Manip4 2016 Server

Administration Windows
Server 2016
Hainaut Patrick 2017
But de cette présentation

• Microsoft est un acteur incontournable dans le domaine des OS
réseaux
i ck
tr
• Nous nous intéressons ici à la version 2016 de Windows Server
Pa
u t
• Dans cette présentation est regroupé la mise en place des
services de base tel que serveur DHCP, DNS, NAT, Web,
Contrôleur de domaine, …
in a
H a
©
©Hainaut P. 2017 - www.coursonline.be 2
© Hainaut P. 2016 - www.coursonline.be 1

Introduction
Historique
• En 1993, Microsoft sort Windows NT 3.1 disponible en version
Worksation et Server
i ck
tr
• NT 4.0 sort en 1996 et est une version très populaire
Pa
• Windows 2000 Server sort en 2000 et introduit l’active directory
u t
in a
• Windows 2003 Server sort en 2003 et améliore l’Active Directory
H a
• Ensuite viennent Windows Server 2008, 2012, et enfin 2016
©

Nouveautés: 1 Hyper-V
• Windows Server 2016 met plus que jamais l'accent sur la
virtualisation en incorporant une nouvelle version d' Hyper-V, son
hyperviseur maison, livré en standard.
i ck
a tr
– Protection des ressources: une limitation d'utilisation des ressources peut être
activée pour éviter qu'une machine virtuelle utilise trop de ressources et
P
dégrade les performances de la machine hôte et des autres VM
t
u
– Nested Virtualization (virtualisation imbriquée): permet d'utiliser Hyper-V
in a
dans une machine virtuelle exécutant Windows server 2016 et créer ainsi des
machines virtuelles dans la machine virtuelle
H a
– Priorité de redémarrage des VM: permet de redémarrer les VM les plus
importantes en premier
©
– Storage QOS: possibilité d'appliquer des règles QOS sur les disques virtuels
– Ajout/suppression de cartes réseau et mémoire à chaud: évite d'interrompre
les services
Nouveautés: 2 Windows defender

• Windows Defender pour serveur est installé par défaut et protège le
serveur directement après son installation
i ck
tr
• Il est bien sur possible de remplacer cette protection par un autre
a
produit
t P
a u
a in
© H

Nouveautés: 3 nano server
• En installation standard, Windows 2016 consomme pas mal de
ressources
i ck
tr
• Cette option d'installation permet d'installer un serveur basique
a
(serveur DNS, serveur WEB, hôte Hyper-V, …) sur 500Mb de
disque dur et avec des mises à jour moins fréquentes
t P
a u
a in
© H
Nouveautés: 4 Containers
• Microsoft ne pouvait pas passer à coté de la technologie des
conteneurs qui constitue une nouveauté essentielle de 2016
i ck
tr
• Il est possible d'utiliser des conteneurs compatibles docker ou
a
Hyper-V
t P
même de production se fait u
• Le déploiement d'environnement de test, de développement ou
i n a plus facilement et rapidement
H a
©

Nouveautés: 5 Azure stack
• Azure, c'est le service cloud Microsoft
• Azure stack permet d'installer un cloud Azure au sein de son

i ck
tr
datacenter
Pa
• C'est un système de cloud hybride qui travaille indépendamment du
u t
cloud public Azure et du cloud privé sur le réseau local mais qui peut
échanger des données avec les deux
in a
H a
©
Versions
• Standard, Datacenter et Essentials
• La version Essentials est réservée aux petites entreprises de
maximum 25 personnes et 50 machines
i ck
fonctionnalité
a tr Standard Datacente
P
r
Fonctionnalités principales de Windows Server
t * *
au
Environnements de syst. d'exploitation / conteneurs Hyper- 2 illimité
n
V
Conteneurs Windows Server
a i illimité illimité
©H
Service Guardian hôte * *
Nano Server * *
Fcts de stockage (Storage Spaces Direct, Storage Replica, *
…)
Machines virtuelles
©Hainaut P. 2017 protégées
- www.coursonline.be *10
Pile de mise en réseau *

Prix
• Le prix dépend du nombre de cœurs présents dans le serveur
• A titre indicatif:
i ck
- une licence Essentials coute 501$
a tr
- une licence Standard coute 882$
- une licence Datacenter coute 6155$
P
t d’accès client (cal), à raison de
•
47€ par poste client (poura
u
A cela, il faut ajouter les licences
a i n les versions Standard et Datacenter)
© H
Planification

Choix d’une version
• Pour un serveur physique, on choisira la version standard sauf pour
de très petites structures, où l'on prendra la version Essentials
i ck
tr
• Si on virtualise beaucoup et si l’on recherche un serveur hautement
supplémentaires, la version datacenter s’impose

Pa
disponible et performant, ayant des éléments de tolérances de panne
u t
in a
H a
©
Versions 32 ou 64 bits
• La question n'est plus à se poser avec Windows 2016 Server !
• Il n'existe qu'en 64 bits …

i ck
a tr
t P
a u
a in
© H

Types d’installations
• Choix entre une installation sans GUI (Core server) et une installation avec GUI
(Desktop experience)
i ck
• Au niveau de la version Core server, la configuration et la maintenance sont
effectuées au travers de l'interface de ligne de commande Windows, ou en se
Management Console).
a tr
connectant à distance en utilisant une console de gestion Microsoft (Microsoft
t P
• Une machine Core Serveur peut être configurée pour plusieurs rôles de base :
a u
Contrôleur de Domaine/Active Directory Domain Services, serveur DHCP, serveur
DNS, serveur de fichiers, serveur d'impression, serveur web IIS 7, serveur virtuel
Windows Server Virtualization, ...
a in
H
• Le reste de notre propos fait référence à la version avec GUI
©
Virtualisation
• Windows server 2016 peut être installé en tant que serveur
virtuel ou en tant que serveur hôte, soit en utilisant les outils de
i ck
virtualisation classiques, soit en utilisant le nouveau moteur de
tr
virtualisation Hyper-V
Pa
t
• La virtualisation est un choix d’entreprise, mais la tendance est
de virtualiser un maximum
a u
a in
© H

Avantages et inconvénients de la
virtualisation
• La virtualisation permet de réunir sur un serveur physique, des
serveurs virtuels dont les rôles respectifs exigent qu’ils soient placés
sur des serveurs différents
i c k
•
a tr un serveur virtuel
En outre, il est possible de déplacer facilement
d’un serveur physique à un autre
t P
L’inconvénient est que si a
u
serveurs virtuels sontin
• le serveur physique est arrêté, tous les
H a le sont aussi mais généralement, un serveur

physique de secours est configuré pour prendre la place du serveur
défectueux©
Configuration minimale requise

Processeur x64
Nombre de processeurs minimal 1

Puissance minimale théorique 1,4 Ghz
Puissance minimale conseillée 2 Ghz
Mémoire minimale théorique 512 Mb
Mémoire minimale conseillée 2 Gb
Espace disque minimal théorique 32 Gb
Espace disque minimal conseillé 60 Gb

Bac à sable
• Sous VirtualBox, créez deux machines virtuelles
Windows 2016 Server (AD1, AD2) avec:
– 2 Gb de mémoire (1 Gb minimum)
i ck
– 60 Gb de disque dur de taille variable
– Une carte réseau en accès par pont a tr
– Une carte réseau en réseau interne
t P
a u
•
i n
adur de taille variable
Créez une machine virtuelle Windows 10 (CL10) avec:
H
– 40 Gb de disque
©réseau en réseau interne
– Une carte
Bac à sable
i ck
a tr
t P
a u
a in
© H

Bac à sable
i ck
a tr
t P
a u
a in
© H
Bac à sable
i ck
a tr
t P
a u
a in
© H

Bac à sable
i ck
a tr
t P
a u
a in
© H
Bac à sable
• Au niveau du réseau, voici
le scénario adopté:
i ck
a tr
t P
a u
a in
© H

Installation avec interface graphique
• 1. Sélection de la langue et du clavier
i ck
a tr
t P
a u
a in
© H

• 2. Choix du type d’installation (Standard, Desktop Experience)
i ck
a tr
t P
a u
a in
© H

• 3. Acceptation du contrat de licence et installation personnalisée
i ck
a tr
t P
a u
a in
© H

• 4. Choix du disque, de la partition, …
i ck
a tr
t P
a u
a in
© H

• 5. Copie des fichiers et installation de l’OS
i ck
a tr
t P
a u
a in
© H
1. Configuration initiale

Configuration initiale
• Attribution d’un mot de passe valide pour l’administrateur c'est à
dire contenant des caractères appartenant à trois de ces quatre
d'une longueur d'au moins 6 caractères

i ck
groupes (minuscules, majuscules, chiffres, caractères spéciaux) et
a tr
t P
a u
a in
© H
• N'oubliez pas votre mot de passe d'un cours à l'autre
Configuration initiale
• La première carte réseau étant en accès par pont, Windows 2016
Server à accès à Internet
automatiquement
i ck
• Il propose de découvrir
a tr
les autres machines
t P
présentes sur le réseau
a u
Comme notre but estin
•
H a
créer un contrôleur de
de
domaine et© pas un réseau

poste à poste, vous pouvez répondre "non"

