cours serveur
-
Upload
sara-dridi -
Category
Documents
-
view
236 -
download
0
Transcript of cours serveur
-
8/8/2019 cours serveur
1/57
1
Lenvironnement de Windows
2003 Server
Rles des serveurs
De plus en plus dentreprises implmentent de multiples technologies afind'amliorer l'environnement de travail de leurs employs.Ainsi il n'est pas rare de voir une seule machine configure avec ActiveDirectory, le serveur DNS, le serveur DHCP, le partage de connexion Internet,un serveur VPN et excutant aussi les services de partages de fichiers etdimpression.On distingue ainsi un certain nombre de rles :- Les contrleurs de domaines : Ce sont des serveurs sur lesquels on ainstall Active Directory et qui soccupent de lauthentification des utilisateursdans un domaine.- Les serveurs de fichiers : Ce sont des serveurs qui permettent de crer un
espace de stockage partag sur le rseau. Ils mettent ainsi une partie de leurespace disque disponible sur le rseau.- Les serveurs dimpression : Ils permettent de partager une imprimante surun rseau et de grer la fi le dattente dimpression de celle -ci.- Les serveurs dapplications : Ils permettent une application dutiliser lesystme dexploitation comme support afin den utiliser les composants degestion (ex : serveur de messagerie, de base de donnes, ).Lensemble de ces rles peuvent tre grs laide de loutil AssistantConfigurer votre serveur sous Windows 2003 Server.
La Famille Serveur Windows 2003Parmi les produits de la famille Windows 2003, il existe quatre systmesdexploitation : Windows 2003 Web, Windows 2003 Standard, Windows 2003
Enterprise et Windows 2003 Datacenter. Mis part pour ldition Web, peu dechoses les diffrencient.
-
8/8/2019 cours serveur
2/57
2
Caractristiques du groupe de travailUn groupe de travail reprsente un petit groupe dordinateurssur un rseauqui permet aux utilisateurs de collaborer et ne prend pas en c
arge uneadministration centralise. Un groupe de travail prsente lescaractristiquessuivantes:Les ressources peuvent se situer sur c
aque ordinateur du groupe de travail.
Ladministration et lauthentification des utilisateursse font sur chaqueordinateur du groupe de travail.Chaque ordinateur poss de sa propre base de donnes locale pour le
Gestionnaire de comptes de scurit (
M Security AccountsManager). Lesutilisateurs doivent disposer dun compte dutilisateur sur tous les ordinateursauxquels ils ont besoin daccder.Plus un groupe de travail slargit, plus il devient difficile grer.Windows XP Professionnel peut prendre en charge seulement dix connexions
entrantessimultanes.
Caractristiques du domai eUn domaine reprsente un groupement logique dordinateurssur un rseauavec une base de donnes de scurit centrale servant stoc er lesinformations de scurit. La centralisation de ladministration et de la scuritest importante pour les ordinateurs dun domaine, parce quelle permet unadministrateur de grer facilement des ordinateurs loigns lun de lautrephysiquement. Un domaine est administr en tant quunit, avec des rgleset des procdurescommunes.Chaque domaine et chaque ordinateur du domaine portent un nom unique.Un domaine prsente lescaractristiquessuivantes:Les ressources, ladministration et lauthentification sont centralises.Une base de donnes dannuaires dans les environnements Windows2000,qui contient tous lescomptes dutilisateurs et dordinateurs de ce domaine.Cette base de donnes est utilise par le service dannuaire ActiveDirectory. Les utilisateurs ont besoin dun seul compte dutilisateur de
domaine dans Active Directory pour accder aux ressources rseau partagesdu domaine.Prend aussi facilement en charge un petit groupe dordinateurs que desmilliers dordinateurs.
-
8/8/2019 cours serveur
3/57
3
Active Directory
Active Directory Service (ADS) est le service LDAP implant
par Windows 2003 Server pour la gestion d'annuaires.
Il est utilis pour toutes les tches d'administrationdemandant une forte implantation rseau et en particulier pourla cration de domaines. De base, ADS n'est pas install sous Windows 2003. Au coursde son installation, un domaine devra tre dfini. La machined'installation pourra prendre diffrents rles:
y premier contrleur d'un nouveau domaine dans une
nouvelle fort,y premier contrleur d'un domaine enfant d'un domaine
existant,y premier contrleur d'un nouveau domaine dans une
fort existante,
y contrleur supplmentaire au sein d'un domaine
existant.Deux mthodes sont possibles pour installer Active Directory:
y Utiliser l'utilitaire "Grer votre serveur" qui simplifiel'installation sans poser les questions les plus pointues.
