7/21/2019 3 Windows Serveur 2008 Administration
1/21
DEHECQ Olivier http://www.entraide-info.fr 1
2013
Windows Serveur 2008ADMINISTRATIONOLIVIER D.
7/21/2019 3 Windows Serveur 2008 Administration
2/21
DEHECQ Olivier http://www.entraide-info.fr 2
Table des matires
1 Prrequis ........................................................................................................................................ 4
2 Introduction aux taches d'administration dans WS 2008 ............................................................... 4
2.1 Rle serveur ............................................................................................................................ 4
2.2 Vue d'ensemble d'Active Directory ......................................................................................... 4
2.3 Utilisation des outils d'administration WS2008 ...................................................................... 7
3 Utilisation du bureau distance pour l'administration des clients .................................................. 8
4 Cration objets utilisateurs et ordinateurs AD ................................................................................ 8
5 Automatisation de l'administration des objets ADDS ..................................................................... 9
6 Prsentation des groupes ............................................................................................................... 9
6.1 Niveau fonctionnel (NF) ....................................................................................................... 10
6.2 Imbrication des groupes (trs important) ............................................................................. 11
6.3 Administration des groupes ................................................................................................. 11
6.4 Cration des units d'organisation (OU) .............................................................................. 11
6.5 Exemples d'arborescences : ................................................................................................ 11
7 Gestion de l'accs aux ressources dans les services de domaine ADDS ..................................... 12
7.1 Qu'est-ce qu'une entit de scurit ..................................................................................... 12
7.2 Qu'est-ce qu'un Jeton d'Accs ............................................................................................. 12
7.3 En quoi consistent les autorisations .................................................................................... 13
7.4 Effets de la copie et du dplacement sur les autorisations NTFS ........................................ 14
7.5 Les partages ........................................................................................................................ 14
7.6 lments prendre en compte pour le partage avec NTFS : ............................................... 14
8 Configuration des objets et approbations AD .............................................................................. 15
8.1 Approbations ADDS ............................................................................................................. 15
9 Les GPO (stratgies de groupe) ................................................................................................... 16
9.1 Configuration de l'tendue des GPO : .................................................................................. 16
9.2 Crer une GPO : ................................................................................................................... 16
10 Configuration des environnements des utilisateurs et ordinateurs l'aide de GPO ................. 17
10.1 Scripts ................................................................................................................................. 17
10.2 Redirection de dossiers ....................................................................................................... 17
10.3 Configuration des modles d'administration ....................................................................... 17
10.4 Installation de logiciels ........................................................................................................ 18
10.5 Configuration des prfrences des GPO .............................................................................. 18
10.6 Rsolution des problmes de GPO ....................................................................................... 1811 Implmentation de la scurit l'aide d'une GPO ................................................................... 18
7/21/2019 3 Windows Serveur 2008 Administration
3/21
7/21/2019 3 Windows Serveur 2008 Administration
4/21
DEHECQ Olivier http://www.entraide-info.fr 4
Prrequis
Ce cours est le 3ede la srie TSRIT.
Pour suivre ce cours, louvrage suivant est conseill:
Support de cours - ENI ditions
Titre Windows Serveur 2008 : Administration
Auteur Philippe Freddi
Collection Certifications
ISBN 978-2-7460-5811-8
Introduction aux taches d'administration dans WS 2008
Rle serveur
dition standard et entreprise rpandues (entreprise = standard + haute disponibilit)
Licences d'Accs Clients (LAC ou CAL) payer pour que les clients accdent au serveur
small business: ws2008 + Microsoft Exchange + SharePoint + maxi 50 CAL Au-del de 50 utilisateurs, on paye tout sparment
Rles de serveurs (=services rendus des clients) :
Serveur de plateforme :1 = install d'un client local ; 2 = TSE/Citrix ; 3 = navigateur web + IIS Rle de serveur AD : annuaire, centralisation il faut ADDS avant de mettre le reste
(ADDS=AD) Serveur Core : pas d'interface graphique. - : pas de services de dploiement, pas de TSE /Citrix.
