Documente Academic
Documente Profesional
Documente Cultură
42 J
PLAN DU COURS
Module 1 : Prsentation de ladministration des comptes et des ressources
- Les tches
Objectifs du Module 1:
1 2 34 5
Serveur de Serveur
Fichiers dapplica
tions
Serveur
dimpression
Serveur
Terminal Server
Michel Notredame Informatique-Architecture-Rseaux michel.notredame@wanadoo.fr Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Contrleur de domaine
Ils stockent les donnes dannuaire et grent :
servia.fr Ar
b or
es
ce
nc
OU dans un e
domaine DC DC
Paris. Lille.
servia.fr servia.fr
DC
Rouen.
servia.fr
servia.fr
servia.fr
OU dans un domaine
(Organisation Unit)
DC
Rouen.
servia.fr
DC
Rouen.
servia.fr
Infos.servia.fr
Le Domaine Racine est le point de
rfrence pour tous les autres
Ventes.servia.fr Domaines de la Fort.
du Domaine Parent DC
Racine servia.fr ssii.servia.com ne partage Rouen.
pas le mme espace nom sur servia.fr
servia.fr
OU dans un
Organiser des diffrents objets de la Base de donnes domaine
(Users,Groupes,Imprimantes..
Dlguer le contrle dadministration
Simplifier les ressources dadministration.
Configuration de classe
Configuration de classe par groupes. Cf document joint
Configuration de classe
1 Contrleur de Domaine par Groupe 0 vaut le chiffre zro
5 Groupes de 2 ou 3 Ordinateurs et le serveur de domaine:
1 DCx Contrleur de domaine
2 SMx Serveurs Membres du Domaine
Compte Administrateur Domaine : admin<Nom Ctrl Domaine> ex adminDC3
Mot de Passe Administrateur : 123Abcd Mot de passe complexe
Compte Admin Srv Membre : admin<Nom serveur Membre> ex admindublin
Mot de passe Srv Membre : 123Abcd Mot de passe complexe
Compte utilisateur Srv Membre : User<Nomserveur> ex : Userdublin
Mot de passe utilisateur : 123Abcd Mot de passe complexe
FAT & FAT 32 sont des formats de disques non scuriss trouvs sur les systmes
dexploitation MSDOS,Windows 95,Windows 98/SE,Millenium..
Il ne permettent pas dobtenir un niveau de scurit sur les fichiers et les rpertoires,
ainsi que sur les objets dun serveur Windows NT,2000,2003.
Le systme de fichiers FAT ne supporte pas les partitions suprieures 2 Go.
FAT 32 permet de dpasser cette limite, sans toutefois avoir les capacits dOS tels
que NT4,2000,2003 en NTFS ( plusieurs Exa octets).
Une partition FAT,FAT32 peut tre convertie dans le format NTFS, mais ce processus
est irrversible. Ex : Mode commande :CONVERT C: /FS:NTFS
Format NTFS 5.1/ 5.2 est recommand sous Serveur NT,2000 et 2003.
Il accrot la scurit en permettant:
& Le contrle des accs au niveau des fichiers et des rpertoires,
& des disques et des ressources du serveur,
& le contrle des utilisateurs et des groupes dutilisateurs,
& le contrle de lemploi des disques par le quota utilisateurs,
& le cryptage des donnes,
& la compression des disques ou des fichiers
Si la machine est Contrleur de Domaine,
Domaine de nombreux autres services de
scurit et de gestion du Domaines sont disponibles (Audit-permissions-gestion
des ressources et impressions-scurit locale etc
Michel Notredame Informatique-Architecture-Rseaux michel.notredame@wanadoo.fr Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
3b Mode de Licence
2 Choix de modes de licence sont proposs linstallation :
3b Mode de Licence
2 Choix de modes de licence sont proposs linstallation :
Dans le cas dune structure ayant des filiales plus ou moins loignes, le choix
des liaisons physiques, fonctions de leurs situations gographiques est important
Active Directory utilise une structure physique qui permet de matriser les
changes entre les Contrleurs de Domaines. Cest la notion de Sites.
Michel Notredame Informatique-Architecture-Rseaux michel.notredame@wanadoo.fr Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Notions de Sites.
