De Microsoft NT4.0 à Microsoft Windows 2000 :
Actualisation des compétences

Résumé personnel du cours officiel 1642B. De Microsoft NT4.0 à Microsoft Windows 2000 : Actualisation des compétences

Et n'oubliez-pas d'aller faire un petit tour chez

pour d'autres informations Windows 2000.

MODULE 1 : Installation de Microsoft Windows 2000

4 versions (voir le cours de base) : Pro, Server, Advanced Server et Data Center.

Les nouveautés pour la version Pro :
* Gestionnaire de synchronisations
* Protocole IPP (Internet Printing Protocol) : permet d'avoir accès à une imprimante en chemin URL.
* Protocole Kerberos V5
* Plug-and-Play
* Système de fichiers cryptage EFS (Encrypting File System)
* Sécurité du protocole Internet IPSec (Internet Protocol Security)
* Prise charge des cartes à puce
* Service secondaire d'ouverture de session (du type Run as ...) ce qui évite de sortir d'une session en cours pour lancer des outils.
* Assistant gestion d'installation
* Microsoft Windows Installer.

Pour Server, il y a en plus les éléments suivants :
Active Directory : Service d'annuaire. Permet aussi de répartir l'administration. Il utilise le protocole LDAP (Lightweight Directory Access Protocol) V2 et V3.
Utilisation de stratégies beaucoup plus poussées que celles de NT4.0.
Mise à jour dynamique de DNS (Domain Name Server).
Services Terminal Server.

Préparation de l'installation :
La configuration matérielle minimum est :

Il est préférable avant d'installer Windows 2000 de vérifier que le matériel est pris en charge. Vérifier la HCL (Hardware Compatybility List) auprès de Microsoft.

Choix d'un mode de licence :
Identique à NT4.0 : 1 licence Serveur pour chaque serveur, 1 licence Pro pour chaque client et une licence d'accès client (CAL, Client Access Licence). Concernant Terminal Server, si les clients sont 2000 Pro, alors il n'y a pas besoin de licence supplémentaire. Pour les clients 9x, il faut acquérir des licences autres.

Installation :
Les partitions d'installation peuvent être au format FAT ou NTFS (contrairement à NT4.0 qui imposait FAT).
Pour installer, il suffit de lancer Winnt.exe. Contrairement à NT4.0, les disquettes d'installation ne sont pas crées.

Avec Winnt32.exe, il est possible de mettre à niveau une version NT4.0 ou Windows 2000.

Avec Windows 2000, plus de problème de contrôleur de domaine qui doit être réinstallé pour devenir serveur membre : un outil permet de rétrograder un contrôleur de domaine en serveur membre (dcpromo.exe).
Cette promotion peut aussi être automatisée grâce à un fichier de réponse.

Il est aussi possible de faire des pré-installations de machines.

NB : un server 2000 ne sait pas être contrôleur de domaine NT4.0

MODULE 2 : Implémentation du système DNS dans Windows 2000

But de DNS : faire de la résolution de noms et pour ADS, donner des infos sur les ressources serveur.

Pour installer le serveur DNS, il faut aller dans le panneau de configuration, et faire Ajout/Suppression de programmes, Ajuter/supprimer des composants Windows. Il faut le CD !

ATTENTION : décocher = supprimer l'application.

La différence avec NT4, il est possible de ne pas faire de synchronisation de zone intégrale : on ne transfert que les modifications (transferts de zone incrémentiel).

Dans les outils d'administration : DNS.
Une zone secondaire est une copie de la zone principale.

Zones de recherche directe : résolution en adresse IP.

• Enregistrement PTR : pointeur (nom de machine --> adresse IP). On peut avoir plusieurs noms de machine qui pointent sur une seule adresse IP.
  Enregistrement CNAME (Canonical Name) : ALIAS. Par ex. www = www.autourdupc.com.
• Pour ADS, dans les propriétés de la zone, il faut mettre à OUI l'autorisation de mise à jour dynamique.

Zones de recherche inverse : résolution en nom DNS.

• Après avoir créé une nouvelle zone, sélectionner "propriétés", pour ADS, il faut mettre à OUI l'autorisation de mise à jour dynamique.

Il faut reboorter la machine pour valider la prise en compte des modifications pour la résolution inverse.

MODULE 3 : Installation d'Active Directory

Annuaire :
Centralisation des infos utilisateurs.
Classement de l'information d'une manière logique.
Répartition des informations transparente pour l'utilisateur.
Structure hiérarchique de l'administration.
La représentation des ressources et indépendante de la structure physique.

Domaine ADS :
Un contrôleur détient les informations du domaine dans lequel il se trouve.
Un domaine peut être subdivisé en Unités d'Organisations (O.U.). On utilise donc la notion d'objets. On peut donc répartir les charges d'administration.

Un annuaire ADS peut contenir plusieurs domaines : des sous-domaines. On peut mettre en place des relations d'approbations bidirectionnelles transitives.

Les noms de domaines et sous-domaines suivent une structure hiérarchique. Il y a un mappage total entre les noms de domaine ADS et les noms de domaine DNS.

Ex : un domaine toto.fr. Un sous-domaine Lyon. On a donc Lyon.toto.fr.

Tous les domaines dans la même forêt on une structure identique.
Dans la forêt, il y a un Global Catalogue Server qui maintient une base de la localisation des objets dans la forêt.

Il faut donc DNS pour avoir ADS.

DNS est utilisé pour la résolution d'adresses IP.
DNS stocke aussi les ressources. C'est le service SRV. Il faut donc un serveur DNS spécial. Il n'y a pratiquement que 2000. Il faut aussi que le DNS supporte les mises à jour dynamiques.

Pour qu'un utilisateur puisse avoir accès à une ressource, il faut qu'il puisse visualiser l'objet dans l'annuaire. Pour un utilisateur, via 2000 Pro, l'utilisateur peut accèder à une ressource soit directement (en sachant où se trouve la ressource), soit logiquement.

Application de stratégies fonction des conteneurs.