Vue d'ensemble d'Active Directory
Une architecture de fort active directory peut tre du style :
7/21/2019 3 Windows Serveur 2008 Administration
5/21
DEHECQ Olivier http://www.entraide-info.fr 5
Relations de confiance entre les diffrents domaines de la foret
Les membres dun domaine
Un contrleur de domaine peut tre :
CD pour un domaine existant CD pour un nouveau domaine dans la fort
CD pour un nouveau domaine dans une nouvelle fort
Partitions de la base ADDS
Unit d'organisation = OU = UO (sous la forme d'un conteneur dans l'arborescence) :
7/21/2019 3 Windows Serveur 2008 Administration
6/21
DEHECQ Olivier http://www.entraide-info.fr 6
Un exemple (dailleurs pas trs bon) dorganisation des Units dOrganisation
Objectifs de lorganisation des units dorganisation:
GPO (stratgies de groupe) de ce conteneur Dlgations d'organisation (dlgation administrative)
Organiser les objets (cest un objectif SECONDAIRE)
Une fort (au sens Active Directory) est un ensemble de domaines qui s'approuvent mutuellement
(domaine de confiance).
Les serveurs Core : Ne sont quen ligne de commande (pas dinterface graphique du type Windows cest facile).
Objectif : rendre l'administration faisable que par des personnes qualifies
Ils conviennent aux petites agences dont les personnels seraient tents d'utiliser le serveur
comme un simple poste de travail
Les Read Only Domain Controller (RODC) :
filtrage des utilisateurs contenus dans l'ADDS, base en lecture seule (pas de piratage = pasdinsertion de donnes dans la base)
convient pour des agences o la scurit des serveurs est minime.
Ne peut videmment- pas tre le seul contrleur du domaine
7/21/2019 3 Windows Serveur 2008 Administration
7/21
DEHECQ Olivier http://www.entraide-info.fr 7
Utilisation des outils d'administration WS2008
Les deux principaux outils pour ladministration de Windows Serveur 2008 sont:
La console MMC (accessible en excutant mmc.exe )
Le gestionnaire de serveur
7/21/2019 3 Windows Serveur 2008 Administration
8/21
DEHECQ Olivier http://www.entraide-info.fr 8
Utilisation du bureau distance pour l'administration des clients
Les tapes suivre pour se connecter en bureau distant depuis le serveur des clients en utilisant
une console dadministration centralise sont :
1.
Sur le serveur WS2008 : mmc.exe bureaux distance2. Sur le client : autoriser le bureau distance
3. Sur le client : ajouter des utilisateurs autoriss
Cration objets utilisateurs et ordinateurs AD
ADDS contient une ancienne base SAM en + de la base LDAP.
Noms associs au compte utilisateur de domaine :
Nom UPN (nom complet) [email protected] CN=guillaume,OU=CustomerService,OU=Miami,DC=Woodgrovebank,DC=com
(du plus prs de l'utilisateur jusqu'au plus loin)
Verrouillage de compte : mauvais mot de passe (action automatique de la machine)
Dsactivation de compte : action de l'administrateur
Copie de compte utilisateur (contient les infos propres tous les membres du conteneur) :
Le renommer en ModeleDuConteneur + Dsactiverle compte(allge la saisie lors des
crations : groupes, bureaux, etc.) Faire une copie de ce compte lorsqu'on veut crer un nouvel utilisateur sans le mme
conteneur
Utilisation du compte d'ordinateur : Active Directory (=AD=ADDS) gre chaque nom d'ordinateur en lui attribuant un SID (un
identifiant unique). Si 2 ordinateurs on le mme nom sur le domaine : l'ancien compte
d'ordinateur est supprim et il faut rparer l'erreur, le sortir du domaine puis le rintgrerdans le domaine.