Site=Sous-reseau1 +
Sous-rseau2 +
Sous-rseau 3 +++
Rplication de AD
1) Un Serveur Windows 2000/2003 peut tre membre dun Domaine NT4 (Type
Netbios). Il utilisera le mcanisme de la rsolution des Noms Netbios pour
trouver les contrleurs de domaines
2) Il peut tre membre dun Domaine Active Directory et utilisera les mcanismes
de rsolution de Noms DNS srv, pour trouver les Contrleurs de Domaine
3) Il peut tre aussi Contrleur de Domaine lui-mme. Il supporte alors les clients
NetBios et les clients DNS.
Les postes clients antrieurs Windows 2000 (NT4,Win 98se), joignent le
Domaine au nom NetBios(nom court).
Les clients depuis Windows 2000 doivent utiliser le nom DNS du domaine.
- Les identificateurs de scurit (ou SID, Security Identifier) qui dfinissent les
droits et les privilges des utilisateurs.
Les droits et les autorisations d'un utilisateur, d'un groupe ou d'un ordinateur sont
dfinis dans des listes de contrle d'accs (Access Control List, ACL) qui
contiennent les SID autoriss.
Outre votre SID unique, les SID des groupes dont vous tes membre vous
identifient.
Ces informations sont stockes dans un jeton d'accs qui contient toutes les
informations associes votre identit et au contexte de scurit au cours d'une
session.
Des jetons d'accs sont recrs chaque fois qu'une entit de scurit ouvre
une session.
- Sous XP Pro les outils dadministration ne peuvent sinstaller que sous SP1.
Une console peut tre personnalise et conue avec des droits et restrictions et
tre propose une personne dlgue par ladministrateur du rseau.
V = Ventes F = Fabrication
V F
C = Consultants I = Ingnierie
M = Marketing I R R = Recherche
C M
- Cest une stratgie qui repose sur les Services et les Divisions de lentreprise.
Caractristiques (suite) :
- Tire partie des points forts du rseau.
Permet de tirer partie des bandes passantes larges lies aux dcoupages du
rseau de lentreprise.
Faiblesses :
- Peut mettre en pril la scurit du rseau si un emplacement comporte
plusieurs Divisions ou Services, si une personne ou un groupe dispose dune
autorit dadministration sur le domaine des UO.
- Active Directory rfrence chaque objet par plusieurs types de noms qui
dcrivent lemplacement de lobjet.
- Le nom de chaque objet est unique et complet lors de sa cration.
Les syntaxes des noms UO diffrent selon la manire de crer les UO (en mode
graphique sous Windows ou en mode commande)
Nom unique LDAP cest lcriture du nom unique GLOBAL utilis par les
administrateurs en mode commande.
OU = mon unit organisation, DC = servia, DC = FR
Dmonstration
EXERCICE :
(mdia\ 2144_2274_1_accts.swf)
NOM Exemple
Nom douverture de session utilisateur JAYET PAT
Nom douverture de session Pr Windows
DCSERVIA\JAYETPAT
2000
Nom Principal douverture de session
dutilisateur, cest le nom UPN (User Principal JAYETPAT@DCSERVIA.DOM
Name)
Nom unique relatif LDAP (Lightweight
Directory Access Protocol)
les administrateurs utilisent cette CN=JAYETPAT, CN=USERS,
syntaxe en ligne de commande pour ajouter des DC= DCSERVIA.DOM
utilisateurs partir dun script ou dune ligne de
commande
Exceptions : \/[]:;+*?<>.
Bon exemple :
JAYETPATest un nom douverture correct
JAYETPAT12695est correct
JayeTp1At2695. est correct
J@YETP@t.............. est correct
Incorrect :
J-AYET/PAT.\\12:695
Une convention dattribution des noms de comptes doit tre adapte en fonction
des noms homonymes dans lentreprise.
Une mthode adapte consiste utiliser :
1) Prnom + initiale du nom
2) Ajouter des lettres du nom pour les noms identiques
Exemple : JAYETPAT JAYET PATRICK
JAYETLYD JAYET LYDIE
Dans certains cas, il nest pas inintressant didentifier les employs par un prfixe
ajout au nom douverture de Session, en fonction du Service qui lemploie :
Exemple : V-JAYETPAT V= VENTES
C-JAYETLYD C= COMPTABILITE
Note : Vous en pouvez pas crer de comptes dutilisateurs locaux sur un contrleur de domaine.
