Documente Academic
Documente Profesional
Documente Cultură
Le rle Services de fichiers ............................................................................................. 246 Les autorisations de fichiers NTFS ................................................................................ 255 Recherche de comptes dutilisateurs et dordinateurs dans Active Directory ... 262 Dlgation du contrle administratif des units dorganisation ............................. 265 En rsum ............................................................................................................................ 269
Chapitre 10
Lun des rles les plus utiliss sous Windows Server est le rle de serveur de chiers. Un serveur de chiers fournit un emplacement central sur votre rseau o vous pouvez stocker des ressources (chiers) et les partager avec des utilisateurs de votre rseau. Lorsque les utilisateurs ont besoin dun chier important qui doit tre accessible pour un grand nombre de personnes, ils peuvent accder distance au chier situ sur le serveur de chiers au lieu de transfrer le chier entre les ordinateurs individuels. Lorsque vous partagez ces chiers, vous allez dnir les autorisations adquates laide des groupes et comptes dutilisateurs et dordinateur au pralablement crs dans Active Directory. Dans ce chapitre, vous dcouvrirez les principales nouveauts de Windows Server 2008 en la matire.
1 Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer puis Gestionnaire de Serveur. 2 Dveloppez larborescence du Gestionnaire de Serveur, cliquez sur Rles puis sur Ajouter des rles. 3 Dans lAssistant Ajout de rles, slectionnez le rle Services de fichiers et cliquez sur Suivant (voir Figure 10.1). 4 Aprs avoir cliqu sur Suivant, slectionnez le service requis. Ici, en loccurrence, slectionnez le service Serveur de fichiers puis cliquez sur Suivant (voir Figure 10.2).
Chapitre 10
Chapitre 10
Votre serveur est prt tre congur en tant que serveur de chiers.
Vous pouvez partager le contenu de ressources (dossiers et volumes) sur votre serveur par le rseau laide de lAssistant Prvision dun dossier partag, disponible dans Gestion du partage et du stockage. Cet Assistant vous guide dans les oprations ncessaires pour partager un dossier ou un volume et lui affecter toutes les proprits applicables. Avec cet Assistant, vous pouvez effectuer les oprations suivantes :
Chapitre 10
spcier le dossier ou le volume que vous souhaitez partager ou crez un nouveau dossier partager ; spcier le protocole de partage rseau utilis pour accder la ressource partage ; modier les autorisations NTFS locales du dossier ou du volume que vous partagerez ; spcier les autorisations daccs au partage, les limites dutilisateurs, et laccs hors connexion aux chiers dans la ressource partage.
laide de Gestion du partage et du stockage, vous pouvez galement administrer vos nouvelles ressources partages et vos ressources partages existantes. Vous pouvez :
j j j j
arrter le partage dun dossier ou dun volume ; changer les autorisations NTFS pour un dossier ou un volume ; changer les autorisations daccs de partage, la disponibilit hors connexion et dautres paramtres dune ressource partage ; voir quels utilisateurs ont actuellement accs un dossier ou un chier et dconnecter un utilisateur si ncessaire.
Loutil Gestion du partage et du stockage possde aussi une section stockage qui vous permet danticiper et congurer vos besoins en espace disque. Vous pouvez prvoir le stockage des chiers sur des disques qui sont disponibles sur le serveur. LAssistant Prvision de stockage vous guide dans le processus de cration dun volume sur un disque existant, ou sur une baie de stockage connecte votre serveur. Si le volume va tre cr sur une baie de stockage, lAssistant est capable de vous guider galement dans le processus de cration dun LUN (dcoupage disque unique) qui hberge ce volume. Loutil Gestion du partage et du stockage peut vous aider galement surveiller et grer les volumes que vous avez crs, ainsi que dautres volumes disponibles sur votre serveur. laide de Gestion du partage et du stockage, vous pouvez effectuer les oprations suivantes :
j j j
Chapitre 10
j j
changer les proprits dun volume, telles que la compression, la scurit, la disponibilit hors connexion et lindexation ; accder des outils de disque permettant le contrle derreur, la dfragmentation et la sauvegarde.
spcier le dossier ou le volume que vous souhaitez partager ou crez un nouveau dossier partager ; spcier le protocole de partage rseau qui sera utilis pour accder la ressource partage ; modier les autorisations NTFS locales du dossier ou du volume que vous partagerez ; spcier les autorisations daccs au partage, les limites dutilisateurs, et laccs hors connexion aux chiers dans la ressource partage.