On peut dsigner un nom dordinateurayant droit d'intgrer une machine dans le domaine(avant mme de lintgrer au domaine, il suffit dajouter un objet Ordinateur ayant le mme
nom que la machine qui sera intgre).
mailto:[email protected]:[email protected]7/21/2019 3 Windows Serveur 2008 Administration
9/21
DEHECQ Olivier http://www.entraide-info.fr 9
Automatisation de l'administration des objets ADDS
Console Utilisateurs et Ordinateurs Active Directory
Outils de services d'annuaire (commandes MSDOS : dsadd, dsmod, dsrm)
Commandes MSDOS csvdeet ldifde
Utilisation du Powershell (remplaant de linvite de commande MSDOS, le powershell est un
language) :
Pour ajouter un utilisateur :
C:\> dsadd user "CN=Lionel,OU=Marketing,OU=Toronto,DC=Woodgrovebank,DC=com"
Pour extraire des informations utilisateur (mode squentiel)
C:\> LDIFDE
Pour extraire des informations utilisateur (mode tableur spar par des ;) : plus facile pour les
exportsC:\> CSVDE
Prsentation des groupes
306BUn groupe est dfini par son type :
groupe de scurit (dispose d'un SID) permet de tout faire
groupe de distribution des fins de messagerie seulement
Un groupe est aussi dfini par son tendue (primtre d'utilisation) :
groupes globaux groupes de domaine local groupes universels
7/21/2019 3 Windows Serveur 2008 Administration
10/21
DEHECQ Olivier http://www.entraide-info.fr 10
Niveau fonctionnel (NF)
WS2000, WS2003, WS2008 ont des nouveaux champs chaque nouvelle version qui sont
automatiquement mis jour. Si des serveurs WS2000/WS2003 cohabitent, il faut s'adapter au plusancien. Il faut donc dsactiver les fonctionnalits des DC plus rcents.
Systmedexploitation
NT 2000 mixte
Niveau defonctionnalit
(NF) disponible
2000 2000 mixte 2000 natif
2003 2000 mixte 2000 natif 2003
2008 2000 natif 2003 2008
2008R2 2000 natif 2003 2008 2008R2
Les serveurs (mme 2003) qui fonctionnent en NF 2000 mixte doivent changer de NF avant de passer
2008 !
Avant de changer de NF :
sauvegarder
vrifier sur le site TechNet quelles sont les fonctionnalits disponibles du NF Si a fonctionne, pourquoi changer ?
Il y a un niveau fonctionnel de foret, et un niveau fonctionnel de domaine
Il peut y avoir une foret NF2008 avec des domaines NF2003.
Groupes globaux :
membres : utilisateurs du mme domaine que celui du groupe global c'est un conteneur d'utilisateurs ayant des besoins similaires
exemple : G_Stagiaires_Prem / G_Stagiaires_Sage
Groupes universel (beaucoup moins utiliss) :
membres : pas de restriction, dans la mme fort
c'est une combinaison de groupes prsents sur plusieurs domaines autorisations sur tous les domaines de la foret
ils sont dupliqu sur tous les DC des domaines de de la foret viter de les utiliser
Exemple : U_Stagiaires / U_animateurs (tous les animateurs, tous les stagiaires)
groupes de domaines locaux :
membres : de tous les membres de la foret autorisations attribues au sein du domaine ou existe le groupe de domaine local
7/21/2019 3 Windows Serveur 2008 Administration
11/21
DEHECQ Olivier http://www.entraide-info.fr 11
Imbrication des groupes (trs important)
Microsoft recommande limbrication de type AGDuLP:
A (comptes utilisateurs)
G (Groupes globaux). Ces Groupes globaux peuvent faire partie dautres Groupes globaux sibesoin.
