Sunteți pe pagina 1din 21

2013

Windows Serveur 2008


ADMINISTRATION
OLIVIER D.

DEHECQ Olivier http://www.entraide-info.fr

Table des matires


1

Prrequis ........................................................................................................................................4

Introduction aux taches d'administration dans WS 2008 ...............................................................4


2.1

Rle serveur ............................................................................................................................4

2.2

Vue d'ensemble d'Active Directory .........................................................................................4

2.3

Utilisation des outils d'administration WS2008 ......................................................................7

Utilisation du bureau distance pour l'administration des clients..................................................8

Cration objets utilisateurs et ordinateurs AD ................................................................................8

Automatisation de l'administration des objets ADDS .....................................................................9

Prsentation des groupes ...............................................................................................................9


6.1

Niveau fonctionnel (NF) ....................................................................................................... 10

6.2

Imbrication des groupes (trs important)............................................................................. 11

6.3

Administration des groupes ................................................................................................. 11

6.4

Cration des units d'organisation (OU) .............................................................................. 11

6.5

Exemples d'arborescences : ................................................................................................ 11

Gestion de l'accs aux ressources dans les services de domaine ADDS ..................................... 12
7.1

Qu'est-ce qu'une entit de scurit ..................................................................................... 12

7.2

Qu'est-ce qu'un Jeton d'Accs ............................................................................................. 12

7.3

En quoi consistent les autorisations .................................................................................... 13

7.4

Effets de la copie et du dplacement sur les autorisations NTFS ........................................ 14

7.5

Les partages ........................................................................................................................ 14

7.6

lments prendre en compte pour le partage avec NTFS : ............................................... 14

Configuration des objets et approbations AD .............................................................................. 15


8.1

Approbations ADDS ............................................................................................................. 15

Les GPO (stratgies de groupe) ................................................................................................... 16


9.1

Configuration de l'tendue des GPO : .................................................................................. 16

9.2

Crer une GPO : ................................................................................................................... 16

10

Configuration des environnements des utilisateurs et ordinateurs l'aide de GPO ................. 17

10.1

Scripts ................................................................................................................................. 17

10.2

Redirection de dossiers ....................................................................................................... 17

10.3

Configuration des modles d'administration ....................................................................... 17

10.4

Installation de logiciels ........................................................................................................ 18

10.5

Configuration des prfrences des GPO .............................................................................. 18

10.6

Rsolution des problmes de GPO ....................................................................................... 18

11

Implmentation de la scurit l'aide d'une GPO ................................................................... 18


DEHECQ Olivier http://www.entraide-info.fr

11.1

But de DefaultDomainPolicy et de DefaultDomainControllerPolicy ...................................... 18

11.2

Implmentation de stratgies de mots de passe affines .................................................... 18

11.3

Lier un groupe AD un groupe type SAM ............................................................................ 19

11.4

Modles de scurit............................................................................................................. 19

12

Configuration de la conformit des serveurs en matire de scurit ....................................... 19

12.1

EFS (Encrypted File System) ................................................................................................ 19

12.2

Configuration d'une stratgie d'audit................................................................................... 20

12.3

WSUS (9-21 ; 9-23) .............................................................................................................. 20

13

Configuration et gestion des technologies de stockage .......................................................... 21

13.1

Gestionnaire de Ressources de Serveur de Fichiers ............................................................ 21

13.2

Rseaux de stockage ........................................................................................................... 21

DEHECQ Olivier http://www.entraide-info.fr

Prrequis
Ce cours est le 3e de la srie TSRIT.
Pour suivre ce cours, louvrage suivant est conseill :
Support de cours - ENI ditions
Titre

Windows Serveur 2008 : Administration

Auteur

Philippe Freddi

Collection

Certifications

ISBN

978-2-7460-5811-8

Introduction aux taches d'administration dans WS 2008

2.1

Rle serveur

dition standard et entreprise rpandues (entreprise = standard + haute disponibilit)


Licences d'Accs Clients (LAC ou CAL) payer pour que les clients accdent au serveur
small business : ws2008 + Microsoft Exchange + SharePoint + maxi 50 CAL
Au-del de 50 utilisateurs, on paye tout sparment

Rles de serveurs (=services rendus des clients) :

2.2

Serveur de plateforme : 1 = install d'un client local ; 2 = TSE/Citrix ; 3 = navigateur web + IIS
Rle de serveur AD : annuaire, centralisation il faut ADDS avant de mettre le reste
(ADDS=AD)
Serveur Core : pas d'interface graphique. - : pas de services de dploiement, pas de TSE /Citrix.