Il installe et configure a minima AD, DNS et DHCP pour
un nouveau domaine dans une nouvelle fort..
y Utiliser l'assistant "dcpromo" (lanc en ligne de
commande) qui permet de contrler tous les aspects del'installation.
-
8/8/2019 cours serveur
4/57
4
L'assistant "Grer votre serveur"
j
-
8/8/2019 cours serveur
5/57
5
Configuration ar ! faut ourun remier " erveur.
#i
$Configuration
ersonnalise"est c
%oisi,
&asculesur
c romo.
' TTENT( ON, rebootralisautomatiquementen cours ) installation.
-
8/8/2019 cours serveur
6/57
6
Choix0unom
0unouveau
0omaine
1auformatnom TCP/
2P
3
-
8/8/2019 cours serveur
7/57
7
Choix4unom compatible NetBEU
5
Choix 4 6 unventuelredirecteur 7 N 8
-
8/8/2019 cours serveur
8/57
8
Confirmation
->9
marragedel'installation
-
8/8/2019 cours serveur
9/57
9
-
8/8/2019 cours serveur
10/57
10
Rebootautomatique
Rouverturedesession
@ lemotdepassedel'administrateurdudomaineestlemotdepassedel'ancienadministrateurlocal)
Reprisedel'installation
-
8/8/2019 cours serveur
11/57
11
Findel'installation
-
8/8/2019 cours serveur
12/57
12
Contenudu journal"Configurationdevotreserveur"
Utilisation de l'utilitaire dcpromo
Quelques dfinitions importantes
Contrleur de domaineA
ansunefortB
ctiveA
irectory, serveur contenantune copieinscriptibledelabasededonnes B ctive A irectory, participant
larplication B ctive A irectory et contrlantl'accsauxressourcesrseau. C esadministrateurspeuventgrerlescomptesd'utilisateurs, l'accsrseau, lesressourcespartages, latopologiedusiteetlesautresobjetsd'annuaire
partirden'importequel contrleurdedomainedelafort.
Contrleur de domaine supplmentaire
Tout contrleurdedomaineinstallsurundomaineexistant.Tousles contrleursdedomaineparticipentdemaniregale larplication B ctive A irectory mais, pardfaut, lepremier
contrleurdedomaineinstallsurundomainesevoitattribuer
lapropritdesoprations matreunique.
-
8/8/2019 cours serveur
13/57
13
Domaine enfantPour DNS et Active Directory, domaine de l'arborescence del'espace de noms situ immdiatement sous un autre nom dedomaine (le domaine parent). Par exemple,
exemple.microsoft.com est un domaine enfant du domaineparent microsoft.com.
Dn parle aussi de sous
Edomaine.
Arborescence de domaineDans DNS, structure de l'arborescence hirarchique inverseutilise pour indexer les noms de domaines. Dans leur but etleur concept, les arborescences de domaines sont identiquesaux arborescences de rpertoires utilises par les syst
Fmes de
fichiers des ordinateurs pour le stockage sur les disques. Parexemple, lorsque de nombreux fichiers sont stocks sur undisque, les rpertoires peuvent tre utiliss pour organiser lesfichiers de faon logique. Lorsqu'une arborescence de domainecomprend plusieurs branches, chaque branche peut organiseren ensembles logiques des noms de domaines utiliss dansl'espace de noms.Dans Active Directory, structure hirarchique d'un ouplusieurs domaines lis par des relations d'approbations
bidirectionnelles et transitives formant un espace de nomscontigu. Plusieurs arborescences de domaine peuventappartenir G la mme fort.
FortUn ou plusieurs domaines Active Directory qui partagent lesmmes dfinitions de classe et d'attribut (schma), les mmesinformations relatives au site et G la rplication (configuration),et les mmes fonctionnalits de recherche dans la fort(catalogue global). Les domaines d'une mme fort sont lis pardes relations bidirectionnelles et transitives.