U (Groupes Universels). Si il y a plusieurs forts avec des relations dapprobations):
gnralement pas le cas
DL (Groupes de Domaine Local) P (permissions sur les rpertoires partags)
Marche suivre :
1. On cre les utilisateurs
2. On cre les groupes globaux (G_service paye )dans le cas de multi-domaines
3. On cre les groupes de domaine local (DL_accs) en lecture pour SRVFIC1-Partage14. On cre les permissions (ACL)
A retenir : AG(U)DLP
Administration des groupes
Pour modifier l'appartenance un groupe (soit on fait partir de l'utilisateur ou partir du groupe)
Cration des units d'organisation (OU)
On cre d'abord les units d'organisationpuis, quand on cre un nouvel utilisateur, on le place
directement dans une OU
Exemples d'arborescences :
Une OU sert :
Dlgation administrative (dlgation de droits)
Stratgies de groupe (GPO) Reprsenter des structures logiques
Pour supprimer une OU protge contre la suppression :Gestionnaire de serveur > Affichage > Fonctionnalits avances
7/21/2019 3 Windows Serveur 2008 Administration
12/21
DEHECQ Olivier http://www.entraide-info.fr 12
Gestion de l'accs aux ressources dans les services de domaine
ADDS
Qu'est-ce qu'une entit de scurit
S 1 5 21 Id_de_Domaine Id_de_l'objet_(au_sein_du_domaine)
S: SID (indique que cest un SID) 1 : version du SID
5 : Id de l'autorit de certification 21 : Domaine AD (indique que cest un domaine ActiveDirectory)
Consquence : un utilisateur n'aura pas du tout le mme SID si on le change de domaine !!!
Son Id_de_Domaine et son Id_de_lObjet seront diffrents !
Qu'est-ce qu'un Jeton d'Accs
Procdure d'authentification :
1. Interrogation du DNS : quel est le poste ADDS pour stagiaires.local ?
2. DNS rpond : c'est DC.stagiaires.local 172.24.16.1
3. envoi des identifiants au DC : [email protected] Pa$$w0rd 4. DC renvoie le Jeton d'Accs contenant : SID Lionel, SID G_Stagiaires, G_M74 )
5. quand Lionel veut accder une ressource, il renvoie l'intgralit des SID contenus dans le
jeton d'accs.
mailto:[email protected]:[email protected]7/21/2019 3 Windows Serveur 2008 Administration
13/21
DEHECQ Olivier http://www.entraide-info.fr 13
En quoi consistent les autorisations
Dossier > Proprits > Scurit > Avancs
Autorisations DACL
Audit SACL Chaque ligne d'une ACL correspond une ACE (entre de contrle daccs)
Paramtres avancs de longlet scurit dun rpertoire
Exemples dentres dans les ACL (prconisation Microsoft):
DL_accs en lecture sur SRV1-Partage G_Marketing DL_accs en CT sur SRV1-Partage G_ITAdmins
DL_REFUS en lecture sur SRV1-Partage G_BranchManagers DL_accs en modification sur SRV1-Partage G_Investments
On fait les droits en fonction du nom des DL
Les croix grises (dans la partie Autorisations) sont hrites dun rpertoire parent
Si on ne modifie pas l'hritage, il y a juste besoin de modifier et appliquer les droits.
Si on modifier lhritage. Copie = copie les droits des parents; Supprimer = enlve tous les droits
hrits
Autorisations effectives permet de connatre les autorisations d'un utilisateur en particulier enfonction des autorisations appliques.
Rappel : un refus explicite prime sur des autorisations explicites.
Les refus hrits d'un rpertoire parents ne priment pas sur les autorisations explicites
Remplacer toutes les autorisations (case cocher) :
Remplace les autorisations des rpertoires enfants par celles du rpertoire actuel
7/21/2019 3 Windows Serveur 2008 Administration
14/21
DEHECQ Olivier http://www.entraide-info.fr 14
Effets de la copie et du dplacement sur les autorisations NTFS
Mme partition Partition diffrente
Copie hrite hrite
Dplacement Conserve hrite
Le dplacement de fichiers sur une mme partition est d'ailleurs plus rapide, non ? ;)
Les partages
Le filtrage se fait au plus prs de la ressource :
Imaginer le partage comme un gardien de parking de la boite (peu regardant) Imaginer les autorisations NTFS comme le videur l'entre de la boite (trs regardant)
Type de droits de Partage : Lecture / Modification / Contrle Total (CT)
Conseil : Virer Tout le monde remplacer par : Utilisateurs authentifis
lments prendre en considration lors de la cration dun partage:
Attribuer les autorisations aux groupes : AGuDLP Ajouter utilisateurs authentifis , enlever tout le monde
Fichier hors connexion :
Pour UN SEUL utilisateur (le fichier le plus rcent crase le plus ancien)
On peut rendre un partage indisponible hors connexion partir du serveur
lments prendre en compte pour le partage avec NTFS :
accorder les autorisations aux groupes (AGDLP)
refuser seulement en cas de ncessit ne jamais refuser l'accs Tout le monde
CT au niveau du partage (pour Utilisateurs authentifis) affiner les autorisations au niveau NTFS
7/21/2019 3 Windows Serveur 2008 Administration
15/21
DEHECQ Olivier http://www.entraide-info.fr 15
Configuration des objets et approbations AD
Proprits de l'OU Miami> Onglet Scurit autorisation au niveau de la gestion de l'OU
Dlgation administrative :
C:\Windows\System32\delegwiz.inf
personnaliser si besoin pour ajouter d'autres taches dlgables.