Les technologies prises en charge par ADS : DHCP (gestion des adresses), TCP/IP (transport réseau), DNS (gestion des noms d'hôtes), SNTP (gestion du temps distribué), LDAP (annuaire), LDIF (synchro des annuaires), Kerberos (méthodes d'authentification), X.509 (méthodes d'authentification).

Pour ouvrir une session, en NT4, il fallait username & password. En 2000, il faut plus d'infos.

Par ex. Dans l'objet MKTG, utilisateur Pierre. Le domaine ADS est DOMAINE1.FR. Dans l'objet COMPTA, un autre Pierre.
Il faut CN=Pierre, CN=MKTG, DC=DOMAINE1, DC=FR.
Il faut CN=Pierre, CN=COMPTA, DC=DOMAINE1, DC=FR.

===> On va donc avoir la syntaxe suivante : Pierre@Domaine1.fr pour le premier Pierre. Dans le cas de l'exemple complet, il faut créer Pierre1 et Pierre2 car l'authentification ne peut pas fonctionner : Pierre1@Domaine1.fr et Pierre2@Domaine1.fr

NB : Un domaine est une limite de sécurité : on ne sait pas déplacer un objet d'un domaine dans un autre domaine.

Lors de l'authentification, avec l'enregistrement SRV, le serveur DNS renvoie le nom du contrôleur de domaine. C'est du TCP/IP pur. Une fois loggé, l'accès à une ressource est un accès NetBIOS.

Il est possible d'avoir un serveur DNS local différent d'un serveur DNS utilisé sur internet. Le serveur DNS local est configuré pour effectuer une redirection vers le serveur DNS utilisé pour internet.
Par ex. nom racine de domaine ADS : totofrance.fr. 2 ss-domaines : Paris.totofrance.fr et Lyon.totofrance.fr. Mon provider utilise un DNS dans lequel je suis toto.fr. Alors mon serveur DNS redirige sur le DNS du provider.

Tout contrôleur de domaine sait authentifier et répondre aux requètes LDAP.

ADS est composé de 2 structures :
     - physique (outil d'administration : site et service Active Directory)
     - logique.

Tous les ordinateurs d'un même domaine appliquent les stratégies du domaine. Le domaine est considéré comme unité de duplication. Un contrôleur ne peut pas contenir d'informations sur plusieurs domaines, et un domaine ne peut pas être subdivisé.
Chaque domaine peut travailler en mode natif (toutes les machines sont 2000) et mixte (machines qui ne sont pas uniquement que du 2000).
En mode mixte, le groupe universel n'est pas reconnu, ni l'imbrication de groupes.
Le basculement du mode mixte en mode natif peut se faire à tout moment, pas le contraire.

A l'intérieur d'un domaine, on peut le subdiviser en O.U. Les OU ne remplacent pas les groupes. Elles permettent de classer logiquement les ressources et donner des droits d'administration sur des conteneurs. On peut ainsi répartir les droits d'administration sur plusieurs utilisateurs.

Les config de sécutités peuvent être différentes d'un domaine à l'autre (par ex. longueur des mots de passe différents).

Arborescence : organisation hierarchique de domaines Windows 2000 partageant un espace de noms contigu (toto.fr et lyon.toto.fr).
Forêt : regroupement d'arborescences qui ne partagent pas un espace de noms contigu (toto.fr et tata.fr).

Approbations :
Transitives bidirectionnelles : A <-> B ; A <-> C alors B <-> C.
Non-transitives unidirectionnelles : comme avec NT4.0.

Schéma :
Il contient les définitions de tous les objets (PC, imprimantes, utilisateurs) stockés dans ADS.
Il y a les classes et les attributs. Les attributs sont définis une fois unique et peut être utilisé dans plusieurs classes.
Il est stockés dans une base de données.

La structure physique :
Permet de gérer et configurer le trafic de données. Elle se compose de sites et de contrôleurs de domaine.
Chaque contrôleur est habilité à modifier l'annuaire : il n'y a plus de notion de principal ou de secondaire. Il y a synchronisation des contrôleurs toutes les 5 minutes.

Rôle des contrôleurs de domaine spécifiques :

Serveur de catalogue global :
Il détient l'ensemble des infos de la forêt. Les infos de ce catalogue sont les plus utilisées. Ce serveur permet d'ouvrir une session (sauf sur un mono-domaine) et permet à un utilisateur de trouver des infos d'annuaire dans la forêt.
Il détient les infos concernant les groupes universels (en mode natif).
Il est conseillé d'avoir un Global Catalogue Server par site physique (rapidité de la réponse à une requète).

Maître de schéma :
Contrôle toutes les MAJ.

Maître de dénomination de domaine :
Contrôle l'ajout ou la suppression de domaines dans la forêt.

Maître d'identificateur relatif :
Permet de créer un ID unique pour chaque objet.

Emulateur de contrôleur principal de domaine :
Pour la compatibilité NT4.0.
Avec ADS, c'est celui qui reçoit une mise à jour préférentielle lors d'une modification de mot de passe.

Maître d'infrastructure :
Responsable de la mise à jour des références groupe et utilisateur lors de la modification des adhésions aux groupes.

Installation d'Active Directory :

A l'aide de DCPROMO.exe.
Il faut : 2000 Server ou plus - une partition ou un volume NTFS - 1 GO de libre - TCP/IP - un serveur DNS avec le service SRV.

NB : Toute info du répertoire SYSVOL est dupliquée. Il n'y a pas de service à configurer.
         Pour avoir les outils d'administration sur une version Pro, il y a le fichier adminpack.msi dans \i386 du CD.

Pour gèrer ADS, 3 services principaux :
     - Sites et services,
     - Utilisateurs et ordinateurs,
     - Domaines et approbations.

Pour vérifier les enregistrements SRV : En fenêtre Cmd, taper nslookup puis valider. Entrer ls - t SRV domaine.msft puis valider.

Pour modifier le maître d'opération, dans Utilisateurs et ordinateurs, clic-droit sur le domaine, sélectionner "Maîtres d'opérations...".

Pour modifier le Catalog Server, dans Sites et services, sélectionner Premier-Site-par-defaut, Servers, "le serveur", clic-droit et Propriétés => case à cocher "Catalogue global".