Vue d'ensemble d'Active Directory


Une architecture de fort active directory peut tre du style :

DEHECQ Olivier http://www.entraide-info.fr

Relations de confiance entre les diffrents domaines de la foret

Les membres dun domaine


Un contrleur de domaine peut tre :

CD pour un domaine existant


CD pour un nouveau domaine dans la fort
CD pour un nouveau domaine dans une nouvelle fort

Partitions de la base ADDS


Unit d'organisation = OU = UO (sous la forme d'un conteneur dans l'arborescence) :

DEHECQ Olivier http://www.entraide-info.fr

Un exemple (dailleurs pas trs bon) dorganisation des Units dOrganisation

Objectifs de lorganisation des units dorganisation :

GPO (stratgies de groupe) de ce conteneur


Dlgations d'organisation (dlgation administrative)
Organiser les objets (cest un objectif SECONDAIRE)

Une fort (au sens Active Directory) est un ensemble de domaines qui s'approuvent mutuellement
(domaine de confiance).

Les serveurs Core :

Ne sont quen ligne de commande (pas dinterface graphique du type Windows cest facile).
Objectif : rendre l'administration faisable que par des personnes qualifies
Ils conviennent aux petites agences dont les personnels seraient tents d'utiliser le serveur
comme un simple poste de travail

Les Read Only Domain Controller (RODC) :

filtrage des utilisateurs contenus dans l'ADDS, base en lecture seule (pas de piratage = pas
dinsertion de donnes dans la base)
convient pour des agences o la scurit des serveurs est minime.
Ne peut videmment- pas tre le seul contrleur du domaine

DEHECQ Olivier http://www.entraide-info.fr

2.3

Utilisation des outils d'administration WS2008


Les deux principaux outils pour ladministration de Windows Serveur 2008 sont :

La console MMC (accessible en excutant mmc.exe )

Le gestionnaire de serveur

DEHECQ Olivier http://www.entraide-info.fr

Utilisation du bureau distance pour l'administration des clients


Les tapes suivre pour se connecter en bureau distant depuis le serveur des clients en utilisant
une console dadministration centralise sont :
1. Sur le serveur WS2008 : mmc.exe bureaux distance
2. Sur le client : autoriser le bureau distance
3. Sur le client : ajouter des utilisateurs autoriss

Cration objets utilisateurs et ordinateurs AD


ADDS contient une ancienne base SAM en + de la base LDAP.
Noms associs au compte utilisateur de domaine :

Nom UPN (nom complet) = guillaume@woodgrovebank.com


CN=guillaume,OU=CustomerService,OU=Miami,DC=Woodgrovebank,DC=com
(du plus prs de l'utilisateur jusqu'au plus loin)

Verrouillage de compte : mauvais mot de passe (action automatique de la machine)


Dsactivation de compte : action de l'administrateur
Copie de compte utilisateur (contient les infos propres tous les membres du conteneur) :

Le renommer en ModeleDuConteneur + Dsactiver le compte (allge la saisie lors des


crations : groupes, bureaux, etc.)
Faire une copie de ce compte lorsqu'on veut crer un nouvel utilisateur sans le mme
conteneur

Utilisation du compte d'ordinateur :

Active Directory (=AD=ADDS) gre chaque nom d'ordinateur en lui attribuant un SID (un
identifiant unique). Si 2 ordinateurs on le mme nom sur le domaine : l'ancien compte
d'ordinateur est supprim et il faut rparer l'erreur, le sortir du domaine puis le rintgrer
dans le domaine.
On peut dsigner un nom dordinateur ayant droit d'intgrer une machine dans le domaine
(avant mme de lintgrer au domaine, il suffit dajouter un objet Ordinateur ayant le mme
nom que la machine qui sera intgre).