Exemple : autorisation de verrouiller un compte ordinateurPour faire de la dlgation depuis un client :
WinXP / Win2000 AdminPak
WinVista / Win7 RSAT
ainsi que Dlgation de contrle
Pour faire une console ergonomique pour le gestionnaire d'OU :
mmc.exe> utilisateurs et ordinateurs AD
Slectionner l'OU
Nouvelle fentre partir d'ici Nouvelle vue de la liste des tches
Approbations ADDS
La direction dfinit le domaine de comptes et le domaine de ressources :
Ressources (approuve) Comptes
Dans une fort, les domaines s'approuvent mutuellement (bidirectionnelle et transitive)
7/21/2019 3 Windows Serveur 2008 Administration
16/21
DEHECQ Olivier http://www.entraide-info.fr 16
Les GPO (stratgies de groupe)
TCO (cout total de possession) : fait baisser le dploiement et l'administration (MJ,
dpannages)
ROI (retour sur investissement) augmente
Une GPO permet d'automatiser la gestion des ordinateurs et des utilisateurs (pas des groupes
!!)
On peut rcuprer les modles d'administration de logiciels non prvus dans les GPO (.ADM)
Fichiers ADM :
Attention la langue utilise par l'OS (peut crer des incompatibilits) Attention aux paramtres de l'OS plus nombreux que ceux du DC quand on utilise adminpak
Sur le serveur : C:\Windows\SYSVOL\Magasin central (pour y placer les .ADMX)
si un magasin central existe et que l'OS client est > XPrechercher un magasin central
sinon utilise les modles d'administration locaux
Fichiers modle client : C:\Windows\Policydefinition (fichiers ADMX)
Configuration de l'tendue des GPO :
Les GPO peuvent tre :
lies un domaine
lies des OU
Attention :ne gre pas les groupes des OU mais seulement les ordinateurs et utilisateurs prsents
Sur l'OU, bloquer l'hritage permet de ne pas faire s'appliquer les GPO des niveaux suprieurs
Sur la GPO applique : forcer la GPO la fait s'appliquer aux objets enfants, mme en bloquant
l'hritage
Crer une GPO :
1. Objet de stratgie de groupe (gpmc.msc), Nouveau2. Donner un nom clair la GPO, cliquer sur OK
3. Clic droit sur la nouvelle GPO, Modifier
4.