Pour mener bien cette procdure, il faut appartenir au groupe Administrateurs ou un groupe quivalent. Pour partager un dossier ou un volume, procdez comme suit :
1 Cliquez sur Dmarrer, Outils dadministration puis Gestion du partage et du stockage. 2 Dans le volet Actions, cliquez sur Prvoir le partage. LAssistant Conguration dun dossier partag se lance (voir Figure 10.4). 3 Entrez le chemin ou crez le rpertoire ou volume que vous souhaitez partager et cliquez sur Suivant (voir Figure 10.5).
Chapitre 10
Chapitre 10
4 Vous avez la possibilit de modier les autorisations NTFS en cliquant sur Oui, modifier les autorisations NTFS puis sur Modifier les autorisations. Une fois les autorisations en rgle, cliquez sur Suivant.
5 Slectionnez le protocole de partage ainsi que le nom de partage puis cliquez sur Suivant.
Figure 10.7 :
Paramtres SMB
Chapitre 10
6 Spciez la faon dont le dossier partag peut tre employ par lutilisateur. En cliquant sur Avanc, vous avez la possibilit de congurer le nombre maximal dutilisateurs, la disponibilit hors connexion des chiers et aussi dactiver lnumration base sur laccs qui est une fonctionnalit trs utile, permettant de lister lutilisateur uniquement les partages pour lesquels il possde les droits daccs. Cliquez sur Suivant.
Chapitre 10
8 Vous avez la possibilit de publier le partage sur un espace de noms DNS. Nous cliquerons directement sur Suivant. 9 LAssistant est termin. Cliquez sur Crer pour que le partage sapplique.
1 Cliquez sur Dmarrer, Outils dadministration puis Gestion du partage et du stockage. 2 Dans le volet Actions, cliquez sur Grer les sessions. (Pour fermer une session spcique, slectionnez cette dernire et cliquez sur Fermer la slection.) 3 Dans le volet Actions, cliquez sur Grer les fichiers ouverts. (Pour fermer un chier spcique, slectionnez ce dernier et cliquez sur Fermer la slection.)
Chapitre 10
Action Autorisation de modication, prise de possession et excution des actions autorises par toutes les autres autorisations NTFS sur les chiers
Chapitre 10
Action Modication et suppression du chier et excution des actions associes lautorisation dcriture et lautorisation de lecture et dcriture Excution dapplications et des actions associes lautorisation de lecture crasement du chier, changement de ses attributs et affichage du propritaire du chier et des autorisations Lecture du chier et affichage de ses attributs, du propritaire et des autorisations
Lecture
Le tableau suivant rpertorie les autorisations NTFS standard sur les dossiers, que vous pouvez accorder, et le type daccs associ chaque autorisation.
Tableau 10.2 : Autorisations NTFS standard sur les dossiers
Action Modication des autorisations, prise de possession, suppression des sous-dossiers et des chiers et excution des actions associes toutes les autres autorisations NTFS sur le dossier Suppression du dossier et excution des actions associes lautorisation dcriture et lautorisation de lecture et dexcution Navigation dans les dossiers et excution des actions associes lautorisation de lecture et lautorisation daffichage du contenu du dossier Cration de chiers et de sous-dossiers dans le dossier, modication des attributs de dossier et identication du propritaire et des autorisations du dossier Affichage des chiers et des sous-dossiers du dossier, des attributs du dossier, du propritaire et des autorisations Affichage des noms des chiers et des sousdossiers du dossier
Modification
Lecture et excution
criture
Lecture
Chapitre 10
Une fois que vous connaissez limpact et le primtre daction des autorisations, vous navez plus qu les appliquer sur les chiers et dossiers de lentreprise. Bien entendu, il faut que vos dossiers soient partags si vous souhaitez quils soient visibles depuis le rseau.
Lorsquune autorisation dexcuter une opration nest pas explicitement accorde, elle est implicitement refuse. Si, par exemple, le groupe Direction dispose de lautorisation Lecture sur un fichier, les utilisateurs qui ne sont pas membres du groupe ne peuvent accder implicitement lobjet. Le systme dexploitation ne permet pas aux utilisateurs non membres du groupe Direction de lire le chier. Vous refusez explicitement une autorisation lorsque vous voulez empcher un utilisateur daccder un chier alors que le groupe dont il fait partie a le droit dy accder.
Chapitre 10
2 Slectionnez le rpertoire de votre choix. En cliquant du bouton droit, slectionnez Proprits. 3 Cliquez sur longlet Autorisations puis sur Autorisations NTFS.