Utilisation du compte Administrateur de domaine :
Pour lancer des applications sous un autre compte : RunAS /user:nom_utilisateur "exécutable".
Cette commande ne fonctionne que pour les authentifications par mot de passe. Les authentifications par carte à puce et autres ne fonctionnent pas.

MODULE 4 : Création de la structure physique d'Active Directory

Pour des questions de sécurité, il faut que les infos d'un domaine ne soient pas stockées sur un unique serveur ==> duplication.
Pour des questions de performance, il vaut mieux avoir plusieurs contrôleurs.
Il faut donc répartir la charge sur plusieurs machines.

ADS est une base de données à plusieurs maîtres.

Afin que le trafic de réplication et mise à jour soit supporté par le réseau, il peut être judicieux de modifier les intervalles de modifications, de définir le laps de temps d'ouverture de la ligne ou les horaires de synchronisation. Pour des questions de sécurité, il doit y avoir des chemins redondants, ainsi, on peut définir des liens prioritaires.
Par défaut, les synchros ont lieu toutes les 5 minutes. S'il n'y a pas eu de modification pendant 1 heure, tous les contrôleurs dialoguent entre-eux pour vérifier qu'il n'y a pas eu de modifications.

Sites Active Directory
Trafic intra-site et inter-sites. On peut associer des serveurs à des sites. On associe aux sites des sous-réseaux IP. Notation CIDR (IP:192.168.48.32 et MASK:255.255.255.240 -> 192.168.48.32/28. On donne le nb de bits de poids fort).

==> Un site est un ensemble de sous-réseaux correctements connectés.

Le premier site s'appelle Premier-site-par-defaut.

Un client est affecté à un site automatiquement en fonction de son adresse IP.
Un serveur est configuré lors de l'installation d'Active Directory.

Lors de l'ajout de contrôleurs de domaine, un vérificateur de cohérence crée les liens entre contrôleurs d'un même domaine. Il est toutefois possible de modifier manuellement ces liens.

Dans ADS, les ordinateurs sont représentés par des objets ordinateurs. Pour les contrôleurs, un objet supplémentaire est créé : Objet serveur.

Objet serveur permet de gèrer un contrôleur dans le contexte de la duplication et de la gestion de site.
Objet NTDS Settings est un conteneur de tous les objets de connexion d'un objet serveur.
Objet connexion est un chemin de duplication unidirectionnel entre 2 objets serveurs et désigne la source de cette duplication.

Duplication intrasite
Concue pour fonctionner avec des connexions rapides et fiables. Pas de compression de données donc charge CPU faible.

Duplications urgentes
Elles sont immédiates (par exemple, vérouillage de compte, modif. d'un secret LSA (Local Security Authority), modif. de l'état dun identificateur RID (Relative Identifier) et mot de passe d'approbation (uniquement entre émulateur CPD et et contrôleurs secondaires).

Duplication intersite
Trafic compréssé (10 à 15%).

Les protocoles :
RPC (Remote Procedure Call) en intrasite
RPC ou SMTP (Simple Mail Transfer Protocol) en intersite. SMTP est utilisé pour des contrôleurs dans différents domaines et différents sites.

Liens de sites
C'est un objet permettant de définir une connexion intersite. On y configure le coût (entre 1 et 32 767), l'intervalle (entre 15 et 10 080 minutes=1 semaine, par défaut 180) et le calendrier.
Plus le coût est faible, plus le lien est rapide.

Ponts entre des liens de sites
S'il y a un lien entre les domaines A et B et un lien entre les domaines B et C alors il peut y avoir un pont de liens entre domaine A et domaine C. Il faut aussi que les liens utilisent le même protocole et que les plages horaires correspondent.

Surveillance du trafic de duplication :
Avec le moniteur système pour regarder le trafic d'un serveur spécifique.
Les compteurs DRA (Directory Replication Agent) de l'objet NTDS sont interressants à utiliser.

Active Directory replication Monitor affiche la topologie de duplication intrasite. Sur le CD-ROM, il faut lancer \Support\Tools\Setup.exe afin d'installer les outils. En mode commande lancer REPLmon.exe.
Cet outil permet d'afficher les serveurs participants à la duplication, les valeurs USN (Update Sequence Number), d'interroger séquentiellement les serveurs, de contrôler le nombre de tentatives de duplications qui ont échoué, d'afficher les objets non encore dupliqués, de forcer un synchronisation et de déclencher le vérificateur de cohérences.

MODULE 5 : Administration d'Active Directory

Les tâches d'administration d'Active Directory s'effectuent avec Utilisateurs et Ordinateurs d'Active Directory.

Les O.U sont des conteneurs, c.a.d qu'ils peuvent contenir d'autres objets (groupes, comptes utilisateurs, comptes ordinateurs). Ils seront représentés comme une arborescence de dossiers et fichiers.
L'installation d'une hierarchie d'O.U permet aussi de déléguer le contrôle administratif sur des comptes ou groupes.

Il faut possèder les autorisations Lire, Lister le contenu et Créer des objets Unité d'organisation sur le conteneur parent.

2 types de conteneurs :
Jaunes : on ne peut pas appliquer de stratégies dessus.
Jaunes avec dossier : on peut y appliquer des stratégies.

NB : Pour affecter les droits, il faut avant tout sélectionner dans la MMC "Affichage" puis "Fonctionnalités avancées" ce qui permet d'activer les onglets de sécurité.

Gestion de groupes :
Les groupes permettent de faciliter l'administration et appliquant une seule fois certaines autorisations.

Les groupes de sécurité :
Permettent d'accorder ou refuser des droits et des autorisations. Ils permettent aussi de recevoir des mails.

Les groupes de distribution :
Permettent d'envoyer des mails à l'aide d'applications de messagerie.

Chacun de ces groupes est affecté d'un attribut d'étendue. Ceci détermine les personnes qui peuvent être membre du groupe ainsi que le lieu d'utilisation.

NB : chacun de ces groupes prend en charge les étendues domaine local, globale ou universelle.