DEHECQ Olivier http://www.entraide-info.fr

Automatisation de l'administration des objets ADDS

Console Utilisateurs et Ordinateurs Active Directory


Outils de services d'annuaire (commandes MSDOS : dsadd, dsmod, dsrm )
Commandes MSDOS csvde et ldifde

Utilisation du Powershell (remplaant de linvite de commande MSDOS, le powershell est un


language) :

Pour ajouter un utilisateur :

C:\> dsadd user "CN=Lionel,OU=Marketing,OU=Toronto,DC=Woodgrovebank,DC=com"

Pour extraire des informations utilisateur (mode squentiel)

C:\> LDIFDE

Pour extraire des informations utilisateur (mode tableur spar par des ;) : plus facile pour les
exports

C:\> CSVDE

Prsentation des groupes


Un groupe est dfini par son type :
306B

groupe de scurit (dispose d'un SID) permet de tout faire


groupe de distribution des fins de messagerie seulement

Un groupe est aussi dfini par son tendue (primtre d'utilisation) :

groupes globaux
groupes de domaine local
groupes universels

DEHECQ Olivier http://www.entraide-info.fr

6.1

Niveau fonctionnel (NF)


WS2000, WS2003, WS2008 ont des nouveaux champs chaque nouvelle version qui sont
automatiquement mis jour. Si des serveurs WS2000/WS2003 cohabitent, il faut s'adapter au plus
ancien. Il faut donc dsactiver les fonctionnalits des DC plus rcents.
NT

2000 mixte

2000

2000 mixte

2000 natif

2003

2000 mixte

2000 natif

2003

2008

2000 natif

2003

2008

2008R2

2000 natif

2003

2008

Systme
dexploitation

Niveau de
fonctionnalit
(NF) disponible

2008R2

Les serveurs (mme 2003) qui fonctionnent en NF 2000 mixte doivent changer de NF avant de passer
2008 !
Avant de changer de NF :

sauvegarder
vrifier sur le site TechNet quelles sont les fonctionnalits disponibles du NF
Si a fonctionne, pourquoi changer ?

Il y a un niveau fonctionnel de foret, et un niveau fonctionnel de domaine

Il peut y avoir une foret NF2008 avec des domaines NF2003.

Groupes globaux :

membres : utilisateurs du mme domaine que celui du groupe global


c'est un conteneur d'utilisateurs ayant des besoins similaires
exemple : G_Stagiaires_Prem / G_Stagiaires_Sage

Groupes universel (beaucoup moins utiliss) :

membres : pas de restriction, dans la mme fort


c'est une combinaison de groupes prsents sur plusieurs domaines
autorisations sur tous les domaines de la foret
ils sont dupliqu sur tous les DC des domaines de de la foret viter de les utiliser
Exemple : U_Stagiaires / U_animateurs (tous les animateurs, tous les stagiaires)

groupes de domaines locaux :

membres : de tous les membres de la foret


autorisations attribues au sein du domaine ou existe le groupe de domaine local

DEHECQ Olivier http://www.entraide-info.fr

10

6.2

Imbrication des groupes (trs important)


Microsoft recommande limbrication de type AGDuLP :

A (comptes utilisateurs)
G (Groupes globaux). Ces Groupes globaux peuvent faire partie dautres Groupes globaux si
besoin.
U (Groupes Universels). Si il y a plusieurs forts avec des relations dapprobations) :
gnralement pas le cas
DL (Groupes de Domaine Local)
P (permissions sur les rpertoires partags)

Marche suivre :
1.
2.
3.
4.