Stratgies > Modles d'admin > Tous les paramtres (filtres + options des filtres)5. Cliquer/glisser la GPO l o on veut qu'elle s'applique
Filtrage de scurit d'une GPO slective ( faire en dernier recours) :
Pour une GPO ne s'appliquant qu'au G_Stagiaires :
o Ajouter le groupe G_Stagiaires + supprimer le groupe Utilisateurs Authentifis
Pour une GPO sappliquant tout le monde sauf au G_Directeurs:o ajouter le groupe G_Directeurs et mettre un refus explicit, laisser Utilisateurs
Authentifis
Mettre en pause une GPOEtat GPO > Dsactiv | Que la partie ordi | Que la partie utilisateur
7/21/2019 3 Windows Serveur 2008 Administration
17/21
DEHECQ Olivier http://www.entraide-info.fr 17
Mode de fonctionnement par boucle de rappel :
GPOordi libre(sapplique avant)GPOde l'utilisateur(sapplique avant)partie ordinateur de GPOordi libre
Filtrage WMI :
Application ou non de la GPO en fonction de caractristiques internes de l'ordi
Rsultats de la stratgie de groupe :
Rcupration des infos de GPO (il faut que la session soit active). penser gpupdate /force
Modlisation de la stratgie de groupe :
Simulation du rsultat (on peut changer OU, Groupes, Utilisateur, Ordinateur )
Dlgations :
Attention, selon l'objet slectionn, les possibilits ne sont pas les mmes
Objet de stratgies de groupes : dlgation : peuvent crer des GPO
Sur la GPO elle-mme : dlgation : domaine d'application de la GPO OU : dlgation : lier des GPO ; lancer des analyses ; lire les rsultats
Configuration des environnements des utilisateurs et ordinateurs
l'aide de GPO
Scripts
Modification de la GPO dans gpmc.msc
Ordinateur > Paramtres Windows > Scripts (ne s'applique qu'aux ordinateurs de l'OU)
Script de dmarrage / script darrt dordinateur Utilisateur > Paramtres Windows > Scripts (ne s'applique qu'aux utilisateurs de l'OU)
Script de dmarrage de session/ script de fermeture de session
Redirection de dossiers
On peut rediriger certains dossiers cibls vers un lecteur rseau) : AppData, Bureau, Docs
Utilisateur > Paramtres Windows > Redirection des dossiers
Dossier partag (utilisateurs authentifis en CT)(!) Rediriger vers l'emplacement suivant grer les scurits soi-mme
Mettre un chemin rseau type \\NYC-DC1\DocsUsers\ (type UNC)
Configuration des modles d'administration
Contrle l'environnement de l'OS (modification du registre, de lenvironnement utilisateurs, etc.)
7/21/2019 3 Windows Serveur 2008 Administration
18/21
DEHECQ Olivier http://www.entraide-info.fr 18
Installation de logiciels
A partir dunpartage rseau
que des fichiers dinstallation de type.MSI tester l'installation automatique (ou fichiers rponses si besoin) avant de le dployer
Attention : publi (dans la partie Utilisateur) laisse le choix l'utilisateur d'installer ou non
Configuration des prfrences des GPO
Prfrences : permet de changer des paramtres de GPO (ex. : installation d'imprimante rseau) maisl'utilisateur peut aller l'encontre de ces prfrences.
Si lOS du client est infrieur WinVista, il faut installerCSE (client side extention)
Rsolution des problmes de GPO
Tout dabord on teste si la GPO est bien rcupre et traite avecgpresult
Cas ou une GPO nest pas traite, on lance un test:
GPO rcupre et/ou traite : Il y a une autre GPO qui va l'encontre, paramtre(s) non prisen charge, etc.
GPO non traite : Objet non concern, filtrage de scurit, WMI, etc.
Implmentation de la scurit l'aide d'une GPO
But de DefaultDomainPolicy et de DefaultDomainControllerPolicy
La stratgie de compte/mot de passe se fait dans DefaultDomainPolicycar c'est une GPO lie audomaine ET d'ordre des liens niv.1
Ordre des liens : 5 1 stratgie 1 est applique en dernier (celle qui a le dernier mot)
Verrouillage de mots de passe fait par la GPO DefaultDomainControllerPolicycar c'est le DC qui greles objets ordinateurs du domaine.