Chapitre 10
4 Dans longlet Scurit de la bote de dialogue Proprits, procdez de lune des manires suivantes :
Pour accorder des autorisations un groupe ou un utilisateur qui napparat pas dans la zone Groupes ou noms dutilisateurs, cliquez sur Ajouter. Dans le champ Entrez les noms des objets slectionner de la bote de dialogue Slectionnez Utilisateurs, Ordinateurs ou Groupes, tapez le nom du groupe ou de lutilisateur auquel vous voulez accorder des autorisations. Cliquez sur OK. Pour changer ou annuler les autorisations dun groupe ou dun utilisateur, cliquez sur le nom du groupe ou de lutilisateur dans la zone Groupes ou noms dutilisateurs. Pour accorder ou refuser une autorisation, activez la case cocher Autoriser ou Refuser dans la zone Autorisations pour. Pour supprimer le groupe ou lutilisateur de la zone Groupes ou noms dutilisateurs, cliquez sur Supprimer. Pour changer les autorisations spciales, procdez comme suit :
1 Cliquez sur Dmarrer, Outils dadministration puis Gestion du partage et du stockage. 2 Slectionnez le rpertoire de votre choix. En cliquant du bouton droit, slectionnez Proprits. 3 Cliquez sur longlet Autorisations puis sur Autorisations NTFS. 4 Cliquez sur Avanc dans longlet Scurit.
Chapitre 10
5 Dans la bote de dialogue Paramtres de scurit avanc, effectuez lune des oprations suivantes :
Pour accorder des autorisations spciales un groupe ou un utilisateur supplmentaire, cliquez sur Ajouter. Dans la zone Entrez le nom de lobjet slectionner de la bote de dialogue Slectionnez Utilisateurs, Ordinateurs ou Groupes, tapez le nom de lutilisateur ou du groupe, puis cliquez sur OK. Pour consulter ou changer les autorisations spciales dun groupe ou dun utilisateur, cliquez sur le nom du groupe ou de lutilisateur, puis sur Modifier.
6 Si vous souhaitez modier les autorisations spciales, activez ou dsactivez la case cocher Autoriser ou Refuser dans la bote de dialogue Autorisations quand vous avez cliqu sur Modifier.
7 Dans la liste droulante Appliquer, cliquez sur les dossiers ou les sous-dossiers auxquels vous voulez appliquer les autorisations. 8 Pour dnir la scurit an que les sous-dossiers et les chiers nhritent pas de ces autorisations, dsactivez la case cocher
Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur.
Chapitre 10
9 Cliquez sur OK, puis de nouveau sur OK dans la bote de dialogue Paramtres de scurit avanc.
Autorisations hrites
Par dfaut, les autorisations accordes un dossier parent sont transmises ses sous-dossiers et ses chiers. Les autorisations sont hrites du dossier parent. Lhritage des autorisations simplie laffectation des autorisations aux dossiers parents, sous-dossiers et ressources. Vous pouvez toutefois prfrer empcher lhritage pour que les autorisations ne se propagent pas dun dossier parent aux sous-dossiers et aux chiers. Lorsque vous interdisez lhritage des autorisations, vous pouvez soit copier les autorisations transmises par le dossier parent, soit supprimer les autorisations transmises et conserver uniquement les autorisations affectes explicitement. Le dossier sur lequel vous interdisez lhritage des autorisations devient le nouveau dossier parent et ses sous-dossiers et ses chiers hritent de ses autorisations. Pour copier ou annuler les autorisations hrites, procdez comme suit :
1 Cliquez sur Dmarrer, Outils dadministration puis Gestion du partage et du stockage. 2 Slectionnez le rpertoire de votre choix. En cliquant du bouton droit, slectionnez Proprits. 3 Cliquez sur longlet Autorisations puis sur Autorisations NTFS. 4 Cliquez sur Avanc dans longlet Scurit. Dans la bote de dialogue Paramtres de scurit avanc, dsactivez la case cocher Inclure les autorisations pouvant tre hrites du parent de cet objet. Cela inclut les objets dont les entres sont spciquement dnies ici (voir Figure 10.15). 5 Dans la bote de dialogue Scurit de Windows, cliquez sur lune des options suivantes :
Cliquez sur Copier pour copier les entres dautorisation prcdemment appliques du parent vers lobjet.
Chapitre 10
Cliquez sur Supprimer pour supprimer les entres dautorisation qui taient prcdemment appliques partir du parent et conserver uniquement les autorisations affectes explicitement.
6 Dans la bote de dialogue Paramtres de scurit avanc, cliquez sur OK. 7 Dans la bote de dialogue Proprits, cliquez sur OK.