-
8/8/2019 cours serveur
14/57
14
Installation d'un nouveau domaine dans une nouvelle fort
Hbutdel'installationd'Active H irectory I ervice
Choix dutypede contrleurdedomaine :unnouveau contrleurouun contrleursupplmentaire.
P ci, un contrleurdedomainepourunnouveaudomaine
-
8/8/2019 cours serveur
15/57
15
Choix dutypededomaine cr:
Nouveaudomainedansunenouvellefort.
nouveaudomaineenfantdansunearborescence
dedomainesexistantedansunefortexistante,nouveaudomainedansunenouvellearborescencededomaine
auseind'unefortexistanteQ ci, unnouveaudomainedansunenouvellefort
-
8/8/2019 cours serveur
16/57
16
Choix dunomdudomaine cr R nom complet)
Choix dunomdudomaine NetBIO S pour compatibilit
avec lesversionsantrieuresde T indows
-
8/8/2019 cours serveur
17/57
17
Emplacementsdestoc U agedesinformationsADS
-
8/8/2019 cours serveur
18/57
-
8/8/2019 cours serveur
19/57
19
DfinitiondumotdepasseadministrateurpourleredmarrageenmoderestaurationADS
-
8/8/2019 cours serveur
20/57
20
Rsumdel'installationdemande
Dbutdel'installation
-
8/8/2019 cours serveur
21/57
21
Installationen cours
Dbutd'installationduserviceDNS
-
8/8/2019 cours serveur
22/57
22
Find'installationdeDNS
Find'installationd'ADS
Redmarragedelamachine
-
8/8/2019 cours serveur
23/57
23
Aprsredmarrage, ADSestenfonctionnementpourlagestion
dudomainew2k3.univ-fcomte.fr.WeserviceDNSestluiaussi
enfonctionnement.
Installation d'un contrleur supplmentairepour un domaineexistant
Reprisededcpromoavec choix d'unserveursupplmentaire
-
8/8/2019 cours serveur
24/57
24
Authentificationavec un compteadministrateurdudomained'insertion
-
8/8/2019 cours serveur
25/57
25
Choix dudomained'insertion
-
8/8/2019 cours serveur
26/57
26
Choix delalocalisationdesfichiersetrpertoiresActive
Directory
Choix delalocalisationduvolumeSystmed'ActiveDirectory
-
8/8/2019 cours serveur
27/57
27
Choix dumotdepassederestaurationdesservicesd'annuaire
Rsumdel'installation choisiepuisinstallation
-
8/8/2019 cours serveur
28/57
28
Paramtrages au niveau des PCclients
VrificationsVrifiez que tout est install correctement l'aide du "Gestionnaire de priphriques"que vous pouvez trouver en faisant "Dmarrer", "Outils d'administration", "Gestion del'ordinateur" et "Gestionnaire de priphriques". (On peut arriver galement au mmeendroit en faisant
"Dmarrer", un clic droit sur "Poste de travail", " Proprits", "Matriel" et"Gestionnaire de priphriques").
Paramtrage de la carte rseau."Dmarrer", "Panneau de configuration" et "Connexions rseau". Faites un clic droitsur"Connexion au rseau local" et choisissez "Proprits" (On peut arriver plu s vite aumme endroit en faisant un clic droit sur "Favoris rseau". Si vous ne trouvez pasfacilement Favoris rseau, ouvrez le poste de travail et remontez d'un niveau ouencore ouvrez l'explorateur qui est dans les accessoires.).Dans TCP/IP mettez l'adresse IP souhaite pour ce serveur, mettez le masque desous-rseau. Si vous avez un accs Internet, mettez comme passerelle l'adresse IPdu routeur ou de l'ordinateur servant de passerelle.
Mettez ladresse IP de serveur comme adresse DNS .Il n'est pas demand de redmarrer l'ordinateur mais vous pouvez tout de mme lefaire.Vrifiez que votre rseau fonctionne l'aide de PING.
Intgration des clients au domaine
IntroductionVotre ordinateur client est maintenant configur, nous allons donc proc der sonintgration au domaine.
-
8/8/2019 cours serveur
29/57
29
I i li m i
Ouvrez le eau e fi urati Systm (Wi ws p se B tton oitsurposte etravail puis propri t).