Configuration initiale – nom du serveur
• La première chose à faire est de changer le nom de la machine
attribué par défaut lors de l'installation
i ck
tr
• Pour cela, allez dans le menu Windows,
puis dans le gestionnaire de serveur
(en passant par les outils d'administration
Pa
Windows si celui-ci n'apparaît pas
u t
directement)
in a
H a
©

• Cliquez sur l'onglet Local Server, puis sur le nom de l'ordinateur
• Dans la fenêtre qui s'ouvre, cliquez sur Change …

i ck
a tr
t P
a u
a in
© H

• Dans la fenêtre qui s'ouvre, changez le nom de l'ordinateur
• Cliquez sur OK et puis redémarrer

i ck
tr
l'ordinateur pour prendre en
compte les changements
Pa
• Remarque: on ne peut pas changer
le nomde l'ordinateur et le groupe
u t
en même temps …
in a
H a
©
Configuration initiale – ajout de rôles

• Dans les manipulations qui vont suivre, vous devrez ajouter des
rôles à votre serveur
i ck
tr
• Pour cela, allez dans
le gestionnaire de serveur,
puis cliquez sur
Pa
ajouter des rôles
u t
in a
H a
©

• Lisez l'avertissementet cliquez sur suivant
i ck
a tr
t P
a u
a in
© H

• Au niveau du type d'installation, comme on configure un serveur
traditionnel,
on choisit
i ck
tr
la première
option
Pa
u t
in a
H a
©

• On choisit notre serveur comme destination
i ck
a tr
t P
a u
a in
© H

• On peut ensuite installer le ou les rôles désirés (voir plus loin
dans la présentation)
i ck
a tr
t P
a u
a in
© H

2. Configuration de base des
services réseau
Configuration de la carte réseau

• Examinons la configuration des cartes réseau après installation
• Cliquez sur Rechercher et tapez cmd

i ck
tr
pour accéder à l'invite de commande
Pa
• Entrez la commande ipconfig
u t
in a
H a
©

• Les seules cartes qui nous intéressent sont les cartes Ethernet et
Ethernet 2
ck
• La carte Ethernet doit recevoir ses paramètres du DHCP comme c'est
i
tr
la cas sur la capture d'écran
Pa
• La carte Ethernet 2
reçoit des paramètres
u t
d'auto-configuration
in a
qui ne nous
conviennent pas
H a
• C'est elle que nous
allons configurer
©

• Cette carte doit être configurée avec des paramètres statiques, elle
constituera la passerelle pour les hôtes du réseau local
• Passez par le Centre réseau et partage puis cliquez sur
i ck
tr
Gérer les connexions réseaux
Pa
u t
in a
H a
©

• Cliquez avec le bouton droit sur Ethernet 2 pour accéder au menu
contextuel et cliquez sur Propriétés
• Cliquez sur Internet Protocol Version 4
i ck
a tr
t P
a u
a in
© H

• Rentrez des paramètres statiques et validez
• Attention ! Pas de passerelle !
• Il y a une seule passerelle par
i ck
équipement et elle est sur l'autre carte
a tr
t P
a u
a in
© H

Remarques
• L'adresse choisie sera la passerelle des PC clients et déterminera la
plage dans laquelle travaillera le serveur DHCP de 2016
Ex: 192.168.10.1/24
i ck
•
t r
On évitera la plage 169.254, réservée traditionnellement
a
au clients
P
DHCP n'ayant pas obtenu d'adresse IP
u t de celui configuré sur la carte

a
• On se placera dans un réseau différent
Ethernet
a i n
© H
3. Installation et configuration
d'un serveur DHCP

Introduction
• DHCP est un protocole client/serveur qui permet de centraliser et
d'automatiser la configuration des données TCP/IP et d’affecter
dynamiquement les adresses IP
i c k
•
a r sur le client
En plus de l’adresse IP, il est possible de ttélécharger
t P
DHCP plus de 50 paramètres supplémentaires, en particulier:
– Le masque de sous-réseau
a u
i n
– La passerelle par défaut
a
H
– Les serveurs DNS
©
Introduction
Adresse IP
Masque de sous-réseau
i ck DHCP Client
tr
Passerelle
a
Serveurs WINS, DNS
Fourchettes d’adresses
t P
Adresse IP
au
IP disponibles Masque de sous-réseau
Passerelle
DHCP Client
Serveur
Données de
a
configuration
i n Serveurs WINS, DNS
©H
Adresse IP
DHCP Masque de sous-réseau
DHCP Client
Passerelle
Serveurs WINS, DNS

Introduction
• On parle d'adresse dynamique pour un client DHCP et d'adresse
statique pour une configuration manuelle. Les deux peuvent
coexister
i ck
tr
• Les avantages du DHCP sont:
a
– Le gain de productivité par l'absence de configuration manuelle
P
t
– Une modification éventuelle du système d'adresse est grandement
u
a
simplifiée
in
– Les erreurs de configuration sont impossibles en production
a
H
– Il est possible de réserver une adresse pour un client afin qu'il
©
utilise toujours la même
Processus d'acquisition d'une adresse IPv4
• Lorsque l'hôte se connecte sur un réseau, il envoie un message de

diffusion appelé DHCPDISCOVER du port UDP 68 vers le port
UDP 67 pour demander une IP
i c k
•
a r
Tout serveur DHCP recevant le messagetDHCPDISCOVER doit
traiter cette requête
t P
a u au client via un message de diffusion
•
i n
Le serveur propose une adresse
DHCPOFFER depuis
a le port UDP 67 vers le port UDP 68
©H

• Le client retourne un message de diffusion DHCPREQUEST afin

de lui dire qu'il veut utiliser cette adresse
i ck
• Le serveur répond par un message DHCPACK, ce qui permet au
a
client d'utiliser l'adresse IP pendant la durée du bail tr
t P
a u
a in
© H
192.168.10.10
PC1
i ck
PC2 PC3
tr
à Client DHCP Client DHCP Client DHCP
Serveur
DHCP 192.168.10.254
Pa
u t
in a DhcpDiscover
a
DhcpOffer 192.168.10.10
H
©
DhcpRequest 192.168.10.10
DhcpAck

• Le bail définit la durée d’utilisation de l’adresse IP par l’ordinateur
client
• La valeur par défaut est de 3 jours
i c k
• A 50% de la durée du bail, le client DHCP
a tressaie automatiquement
de renouveler le bail
t P
u
• Par un paquet DhcpRequest
a
•
cela ne fonctionnea
i n
Si ce n’est pas possible, il réessaye à 87,5% de la durée du bail, et si
H pas l'adresse IP est libérée à l'expiration et le
© du bail (DHCPREQUEST et DHCPACK) se fait

client DHCP doit recommencer le processus complet
• Le renouvellement
par messages unicast
• Lors d'un redémarrage, le client envoie directement un message

DHCPREQUEST
i ck
message DHCPACK
a tr
• Si l'adresse est toujours disponible, le serveur DHCP répond par un
t P
a u
• Si pas, il répond par un message DHCPNACK et le client doit
in
recommencer entièrement le processus d'acquisition
a
© H

i ck
10.1.0.1 A
a A tr B C
Serveur
10.1.0.2 B
t P Client DHCP Client DHCP Client DHCP
DHCP 10.1.0.3 C
a u
in
10.1.0.4 Libre
H a DhcpRequest 192.168.10.10
© DhcpAck
10.1.0.1 A
A
i ck B C
tr
10.1.0.2 B Client DHCP Client DHCP Client DHCP
Serveur
DHCP 10.1.0.3 H
Pa
t
10.1.0.4 Libre
a u DhcpRequest 192.168.10.10
DhcpNAck
in
Ha
DhcpDiscover
DhcpOffer 192.168.10.12
© DhcpAck
DhcpRequest 192.168.10.12

Pré-requis pour l'installation
• Le serveur doit disposer d'une adresse IP
ck
• Cette adresse devrait être statique sinon les clients ne sauront pas
i
tr
renouveler leur bail
Pa
u t
in a
H a
©
Installation du serveur DHCP

• Connectez-vous en tant qu'administrateur
• Dans le Gestionnaire de serveur, ajoutez le rôle de serveur DHCP
• Ajouter les fonctionnalités
i ck
requises
a tr
t P
a u
a in
© H

• Vous pouvez cliquer sur Next au niveau des deux fenêtres suivantes
• Dans la fenêtre affichée, il vous reste à cliquer sur Install
i ck
a tr
t P
a u
a in
© H

• Une fois l'installation terminée, cliquez sur la configuration complète
DHCP
i ck
a tr
t P
a u
a in
© H

• Le système doit créer deux groupes de sécurités
• Validez et fermez la fenêtre
i ck
a tr
t P
a u
a in
© H

• Dans les outils d'administration, cliquez sur DHCP
i ck
a tr
t P
a u
a in
© H

• Cliquez avec le bouton droit sur IPv4 et sélectionner Nouvelle
étendue …
i ck
a tr
t P
a u
a in
© H