Groupes locaux (domaine local) : éléments communs à tous les contrôleurs. Droits d'accès aux ressources des contrôleurs. Les serveurs membres gèrent leurs propres groupes locaux.
* en mode natif, peuvent contenir des comptes utilisateur, des groupes globaux et des groupes universels d'un domaine quelconque de la forêt, ainsi que des groupes de domaine local du même domaine.
* en mode mixte, peuvent contenir des comptes utilisateur et des groupes globaux d'un domaine quelconque.

Groupes globaux : regroupent les utilisateurs du domaine. Comme en NT4, on met les groupes globaux dans les groupe locaux.

Groupes universels : peuvent contenir des comptes utilisateur, des groupes globaux et des groupes universels d'un domaine Windows 2000 quelconque de la forêt. Il faut travailler en mode natif pour avoir l'étendue unverselle.
C'est le global catalogue serveur qui contient les infos des groupes universels et des membres des groupes universels.

NB : Il est préconisé de ne pas associer des utilisateurs directement dans le groupe universel, mais des groupes globaux. Cela évite de synchroniser tous les serveurs de catalogue global à chaque modification/ajout de compte utilisateur.

Stratégie de planification de groupes : A G DL P (Account Global Group Local Domain Permissions)

Modification des groupes : A l'aide des propriétés. Il faut fermer/ouvrir une session pour que les modifications soient effectives.

NB : La suppression d'un conteneur n'est possible que s'il est vide, sinon il faut valider la commande.

Autorisations Active Directory :
Contrôle de l'accès par autorisations (maintenu au niveau serveur par une liste DACL (Discretionary Access Control List)).

Autorisations multiples : c'est la combinaison des autorisations qui est effective.

Octroi et refus d'autorisations : elles sont prioritaires.

Autorisations standards et spéciales :
Standards : Contrôle total, Lire, Ecrire, Créer tous les objets enfants, Supprimer tous les objets enfants.

Héritage des droits
Ils peuvent être autorisés ou interdits. On a possibilité de choisir à qui s'appliquent les droits sur les objets enfants.

NB : ces droits sont les autorisations d'accès, pas les droits sur la ressouce elle-même.

Octroi d'autorisations Active Directory
Permet de passer outre les autorisations héritées d'un objet parent.

Ajout d'attributs d'objet dans le catalogue global :
Ceci permet de complèter les infos du catalogue. Il faut respecter les criptères d'unicité, de disponibilité, les infos changent rarement ou jamais et de petite taille.
Pour cela, il faut activer le Schéma Active Directory. En mode commande, taper : regsvr32 %systemroot%\system32\schmmgmt.dll. Il afut alors lancer une MMC et ajouter un composant "Schéma Active Directory".

Délégation de contrôle
Permet de déléguer des tâches d'administration. Autorisation de créer ou de modifier des objets dans un conteneur - Autorisation de modifier des autorisations particulières pour les attributs d'un objet. On peut utiliser l'assistant Délégation de contrôle qui a une action au niveau de l'O.U. Pour une action plus fine, il faut accorder manuellement les autorisations au niveau de l'objet.

Créations d'outils d'administration personnalisés
Il suffit de créer des consoles MMC personnalisées puis de les enregistrer. Ensuite, il est possible de faire fonctionner cette console dans 2 modes différents :
* Mode auteur : accès total à toutes les fonctionnalités de la MMC.
* Mode utilisateur : Accès total, accès limité fenêtre multiple et accès limité fenêtre unique.

Création de listes de tâches
A l'attention de débutants, ce sont de raccourcis vers des tâches ou des commandes d'administration particulières.

ATTENTION : Pour publier une imprimante dans ADS
1) Créer l'imprimante et la partager.
2) Lancer la console ADS (Utilistauers et ordinateurs Active Directory). Dans la console, menu "Afficahe" et valider l'option "Utilisateurs, groupes et ordinateurs en tant que conteneurs". Dans Domain Controllers, selectionner l'ordinateur contenant l'imprimante. Sur cette imprimante, clic-droit et sélectionner l'option "Déplacer vers..." On peut alors la mettre où l'on veut.

MODULE 6 : Mise à niveau d'un réseau vers Windows 2000

Il faut avant tout s'assurer que la machine supporte Windows 2000. Il faut taper Winnt32.exe /checkupgradeonly à partir du dossier \i386 du CD.

Pour la mise à jour de 9x, NT3.51 ou NT4.0, la procédure est la même.

Le Service d'annuaire pour Windows 9x se trouve dans le CD d'installation (\Client\Win9x\Dsclient.exe). Pour NT4, il faut aller sur le site Microsoft. Il faut avoir IE4.01 ou supérieur.Ce client permet d'utiliser le système de fichiers distribués à tolérance de panne, d'effectuer une recherche dans Active Directory et de modifier le mot de passe d'un contrôleur de domaine.

Pour la mise à jour de serveurs membres, il faut faire attention si il était serveur DHCP de remettre en route ce service après mise à jour.

Mise à niveau d'un domaine vers la racine de la forêt
Un domaine unique devient domaine racine de la forêt. Un domaine principal devient la racine d'une nouvelle arborescence de forêt.

Migration d'objets vers Active Directory
Les comptes d'utilisateurs migrent vers le conteneur Users,
Les comptes d'ordinateurs migrent vers le conteneur Computers,
Les groupes globaux migrent vers le conteneur Users sous forme de groupes globaux,
Les groupes locaux migrent vers le conteneur Users sous forme de groupes locaux de domaine,
Les groupes intégrés migrent vers le conteneur Builtin.

Création d'une racine de forêt
Si le réseau NT4.0 utilise un modèle à plusieurs domaines, ou un modèle à approbations complètes, il faut créer une racine de forêt. Il faut donc créer un domaine racine puis mettre à niveau les domaines principaux qui deviendrons domaines enfants.

Mise à niveau des contrôleurs principaux de domaine
Il faut désactiver les antivirus, les gestions UPS (débrancher le câble série), figer les ressources BIOS des cartes ISA. Avec CPD et CSD, il faut forcer une synchro puis débrancher le CSD (ceci afin d'avoir une copie de la base SAM à jour). Effectuer une mise à niveau du CPD. Si tout se passe bien, il suffit de refaire le CSD. Si cela se passe mal, il suffit de débrancher le CPD "raté" puis de promouvoir le CSD en CPD. L'ancien réseau fonctionne de nouveau.