Chapitre 10
tant donn que tous les comptes dutilisateurs se trouvent dans Active Directory, les administrateurs peuvent rechercher les comptes dutilisateurs quils grent. La recherche des comptes dutilisateurs dans Active Directory vous vite davoir naviguer dans des centaines ou des milliers de comptes sous Utilisateurs et ordinateurs Active Directory. Outre les comptes dutilisateurs, vous pouvez galement rechercher dautres objets dans Active Directory, savoir des ordinateurs, des imprimantes et des dossiers partags. Une fois que vous avez localis ces objets, vous pouvez les administrer dans la bote de dialogue Rsultats de la recherche. Si la recherche aboutit, les rsultats saffichent dans une bote de dialogue et vous pouvez excuter des fonctions dadministration sur les objets trouvs. Les fonctions dadministration disponibles dpendent du type de lobjet. Sil sagit dun compte dutilisateur, par exemple, vous pouvez le renommer, le supprimer, le dsactiver, rinitialiser son mot de passe, dplacer le compte dutilisateur dans une autre unit dorganisation ou modier ses proprits. Pour administrer un objet partir de la bote de dialogue Rsultats de la recherche, cliquez du bouton droit sur lobjet et slectionnez une action dans le menu. Active Directory fournit des informations sur tous les objets du rseau, cest--dire sur les utilisateurs, les groupes, les ordinateurs, les imprimantes, les dossiers partags et les units dorganisation. La bote de dialogue Rechercher Utilisateurs, contacts et groupes facilite la recherche des utilisateurs, des contacts et des groupes. Utilisez la fonction Recherche dordinateurs pour localiser des ordinateurs dans Active Directory, laide de critres tels que le nom affect lordinateur ou le systme dexploitation de lordinateur. Lorsque vous avez trouv lordinateur, vous pouvez ladministrer en cliquant du bouton droit sur ce dernier dans la bote de dialogue Rsultats de la recherche, puis en cliquant sur Grer. Lorsquune imprimante partage est publie dans Active Directory, vous pouvez la rechercher laide de la fonction Recherche dimprimantes en prcisant certains critres tels que son numro de matriel, le langage quelle utilise ou encore si elle prend en charge limpression recto verso. Une fois que vous avez localis limprimante, vous pouvez facilement vous y connecter en cliquant du bouton droit dessus dans la bote de
LE GUIDE COMPLET 263
Chapitre 10
dialogue Rsultats de la recherche, puis en cliquant sur Connecter ou encore en double-cliquant sur limprimante. Lorsquun dossier partag est publi dans Active Directory, vous pouvez le rechercher laide de la fonction Recherche de dossiers partags en prcisant certains critres tels que les mots-cls qui lui sont affects, le nom du dossier ou le nom de la personne qui le gre. Lorsque vous avez localis le dossier, vous pouvez ouvrir lExplorateur Windows pour visualiser les chiers contenus dans le dossier en cliquant du bouton droit sur ce dernier dans la bote de dialogue Rsultats de la recherche, puis en cliquant sur Explorer. Dans Active Directory, vous pouvez rechercher des objets familiers tels que des ordinateurs, des imprimantes ou des utilisateurs. Vous pouvez galement rechercher dautres objets comme une unit dorganisation ou un modle de certicat. Utilisez la fonction Recherche personnalise pour crer des requtes personnalises laide des options de recherche avance ou encore crer des requtes de recherche avance laide de LDAP qui est le principal protocole daccs de Active Directory. Vous pouvez utiliser la fonction Recherche de requtes communes pour excuter des requtes dadministration communes dans Active Directory. Vous pouvez, par exemple, rechercher rapidement les comptes dutilisateurs ou dordinateurs qui ont t dsactivs. Pour chaque type de recherche, except Recherche de requtes communes, il existe un onglet Avanc que vous pouvez utiliser pour crer une recherche plus dtaille. Par exemple, vous pouvez rechercher tous les utilisateurs appartenant une ville ou associs un code postal partir de longlet Avanc. Pour effectuer des tches dadministration sur un compte dutilisateur ou un compte dordinateur, vous devez dabord rechercher le compte dans Active Directory. Cela peut savrer compliqu si votre structure Active Directory est vaste. Pour rechercher un compte dutilisateur, procdez comme suit :
1 Ouvrez la console Utilisateurs et ordinateurs Active Directory. 2 Pour effectuer la recherche dans lensemble du domaine, cliquez du bouton droit sur le nud de domaine dans larborescence de la console, puis cliquez sur Rechercher. Si vous savez dans quelle
Chapitre 10
unit dorganisation lutilisateur se trouve, cliquez du bouton droit sur cette dernire puis sur Rechercher. 3 Dans la bote de dialogue Rechercher Utilisateurs, contacts et groupes, tapez dans la zone Nom le nom de lutilisateur rechercher. 4 Cliquez sur Rechercher.