• Donnez un nom à l'étendue (peu importe) et définissez une étendue
en accord avec l'adresse IP de la carte Ethernet 2
i ck
a tr
t P
a u
a in
© H

• Vous pouvez définir éventuellement une plage d'exclusion (plage
d'adresses IP à l'intérieur de la plage DHCP mais qui ne seront pas
distribuées par le serveur)
i ck
a tr
t P
a u
a in
© H

• Le bail par défaut pour un réseau local est de 8 jours
• Vous pouvez laisser

i ck
la valeur par défaut
a tr
t P
a u
a in
© H

• Il est important de configurer les options suivantes du serveur
DHCP: - adresse de passerelle pour les clients
- adresse du serveur DNS pour les clients
i ck
a tr
t P
a u
a in
© H

• Au niveau DNS, indiquez déjà le nom du domaine qui sera configuré
et vérifiez que l'adresse IP de la carte Ethernet 2 fait bien partie des
adresses de serveurs DNS
i ck
a tr
t P
a u
a in
© H

• Le serveur WINS est un serveur de nom NetBIOS qui est remplacé
avantageusement par le serveur DNS (sauf si vous utilisez des
applications qui travaillent
i ck
tr
avec NetBIOS
Pa
• On ne configurera pas de
serveur WINS, vous
u t
pouvez donc cliquer
in a
directement sur Suivant
H a
©

• On active l'étendue immédiatement et on clôture la configuration du
serveur DHCP
i ck
a tr
t P
a u
a in
© H

Test sur le PC Client
• Le PC client connecté à votre serveur 2016 devrait maintenant
recevoir ses paramètres IP du serveur …
i ck
nécessaire …
a tr
• Un ipconfig/release suivi d'un ipconfig/renew est sans doute
t P
a u
• Faites un ipconfig/all pour vérifier que serveur DNS et passerelle
a in
sont bien présents -> sinon, retournez au niveau du serveur DHCP,
pour activer les options de serveur nécessaires (serveur de noms et
routeur)
© H
• Attention, le PC client n'a pas encore d'accès Internet
Test sur le PC Client

• Le résultat en image
i ck
a tr
t P
a u
a in
© H

Autorisation du serveur DHCP
• La première fois qu’on redémarre le 2016, il faut généralement
autoriser le serveur DHCP qui ne fonctionne plus
i ck
tr
• Retournez dans
a
la gestion du
DHCP, cliquez
avec le bouton
t P
droit de la souris
a u
in
pour accéder
au menu
H a
• ©
Cliquez sur
Autoriser
Autorisation du serveur DHCP

• Les indicateurs sont passés au vert, tout est ok
• L’opération est
i ck
à faire une seule
fois
a tr
t P
a u
a in
© H

d'un serveur DNS
Introduction
• Le système DNS (Domain Name System) utilise un espace de noms
ck
• La racine internet de cet espace de noms est root, représentée par un
i
comme be, com, net, …
a tr
point, sous laquelle on trouve les domaines de premier niveau
t P
a u
• Un serveur DNS peut être utilisé pour effectuer la résolution des
noms
a in
– Un serveur DNS contient des mappages nom de domaine à adresse IP
© H

Introduction
ROOT
be edu
i ck
ctatc a tr
t P
a u
in
www ftp ftp.ctatc.be
H a
©
Introduction
• On appelle FQDN (Fully Qualified Domain Name) un nom complet
identifiant la ressource puis ses parents jusqu'à la racine
i ck
tr
• Chaque point est un niveau de séparation hiérarchique
• Exemple: www.ctatc.be
Pa
– . représente la racine (non visible)
u t
in a
– be représente le nom de domaine de 1er niveau
H a
– ctatc celui de 2ème niveau
– www représente un type d'enregistrement dans la zone
©

Installation du serveur DNS
• Dans le Gestionnaire de serveur, ajoutez le rôle de serveur DNS
i ck
requises
a tr
t P
a u
a in
© H

• Dans la fenêtre affichée, il vous reste à cliquer sur Install
i ck
a tr
t P
a u
a in
© H

• Dans les outils d'administration, cliquez sur DNS
i ck
a tr
t P
a u
a in
© H

• Cliquez avec le bouton droit sur le nom du serveur DNS et
choisissez "Configurer un serveur DNS"
i ck
a tr
t P
a u
a in
© H

• Sur la page Sélectionnez une action de configuration, sélectionnez
Configurer les indications de racine uniquement, Suivant et puis
Terminer
i ck
a tr
t P
a u
a in
© H

• Cliquez avec le bouton droit sur "Serveurs racines", puis "Propriétés"
et vérifiez que certains serveurs ont une adresse IP associée, sinon,
cliquez sur "Edit …" et résolvez le nom
i ck
a tr
t P
a u
a in
© H

• Cette configuration basique permettra aux postes clients de résoudre
les noms de domaines internet
i ck
nous configurerons un serveur WEB
a tr
• Nous verrons une configuration avancée du serveur DNS lorsque
t P
a u
a in
© H
du NAT

Routage et accès distant
• Les rôles Serveur DHCP et DNS étant installé, if faut permettre à
nos clients d'accéder à Internet automatiquement
i ck
tr
• Nous allons pour cela ajouter le service de routage et d'accès distant
Pa
u t
in a
H a
©
Installation du service d'accès distant

• Dans le Gestionnaire de serveur, ajoutez le rôle Accès distant
i ck
a tr
t P
a u
a in
© H

• Ajouter les fonctionnalités requises
i ck
a tr
t P
a u
a in
© H

• Vous pouvez cliquer sur "Suivant" pour les deux fenêtres suivantes
i ck
a tr
t P
a u
a in
© H

• Et finalement, cliquer sur "Install" puis "Close"
i ck
a tr
t P
a u
a in
© H

• Dans les outils d'administration, cliquez sur Routage et accès distant
i ck
a tr
t P
a u
a in
© H

• Cliquez avec le bouton droit sur le nom du serveur et choisissez
"Configurer et activer le routage et l'accès distant"
i ck
a tr
t P
a u
a in
© H

• Dans la fenêtre suivante, choisissez la fonctionalité NAT
i ck
a tr
t P
a u
a in
© H

• Il faut sélectionner la carte réseau en accès par pont, si celle-ci est
indisponible, cliquez sur Back et rafraichissez la liste
i ck
a tr
t P
a u
a in
© H

• Choisissez la connexion vers Internet (Ethernet dans ce cas-ci)
i ck
a tr
t P
a u
a in
© H

• Cliquez sur "OK" au niveau du message d'avertissement et vérifiez
que le service NAT fonctionne (macaron vert)
i ck
a tr
t P
a u
a in
© H

• Vérifiez sur le PC client que celui-ci à bien accès à Internet
• Si le ping vers 8.8.8.8 fonctionne, le NAT est bien installé
• Si le ping vers
i ck
www.google.be
fonctionne,
a tr
c'est que le
t P
serveur DNS
a u
in
(qui sert ici
de relais) est
bien installé
H a
©

6. L'Active Directory
Présentation des services de l'AD

• L'active directory est un annuaire centralisé contenant des
informations sur les utilisateurs, les ordinateurs, …
i ck
tr
• L'AD s'occupe également d'authentifier et d'autoriser l'accès aux
ordinateurs et aux ressources d'un réseau Windows.
Pa
u t
in a
H a
©

Présentation des services de l'AD
• L'AD implémente les protocoles suivants
– LDAP(Lightweight Directory Access Protocol) pour les

i ck
tr
services d'annuaire
– Kerberos v5 pour l'authentification
Pa
– TCP/IP et DNS pour les services réseau
u t
in a
H a
©
Organisation de l'AD
• La forêt
– La forêt représente la frontière extérieure de l'AD de l'entreprise
– Une forêt est composée d'une ou plusieurs arborescences ne
partageant pas un même espace de noms.
i ck
• L'arborescence
a tr
P
– C'est une organisation hiérarchique de domaines. Au départ, il y a
t
u
un domaine parent et tous les nouveaux domaines seront des
i n a
domaines enfants. Il partage un même espace de nom contigu.
•
H
– Les relations
a
La relation d'approbation
d'approbations entre domaines sont créées
©
automatiquement de façon transitive et bidirectionnelle.