Dans l ngletNom e lordinateur, li uezsur le b ut nModi ier.
-
8/8/2019 cours serveur
30/57
30
Dans la fentre ifi ati n unom ordinateur, slectionnezDomaineet entrez le
nomdevotredomaine. Validez.
Dans la fentresuivan te, entrez lenomdutilisateuret lemot de asseducompte ui
possde lesprivilgesadministratifs. Validez.
-
8/8/2019 cours serveur
31/57
31
Votreordinateurest maintenant membredudomaine. Validezpuisredmarrez
Vouspouvezvrifier lintgrationenvousrendant directement surleserveur. Dans lemenuDmarrer, allezsurOutilsdadministrationet cli uersurOrdinateursetutilisateurs A tiveDirectory. Dveloppezvotredomaineet cli uezsurComputers.
Lenomdhtedevotreordinateurclient apparat.
-
8/8/2019 cours serveur
32/57
32
OUVERTURE DE SESSION ETAUTX ENTIFICATION
-
8/8/2019 cours serveur
33/57
33
-
8/8/2019 cours serveur
34/57
34
-
8/8/2019 cours serveur
35/57
35
-
8/8/2019 cours serveur
36/57
36
-
8/8/2019 cours serveur
37/57
37
Prse tation des comptes dutilisateursLesComptes dutilisateurs permettent aux utilisateurs daccder aux ressourcesdu rseau. Ilssont associs un mot de passe et fonctionnent dans unenvironnement dfini (machine locale ou domaine).Un utilisateur disposant dun compte de domaine pourra sauthentifier sur touteslesmachines du domaine (sauf restriction explicite de ladministrateur).
Un utilisateur disposant dun compte local ne pourra sauthentifier que sur lamachine o est dclar le compte.Compte local : Les informations de Comptes dutilisateurssont stocY eslocalement sur lesmachines hbergeant les ressources rseau. Si unemodification doit tre apporte un compte, celle-ci devra tre rpercutemanuellement sur toutes lesmachines o le compte existe.Compte de domaine : Les informations de comptessont centralisessur unserveur, dans lannuaire des objets du rseau. Si une modification doit treapporte un compte, elle doit tre effectue uniquement sur le serveur qui ladiffusera lensemble du domaine.
Convention de nomdes comptes utilisateursOn distingue quatre mthodes pour nommer un compte utilisateur :- Le nom douverture de session (login): thoboi_l
- Le nom douverture de session pr-windows: ESI\thoboi_l- Le nom dutilisateur principal : [email protected] Le nom unique LDAP :C
=thoboi_l, C
=users, DC=esi-supinfo, DC=lan
Un login ne peut dpasser les20caractres, il est sensible la casse et ne peutpascontenir de caractresspciaux comme : " / \ [ ] : ; | = , + * ? < >.
Rduire les exigences de mots de passeRgles par dfaut pour lesmots de passe :- Lesmots de passe doivent comporter au moins 7 caractres-Chaque mot de passe doit utiliser au moins troiscatgories de caractres parmiles 4 catgoriessuivantes.Les lettresmajusculesLes lettresminuscules
LeschiffresLescaractresspciaux (@!$*-&...)Pour rduire les exigences, allez dans "Outils d'administration" et "Stratgie descurit du domaine"Ne confondez pas avec "Stratgie de scurit du contrleur dedomaine".Dansstratgie de mots de passe, dsactivez "Le mot de passe doit respecter desexigences de complexit" et rduisez la longueur minimale du mot de passe.La modification de la stratgie n'est pas effective immdiatement. Il faut attendrequelquesminutes.Si vous ne voulez pas attendre, vous pouvez excuter GPUPDATE
-
8/8/2019 cours serveur
38/57
38
La gestion des utilisateurs, des groupes d'utilisateurs et
des ordinateursdu domaine
Cetoutilralisel'administrationdesutilisateurs, desgroupesdutilisateursetdesordinateursd'undomaine
Interfacegnrale
aroupes crs l'installation
-
8/8/2019 cours serveur
39/57
39
Utilisateursetgroupesd'utilisateursdudomaine
Contrleursdedomainedudomaine
b PENE c OPE atajouten contrleursupplmentaire)
-
8/8/2019 cours serveur
40/57
40
Ordinateursdudomaine
Menus contextuels associs auxcls ADS
Utilisateurset Ordinateurs
ActiveDirectory Domaine
-
8/8/2019 cours serveur
41/57
41
Builtin Users
Cration dun nouvel utilisateur
Dfiniparsonnom d unique).