Application concrète : migration avec winnt32.exe :
2 possibilités :
* Mise à jour : les paramètres et applications seront conservés. S'il y a plantage, tout est perdu.
* Nouvelle installation : si sur même dossier, conservation des paramètres, sinon cela crée un dual-boot..

Une fois l'installation terminée, le système lance dcpromo.exe.

Pour créer un fichier de réponses, sur le CD de Windows Server, \Support\Tools\Deploy.cab. Double-clic sur ce fichier. Sélectionner tous les fichiers et clic-droit, extraire. Donner un dossier de destination.
Lancer dans ce dossier setupmgr.exe

MODULE 7 : Déploiement de Windows 2000 Professionnel à l'aide des services d'installation à distance.

Les services RIS permettent de déployer Windows 2000 Pro uniquement. Les utilisateurs déployant n'ont pas à connaître l'emplacement ni les paramètres à fournir lors de l'installation.

Services réseau
Pour déployer via RIS, il faut avoir un serveur RIS, un serveur DHCP, un DNS et un service d'annuaire Active Directory sur le réseau. Le serveur RIS doit avoir 2 GO pour stocker les fichiers sources. Il faut une partition spécifique pour RIS en NTFS. La partition RIS ne peut être ni la partition de boot, ni la partition d'amorçage.
Par défaut, 2000 Pro est installé sur toute la partition du disque client ; il faudra aussi entrer le n° de licence. Avec un fichier de réponses, tout peut être prédéfini.
Pour installer le service RIS, Ajout/Suppression de programmes, composants Windows et cocher Services d'installation à distance.
Ensuite, en mode commande, lancer risetup.exe.

Configuration des noms et des emplacements des ordinateurs clients
Pour modifier la configuration du serveur RIS, lancer Utilisateurs et ordinateurs Active Directory. Sélectionner le domaine dans lequel se trouve le serveur RIS.
Sélectionner le conteneur Domain Controllers puis dans ce conteneur l'ordinateur serveur RIS. Clic-droit, "Propriétés", onglet "Installation à distance" donne accès aux paramètres.

Format de dénomintaion des ordinateurs clients
Définit une standardisation de nomination des comptes d'ordinateurs clients générés par RIS. L'utilisation de variables permet de générer automatiquement ces noms :

Emplacement des comptes d'ordinateurs clients
Permet de spécifier l'emplacement Active Directory où seront crées les comptes ordinateurs.

Préconfiguration des ordinateurs clients
Cela consiste à prédéfinir un compte d'ordinateur pour l'ordinateur client et l'attribuer à un serveur RIS défini. Cela évite que n'importe quel client puisse installer Windows 2000 Pro sans autorisation. Cela permet aussi de répartir la charge.
Pour préconfigurer un ordinateur client, il faut avoir un GUID (sur étiquette ou dans BIOS). Avec une disquette de démarage RIS, le GUID est composé entre autre de l'adresse MAC (Media Access Control) de la carte réseau du client.

Pour créer une disquette RIS, il faut aller sur le disque où les fichiers RIS ont été copiés dans \RemoteInstall\Admin\i386. L'utilitaire est rbfg.exe.

L'utilitaire riprep.exe permet de créer une image d'un Windows 2000 Pro en supprimant les infos spécifiques telles que le SID.

Configuration des options d'installation des clients
A l'aide d'une stratégie de groupe. Il est possible au niveau du domaine de créer une stratégie de groupe (GPO, Group Policy Object) fournissant des infos minimum et une autre fournissant des infos complémentaires aux membres d'une autre O.U. En cas de conflit, le GPO O.U est prioritaire.
Pour y accèder, avec Utilisateurs et ordinateurs Active Directory, clic-droit sur le nom du site (domaine ou O.U) où la stratégie doit s'appliquer. Sélectionner "Propriétés" puis "Stratégie de groupe".

Configuration des utilitaires de maintenance et de dépannage
Il est possible de donner aux utilisateurs la possibilité d'utiliser des outils de dépannage ou de mise à niveau de constructeurs tiers. Ces constructeurs doivent fournir un utilitaire d'installation RIS. Lors de la visualisation des propriétés de Service-d'installation-à-distance, la liste des utilitaires apparaît.
Les clients doivent activer l'option "Maintenance et dépannage".

MODULE 8 : Gestion des environnements d'ordinateurs à l'aide de la console Stratégie de groupes

Cela permet de gérer des environnements d'ordinateurs en appliquant des paramètres de configuration à des comptes ordinateurs et utilisateurs.

On crée donc des GPO qui sont stockés à 2 endroits différents : Objets ADS associés à un conteneur (infos de version, d'état et listes d'extensions). Le répertoire se situe dans \sysvol\nomdomaine\n°ID objet GPO dans ADS. Le contenu de sysvol est dupliqué sur tous les contrôleurs du domaine.

Ordre d'héritage
Stratégies de niveau :
- Site
- Domaine
- Conteneur

Résolution des conflits et modification de l'héritage
Il y a cumul des stratégies. Si les infos sont contradictoires, par défaut, c'est le dernier qui l'emporte (au niveau du paramètre en conflit). Il y a cependant une possibilité de forçage pour un élément donné (possibilité de modifier l'ordre d'héritage par défaut pour des objets GPO spécifiques).

Lorsque l'on supprime un objet GPO, on peut désassocier l'objet GPO d'un conteneur ou le supprimer complètement.

Actualisation des paramètres de la console Stratégie de groupe
Elle a lieu automatiquement toutes les 90 minutes (+/- 30 minutes) pour les clients. Pour les contrôleurs de domaine, c'est toutes les 5 minutes. Il n'est pas possible de planifier une heure d'application de GPO.

NB : il n'est pas utile pour l'utilisateur de se relogger pour que la nouvelle stratégie soit appliquée. Cela s'effectue tout seul. Mais pour accèlerer les tests, il faut se délogger puis se relogger.

Les GPO sont gérée comme des pointeurs. On définit des stratégies puis pour le conteneur donné, on lui applique. Attention, la modification d'une stratégie commune implique donc une incidence pour tous les conteneurs qui utilisent cette stratégie.
Il est possible de "tester" une stratégie puis de l'appliquer à un conteneur, quel que soit son niveau.