Organisation de l'AD
i ck
a tr
t P
a u
a in
© H
Organisation d'un domaine

• Un domaine contient au moins un contrôleur de domaine, appelé
DC
• Au moins deux DC par domaine sont recommandés

i ck
a tr
t P
• A l'intérieur d'un domaine, il est possible de créer des unités
d'organisation (OU), artifice permettant d'organiser
a u
hiérarchiquement l'AD afin de la rapprocher de la structure de
in
l'entreprise
H a
©

Organisation d'une OU
• Une OU est un objet conteneur Active Directory utilisé à l'intérieur
des domaines
ck
Les OU sont des conteneurs logiques dans lesquels vous pouvez
i
tr
placer des utilisateurs, des groupes, des ordinateurs et d'autres unités
a
d'organisation (jusqu'à 32 sous-niveaux). Elles ne peuvent contenir
P
que des objets de leur domaine parent
stratégie de groupe peut êtreu

t petite étendue à laquelle un objet de
L'unité d'organisation est la plus
i n a lié, ou sur laquelle une autorité

administrative peut être déléguée
H a
©
Principaux objets de l'AD

• Utilisateur: représente un utilisateur physique à qui on associe des
droits et des permissions pour l'accès au ressources
i ck
tr
• Contact: utilisateur qui ne peut se connecter au réseau mais à qui on
a
peut envoyer des e-mails
t P
utilisateurs, des contacts ou u
• Groupe: gère la sécurité des droits ou permissions. Contient des
i n a des groupes
•
H
InetOrgPerson: objeta de classe utilisateur compatible LDAP
©

Principaux objets de l'AD
• OU: container permettant une organisation hiérarchique dans un
domaine. On peut lui appliquer des stratégies de groupe
i ck
tr
• Imprimante: peut être publié dans l'AD, ce qui simplifie sa recherche
a
• Dossier partagé: idem
t P
a u
•
a i n
Container: container système, on ne peut pas lui appliquer des
H
stratégies de groupe
©
Organisation physique de l'AD

• Sous-réseau IP: domaine de diffusion
• Site AD: composé d'un ou plusieurs sous-réseaux IP. Espace de
dans la forêt
i ck
réplication sans restriction de l'AD. Par défaut, un seul site par défaut
a tr
P
• Transport intersite: définit la méthode utilisée pour la réplication de
t
l'AD entre deux sites
a u
•
a i n
Liens du site: réplication intersite de l'AD entre deux sites AD
©H
contigus
• Pont entre liens de sites: idem pour deux sites AD disjoints


Partitions de l'AD
• Schéma: contient la définition des attributs et des classes permettant
de créer un objet dans l'AD
i ck
tr
• Configuration: contient la topologie physique et de réplication de
a
l'AD
t P
•
u
Domaine: Contient tous les objets
a
d'un domaine spécifique
•
a
DNS: Contient la basei n
de données DNS
•
© H
Autre: l'admin peut créer une partition spécifique dans l'AD
Les maîtres d'opérations FSMO

• Si l'on se place dans une structure informatique d'entreprise, il est
conseillé d'avoir plusieurs DC dans l'environnement AD
• Certains rôles au sein de l'AD sont plus délicats que d'autres et il

serait dangereux d’autoriser la modification de certaines données sur
deux DC différents, en même temps
• Microsoft a donc créé les rôles FSMO (Flexible Single Master

Operation) qui seront gérés par des maîtres d'opérations FSMO
(des DC ayant un ou plusieurs rôles FSMO particulier en plus du
reste)

Les maîtres d'opérations FSMO
• Sur de petites structures, tous les rôles FSMO peuvent être
concentrés sur un seul DC (non recommandé)
Rôle FSMO Portée
Maître de schéma 1 par forêt
Maître de dénomination de dom. 1 par forêt
Maître RID 1 par domaine
Maître d'infrastructure 1 par domaine
Maître émulateur PDC 1 par domaine
Le maître de schéma
• Définit le serveur DC sur lequel il est possible de modifier le schéma
(les autres DC ont une copie en lecture seule)
i ck
nouvelles applications, …
a tr
• Le schéma peut être étendu pour ajouter de nouveaux attributs, de
t P
a u
• Si on modifie le schéma, il faut tenir compte de la latence de
l'application
a in
réplication entre le maître de schéma et les DC où l'on installe
© H

Le maître de dénomination de domaine
• Le maître de dénomination de domaine garantit la cohérence des
noms de domaines lors de l'ajout et la suppression de domaine
ou la modification du nom de domaine
i ck
a tr
t P
a u
a in
© H
Le maître RID
• Dès qu'un contrôleur de domaine crée une entité de sécurité (un objet tel
qu'un utilisateur, un groupe, un ordinateur), il attribue à cet objet un
identificateur de sécurité unique, le SID (Security IDentifier). ce SID est
i ck
composé de deux blocs : un SID de domaine (identique pour tous les
objets du domaine), et un identifiant relatif (RID), qui est unique pour
chaque SID d'objet créé dans le domaine.
a tr
• Le maître RID se charge d'allouer des blocs d'identificateurs relatifs à
P
chaque DC du domaine. Chaque DC possède donc un pool de RID unique
t
u
à attribuer aux nouveau objets créés.
in a
• Si le maître RID ne peut être joint, la création d'un objet est impossible
sur un contrôleur de domaine dont la réserve d'identificateurs relatifs est
a
épuisée.
© H
• L'utilitaire dcdiag situé dans le dossier \Support\Tools du cd-rom de
Windows 2016 server permet d'afficher la réserve d'identifiants relatifs du
contrôleur de domaine.

Identification des objets
• C'est le SID qui permet d'identifier les différents utilisateurs et
objets, et donc par conséquent de leur appliquer les permissions
i ck
NTFS, ce qui explique que deux utilisateurs peuvent avoir le même
nom d'utilisateur sans qu'il y ait de conflits. Un SID étant unique, il
a
nommant par le même nom que le compte précédant car les tr
est alors impossible de recréer un compte utilisateur supprimé en le
t P
permissions NTFS se basent sur le SID et non pas le nom affiché
a u
in
• Attention, il ne faut pas confondre le SID et le GUID (Global
Unique Identifier)
H a
• ©deux uniques au sein de la forêt, mais contrairement au
Ils sont tout
SID, le GUID ne changera jamais.

• En effet, un objet peut être identifié de plusieurs façons :
– Son DN (Distinguish name) : cn=Loïc, OU=Labo-WS2008, dc=isat, dc=lan
– Son SID
– Son GUID
i c k
• Le DN peut changer très fréquemment,
a trlors du déplacement de
l'objet ou lors du renomage d'une P
t OU ou d'un domaine
u également lors du
•
i n a
Le SID est passible de changements
H a
déplacement de l'objet d'un domaine à un autre
d'une autre©
• Il peut donc être utile de disposer de moyens de retrouver les objets
manière que par leurs SID ou DN

• Lors de la création d'un objet, celui-ci se voit attribuer un GUID, un
nombre codé sur 128 bits enregistré dans l'attribut objectGUID.
k
• Cet attribut est obligatoire pour chaque objet, il ne peut être ni
modifié, ni supprimé.
tr i c
• Ce nombre unique dans la forêt est généré par un algorithme qui
Pa
garantit son unicité, et il est assigné à chaque objet lors de sa
création. Cet algorithme utilise l'heure de création de l'objet ainsi
t
que d'autres informations aléatoires afin de créer un GUID unique.
u
objets, quelque soit leurs DN ou SID.
in a
• Le GUID est utilisé par les applications afin de pouvoir accéder à ces
H a
• Par exemple, pour enregistrer une référence à un objet Active
directory dans une base de donnée, c'est l'attribut objectGUID qui
©
doit être utilisé car il ne sera jamais modifié.
Le serveur catalogue global

• Serveur DC qui contient une partition en lecteur seule appelée
catalogue global qui est une copie partielle des objets et des attributs
de la partition de domaine de chaque domaine de la forêt
i ck
tr
• Certaines applications sont conçues pour rechercher des infos
domaine
Pa
uniquement dans le catalogue global et non dans la partition du
u t
• Le catalogue global est tjs interrogé lors de l'authentification de
l'utilisateur
in a
H a
• Il est recommandé de placer au moins un serveur catalogue global
par site Active Directory
©

Le maître d'infrastructure
• Contrôle la cohérence et l'intégrité du domaine comme lors du
déplacement d'un objet, par exemple
i ck
tr
• Il est recommandé que le maître d'infrastructure ne soit pas
catalogue global
Pa
u t
in a
H a
©
Le maître émulateur PDC

• A l'origine pour la migration en douceur de NT4 à 2000
c k
• Très peu probable de trouver un NT4 dans un réseau 2016
i
•
a tr de l'horloge
Mais le PDC emulator gère aussi la synchronisation
t P
pour tous les ordinateurs du domaine
a u urgente
•
i n
Et il prend en charge la réplication
a
© H

Le maître émulateur PDC
• Soit un utilisateur situé sur le site AD A, appelant une personne
ressource situé sur le site AD B, car il a oublié son mot de passe
i ck
tr
• La personne ressource lui réinitialise sont mot de passe et lui
a
transmet directement par téléphone
t P
•
a
pas encore reconnu sur le siteuA.
La réplication intersite n'étant pas immédiate, le mot de passe n'est
Avant de refuser laa in de login, le système va interroger le

PDC emulator,H
• demande
© qui va permettre d'authentifier l'utilisateur
Configuration des FSMO

• Les rôles FSMO doivent être configurés sur le domaine racine de la
forêt
i ck
tr
• Par défaut, les services de domaine Active Directory affectent tous
racine de la forêt
Pa
les rôles de maître d’opérations au premier DC dans le domaine
u t
in a
H a
©