On cre les utilisateurs


On cre les groupes globaux (G_service paye ) dans le cas de multi-domaines
On cre les groupes de domaine local (DL_accs) en lecture pour SRVFIC1-Partage1
On cre les permissions (ACL)

A retenir : AG(U)DLP

6.3

Administration des groupes


Pour modifier l'appartenance un groupe (soit on fait partir de l'utilisateur ou partir du groupe)

6.4

Cration des units d'organisation (OU)


On cre d'abord les units d'organisation puis, quand on cre un nouvel utilisateur, on le place
directement dans une OU
Exemples d'arborescences :

Une OU sert :

Dlgation administrative (dlgation de droits)


Stratgies de groupe (GPO)
Reprsenter des structures logiques

Pour supprimer une OU protge contre la suppression :

Gestionnaire de serveur > Affichage > Fonctionnalits avances


DEHECQ Olivier http://www.entraide-info.fr

11

Gestion de l'accs aux ressources dans les services de domaine


ADDS

7.1

Qu'est-ce qu'une entit de scurit


S 1 5 21 Id_de_Domaine Id_de_l'objet_(au_sein_du_domaine)

S: SID (indique que cest un SID)


1 : version du SID
5 : Id de l'autorit de certification
21 : Domaine AD (indique que cest un domaine ActiveDirectory)

Consquence : un utilisateur n'aura pas du tout le mme SID si on le change de domaine !!!

7.2

Son Id_de_Domaine et son Id_de_lObjet seront diffrents !

Qu'est-ce qu'un Jeton d'Accs


Procdure d'authentification :
1.
2.
3.
4.
5.

Interrogation du DNS : quel est le poste ADDS pour stagiaires.local ?


DNS rpond : c'est DC.stagiaires.local 172.24.16.1
envoi des identifiants au DC : Lionel@stiagiaires.local Pa$$w0rd
DC renvoie le Jeton d'Accs contenant : SID Lionel, SID G_Stagiaires, G_M74 )
quand Lionel veut accder une ressource, il renvoie l'intgralit des SID contenus dans le
jeton d'accs.

DEHECQ Olivier http://www.entraide-info.fr

12

7.3

En quoi consistent les autorisations


Dossier > Proprits > Scurit > Avancs

Autorisations DACL
Audit SACL
Chaque ligne d'une ACL correspond une ACE (entre de contrle daccs)

Paramtres avancs de longlet scurit dun rpertoire


Exemples dentres dans les ACL (prconisation Microsoft) :

DL_accs en lecture sur SRV1-Partage


DL_accs en CT sur SRV1-Partage
DL_REFUS en lecture sur SRV1-Partage
DL_accs en modification sur SRV1-Partage

G_Marketing
G_ITAdmins
G_BranchManagers
G_Investments

On fait les droits en fonction du nom des DL


Les croix grises (dans la partie Autorisations) sont hrites dun rpertoire parent

Si on ne modifie pas l'hritage, il y a juste besoin de modifier et appliquer les droits.

Si on modifier lhritage. Copie = copie les droits des parents ; Supprimer = enlve tous les droits
hrits

Autorisations effectives permet de connatre les autorisations d'un utilisateur en particulier en


fonction des autorisations appliques.
Rappel : un refus explicite prime sur des autorisations explicites.

Les refus hrits d'un rpertoire parents ne priment pas sur les autorisations explicites
Remplacer toutes les autorisations (case cocher) :

Remplace les autorisations des rpertoires enfants par celles du rpertoire actuel

DEHECQ Olivier http://www.entraide-info.fr

13

7.4

Effets de la copie et du dplacement sur les autorisations NTFS


Mme partition

Partition diffrente

Copie

hrite

hrite

Dplacement

Conserve

hrite

Le dplacement de fichiers sur une mme partition est d'ailleurs plus rapide, non ? ;)

7.5

Les partages
Le filtrage se fait au plus prs de la ressource :

Imaginer le partage comme un gardien de parking de la boite (peu regardant)


Imaginer les autorisations NTFS comme le videur l'entre de la boite (trs regardant)

Type de droits de Partage : Lecture / Modification / Contrle Total (CT)


Conseil : Virer Tout le monde remplacer par : Utilisateurs authentifis
lments prendre en considration lors de la cration dun partage :

Attribuer les autorisations aux groupes : AGuDLP !!!