Une stratégie de plus haut niveau peut être forcée sans que l'on puisse passer outre aux niveaux inférieurs.

Association d'un objet GPO à un domaine ou à une O.U
A partir des outils d'administration, console Utilisateurs et ordinateurs Active Directory. Clic-droit sur le conteneur désiré, Propriétés, onglet Stratégies de groupe.

Association d'un objet GPO à un site
A partir des outils d'administration, console Sites et services Active Directory. Clic-droit sur le conteneur désiré, Propriétés, onglet Stratégies de groupe.
Il faut être membre du groupe Administrateurs de l'ntreprise. Par défaut, l'ojet GPO est stocké dans le controleur du domaine racine de la forêt, mais il peut être déplacé ailleur.

NB : si le contrôleur principal de domaine n'est pas accessible, un message d'erreur apparaît. Il faut alors faire attention que 2 administrateurs ne soient pas en train de modifier le même ogjet GPO et que la duplication de tous les objets GPO soit terminée avant de modifier l'objet sinon il y a perte des données.

Il est aussi possible de modifier les autorisations sur les objets de stratégie de groupes. Par défaut, elles sont comme suit :

ATTENTION : de ne pas appliquer de stratégies qui viennent limiter les actions des administrateurs au point de vérouiller ces comptes à demeure. Il peut être utile de mettre les administrateurs dans un conteneur spécifique pour lequel on interdit l'héritage de stratégies.

Affectation de scripts à l'aide de la console Stratégie de groupe
Il est possible d'affecter des scripts aux utilisateurs et aux ordinateurs. Il y a aussi des scripts de fermeture de session.

Examen des fonctions de redirection de dossier
Concerne les dossiers : Application Data - Bureau - Mes documents - Mes images - Menu Démarrer.
Cela permet de créer un menu Démarrer et un bureau standard, mais aussi de stocker les données sur le réseau.
Pour configurer la redirection, ouvrir l'objet GPO dans la console Stratégie de groupe. Développer Configuration utilisateur, Paramètre Windows et Redirection de dossiers.

MODULE 9 : Gestion des logiciels à l'aide de la console Stratégie de groupe

Windows Installer
Fichier d'extension .msi, un lot Windows Installer permet :
 - Des installations personnalisées,
 - d'avoir des applications résilientes (l'application sait réinstaller un fichier supprimé ou endommagé),
 - de se désinstaller proprement,
 - de proposer des fichiers source en lecture seule.

L'installation peut être effectuée par un utilisateur car les droits Administrateurs sont donnés à l'application Windows Installer. Un administrateur peut appliquer des objets GPO à un lot Windows Installer. Cela permet d'installer à la demande (au démarrage de l'ordinateur, à l'ouverture de session, sur demande), cela permet d'appliquer des mises à jour et aussi de supprimer des applications.

Examen du cycle de vie des logiciels
Phase préparation : création du lot msi. L'application se trouve sur le CD-ROM Windows dans \vlueadd\3rdpartiy\mgmt\winstle
Phase de déploiement : installation effective sur les machines. Attribution (l'application est annoncée sur le bureau de l'utilisateur mais n'est pas installée. Elle le sera si l'utilisateur en fait la demande) ou Publication (installation par le bias Ajout/Suppression de programmes)
Phase de maintenance : il suffit de mettre une mise à jour sur le réseau et de modifier un ojet GPO. Lors de la prochaine activation de l'application par un utilisateur, la mise à jour se fera automatiquement.
Phase de suppression : forcée (l'application est supprimée) ou facultative (l'application n'est pas effacée mais elle ne pourra pas être installé par de nouveaux utilisateurs).

Reconditionnement d'applications
La génération d'un fichier msi s'effectue par différence, il est donc conseillé de partir d'un PC très propre. Si l'on a plusieurs packages à créer, il est conseillé de formatter et de réinstaller de nouveau le PC entre chaque package.
Pour créer une image de base :
1) lancer Démarrer\VERITAS Software\VERITAS Discover et suivre les instructions,
2) installer l'application désirée,
3) relancer le VERITAS Discover et indiquer que l'on veut effectuer une image après installation.

Publication de lots autres que Windows Installer
L'utilisation de fichiers .zap (fichiers textes) associés aux applications permettent la publication d'applications autres que Windows Installer. Les limitations sont :
 - Publication uniquement,
 - Ne sont pas résilientes,
 - Installation avec presque à chaque fois intervention de l'utilisateur,
 - Installation avec des privilèges peu élevés.

Un fichier .zap peut être crée avec le bloc-notes, ou avec tout autre éditeur de texte.

MODULE 10 : Installation et configuration des services Terminal Server

Permet de configurer le serveur en serveur de terminaux. L'avantage est que les clients peuvent être distants.
Un client ouvrant une session n'ouvre qu'une fenêtre, et l'application s'exécute sur le serveur. Seules les infos écran et clavier transitent sur la ligne.
Les clients peuvent être autres que du Windows 2000.
TSE apporte aussi l'avantage de la centralisation des applications.
La puissance du système est uniquement liée à la puissance du serveur.
Le protocole utilisé est RDP (Remote Desktop Protocol) qui s'appui sur TCP/IP (niveau couche application).
Citrix utilise le protocole ICA (compression des informations).

TSE ne supporte que les clients Windows : de la version 3.1 à la version 2000
Citrix supporte les clients Windows mais aussi Mac.

Pour un réseau full 2000, aucune licence à acheter. S'il y a d'autres OS, il faut acheter les licences.
Windows 2000 contient un client Citrix.

La configuration requise pour les ordinateurs clients

Pour la gestion des licences, il faut un serveur de licences sur lequel le service Gestionnaire de licences des services Terminal Serveur est activé.
3 types de licences :
 - Accès client,
 - Internet Connector,
 - Intégrée,
 - Provisoire.

Installation des services Terminal Server
A l'aide de Ajout/Suppression de programmes. Il faut rebooter la machine.