Chapitre 10
Windows Server 2008 comprend des autorisations et des droits utilisateur spciques qui vous permettent de dlguer le contrle administratif. En utilisant une combinaison dunits dorganisation, de groupes et dautorisations, vous pouvez confrer des droits dadministration un utilisateur particulier de telle sorte que celui-ci dispose dun niveau appropri dadministration sur tout un domaine, sur toutes les units dorganisation dans un domaine ou sur une seule unit dorganisation. Vous pouvez employer lAssistant Dlgation de contrle pour dlguer le contrle administratif des units dorganisation. Lutilisation de cet Assistant vous permet de dlguer des tches dadministration courantes, telles que la cration, la suppression et la gestion des comptes dutilisateurs. Procdez comme suit pour dlguer des tches dadministration courantes pour une unit dorganisation :
1 Ouvrez le composant logiciel enchable Utilisateurs et ordinateurs Active Directory. Pour cela, cliquez sur Dmarrer, Outils dadministration et Utilisateurs et ordinateurs Active Directory. 2 Dans larborescence de la console, double-cliquez sur le nom du domaine. 3 Dans le volet de dtails, cliquez du bouton droit sur lunit dorganisation, cliquez sur Dlgation de contrle puis sur Suivant.
Chapitre 10
4 Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez dlguer des tches dadministration courantes en allant dans la page Utilisateurs ou groupes. Cliquez sur Ajouter. 5 Dans la bote de dialogue Slectionner des utilisateurs, des ordinateurs ou des groupes, tapez les noms des utilisateurs et des groupes auxquels vous souhaitez dlguer le contrle de lunit dorganisation, cliquez sur OK puis sur Suivant. 6 Dans la page Tches dlguer, cliquez sur Crer une tche personnalise dlguer puis cliquez sur Suivant.
7 Dans la page Type dobjet Active Directory, effectuez lune des oprations suivantes :
Cliquez sur De ce dossier et des objets qui sy trouvent.
Dlguer aussi la cration de nouveaux objets dans ce dossier, puis cliquez sur Suivant.
Cliquez sur Seulement des objets suivants dans le dossier, slectionnez le type dobjet Active Directory dont vous souhaitez dlguer le contrle puis cliquez sur Suivant.
8 Slectionnez les autorisations que vous souhaitez dlguer puis cliquez sur Suivant.
Chapitre 10
Lorsque vous dlguez le contrle de la cration dobjets dans Active Directory un utilisateur ou un groupe, ces derniers peuvent crer un nombre dobjets illimit. Vous pouvez limiter le nombre dobjets quune entit de scurit peut possder dans une partition dannuaire, en implmentant un quota pour cette entit. Pour obtenir la liste des autorisations que vous pouvez dlguer pour les objets slectionns, ou pour dlguer la cration et la suppression dobjets enfants parmi les objets slectionns, activez la case cocher Spcifique aux proprits.
En utilisant le composant logiciel enchable Utilisateurs et ordinateurs Active Directory, vous pouvez galement vrier que lAssistant Dlgation de contrle a correctement dlgu lautorit deffectuer les tches. Pour ce faire, procdez de la faon suivante :
1 Ouvrez le composant logiciel enchable Utilisateurs et ordinateurs Active Directory. Pour cela, cliquez sur Dmarrer, Outils dadministration et Utilisateurs et ordinateurs Active Directory. 2 Cliquez dans le menu Affichage puis sur Fonctionnalits avances.
En rsum
Chapitre 10
3 Dans larborescence de la console, double-cliquez sur le nom du domaine. 4 Dans le volet de dtails, cliquez du bouton droit sur lunit dorganisation puis cliquez sur Proprits. 5 Sous longlet Scurit, cliquez sur Avanc. 6 Sous longlet Autorisations, sous Listes dautorisations, visualisez les autorisations affectes.
10.5. En rsum
Le rle de Services de chiers est un des rles les plus frquemment utiliss. En effet, la mise disposition de chiers centraliss aux utilisateurs passe par la mise en service de ce rle. Windows Server 2008 apporte plus de cohrence et une concentration des outils et des services autour de loutil Gestion du partage et du stockage. Malgr cela, les autorisations NTFS restent et resteront une pierre angulaire de la scurit des chiers matriser absolument. Une fois votre serveur disponible et sr, vous pourrez dlguer son administration et ladministration des objets (groupes, utilisateurs, etc.) utiliss pour positionner des autorisations.