Choix desparamtresde cration:nomdelogineindows2000
dobligatoire),
nomdeloginde compatibilit NetBIOS,nomdtaill
-
8/8/2019 cours serveur
42/57
42
Choix desparamtresde cration:motdepasse f obligatoire),
obligationounonde changerlemotdepasse
laprochaineouverturedesession,
interdictionounonde changementdemotdepasse,pasd'expirationdumotdepasse
mmeen casdelimitedevalidittemporelle,comptedsactivounon
Menucontextuel associ un utilisateur
-
8/8/2019 cours serveur
43/57
43
Changement du mot depasse d'un utilisateur
Rinitialisationdumotdepasse
Proprits dun utilisateur
Paramtresgnraux
-
8/8/2019 cours serveur
44/57
44
Adressepostale
-
8/8/2019 cours serveur
45/57
45
Principalespropritsdu compte
Options configurables
-
8/8/2019 cours serveur
46/57
46
goraired'accs
Stationsd'accs
-
8/8/2019 cours serveur
47/57
47
Installation et config ration des o tils
dadministrationInstallation des outils dadministrationLes outils dadministration permettent la gestion des serveurs
h distance. Ils peuvent tre installs sur nimporte quellemachine sous Windows 2003 par lintermdiaire deadminpak.msi qui se trouve dans le dossier i386 du CD ROMdinstallation du systi me.Les outils dadministration sont installs par dfaut sur lecontrleur de domaine.Il peut tre utile, pour des raisons de scurit, dutiliser lesoutils dadministration en ayant ouvert une session avec votre
compte de domaine basique et en utilisant la commandep
xcuter en tant que pour lancer les outils dadministration.1.2.2. Prsentation et configuration dune MMCWindows 2003 (toutes versions) int
igre un mod
ile d'outils
d'administration nomm MMC(Microsoft.Managment Console) qui donne la possibilit auxadministrateurs de crer eux q mmes leur propre consoled'administration.
Il suffit pour cela d'intgrer les composants logicielsenfichables (snapqin) couramment utiliss.
Cela permet aussi de mettre h disposition des administrateurssubalternes des outils d'administration personnaliss. Ainsi unadministrateur ayant pour unique fonction la maintenance descomptes du domaine ne pourra supprimer un utilisateur ou ungroupe par erreur puisque l'option de suppression n'apparatrapas dans sa console.
Afin de pouvoir crer une MMC personnalise, il vous suffit desuivre la procdure suivante :Allez dans le menu Dmarrer r p xcuter (_q R).
sapez MMC, puis
pntrer.
Dans le menu console, slectionnez At
outerrSupprimer un
composant logiciel enfichable.
-
8/8/2019 cours serveur
48/57
48
Cliquez ensuitesurAjouteretslectionnez le composantque
voussouhaitez ajouter votre consoleuNotez quelinterface
de cettefentreesttrompeuse: sivousdouble-cliquez surun
composantousivous cliquez surAjouter, le composantest
ajout lalistesansaucune confirmation).v.2.3.Rsolutiondesproblmeslorsdelinstallationdesoutils
dadministrationSidesproblmessurviennentlorsdelinstallationdesoutilsdadministration, deux raisonsprincipalespeuvententrela
cause :- Permissionsinsuffisantes : Seulslesutilisateursmembresdu
groupeAdministrateursontlesprivilgessuffisantspour
pouvoirinstallerlesoutilsdadministration.- Systmedexploitationnonsupport : Seul w indows XP et
windows2003supportentlinstallationdesoutils
dadministration.
xancement MMC
-
8/8/2019 cours serveur
49/57
49
Une MMCvide
yesnap-in"gestionnaired'ordinateur"
-
8/8/2019 cours serveur
50/57
50
La zonegauchedonneaccs l'arborescencedeslmentsde
configurationdusnap-in.La zonededroitepermetderaliser
la configurationsouhaitesurl'lmentslectionn.
