement priodique

Paramtres de stratgie de groupe pour les utilisateurs

Dfinissent le comportement du systme d'exploitation, la configuration du bureau
et de la scurit, les options d'application affectes et publies, la configuration des
applications, les options de redirection des dossiers et les scripts d'ouverture et de
fermeture de sessions utilisateur

S'appliquent l'ouverture d'une session utilisateur sur l'ordinateur et lors du cycle

de rafrachissement priodique
Ces paramtres suivent l'utilisateur de machine en machine
150

Outils ddition des stratgies de groupe

Utilisateurs et ordinateurs Active Directory (dsa.msc): permet dditer les stratgies
associes au domaine et aux units dorganisation
Sites et services Active Directory (dssite.msc): permet dditer les stratgies associes
aux sites
Editeur dobjets de Stratgie de groupe (gpedit.msc): cest lditeur commun dobjets
des stratgies de groupe locales ou distantes
Stratgie de scurit locale : Permet dditer les stratgies locales des machines
Stratgie de scurit de domaine (dompol.msc): permet dditer les stratgies de
domaine
Stratgie de scurit de contrleur de domaine (dcpol.msc): permet dditer les
stratgies de contrleur de domaine
Gestion des stratgies de groupes (gpmc.msc) est un outil complmentaire pour faciliter
la gestion des GPO, celui-ci reprend les interfaces et fonctionnalits des outils Utilisateurs
et ordinateurs Active Directory et Sites et services Active Directory ainsi que des modules
dadministration des stratgies

151

Console gpedit

152

Console de gestion des stratgies de groupe

153

Stratgie de scurit de domaine

Utilise pour configurer les paramtres de scurit de domaine

154

Stratgie de scurit de contrleur de domaine

Utilise pour configurer les paramtres de scurit pour les contrleurs du domaine

155

Modles dadministration
Type

Description

Appliqu

Composants
Windows

Controle de fonctionnalites dIE, netmeeting, gestionnaire de

taches, windows explorer

Utilisateur,
Ordinateur

Systme

Ouverture/fermeture de session, quotas de disque, modification de

registre, application GPO, gestion de lalimentation

Utilisateur,
Ordinateur

Rseau

Connexions reseau, fichiers hors connexion

Utilisateur,
Ordinateur

Imprimantes

Controler limpression a partir dun navigateur web, publication des

imprimantes dans AD

Ordinateur

Menu Dmarrer
et
barre des tches

Les fonctionnalits auxquelles les utilisateurs peuvent accder

partir du menu Dmarrer et les options qui rendent le menu
Dmarrer en lecture seule

Utilisateur

Bureau

Le bureau Active Desktop, y compris ce qui apparat sur les bureaux,

et ce que les utilisateurs peuvent faire avec le dossier Mes
documents

Utilisateur

Panneau de
configuration

Cacher tout ou partie du panneau de configuration, de restreindre

laccs certains composants (Ajout/Suppression de programmes,
Imprimantes , options rgionales et linguistiques)

Utilisateur

156

Etapes dapplication des paramtres de modles

dadministration
Les stratgies de groupe utilisent des fichiers de modle dadministration avec les
extensions .ADM ou .ADMX qui dcrivent les cls de registre modifies par
lapplication des stratgies de groupe.
Sur un ordinateur de travail, les modles dadministration sont stocks dans les
rpertoires %systemroot%\System32\GroupPolicy\ADM et %systemroot%\Inf, alors
que sur un contrleur de domaine Active Directory, pour chaque domaine et pour
chaque stratgie de groupe, ils sont stocks dans un rpertoire individuel (Le group
policy template , ou GPT) au sein du rpertoire Sysvol.
Les fichiers .ADMX sont des fichiers bass sur le format XML et introduits par
Windows Vista pour la gestion des stratgies de groupe.

157

Description des Modles dadministration

Les paramtres de modle d'administration modifient les paramtres du Registre
qui contrlent les environnements utilisateur
Ces modles modifient les cls de Registre
HKEY_LOCAL_MACHINE pour les paramtres d'ordinateur
HKEY_CURRENT_USER pour les paramtres d'utilisateur

Exemple:
Menu Dmarrer et Barre des tches
Suppression du menu Documents dans le menu Dmarrer
Suppression des Connexions rseau et accs distant du menu Dmarrer
Suppression du menu Excuter dans le menu Dmarrer
Dsactivation de la fermeture de session dans le menu Dmarrer
Dsactivation de la commande Arrter

Panneau de configuration
Dsactivation du Panneau de configuration
Masque de certaines applications du Panneau de configuration

Systme
Activation des quotas de disque
Dsactivation des outils de modifications du Registre
Dsactivation de l'invite de commandes

Internet Explorer
Dsactivation de la modification des paramtres de la page de dmarrage

158

Application: Supprimer Le menu Excuter du Menu Dmarrer

Etat initial: apparition du menu Excuter

159

Application: Supprimer Le menu Excuter du Menu Dmarrer

160

Application: Supprimer Le menu Excuter du Menu Dmarrer

Etat Final: disparition du menu Excuter

161

paramtres de scurit
Stratgies de
compte

Configurent des stratgies pour les mots de passe (longueur, complexit, dure de vie) et les
comptes (modalits de verrouillage)