Dans Active Directory, les ordinateurs sont des units de scurit, au mme
titre que les utilisateurs.
Pour tre authentifier, un utilisateur doit disposer dun compte valide sur le
domaine et ouvrir une session sur le domaine partir dun ordinateur lui-
mme valid et identifi dans Active Directory.
SECURITE ADMINISTRATION
ADMINISTRATION
Les comptes dordinateur aident ladministrateur systme grer la structure
du rseau :
Gestion des fonctions graphiques de lenvironnement utilisateur
Automatisation du dploiement des logiciels
Administration de linventaire du parc matriel et logiciel par SMS
(Systems Management Server)
Pour viter ces ajouts par dfaut, il est ncessaire que ladministrateur cr un
compte dordinateur au pralable.
Il existe 2 fonctions facultatives que lon peut activer lors de la cration dun compte
dordinateur :
Dfinissez les dates dexpiration des comptes dutilisateurs pour les employs
court termes et temporaires
PLAN DU COURS
Module 1 : Prsentation de ladministration des comptes et des ressources
Vue densemble
Cration de Groupes
Administration de lappartenance un groupe
Stratgies dutilisation des groupes
Utilisation des groupes par dfaut
Recommandations relatives ladministration des groupes
Vue densemble
Un Groupe est un ensemble de comptes dutilisateurs et de comptes
dordinateurs administrables sous la forme dune entit.
Les groupes :
a) Simplifient ladministration en permettant daccorder des autorisations sur
des ressources une seule fois un groupe, plutt qu chaque compte
dutilisateurs individuellement,
b) Peuvent tre situs dans Active Directory ou localement sur un ordinateur
personnel,
c) Se caractrisent par ltendue et le type,
d) Peuvent tre imbriqus, cad quil est possible dinsrer une groupe dans un
autre groupe
Vue densemble
Comptabilit
Vue densemble
Vue densemble
- Ltendue dun Groupe dtermine galement les membres du Groupe.
Les rgles dappartenance gouvernent les membres quun groupe peut contenir et
les groupes dont peut faire partie un groupe
Vue densemble
TYPE DE GROUPE DESCRIPTION
Vous pouvez placer tous les groupes globaux qui doivent partager les
mmes ressources dans le domaine local appropri.
Conditions dutilisation :
Utilisez les groupes universels pour imbriquer des groupes Globaux afin
daffecter des autorisations des ressources apparentes plusieurs
Domaines.
Une domaine Windows Server 2003 doit fonctionner en mode Windows 2000
natif ou suprieur pour pouvoir utiliser les groupes universels.
Certains groupes ayant une tendue locale de domaine sont parfois appel
Groupes locaux .
Il est important de distinguer un groupe local dun groupe ayant une tendue
locale de domaine.
Les groupes locaux sont parfois appels Groupes locaux de machines
pour les distinguer des groupes de domaine local.
Un groupe local peut contenir des comptes dutilisateurs locaux situs sur
lordinateur partir duquel vous avez cr le Groupe local.
Les groupes locaux ne peuvent tre membres daucun autre Groupe.
Appartenance AUCUNE
Outre le Domaine dans lequel il est cr, un Groupe se caractrise galement par son
tendue. Ltendue du Groupe dtermine :
Le Domaine partir duquel vous pouvez ajouter des membres,
Le Domaine dans lequel les droits utilisateur et les autorisations affects au groupe sont
valides.
Exemple :
Votre Annuaire ( AD) possde plusieurs UO
Chaque UO est gre par un administrateur diffrent.
Vous pouvez crer des Groupes Globaux dans les UO pour permettre aux administrateurs
dadministrer lappartenance des utilisateurs aux Groupes dans leurs UO respectives.
Si vous vous devez utiliser des Groupes pour contrler les accs en dehors de lUO, vous
pouvez imbriquer les Groupes dans lUO pour former des groupes Universels utiliss
ailleurs dans la fort.
Groupes locaux.
Le nom dattribution dun Groupe local ne peut pas tre identique au nom dun autre
groupe ou dun utilisateur sur lordinateur local Administr.
Un Nom de groupe local ne peut pas contenir des caractres interdits tels que :
. (Point) ou des Espaces.
Evitez les caractres : / \ [ ] : ; | , + * ? < >