Configuration des FSMO
• Si votre conception spécifie que tous les contrôleurs du domaine
racine de la forêt constituent des serveurs de catalogue global,
i ck
conservez les cinq rôles de maître d’opérations sur le premier
tr
contrôleur de domaine et définissez le second contrôleur de domaine
comme maître d’opérations de secours
P a
Si votre conception spécifie untdomaine enfant, transférez le rôle de
•
a ucontrôleur de domaine qui n’est pas un
n
serveur de catalogue iglobal
maître d’infrastructure à un
a
© H
La réplication
• En informatique, la réplication est un processus de partage
d'informations pour assurer la cohérence de données entre plusieurs
sources de données redondantes, pour améliorer la fiabilité, la
tolérance aux pannes, ou l'accessibilité
i ck
•
a tr données sont
On parle de réplication de données si les mêmes
dupliquées sur plusieurs périphériques
t P
•
données sauvegardées nea
u avec une sauvegarde : les
La réplication n'est pas à confondre
état fixe des données,in
changent pas dans le temps, reflétant un
a tandis que les données répliquées évoluent
©H
sans cesse à mesure que les données sources changent

La réplication intrasite
• Le serveur DC sur lequel une modification a été effectuée notifie les
serveurs DC se trouvant sur le même site
i ck
tr
• La latence est très faible dans une infrastructure normale pour
a
arriver à la convergence
P
Les modifications urgentes sontt immédiatement répliquées vers le
•
PDC emulator
a u
a i n
© H
La réplication intersite
• Intervient selon une planification qui peut définir des intervalles de
plusieurs heures entre chaque réplication
i ck
tr
• La réplication concerne:
– Le schéma au niveau tous les DC de la forêt
– Le cat. global vers tous cat. globaux de la forêt
Pa
u t
– La réplication de l'attribut de domaine vers le cat. global du
domaine
in a
H a
– Les modif. des objets vers tous les DC du même domaine
– La configuration vers tous les DC de la forêt
©
– Les partitions spécifiques comme le DNS vers les serveurs visés

7. Mise en œuvre de l'AD
Installation du rôle services de domaine Active
Directory (AD DS)
Prérequis
• Système de fichier NTFS
i ck
• Nom de serveur conforme aux spécifications DNS: 15 caractères
tr
max. (chiffes, lettres maj. et min. et tiret) ->Changez-le maintenant,
a
si ce n'est déjà fait
t P
• Paramètres IP corrects
a u
•
a i n
Nom de domaine correct
• H
© AD DS (sur le même serveur). Sinon, le serveur doit
Serveur DNS: pas obligatoire si on installe le rôle AD DS en même
que les services
être client d'un serveur DNS

Installation du ctrl de domaine AD
• Dans le Gestionnaire de serveur, ajoutez le rôle de serveur ADS
i ck
requises
a tr
t P
a u
a in
© H

• A la fin de l'installation,
cliquez sur "Promouvoir
ce serveur comme DC"
i ck
a tr
t P
a u
a in
© H

• Si vous avez terminé l'installation sans le faire, dans les outils
d'administration,
cliquez sur le
i ck
tr
gestionnaire de
serveur, puis sur
le drapeau, et
Pa
finalement sur
u t
"Promouvoir
ce serveur
in a
comme DC"
H a
©

• ADS va permettre de créer des comptes utilisateurs, groupes et
ordinateurs valables sur tout le domaine en centralisant la gestion
de ces comptes sur le DC
i ck
•
a tr
Cliquez sur OK au niveau de l'avertissement
t P
a u
a i n
© H

• Au niveau de l'organisation de l'AD, on pourra choisir entre:
– Créer une nouvelle forêt
– Créer un nouveau domaine
i ck
tr
dans la forêt
a
– Créer un DC dans le
domaine
t P
• Ici, nous allons créer une
a u
nouvelle forêt
a in
(et simultanément le
premier DC dans le
premier domaine) © H

• Le nom de domaine principal sera celui qu'on a renseigné lors de
la configuration du serveur DNS
i ck
a tr
t P
a u
a in
© H

• Pour le niveau fonctionnel de la forêt, si vous n'avez pas de DC
d'une génération précédente (2008 ou antérieur), choisissez
"Windows Server 20016"
i ck
• Notre DC sera:
a tr
– serveur DNS
t P
– catalogue global
a u
in
– mais pas en lecture seule
H a
©

• Remarque: il est parfois intéressant de déployer des DC en
lecture seule, pour équiper des sites distants dont la sécurité
physique ne peut être
i ck
tr
garantie (magasins par
exemple)
Pa
• Choisissez un mot de
u t
passe de restauration,
in a
a
qui permettra à
l'administrateur de
©
réparer ou restaurer H
la base de données AD

• La délégation de zone DNS permet de diviser l'espace DNS de
l'entreprise en plusieurs zones afin de répartir la charge
i ck
• Comme nous avons créé
un .lan inexistant dans les
a tr
extensions DNS officielles
t P
(c'est pour cela qu'on l'a
a u
in
pris), le système renvoie
un warning mais qui
H a
est sans importance dans
le cadre de notre
manipulation ©

• Le nom de domaine NETBIOS est le nom de domaine sans
l'extension DNS
i ck
a tr
t P
a u
a in
© H

• NETBIOS est le système de nommage des machines et domaines
antérieur au DNS
ck
• Cela permettait de créer des réseaux à l'aide des noms de machines
i
tr
(voisinage réseau)
Pa
• NETBIOS utilise la diffusion (broadcast) et ne passe donc pas à
travers les routeurs
u t
in a
• On peut utiliser un serveur WINS pour palier à cet inconvénient
H a
• NETBIOS est remplacé avantageusement par DNS bien qu'il soit
©
toujours utilisé au niveau local

• Les chemins par défaut peuvent être conservées et vous pouvez
valider la fenêtre
suivante
i ck
a tr
t P
a u
a in
© H

• Quelques mises en garde avant installation concernant
l'algorithme de cryptographie et le fait qu'on utilise une adresse
dynamique
i ck
• L'adresse est ici
a tr
dynamique parce
t P
que c'est un cas
a u
in
d'école, dans
l'entreprise, elle
sera statique
H a
©

• Au niveau de la compatibilité de l'algorithme avec NT4.0, cela
peut être réglé en exécutant gpmc.msc
i ck
tr
• Dans l'arborescence, choisissez Domains -> Nom du domaine
Controllers Policy -> Edit

Pa
-> Group Policy Objects -> bouton droit sur Default Domain
u t
in a
• Dans la nouvelle fenêtre: Computer Configuration -> Policies
H a
-> Administrative Templates -> System -> Net Logon et
finalement Allow Crytography … à activer ou pas
©

• La mise en garde au niveau du DNS est la même que
précédement et
concerne le fait
i ck
tr
que l'extention
.lan n'est pas
valable dans
Pa
l'espace DNS
u t
public
in a
H a
©
8. Gestion des utilisateurs

Objectifs
• Dans un réseau, il est nécessaire de gérer efficacement les utilisateurs
de manière centralisée
i ck
a tr
• Active Directory répond à ce besoin en offrant un moyen simple et
centralisé et authentifier l'utilisateur et l'autoriser à accéder à des
t P
ressources se trouvant sur le réseau de l'entreprise grâce au compte
utilisateur
a u
a in
© H
Le compte utilisateur
• Celui-ci peut être local ou de domaine
• Il se compose d'un nom d'utilisateur et d'un mot de passe
i c k
•
a
Il est possible d'ajouter d'autres informationstr comme le téléphone de
P
l'utilisateur, ses droits d'accès distant, …
t
u
a local dont les informations de
compte résident dans ilan
• On distingue le compte d'utilisateur
H a qui est stocké dans l'AD

d'utilisateur de domaine
sam locale de l'ordinateur du compte
•
©
Sur un contrôleur de domaine, la sam est désactivée

• Un compte d'utilisateur de domaine peut se connecter sur n'importe
quel ordinateur et accéder à toutes les ressources du domaine, alors
i ck
qu'un compte d'utilisateur local ne peut le faire que sur l'ordinateur
tr
considéré
Pa
• Dans une entreprise, la gestion des comptes d'utilisateur se fera par
domaine
u t
in a
H a
©
• Le système contient des comptes prédéfinis dont:
ck
– Administrateur: compte qui a accès à tout l'ordinateur (local) ou à
i
la forêt ou au domaine (AD)
a tr
Ne peut être détruit ou désactivé mais peut être renommé
t P
a u
– Invité: compte disposant de droits limités. Par défaut, il est
désactivé et sans mot de passe
a in
Il est conseillé de s'assurer qu'il reste désactivé et lui attribuer un
mot de passe
© H

Création des utilisateurs du domaine
• Une fois l'installation de l'AD
terminée, nous retrouvons
l'utilitaire AD Users and Computers
i ck
tr
disponible dans les outils
d'administration
Pa
u t
in a
H a
©

• On va premièrement créer une OU pour y mettre les utilisateurs
et ordinateurs concernés
i ck
a tr
t P
a u
a in
© H