Stratgies locales

Configurent l'audit, les droits d'utilisateur et les options de scurit

Journal des
vnements

Configure les paramtres des journaux des applications, des journaux systme et des journaux
de scurit

Groupes restreints

Configurent l'adhsion aux groupes sensibles en termes de scurit: Imposer des membres
des groupes

Services systme

Configurent les paramtres de scurit et de dmarrage des services (manuel, automatique ou

dsactiv) excuts sur un ordinateur

Registre

Configure la scurit (autorisations d'accs et des paramtres d'audit) pour les cls du registre

Systme de fichiers

Configure la scurit (autorisations d'accs et des paramtres d'audit) au niveau des

autorisations NTFS des fichiers

Stratgies de
rseau sans fil

spcifient si les clients sont autoriss utiliser Windows pour configurer les paramtres de la
connexion rseau sans fil, s'il y a lieu d'activer l'authentification 802.1X pour les connexions
rseau sans fil, ainsi que les rseaux sans fil favoris auxquels les clients peuvent se connecter.

Stratgies de cl
publique

Configurent les agents de rcupration de donnes cryptes, les racines de domaines, les
autorits de certification approuves, etc.

Identifient les logiciels et contrlent leur capacit s'excuter: interdire le lancement de

Stratgies de
restriction logicielle certains programmes ou donner une liste exhaustive des programmes que l'on peut lancer

Stratgies IPSec

Configurent la scurit IP sur un rseau

162

Attribution de scripts avec la stratgie de groupe

Grce une stratgie de groupe, il est possible daffecter des scripts aux
machines ou aux utilisateurs
Les scripts affects aux ordinateurs seront excuts au dmarrage et/ou
larrt de lordinateur et les scripts affects aux utilisateurs seront excuts
louverture et la fermeture de la session.

Plusieurs langages sont supports avec les scripts batch (NET USE ), les
scripts WSH (Windows Script Host) ou des excutables.
Via les proprits dun compte utilisateur, il est possible de spcifier un
script douverture de session mais cette mthode est moins souple au
niveau administratif.

163

Scripts douverture ou fermeture (dconnexion) de session

164

Scripts de dmarrage ou arrt de lordinateur

165

Qu'est-ce que la redirection de dossiers ?

Ce paramtre de stratgie de groupe permet de rediriger les dossiers sensibles de
lutilisateur afin de centraliser sur un serveur les donnes et ainsi en faciliter la
scurit et la sauvegarde
Les documents sont stocks sur le serveur mais apparaissent comme stocks
localement
Les dossiers pouvant tre redirigs sont les suivants :
Mes documents : Permet de centraliser les donnes utilisateur sur un serveur de
fichiers pour que son contenu soit disponible quelque soit lordinateur sur lequel
se connecte lutilisateur (ex : redirection vers le dossier de base de lutilisateur).
Menu Dmarrer : Permet de faire pointer le contenu du menu Dmarrer de tous
les utilisateurs vers un contenu unique.
Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers
un contenu unique.
Application Data : Contient les prfrences applicatives de certaines applications
qui peuvent tre sauvegardes sur un serveur avec la rplication.
Il est possible via la redirection avance, de rediriger les rpertoires vers des dossiers
diffrents selon lappartenance de lutilisateur un groupe.
La fonction de redirection de dossiers cre elle-mme automatiquement des
dossiers avec les autorisations adquates.
166

Comment rediriger les dossiers ?

Sur un contrleur de domaine, lancer GPMC (gpmc.msc)
Slectionner une OU puis crer une nouvelle GPO (crer et lier une nouvelle
stratgie de groupe) appele GPO_VENTE
Cliquer sur Modifier pour modifier la GPO GPO_VENTE

Dvelopper Configuration utilisateur

Dvelopper Paramtres Windows

Choisir Redirection de dossiers

Cliquer droit sur Mes Documents, puis cliquer sur Proprits

Cliquer sur De base ou avanc

Dans la zone Emplacement du dossier cible , taper le chemin d'accs en tant que
:\\ servername\sharename\username
167

Comment rediriger les dossiers ?

168

Comment rediriger les dossiers ?

169

Comment rediriger les dossiers ?

170

Comment rediriger les dossiers ?

171

Comment rediriger les dossiers ?

172

Comment rediriger les dossiers ?

173

Ordre dapplication des GPOs

Les conteneurs enfants hritent des paramtres de l'objet Stratgie de groupe des
conteneurs parents
Blocage: on peut bloquer l'hritage
Filtrage: on peut empcher certains objets d'un conteneur de se voir appliquer les
paramtres des GPO. se fait via les autorisations de la GPO sur le conteneur
locale

Site

Domaine

OU

174

Resolution de conflits entre les parametres de GPO

Tous les paramtres dune stratgie de groupe sappliquent moins que certains
dentre eux nentrent en conflit
Lorsque les paramtres de diffrents
objets stratgie de groupe dans la
hirarchie Active Directory sont en conflit,
les paramtres de lobjet stratgie de
groupe du conteneur enfant sappliquent

Lorsque les paramtres des objets

stratgie de groupe lis un mme
conteneur entrent en conflit, les
paramtres de lobjet stratgie de groupe
les plus hauts dans la liste sappliquent
Les
paramtres
dun
ordinateur
sappliquent lorsquils sont en conflit avec
ceux dun utilisateur
175

Application dune strategie de groupe

176

MERCI
&

BONNE CHANCE

177