Installation du logiciel client
Le logiciel client est généré à partir du serveur. Il faut soit créer des disquettes, soit créer un partage.
La création pour disquettes s'effectue par "Démarrer\Programmes\Outils d'administration\Créateur de client Terminal Serveur".
La création sur un partage réseau consiste à mettre à disposition les fichiers du dossier \Winnt\System32\Clients\Tsclient.

Installation des applications sur un serveur TSE
Elles doivent être installées sur une partition NTFS.

MODULE 11 : Configuration de l'accès distant

Les nouveaux protocoles
EAP (Extensible Authentification Protocol) pour étendre les protocole d'authentification (carte de crédit...)

RADIUS (Remote Authentification Dial-bn User Service) : il faut un client et un serveur RADIUS. Le serveur RADIUS interroge une base de comptes. Utilisé pour permettre à un utilisateur d'avoir accès à internet. Ce client fait une demande à un client RADIUS qui interroge un serveur RADIUS.

L2TP (Layer 2 Tunneling Protocol) : permet de faire du tunneling. Ressemble à PPTP. Avec L2TP, il faut une connexion point à point avec une connexion orientée paquets (PVC, X.25 ou ATM). Utilise le cryptage IPSec.

BAP (Bandwidth Allocation Protocol) : permet d'optimiser le couplage de lignes en fonction de la bande passante requise.

3 types de connexions sortantes :
Connexions d'accès à distance,
Connexions à un réseau privé virtuel,
Connexions directes à un autre ordinateur par câble ou IR.

3 types de connexions entrantes :
Serveur de connexions Internet,
Serveur d'accès distant,
Serveur de réseau privé virtuel.

Examen des stratégies d'accès distant
Il faut que les utilisateurs ou groupes aient les droits d'accès.
Les stratégies d'accès distant sont stockées sur le serveur d'accès distant, et non dans ADS. Elles sont formées de 3 composants :
Conditions : heure, noms des groupes utilisateurs, identité, adresses IP.
Autorisations : combinaison entre les propriétés d'appel entrant du compte de l'utilisateur et les stratégies d'accès.
Profil : protocoles d'authentification et de cryptage.

NB : un utilisateur ayant la permission de se connecter mais n'ayant pas de stratégie associé se voit la connexion refusée.

Pour modifier les profils d'appels entrants, "Démarrer\Programmes\Outils d'administration\Routage et accès distant".

Routage à la demande
La ligne s'ouvre au besoin de l'utilisateur, mais cela peut aussi servir pour relier des réseaux entre-eux. Il faut configurer un routage statique pour ne pas avoir d'échange de tables de routage à intervalles réguliers, ce qui maintiendrait la (les) ligne(s) constamment ouvertes.

Partage de connexion
Sur un petit réseau, une machine connectée sur internet (Pro ou supérieur) effectue le partage de connexion.
Cela implique que cette machine prenne l'adresse 169.254.0.1 MASK 255.255.0.0 Elle devient, d'une manière transparente, Serveur WINS, DHCP et DNS.
Le serveur de connexion internet permet de filtrer les paquets grâce au protocole NAT (Network Address Translation).
En fait, les adresses des clients sont translatées sous forme de ports.
Les clients doivent être configurés en clients DHCP.

MODULE 12 : Sécurisation de Windows 2000

Sécurisation du processus d'ouverture de session
Via les cartes à puce, c'est une forme sûre d'authentification car elle utilise l'identification cryptographique avec preuve de possession.
Méthodes d'authentification :
     - Ouverture de session interactive : pas besoin de faire CTRL-ALT-SUPP.
     - Accès distant : prend en charge le protocole EAP. Cela implique 2 authentifications distinctes : sur le serveur d'accès distant puis sur le domaine.

Sécurisation des ordinateurs et des services à l'aide d'une stratégie de groupe
La sécurité peut être implémentée de manière manuelle ou à l'aide de la console de stratégie de groupe. Les paramètres de stratégie sont appliqués comme les autres objets de Stratégie de groupe : locaux puis site puis domaine et enfin O.U. Des paramètres de filtrage et de plocage s'appliquent également.

Les paramètres de sécurité

MODULE 13 : Prise en charge du protocole DHCP et du service WINS

Serveur DHCP :

2 Améliorations :
* DHCP (Dynamique Host Configuration Protocol) : Possibilité de ne pas autoriser un serveur à diffuser des adresses (permet d'avoir plusieurs DHCP configurés mais inactifs : secours). Les plages d'adresses sont sockées localement sur chaque DHCP et non-répliquées.
* Un client ayant récupéré une adresse IP auprès d'un serveur DHCP, le serveur DHCP va informer le serveur DNS : mise à jour dynamique. On peut donc avoir des serveurs clients DHCP.

NB : Affectation automatique d'adresse IP : un client ne trouvant pas de serveur DHCP s'attribue automatiquement une adresse ce qui peut être très bloquant. Il vaut mieux réserver cette configuration automatique pour de petits réseaux sans personne connaissant l'informatique (cf APIPA).

Pour désactiver cette option, il faut mettre l'entrée IPAutoconfigurationEnabled à 0. L'entrée est du type REG_WORD. La clef est la suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\GUID_de_la_carte

D'autres améliorations telles que le suivit des enregistrements de clients (adresses dispo., baux traités/sec., nb total d'étendues par serveur).

Pour installer DHCP, "Ajout/Suppression de programmes/Composants Windows/Services de mise en réseau" et sélectionner DHCP.

Le bail est à 8 jours par défaut.

Différence entre clients DHCP NT4.0 et 2000 :
Avec NT4.0, lors de l'arrêt, la machine perd sa configuration. Lors du redémarrage, elle retrouve sa configuration auprès du serveur DHCP.
Avec 2000, la configuration est mise dans la base de registre. Ce n'est qu'à la fin du bail qu'il perd sa configuration. Ainsi, lors du boot, il n'y a pas les 4 trames de demande de conservation d'adresse IP.

Un client NT4.0 avec un serveur DHCP. Un client NT4.0 ne sait pas mettre à jour l'enregistrement dans le serveur DNS, il faut donc en informer le serveur DHCP.