• On crée, dans cette OU,
un compte utilisateur
i ck
a tr
t P
a u
a in
© H

• Pour le nom d'ouverture de session, généralement on utilise l'UPN
(User Principal Name)
i ck
tr
• Les noms UPN se composent de trois parties : le préfixe UPN (nom
a
d'ouverture de session de l'utilisateur), le caractère @ et le suffixe
UPN
t P
a u
• Le suffixe UPN par défaut est le nom DNS de la forêt, qui
de la forêt
a in
correspond au nom DNS du premier domaine dans le premier arbre
© H

• On indique un mot de passe sécurisé pour l'utilisateur et on
spécifie
la politique
i ck
tr
de mots
de passe
Pa
u t
in a
H a
©

• On crée un compte ordinateur,
soit dans l'OU, soit directement
dans le domaine, suivant la
i ck
tr
portée de ce compte
Pa
u t
in a
H a
©

• Au niveau du compte
utilisateur, on va définir
l'emplacement du
i ck
tr
répertoire utilisateur,
du répertoire de profil,
et le nom du script
Pa
d'ouverture de session
u t
in a
H a
©

• C'est le client Windows 7 qui va
utiliser ces informations,
on spécifie donc un chemin
i ck
tr
réseau
Pa
• Pour le script, seul le nom est
nécessaire, le chemin est connu
u t
du système
in a
H a
©

• Sur la page Account, on peut
modifier la politique de mots de
passe, débloquer un compte
i ck
tr
(parce qu'on a essayé de se loguer
trop de fois sans succès),
ou mettre une date d'expiration
Pa
pour un compte
u t
(pour un stagiaire qui vient pour
une durée déterminée dans
in a
H a
l'entreprise par exemple)
©

• Nous avons donc deux items dans notre OU students
• On peut en créer
i ck
beaucoup plus,
évidemment
a tr
t P
a u
a in
© H

Profil d'un utilisateur
• Dès qu'un utilisateur se connecte sur un ordinateur, son profil est
chargé du serveur en local puis le profil local est utilisé durant la
session
i ck
•
a tr 7
Il se trouve dans le dossier Users sur Windows
t P
•
a uéventuellement modifié est sauvé sur
A la fin de la session, le profil
le serveur
a i n
© H

• S'il s'agit d'un profil itinérant obligatoire, les modifications de celui-ci
ne sont pas sauvegardées en fin de session
i ck
a tr
• Pour créer un profil obligatoire, il faut renommer le fichier ntuser.dat
se trouvant dans le répertoire de profil (sur le serveur) en ntuser.man
t P
a u
a in
© H

• Pour pouvoir gérer les profils itinérants correctement, on doit
rajouter le groupe des administrateurs pour la gestion de ceux-ci
i ck
profil mandataire (profil en lecture seule)
a tr
• Sinon, il sera impossible de configurer un profil itinérant en
t P
a u
• Pour cela, il faut exécuter gpedit.msc qui ouvre l'éditeur de
stratégie de groupe
a in
© H

• On va dans Configuration de l'ordinateur -> Modèles
d'administration -> Système -> Profils utilisateurs ->
ajouter le groupe de sécurité des administrateurs aux profils
i ck
tr
utilisateur itinérants -> cliquez dessus pour activer cet item
Pa
u t
in a
H a
©

• Il faut maintenant créer
les répertoires spécifiés
dans l'onglet profil
i ck
tr
du compte utilisateur
Pa
u t
in a
H a
©

• Par défaut, tout le monde a accès
aux répertoires créés
• On va éditer les permissions pour
i ck
tr
supprimer "Tout le monde"
Pa
u t
in a
H a
©

• Il faut ensuite ajouter le groupe
Users …
i ck
a tr
t P
a u
a in
© H

• … et lui donner les droits
d'écriture sur le répertoire
i ck
• On effectue l'opération pour
les répertoires home
a tr
et profiles
t P
a u
a in
© H

• Ensuite, les répertoires home et
profiles doivent être partagés
• Il faut rajouter le groupe des
i ck
tr
utilisateurs
Pa
u t
in a
H a
©
i ck
a tr
t P
a u
a in
© H

• Il faut lui donner un accès en écriture
• L'opération est à
i ck
effectuer pour les
répertoires home
a tr
et profiles
t P
a u
a in
© H

• On crée ensuite,
dans le répertoire
home, un répertoire
i ck
tr
au nom de chaque
compte utilisateur créé
Pa
u t
in a
H a
©

• Idem pour le répertoire profiles, mais on rajoute un .V2 au nom
du répertoire créé (car client Windows 7)
i ck
a tr
t P
a u
a in
© H

• Il faut ensuite éditer
les permissions
sur les dossiers
i ck
tr
nouvellement créés
Pa
u t
in a
H a
©

• Il faut, premièrement, désactiver l'héritage des permissions
i ck
a tr
t P
a u
a in
© H
i ck
a tr
t P
a u
a in
© H

• On peut, alors, éditer les permissions, retirer le groupe des
utilisateurs et ajouter l'utilisateur
concerné
i ck
a tr
t P
a u
a in
© H
i ck
a tr
t P
a u
a in
© H

• On donne tous les droits sur
le dossier à l'utilisateur concerné
i ck
a tr
t P
a u
a in
© H
• L'opération est à répéter pour le
répertoire de profil de l'utilisateur

• Il reste à créer le script d'ouverture de session qui doit se trouver
dans: C:\Windows\SYSVOL\sysvol\nomDuDomaine\scripts
i ck
a tr
t P
a u
a in
© H

• Il faut afficher les extensions de fichiers pour pouvoir nommer
correctement le fichier de script
i ck
a tr
t P
a u
a in
© H

• Le fichier de script doit porter le nom spécifié dans l'onglet
profil du compte utilisateur
i ck
a tr
t P
a u
a in
© H

• Le script contiendra la commande net use permettant d'affecter
une lettre de lecteur à un disque réseau
i ck
tr
• On peut ainsi déclarer plusieurs partages
Pa
u t
in a
H a
•
©
Le chemin réseau universel est:
\\NomDuServeur\NomDeLaRessourcePartagée\NomDuSous-répertoire

• Le répertoire scripts du serveur en accès local par
C:\Windows\SYSVOL\sysvol\nomDuDomaine\scripts
est un répertoire partagé nommé netlogon, accessible en écriture
i ck
tr
par les administrateurs et en lecture par les autres
Pa
u t
in a
H a
©

• On crée, ensuite, le répertoire spécifié dans le script en donnant
les droits d'accès à tout le monde
i ck
a tr
t P
a u
a in
© H

• La configuration sur le serveur
étant terminée, il faut maintenant
faire passer le client Windows 7
i ck
tr
dans le domaine fraîchement
créé
Pa
u t
in a
H a
©

i ck
a tr
t P
a u
a in
© H

• Attention qu'on ne peut changer à la fois le nom du PC client
(qui doit correspondre au compte ordinateur créé sur le serveur)
et son groupe …
i ck
a tr
t P
a u
a in
© H

• Le nom de domaine correspond au nom de domaine créé sur le
serveur mais sans l'extension DNS
i ck
• Pour rejoindre le domaine,
il faut bien sur en avoir
a tr
le droit, et il faut valider
t P
la demande avec le compte
a u
in
administrateur
du domaine
H a
©

• Une fois l'ordinateur client accepté dans le domaine, il faut
redémarrer celui-ci
i ck
a tr
t P
a u
a in
© H

• Une fois le PC client redémarré, on peut se loguer avec un des
comptes utilisateur du domaine, créés sur le serveur
i ck
a tr
t P
a u
a in
© H

• On retrouve dans le poste de travail de l'utilisateur, son
répertoire personnel sur le serveur plus le répertoire d'échange
i ck
a tr
t P
a u
a in
© H

• Si on se délogue, le profil de l'utilisateur sera sauvegardé sur le
serveur dans le répertoire spécifié dans l'onglet profils du compte
utilisateur (avec l'extension V2 pour les clients Windows 7)
i ck
a tr
t P
a u
a in
© H

• Pour voir le fichier ntuser.dat,
qui est la partie registre
du profil, il faut que les fichiers
i ck
tr
cachés et les fichiers système
protégés soient visibles
Pa
u t
in a
H a
©

• On peut alors modifier le ntuser.dat en ntuser.man si on veut
transformer le profil
itinérant en profil
i ck
tr
mandataire (profil figé)
• Cela veut dire que toute

Pa
modification du bureau,
u t
tout dossier ou fichier
in a
a
créé sur le bureau ou dans
Mes Documents, sera
perdu …
© H

• Cela permet plusieurs choses:
– Uniformisation des fond d'écran

i ck
a tr
– Profils légers à charger (pas de risque d'avoir une image blue-ray de
P
16Gb à sauvegarder sur le serveur à chaque fermeture de session et
t
u
à rapatrier sur le client à chaque ouverture de session)
in a
– Obligation pour les utilisateurs d'utiliser les répertoires réseau mis à
H a
leur disposition pour sauvegarder les données (et faciliter ainsi le
©
backup des données de l'entreprise puisqu'il suffit de faire un
backup du disque serveur)