Lemenu Fichier
Ajout d'un Composant logiciel enfichable (snap-in)
BoutonAjouterpour choisirle composantsouhait
-
8/8/2019 cours serveur
51/57
51
Choix dutypede composant
-
8/8/2019 cours serveur
52/57
52
Listedes composants
-
8/8/2019 cours serveur
53/57
53
Sauvegarde d'uneconsole
Enregistrer
Rsultatdanslepostedetravail
-
8/8/2019 cours serveur
54/57
54
L e s G P O ( L e s S e c u r i t s D eG r o u p e s : O u c o m m e n t
s i m p l i f i e r l a g e s t i o n d e ss c u r i t s d e v o s p o s t e s d a n s
u n D o m a i n e )
I. Gnralits
Les stratgies de groupes sont des ensembles de paramtres qui s'appliquent aux utilisateurs et
ordinateurs. Elles permettent de grer plus facilement la scurit d'un poste ou de plusieurspostes dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme ditprcdemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO (Unit
Organisation). Elles permettent titre d'exemples de rediriger le dossier Mes Documents, dedployer des Logiciels en fonction des services d'une entreprise ou des utilisateurs. En rsumles GPO sont la pour vous simplifier la vie, et surtout l'administration de votre Domain. Les GPOexistent ds la cration d un Domain, c'est la que sont inscris les diffrents fonctionnements duDomain.(j entends par fonctionnement, les stratgies qui sont appliques au Domain, dure du
mot passe , complexit, etc...) Il en existe deux types la cration du Domain.
1) Default Domain Policy :
Li au Domain, et qui rgit le fonctionnement des postes et des utilisateurs.
2) Default Domain Controler Policy : Li au Contrleur de Domain, et rgit lesfonctionnements de celui-ci
Pour rappel : un contrleur de Domain est insr dans le conteneur Domain contrleur, lespostes et utilisateurs dans les conteneurs Computers et Users. Si vous placez un poste dans leconteneur Domain Controler, ce poste serait affect par les stratgies des contrleurs de
Domain).
-
8/8/2019 cours serveur
55/57
55
Les GPO sappliquent au niveau du site, du Domain et desUO. Je ne parlerai que du Domain etdes UO pour l'instant. On peut avoir autant de GPO que dsires. L'ordre d excution d une GPOest du bas vers le haut, ce qui signifie qu'en cas de conflit, c'est la stratgie la plus haute quisera applique. Lesstratgies tant appliques diffrents niveaux (site, Domain, OU, local),
ellessont toutes applique si il n y a pas de conflits, dans le cascontraire c'est toujours la plusproche de l'utilisateur qui est appliques donc au niveau de l'OU.
. Cration d'une GPO
Il existe plusieurs faons de crer une GPO, soit en passant par la console utilisateur ActiveDirectory, en crant une MMC(Microsoft Management Console) et pour finir GPMC, une nouvelleconsole qui prend en charge beaucoup plus de possibilits que les deux autres. Dans cetteexemple nouscrerons d'abord une UO test et un utilisateur (Eva par exemple).
-
8/8/2019 cours serveur
56/57
56
Creation gpo
1
)Ou
rir La consoleutilisateursetordinateurs Active directory.2) Sur votreUOtestfaitesun click droit puis proprits
3) Cliquer sur Stratgie de groupe4) Cliquer sur Nouveau cequi creunenouvelle GPOquevousnommerez .
Optionsdes paramtres : nonconfi ur,activ,dsactiv
Pourchaqueparamtre, il est ncessairedechoisir
lavancesil seraconfiguret si oui, silseraactivoudsactiv. Eneffet tout paramtreaunevaleurpardfaut quil conservesilnest pasconfigur. Pourmodifierceparamtre, vousavez lechoi
dans laplupart descasentre Activ ou Dsactiv ceparamtre.
E
emple : Supprimer lemenu RechercherdumenuDmarrer.
y
onconfigur : Lemenu Recherchervasaffichersaufsi nimportequelleautre
POspcifie lecontraire.
y Activ : Lemenu Recherchervatresupprimsaufsi une
POayant uneprioritplus importantespcifie lecontraire.
y Dsactiv : Lemenu Recherchervasaffichersaufsi une POayant uneprioritplus
importantespcifie lecontraire.
-
8/8/2019 cours serveur
57/57
Exemple :
SupprimerlemenuexcuterdumenuDmarrer