Implmentation de stratgies de mots de passe affines
Attention : il faut tre en Niveau Fonctionnel de Domaine = WS2008
rserv aux administrateurs qui s'y connaissent
But : modifier les stratgies de mots de passe pour des groupes
1. Crer la stratgie de mots de passe affine
Modifications ADSI > Nouveau (Domaine) > System > Password Setting Configuration >
Nouveau Rentrer les paramtres (attention, la dure est exprime en JJ:HH:mm:ss)
2. Lier la stratgie un groupe
Utilisateurs et Ordinateurs AD > (affichage avanc) System > Password Setting Container >Proprits > Scurit > Choisir les groupes concerns
http://www.mslive.fr/actualites-2-extension-cote-client-%28CSE%29-pour-les-GPO-preference-telechargeable.aspxhttp://www.mslive.fr/actualites-2-extension-cote-client-%28CSE%29-pour-les-GPO-preference-telechargeable.aspxhttp://www.mslive.fr/actualites-2-extension-cote-client-%28CSE%29-pour-les-GPO-preference-telechargeable.aspx7/21/2019 3 Windows Serveur 2008 Administration
19/21
DEHECQ Olivier http://www.entraide-info.fr 19
Lier un groupe AD un groupe type SAM
Mthode :
Dans GPO > Ordinateur > Paramtres Windows > Groupes restreints ; chercher un groupedans BuiltIn, ajouter le groupe du domaine cibl
Stratgie de restriction logicielle :
1. Ajouter une stratgie (nouvelle stratgie de scurit logicielle ; niveau de scurit :
o tout autoriser sauf o tout refuser sauf (non recommand)
2. Dfinir les exceptions selon : rgle de certificat, rgle de hachage, chemin d'accs
Modles de scurit
Des modles existent, mais ils sont surtout utiles pour UN rle particulier rare
Cration assiste de modletester avant !
Configuration de la conformit des serveurs en matire de scurit
Il faut appliquer la scurit tous les niveaux afin de bloquer le niveau suprieur si un niveau est
pass (livre 9-5). Le but est de verrouiller toutes les couches. Un administrateur a comme premier
objectif la scurit !
EFS (Encrypted File System)
Un certificat contient cl prive + une cl publiqueFichier clair cl symtrique Fichier crypt
Inconvnient de l'EFS : ne permet pas de chiffrer les donnes du systme d'exploitation (pour a on
utilise BitLocker)
Attention :Avec EFS, si on rinitialise le mot de passe utilisateuron ne peut utiliser ses cls. Il faut
donc dfinir un agent de rcupration
3
7/21/2019 3 Windows Serveur 2008 Administration
20/21
DEHECQ Olivier http://www.entraide-info.fr 20
Configuration d'une stratgie d'audit
Traabilit : utile sur une OU=Serveurs (cela permet de connaitre les mouvements effectus dans
cette OU)
Ordinateur > Paramtres Windows > Scurit > Stratgie d'auditDoit tre cibl :
quelle ressource auditer ? quels vnements ?
dure de l'audit ?
Exemple : tracer des utilisateurs qui suppriment des fichiers dans un rpertoire partag
GPO : accs aux objets, russite
Dossier : tout le monde, suppression de dossiers
En invite de commande :
C:\> auditpol /[get|list|set] /[category|subcategory]
aller consulter les vnements d'audit
WSUS (9-21 ; 9-23)
Serveur de mises jour Windows update
Il faut toujours tester les mises jour avant de les dployer en production :
Exemple : 1 groupe maquette test ; 1 groupe maquette Prod ; 1 groupe Prod1/Prod2/Prod3
C'est le client qui doit aller chercher les mises jour. Il faut donc raliser une GPO si besoin
wuauclt.exe
force la recherche des mises jour Windows sur le serveur WSUS
7/21/2019 3 Windows Serveur 2008 Administration
21/21
Configuration et gestion des technologies de stockage
La gestion du stockage fait partie des rles de l'administrateur :
assurer un suivi (volution de la consommation pour prvoir les besoins)
garder un historique : attention au seuil critique Augmentation justifie ou non ?informer les utilisateurs de la nature des docs stocker
Analyse : capacit, cout, migration des donnes, quotasFSRM
Quotas :
analyser qui occupe quoi sans limiter l'espace disque
limiter l'espace disque. Attention, loutil de base se limite aux partitions
FSRM: Gestionnaire de Ressources de Serveur de Fichiers
Gestionnaire de Ressources de Serveur de Fichiers
Quotas :
sur les dossiers (un quota sur l'ensemble des donnes contenues) automatique (un quota gal par sous-dossier)
Rapport sur l'utilisation du disque
Rseaux de stockage
Rseaux NAS : disque dur avec partage de ressources intgr Pas cher Rseaux SAN : rseau ddi de stockage. Possibilits leves, trs cher (plusieurs dizaines de
milliers d' minimum)
Top Related