En cas de problème …
• Si le système ne veut pas charger le profil:
a bien accès au serveur

i ck
– Vérifiez avec une commande net use… sur le PC client, que celui
a tr
P
– Si vous obtenez une erreur 67, remplacer le nom netbios du DC
t
l'utilisateur)
a u
par son adresse IP (à répercuter sur la config du profil de
a in
H
– Effacez le profil copié en local sur le client
©
– Créez un autre utilisateur …
Groupe(s) d'un utilisateur

• L'onglet Membre
permet de définir
le ou les groupes
i ck
tr
auquel(s)
appartient
l'utilisateur
Pa
u t
in a
H a
©

• Le groupe permet de réunir les utilisateurs et n'avoir à gérer qu'une
seule entité au lieu de plusieurs
i ck
tr
• L'utilisateur hérite des droits et des permissions accordés au groupe
a
t P
• Si certains droits ou permissions sont en conflit, généralement c'est
a u
la permission la plus restrictive qui est accordée
a in
© H

• Microsoft a intégré un certains nombres de groupes prédéfinis
comme Administrateurs du domaine ou Utilisateurs du domaine
i ck
tr
• Il est bien sur possible de créer de nouveaux groupes et de les placer
a
dans une OU par exemple
P
t des éléments de sécurité comme les
•
u
Deux types de groupes sont définis:
a
n
– De sécurité: prévu pour gérer
permissions
i
apour réunir des personnes, pour envoyer des
© H
– De distribution:
mails par exemple

Stratégies d'utilisation des utilisateurs et
des groupes
• Dans la philosophie Microsoft, dans le cas d'un domaine, il y a deux
sortes de groupes;
– Les groupes globaux: qui contiennent les utilisateurs
i ck
– Les groupes locaux: sur lesquels les permissions sont appliquées
a tr
t P
• Pour obtenir des permissions, les groupes globaux doivent être mis
dans des groupes locaux
a u
a in
© H
Portée des différents groupes

Groupe Type Portée Stocké sur Utilisé pour gérer
des
Local Sécurité Ordinateur local Ordinateur Utilisat. et des perm.
local SAM dans des workgroup
ou des perm. dans
une AD
Local de Sécurité ou Domaine AD Partition de Ressources AD
domaine distribution domaine AD
Global Sécurité ou Forêt AD Partition de Utilisateurs de dom.

distribution domaine AD AD
Universel Sécurité ou Forêt AD Catalogue Utilisat. ou des grp

distribution global AD globaux dans une
forêt AD
Identité intégré Sécurité Ordinateur local Ordinateur Droits et des
de sécurité local SAM
©Hainaut P. 2017 - www.coursonline.be permissions 202

Gestion des groupes
• Création d'un groupe:
– Dans les outils
d'administration ->
Utilisateurs et
i ck
tr
ordinateurs AD
Pa
– Ouvrez ou créez une OU
u t
– Cliquez avec le bouton
in a
H a
droit sur ce conteneur
et choisissez Nouveau
puis Groupe
©
Gestion des groupes

• Création d'un groupe:
– Tapez le nom du groupe et modifiez éventuellement le type et
l'étendue du groupe
i ck
a tr
t P
a u
a in
© H

Gestion des groupes
• Modification d'un groupe:
– Dans les outils d'administration -> Utilisateurs et ordinateurs AD
i ck
– Dans l'arborescence
du domaine, cliquez
a tr
avec le bouton droit
t P
sur votre groupe
a u
in
puis sur Propriétés
H a
©
Gestion des groupes

• Modification d'un groupe:
– Sur la page Membres, on peut ajouter ou enlever des utilisateurs
ou d'autres groupes
i ck
a tr
t P
a u
a in
© H

Gestion des groupes
• Suppression d'un groupe:
– Dans les outils d'administration -> Utilisateurs et ordinateurs AD
i ck
– Dans l'arborescence
du domaine, cliquez
a tr
t P
sur votre groupe
a u
in
puis sur Effacer
H a
©
Actions possibles sur un utilisateur

• A partir de la console Utilisateurs et ordinateurs AD, vous pouvez:
– Activer ou désactiver un compte utilisateur
– Réinitialiser son mot de passe
i ck
– Déplacer ou supprimer un utilisateur
a tr
– Ouvrir la page de démarrage de l'utilisateur
t P
u
– Envoyer un message si une adresse de messagerie a été définie
in a
– Ajouter un compte utilisateur à un groupe
H a
• Etudiez ces différentes possibilités
©

9. Serveur Intranet
Introduction
• IIS10 (Internet Information Services) est la dernière version du
serveur Web de Microsoft
i ck
sur le Web, allant de l'ASP.net au PHP
a tr
• IIS10 permet d'héberger et de gérer la plupart des langages utilisés
t P
a u
• Il est rétro compatible avec les anciennes versions
a in
© H

Nouvelle architecture
• Les fonctionnalités d'IIS10 ont été découpées en modules
chargeables selon les besoins
i ck
• Pour la partie Serveur Web:
a tr
– Fonctionnalités HTTP communes (contenu statique, documents
par défaut, …)
t P
a
– Développement d'applications (ASP, CGI, …)u
in
– Intégrité et diagnostics (journalisation, suivi, …)
a
© H
– Sécurité (authentification, autorisations, …)
– Performances (compression de contenu)
Nouvelle architecture
• Pour la partie Outils de gestion:
– Console de gestion IIS
– Scripts et outils de gestion
i ck
– Service de gestion
a tr
– Gestion de la compatibilité avec IIS6
t P
a u
• Le service FTP (File Transfert Protocol) est séparé de la partie
in
Serveur Web, c'est un rôle à part entière
a
© H

Nouvelle administration
• La configuration est découpée en plusieurs XML:
– applicationHost.config contient la config. Globale (liste des sites,
paramètres par défaut, …)
i c k
a
– redirection.config contient les infos trredirection (site sur un
autre serveur, maintenance,…)P
de
u t
– web.config contientnlaa
a i config globale ASP.net du serveur
H
© Framework
– machine.config contient les propriétés requises pour les
fonctionnalités
Installation du rôle Serveur Web IIS

• Le rôle à déjà été installé précédement, si pas rendez vous dans le
Gestionnaire de serveur, ajoutez le rôle de serveur Web (IIS)
i ck
tr
• Ajouter les fonctionnalités requises
Pa
t
• Laissez les options d'installations par défaut et cliquez sur Installer
u
in a
• Après installation, pour vérifier que IIS est bien opérationnel, ouvrez
H a
un navigateur et tapez: http://localhost
©

Création et configuration d'un site
• Les fichiers des sites web se trouvent par défaut dans
c:\inetpub\wwwroot
i ck
tr
• Nous allons créer ici un site statique basique répondant au nom de
domaine info.lan
Pa
• Créez un répertoire info.lan
u t
dans le dossier wwwroot
in a
H a
• Dans les outils d'administration,
©
cliquez sur le Gestionnaire
de services Internet (IIS)

• Déroulez l'arborescence et au niveau de l'onglet Sites, cliquez avec le
bouton droit, puis ajoutez un site Web
i ck
a tr
t P
a u
a in
© H

• Remplissez les champs
puis validez:
– Nom du site
i ck
– Chemin d'accès
– Nom de l'hôte a tr
t P
a u
a in
© H

• Il vous faut un document à afficher dans votre site
• Créez le document suivant (notepad):

i ck
tr
<HTML>
a
<head>
</head>
<title>Site de la section Info</title>
t P
<body>
a u
in
Ceci est mon premier site affiché par IIS10
</body>
</HTML>
H a
©
• Enregistrez le dans c:\inetpub\wwwroot\info.lan\default.htm

• Remarques:
– Apache cherche par défaut le fichier index.html, ou index.php
ck
– IIS cherche par défaut le fichier default.htm d'où le choix du nom de
i
tr
fichier
Pa
u t
– Pour l'instant, notre site répond sur http://info.lan, on va modifier la
configuration du site pour qu'il puisse répondre aussi sur
http://www.info.lan
in a
H a
©

• Allez dans la console Gestionnaire des services Internet (IIS)
• Développez
i ck
tr
l'arborescence Sites
pour faire apparaître
Pa
le site créé
précédemment
u t
i n a
•
ales liaisons
Cliquez avec le bouton
H
droit sur le site puis
©
cliquez sur Modifier

• Dans la fenêtre Liaisons de site, cliquez sur Ajouter
• Spécifiez comme nom d'hôte: info.lan et laissez le port 80

i ck
a tr
t P
a u
a in
© H
Mise à jour du domaine DNS

• Pour que notre site soit accessible du réseau local, il faut créer des
zones dans notre serveur DNS, de façon à mettre en correspondance
l'adresse IP locale du serveur (192.168.10.1) avec les noms de
domaines
i ck
a tr
t P
• Si on héberge plusieurs sites, ils auront tous la même IP et c'est le
nom de domaine qui fera la différence et qui permettra d'afficher les
bonnes pages
a u
a in
• Si on veut que le site soit accessible de l'extérieur, il faut réserver un
© H
nom de domaine valide (par exemple .be) et s'enregistrer auprès du
service DNS correspondant (par exemple DNS Belgium)