Configuration d'une étendue globale
Le serveur DHCP peut distribuer des adresses de plusieurs sous-réseaux (par exemple, 192.168.1.0 et 192.168.2.0). Pour les clients NT4.0, il faut le SP2 minimum.

Configuration d'une étendue de multidiffusion
Cela permet de créer des groupes utilisant des logiciels utilisant les technologiers de multidiffusion. Ainsi, pour les clients définis, une adresse de multidiffusion est attribuée ce qui permet de limiter le trafic réseau.

Classes d'options
Cela permet d'envoyer des informations spécifiques à des classes (groupes) d'utilisateurs en fonction de critères (accès internet...).

Serveur WINS :

Un serveur WINS peut avoir une connexion continue avec un ou plusieurs partenaires de duplication, ce qui limite le trafic et augmente la vitesse de duplication.
Un enregistrement peut être marqué pour suppression, et l'information est dupliquée sur tous les serveur WINS, ce qui rend prioritaire cette info.

Avec NT4.0, il ne pouvait y avoir que 2 serveurs WINS (1 primaire + 1 secondaire). Avec 2000, il peut y en avoir 12.

Au démarrage, une machine s'inscrivait et se désinscrivait à l'arrêt. Maintenant, avec Windows 2000, la machine se réinscrit régulièrement, ce qui permet de remettre la base à jour périodiquement.

MODULE 14 : Gestion des ressources disque

Publication d'un partage
Au travers d'ADS, il n'est pas obligatoire que le partage soit sur une machine du domaine ADS. On crée un pointeur sur la ressource. Si besoin, lors de l'utilisation, une authentification sera demandée.

La gestion des partages s'effectue à l'aide de "\Outils d'administration\Gestion de l'ordinateur\Dossiers partagés\Partages".
Le fait de publier les partages dans ADS permet de sélectionner ceux que l'on veut que l'utilisateur puisse voir.

Fonctionnalité Fichiers hors connexion
L'utilisateur voit toujours son partage, connecté ou non. Lors de la reconnexion, le dossier en cache sur le client est synchronisé avec le dossier réel du serveur.

ATTENTION : une ressource vue dans ADS par un utilisateur (telle qu'un fichier dans un dossier partagé) ne semble pas être exploitable par une application.

Système DFS
Permet de rendre transparente la structure physique des dossiers. Toutes les ressources sont représentées dans une arborescence logique d'un seul niveau.

DFS autonome : Ne concerne qu'un ordinateur. Aucune tolérance de panne.
DFS de domaine : La topologie DFS est stockée dans ADS. Ce système DFS pointe vers plusieurs dossiers identique pour assurer la tolérance de panne.

Pour utiliser DFS, il faut un client DFS. Windows 98, NT4.0 et 2000 sont équipés. Les utilisateurs de Windows 95 doivent télécharger le client DFS.

Pour créer une arborescence DFS, "\Outils d'administration\Système de fichiers distribués (DFS)".

Attribution d'autorisations NTFS spéciales
Il y a possibilité de ne pas autoriser l'héritage des permissions.
Un propriétaire d'un élément est maître de cet élément et peut donc définir les autorisations sur cet élément.
Un administrateur peur donner les droits à une autre personne de modifier les autorisations.

Quand un administrateur prend possession d'un fichier, cela implique que tous les administrateurs pourront avoir accès à ce fichier.

Quand une case à cocher de permission est grisée, on ne peut pas la modifer. Cela veut dire que le droit est hérité. Il faut remonter plus haut dans l'orborescence.

Les droits s'appliquent immédiatement si les droits sont donnés à un groupe dont l'utilisateur fait parti.
Si les droits sont donnés à un groupe, et que l'on fait devenir un utilisateur membre de ce groupe alors que cet utilisateur était déja loggé, alors il faut que cet utilisateur se relogge pour que les droits prennent effet.

Les droits de refus sont prioritaires sur les droits d'autorisation.

ATTENTION : lorsque l'on crée un dossier, le groupe "Tout le monde" a Contrôle total dans les sécurité NTFS.

Interdiction de l'héritage des autorisations
Il est possible d'mpècher que les sous-dossiers et dossiers héritent des droits du dossier parent. Dans les propriétés,onglet "Sécurité", case à cocher "Permettre aux autorisations...".

Les quotas de disque
Permettent d'effectuer le suivi et le contrôle de l'utilisation de l'espace disque. Ce quotas s'applique au niveau disque et par utilisateur.
Le quotas pour un utilisateur s'applique aux fichiers de l'utilisateur (propriétaire des fichiers).

Pour accèder à la gestion des quotas, il suffit de sélectionner les propriétés d'un disque.

MODULE 15 : Gestion des disques

Sur un disque, 4 principales ou 3 principales et 1 étendue.
Dans une partition principale, on ne peut appliquer qu'une seule et unique unité physique.
Une partition étendue peut être subdivisée en n unités physiques.

Stockage de base
Permet d'assurer une compatibilité avec les versions précentes et peut être convertie en stockage dynamique.

Stockage dynamique
Permet d'utiliser les miroirs (RAID 1), agrégat par bandes (RAID 0) ou agrégat par bandes avec parité (RAID 5).
Les volumes peuvent être étendus et le nombre de volumes pouvant être créé n'est pas limité.

Un volume fractionné peut contenir jusqu'à 32 disques.

Il est possible de monter un disque dans un répertoire, ce qui permet en quelque sorte d'effectuer une affectation de quotas. Le disque est alors géré comme un répertoire et non comme un disque.

L'ajout de nouveaux disques à chaud est prise en compte en demandant au système de scruter la chaîne SCSI.

MODULE 16 : Implémentation de la protection contre les sinistres

Cf tolérance de panne identique à celle de NT4.0

La console de récupération
Pour l'installer, en mode commande, \i386\winnt32 /cmdcons à partir du CD-ROM de Windows.
Cette console permet de démarrer et d'arrêter les services en mode commande, la lecture/écriture sur un lecteur local (tout type de format de fichier) et le formatage des disuqes durs.

Pour lancer cette console, lors du boot, sélectionner le démarrage de la console.

Début de page  |  Sommaire du thème  |  Page d'accueil  |  Me contacter

visites

La bible de Windows 2000