Ajouter utilisateurs authentifis , enlever tout le monde

Fichier hors connexion :

7.6

Pour UN SEUL utilisateur (le fichier le plus rcent crase le plus ancien)
On peut rendre un partage indisponible hors connexion partir du serveur

lments prendre en compte pour le partage avec NTFS :

accorder les autorisations aux groupes (AGDLP)


refuser seulement en cas de ncessit
ne jamais refuser l'accs Tout le monde
CT au niveau du partage (pour Utilisateurs authentifis)
affiner les autorisations au niveau NTFS

DEHECQ Olivier http://www.entraide-info.fr

14

Configuration des objets et approbations AD


Proprits de l'OU Miami > Onglet Scurit autorisation au niveau de la gestion de l'OU
Dlgation administrative :

C:\Windows\System32\delegwiz.inf

personnaliser si besoin pour ajouter d'autres taches dlgables.


Exemple : autorisation de verrouiller un compte ordinateur

Pour faire de la dlgation depuis un client :

WinXP / Win2000 AdminPak


WinVista / Win7 RSAT
ainsi que Dlgation de contrle

Pour faire une console ergonomique pour le gestionnaire d'OU :


mmc.exe >

8.1

utilisateurs et ordinateurs AD

Slectionner l'OU
Nouvelle fentre partir d'ici
Nouvelle vue de la liste des tches

Approbations ADDS

La direction dfinit le domaine de comptes et le domaine de ressources :

Ressources (approuve) Comptes

Dans une fort, les domaines s'approuvent mutuellement (bidirectionnelle et transitive)

DEHECQ Olivier http://www.entraide-info.fr

15

Les GPO (stratgies de groupe)

TCO (cout total de possession) : fait baisser le dploiement et l'administration (MJ,


dpannages)
ROI (retour sur investissement) augmente
Une GPO permet d'automatiser la gestion des ordinateurs et des utilisateurs (pas des groupes
!!)
On peut rcuprer les modles d'administration de logiciels non prvus dans les GPO (.ADM)

Fichiers ADM :

Attention la langue utilise par l'OS (peut crer des incompatibilits)


Attention aux paramtres de l'OS plus nombreux que ceux du DC quand on utilise adminpak

Sur le serveur : C:\Windows\SYSVOL\Magasin central (pour y placer les .ADMX)

si un magasin central existe et que l'OS client est > XP rechercher un magasin central
sinon utilise les modles d'administration locaux

Fichiers modle client : C:\Windows\Policydefinition (fichiers ADMX)

9.1

Configuration de l'tendue des GPO :


Les GPO peuvent tre :

lies un domaine
lies des OU

Attention : ne gre pas les groupes des OU mais seulement les ordinateurs et utilisateurs prsents
Sur l'OU, bloquer l'hritage permet de ne pas faire s'appliquer les GPO des niveaux suprieurs
Sur la GPO applique : forcer la GPO la fait s'appliquer aux objets enfants, mme en bloquant
l'hritage

9.2

Crer une GPO :


1.
2.
3.
4.
5.

Objet de stratgie de groupe (gpmc.msc), Nouveau


Donner un nom clair la GPO, cliquer sur OK
Clic droit sur la nouvelle GPO, Modifier
Stratgies > Modles d'admin > Tous les paramtres (filtres + options des filtres)
Cliquer/glisser la GPO l o on veut qu'elle s'applique

Filtrage de scurit d'une GPO slective ( faire en dernier recours) :

Pour une GPO ne s'appliquant qu'au G_Stagiaires :


o Ajouter le groupe G_Stagiaires + supprimer le groupe Utilisateurs Authentifis
Pour une GPO sappliquant tout le monde sauf au G_Directeurs :
o ajouter le groupe G_Directeurs et mettre un refus explicit, laisser Utilisateurs
Authentifis

Mettre en pause une GPO Etat GPO > Dsactiv | Que la partie ordi | Que la partie utilisateur

DEHECQ Olivier http://www.entraide-info.fr

16

Mode de fonctionnement par boucle de rappel :

GPOordi libre (sapplique avant) GPOde l'utilisateur (sapplique avant) partie ordinateur de GPOordi libre

Filtrage WMI :

Application ou non de la GPO en fonction de caractristiques internes de l'ordi

Rsultats de la stratgie de groupe :

Rcupration des infos de GPO (il faut que la session soit active). penser gpupdate /force

Modlisation de la stratgie de groupe :

Simulation du rsultat (on peut changer OU, Groupes, Utilisateur, Ordinateur )

Dlgations :
Attention, selon l'objet slectionn, les possibilits ne sont pas les mmes

Objet de stratgies de groupes : dlgation : peuvent crer des GPO


Sur la GPO elle-mme : dlgation : domaine d'application de la GPO
OU : dlgation : lier des GPO ; lancer des analyses ; lire les rsultats

10

Configuration des environnements des utilisateurs et ordinateurs


l'aide de GPO

10.1

Scripts
Modification de la GPO dans gpmc.msc

Ordinateur > Paramtres Windows > Scripts (ne s'applique qu'aux ordinateurs de l'OU)

10.2

Script de dmarrage / script darrt dordinateur


Utilisateur > Paramtres Windows > Scripts (ne s'applique qu'aux utilisateurs de l'OU)
Script de dmarrage de session/ script de fermeture de session

Redirection de dossiers
On peut rediriger certains dossiers cibls vers un lecteur rseau) : AppData, Bureau, Docs

Utilisateur > Paramtres Windows > Redirection des dossiers


Dossier partag (utilisateurs authentifis en CT)
(!) Rediriger vers l'emplacement suivant grer les scurits soi-mme
Mettre un chemin rseau type \\NYC-DC1\DocsUsers\ (type UNC)

10.3

Configuration des modles d'administration


Contrle l'environnement de l'OS (modification du registre, de lenvironnement utilisateurs, etc.)

DEHECQ Olivier http://www.entraide-info.fr

17

10.4

Installation de logiciels

10.5

A partir dun partage rseau


que des fichiers dinstallation de type .MSI
tester l'installation automatique (ou fichiers rponses si besoin) avant de le dployer
Attention : publi (dans la partie Utilisateur) laisse le choix l'utilisateur d'installer ou non

Configuration des prfrences des GPO


Prfrences : permet de changer des paramtres de GPO (ex. : installation d'imprimante rseau) mais
l'utilisateur peut aller l'encontre de ces prfrences.
Si lOS du client est infrieur WinVista, il faut installer CSE (client side extention)

10.6

Rsolution des problmes de GPO


Tout dabord on teste si la GPO est bien rcupre et traite avec gpresult
Cas ou une GPO nest pas traite, on lance un test :

GPO rcupre et/ou traite : Il y a une autre GPO qui va l'encontre, paramtre(s) non pris
en charge, etc.
GPO non traite : Objet non concern, filtrage de scurit, WMI, etc.

11

Implmentation de la scurit l'aide d'une GPO

11.1

But de DefaultDomainPolicy et de DefaultDomainControllerPolicy


La stratgie de compte/mot de passe se fait dans DefaultDomainPolicy car c'est une GPO lie au
domaine ET d'ordre des liens niv.1
Ordre des liens : 5 1 stratgie 1 est applique en dernier (celle qui a le dernier mot)
Verrouillage de mots de passe fait par la GPO DefaultDomainControllerPolicy car c'est le DC qui gre
les objets ordinateurs du domaine.

11.2

Implmentation de stratgies de mots de passe affines


Attention : il faut tre en Niveau Fonctionnel de Domaine = WS2008

rserv aux administrateurs qui s'y connaissent

But : modifier les stratgies de mots de passe pour des groupes


1. Crer la stratgie de mots de passe affine

Modifications ADSI > Nouveau (Domaine) > System > Password Setting Configuration >
Nouveau Rentrer les paramtres (attention, la dure est exprime en JJ:HH:mm:ss)
2. Lier la stratgie un groupe

Utilisateurs et Ordinateurs AD > (affichage avanc) System > Password Setting Container >
Proprits > Scurit > Choisir les groupes concerns

DEHECQ Olivier http://www.entraide-info.fr

18

11.3

Lier un groupe AD un groupe type SAM


Mthode :

Dans GPO > Ordinateur > Paramtres Windows > Groupes restreints ; chercher un groupe
dans BuiltIn, ajouter le groupe du domaine cibl
Stratgie de restriction logicielle :
1. Ajouter une stratgie (nouvelle stratgie de scurit logicielle ; niveau de scurit :
o tout autoriser sauf
o tout refuser sauf (non recommand)
2. Dfinir les exceptions selon : rgle de certificat, rgle de hachage, chemin d'accs

11.4

Modles de scurit
Des modles existent, mais ils sont surtout utiles pour UN rle particulier rare
Cration assiste de modle tester avant !

12

Configuration de la conformit des serveurs en matire de scurit


Il faut appliquer la scurit tous les niveaux afin de bloquer le niveau suprieur si un niveau est
pass (livre 9-5). Le but est de verrouiller toutes les couches. Un administrateur a comme premier
objectif la scurit !

12.1

EFS (Encrypted File System)


Un certificat contient cl prive + une cl publique
Fichier clair cl symtrique Fichier crypt
Inconvnient de l'EFS : ne permet pas de chiffrer les donnes du systme d'exploitation (pour a on
utilise BitLocker)
Attention : Avec EFS, si on rinitialise le mot de passe utilisateur on ne peut utiliser ses cls. Il faut
donc dfinir un agent de rcupration

12. 1. 1
327B

DEHECQ Olivier http://www.entraide-info.fr

19

12.2

Configuration d'une stratgie d'audit


Traabilit : utile sur une OU=Serveurs (cela permet de connaitre les mouvements effectus dans
cette OU)

Ordinateur > Paramtres Windows > Scurit > Stratgie d'audit


Doit tre cibl :

quelle ressource auditer ?


quels vnements ?
dure de l'audit ?

Exemple : tracer des utilisateurs qui suppriment des fichiers dans un rpertoire partag

GPO : accs aux objets, russite


Dossier : tout le monde, suppression de dossiers
En invite de commande :

C:\> auditpol /[get|list|set] /[category|subcategory]

12.3

aller consulter les vnements d'audit

WSUS (9-21 ; 9-23)


Serveur de mises jour Windows update
Il faut toujours tester les mises jour avant de les dployer en production :

Exemple : 1 groupe maquette test ; 1 groupe maquette Prod ; 1 groupe Prod1/Prod2/Prod3

C'est le client qui doit aller chercher les mises jour. Il faut donc raliser une GPO si besoin
wuauclt.exe force la recherche des mises jour Windows sur le serveur WSUS

DEHECQ Olivier http://www.entraide-info.fr

20

13

Configuration et gestion des technologies de stockage


La gestion du stockage fait partie des rles de l'administrateur :

assurer un suivi (volution de la consommation pour prvoir les besoins)


garder un historique : attention au seuil critique
Augmentation justifie ou non ? informer les utilisateurs de la nature des docs stocker

Analyse : capacit, cout, migration des donnes, quotas FSRM


Quotas :

analyser qui occupe quoi sans limiter l'espace disque


limiter l'espace disque. Attention, loutil de base se limite aux partitions

FSRM : Gestionnaire de Ressources de Serveur de Fichiers

13.1

Gestionnaire de Ressources de Serveur de Fichiers


Quotas :

13.2

sur les dossiers (un quota sur l'ensemble des donnes contenues)
automatique (un quota gal par sous-dossier)
Rapport sur l'utilisation du disque

Rseaux de stockage

Rseaux NAS : disque dur avec partage de ressources intgr Pas cher
Rseaux SAN : rseau ddi de stockage. Possibilits leves, trs cher (plusieurs dizaines de
milliers d' minimum)

DEHECQ Olivier http://www.entraide-info.fr

21

S-ar putea să vă placă și