Création d'une zone de recherche
directe
• Dans le volet
i ck
gauche, cliquez
a tr
sur Zones de
t P
recherche directes,
a u
in
puis sur
Nouvelle zone
H a
©

directe
• Sur la page Type de zone, sélectionnez l'option Zone principale
i ck
a tr
t P
a u
a in
© H

Types de zone
• Zone principale: permet de créer une zone DNS en lecture et
écriture
i ck
seule sur le serveur DNS
a tr
• Zone secondaire: permet de créer une copie de la zone en lecture
t P
a u
• Zone de stub: permet de créer une zone en lecture qui ne contient
a in
que les enregistrements SOA,NS et A correspondants aux
enregistrements des serveurs DNS hébergeurs de la zone
© H

directe
• Sur la page Etendue de la zone de réplication AD, laissez les
informations par défaut (la zone sera active sur tous les serveurs
DNS du domaine)
i ck
a tr
t P
a u
a in
© H

directe
• Sur la page Nom de la zone, tapez le nom DNS de la zone à créer,
dans notre exemple, c'est info.lan
i ck
a tr
t P
a u
a in
© H

directe
• Sur la page Mise à niveau dynamiques des enregistrements DNS,
vous pouvez laisser par défaut, dans notre cas, ça n'a pas
d'importance
i ck
• Le plus
a tr
sécure est
t P
de ne pas
a u
in
accepter
les mises
à jour
H a
dynamiques
©

Création d'un nouvel hôte dans la zone
• Cliquez avec le bouton droit dans la zone créée précédemment et
cliquez sur Nouvel hôte
i ck
a tr
t P
a u
a in
© H

• On va lier le nom de domaine à l'adresse IP du serveur (du coté
local, c'est pour cela qu'on parle d'intranet …)
i ck
tr
reste vide puisque ça concerne
a
info.lan
P
u t
in a
H a
©

• On fait la même chose pour www (de cette façon, on pourra taper
indifféremment http://info.lan ou http://www.info.lan dans un
navigateur
i ck
a tr
t P
a u
a in
© H
Types d'enregistrement
• SOA: correspond à la source de l'autorité de la zone concernée.
Toute modification incrémente un numéro de version associé
ck
• NS: contient tous les serveurs de noms autorisés à répondre pour ce
i
domaine
a tr
P
• A: définit l'adresse IP associée à un nom de machine
t
a u
• CNAME: crée un alias dans une zone, qui pourra être associé à un
enregistrement de type A
a in
recherche inversée
© H
• PTR: est le pendant du type A. N'existe que dans les zones de
• MX: pointe sur un enregistrement de type A pour indiquer le serveur

de messagerie 232

Test au moyen d'un navigateur
• Avant de tester, il faut actualiser les données du serveur DNS et du
serveur Web
i ck
a
sur le DC (DC01 dans notre exemple) puis sur Actualiser tr
• Pour cela, dans les deux gestionnaires, cliquez avec le bouton droit
t P
a u
• On peut dès lors tester notre site web au niveau d'un navigateur sur
le serveur comme sur le PC client
a in
© H

inversée (facultatif pour cette manip)
• Permet de résoudre des adresses IP en noms

i ck
a tr
recherche inversée, puis sur Nouvelle zone
t P
• Dans le volet gauche, cliquez avec le bouton droit sur Zones de
a u
•
i n
adans l'AD
Sur la page Type de zone, sélectionnez l'option Zone principale.
H
Enregistrez la zone
©

inversée
• Sur la page Etendue de la zone de réplication AD, laissez les
informations par défaut
i ck
l'ID réseau
a tr
• Sur la page Nom de la zone, sélectionnez l'adressage IPv4 et tapez
t P
a u
• Sur la page Mise à niveau dynamiques des enregistrements DNS,
vous pouvez les interdire
a in
© H
Exercice d'application
• Soit à rendre notre serveur intranet, qui accepte des sites
statiques, compatible avec les sites dynamiques
i ck
tr
• Vous devez en fait, jouer le rôle d'un provider comme OVH qui
Pa
vous propose un espace serveur gérant le PHP et MySQL, un
outil de gestion de bases de données comme PHPmyAdmin, et
u
un support FTP pour le transfert de vos fichiers t
in a
H a
©

• Donc, du coté serveur, il faut installer:
– Un serveur FTP pour que le client puisse "uploader ses fichiers", serveur
k
FTP qui doit pointer vers le répertoire où vont se trouver les fichiers du site
Web dynamique
tr i c
– Un serveur MySQL pour prendre en charge la base de données du site client
a
– Un serveur PHP qui permettra d'interroger la base de données
P
t
– PHPmyAdmin qui permettra de gérer la base de données client
a u
• Pour cela, trouvez les outils nécessaires … (Google)
(outils client …)
a in
Remarque: EasyPHP ou WAMP ne sont pas des outils adaptés !
© H
• Et vous devrez désactiver la sécurité accrue du navigateur Web
pour télécharger ce qu'il faut … (gestionnaire de serveur)
• Du coté client, il faut:
– "Uploader" les fichiers sur le serveur via un client FTP (Filezilla,
i ck
FlashFXP, …) qui se connectera à votre serveur FTP suivant la façon
tr
dont vous l'avez configuré …
– Vous rendre sur le site, à partir du PC client où vous devrez voir
P
apparaître la page d'installation du site JOOMLA
a
LAMP)
u t
– Installer JOOMLA (voir présentation sur le sujet ou présentation sur
in a
– Enlever via FTP le répertoire Installation
a
– Vérifier avec PHPmyAdmin que la base de données est bien créée
H
©

Remarque
• Ce qui vient d'être vu pour un intranet, par facilité (adresses IP
privées et noms de domaine fictifs), peut être adapté facilement à
un serveur Web actif sur Internet
i ck
•
a trserveur et de faire
Il suffit d'avoir une IP publique fixe sur ce
enregistrés auprès de providerst

correspondre cette adresse IP à des Pnoms de domaines loués et
a u
a i n
© H
NOTIONS COMPLEMENTAIRES

10. Impression
Terminologie
• Imprimante: file d'attente (zone tampon), partie logique du
périphérique d'impression
i ck
• Périphérique d'impression: imprimante physique, locale ou réseau
a tr
t P
• Impression locale: impression à partir d'un poste client sur une
imprimante directement raccordée à cette station (USB, //, série,…)
a u
Disponible si le poste client est allumé
•
a n
Impression réseau:iimpression à partir d'un serveur d'impression
©H assuré
dont l'imprimante peut être raccordée localement ou via le réseau
Disponibilité toujours

Terminologie
• Serveur d'impression: se compose d'un spouleur d'impression,
d'imprimantes, de pilotes d'imprimantes et du processeur
i c k
d'impression. Gère les imprimantes et les files d'attente
Pilote d'imprimante: interface logicielletr

a Chez microsoft, les
• qui permet de gérer et
pilotes sont gérés et distribués parP

d'imprimer sur un périphérique d'impression.
ordinateur client se connecte t

le serveur d'impression lorsqu'un
a u
a i n
© H
Terminologie
• Spouleur d'impression: zone du disque où sont sttockés les fichiers
prêts à être imprimés. Par défaut, c'est
%systemroot%\system32\spool\printers
i ck
•
a tr dont les documents sont
Processeur d'impression: gère la manière
t Pdes pages,…)
envoyés à l'impression (ordre, ordre
a u
a i n
© H

Imprimante locale
• L'ajout d'une imprimante locale se fait de façon traditionnelle via le
panneau de configuration/Matériel/Périphériques et Imprimante
/Ajouter une imprimante
i ck
a tr
t P
a u
a in
© H
Imprimante locale
• Vous pouvez interrompre la recherche automatique en cliquant sur le lien
en bas de fenêtre
k
• Vous pouvez prendre la dernière option qui convient à une imprimante
USB ou TCP/IP
tr i c
Pa
u t
in a
H a
©

Imprimante locale
• Pour une imprimante USB, on choisira d'utiliser un port existant et
on sélectionnera le port correspondant
i ck
• Pour une imprimante réseau,
on créera un nouveau port,
a tr
et comme type de port,
t P
on prendra un port
a u
in
TCP/IP standard
H a
©
Imprimante locale
• Si c'est une imprimante réseau, une fenêtre permettant de renseigner
l'adresse IP de l'imprimante apparaît
i ck
• On peut désactiver
la recherche automatique
a tr
de l'imprimante
t P
a u
a in
© H

Imprimante locale
• Le système essaie de détecter le port de l'imprimante, et si ça ne
fonctionne pas, une fenêtre supplémentaire apparaît
i ck
a tr
t P
a u
a in
© H
Imprimante locale
• On peut ensuite choisir l'imprimante dans la liste ou renseigner un
driver téléchargé
i ck
a tr
t P
a u
a in
© H

Imprimante locale
• On peut décider ensuite si l'imprimante sera partagé ou non sur le
réseau
i ck
• Si c'est une imprimante
USB, ça peut être
a tr
intéressant, mais pas
t P
dans le cas d'une
a u
in
imprimante TCP/IP
H a
©
Imprimante locale
• Il reste à indiquer si l'imprimante doit être utilisée par défaut et
éventuellement imprimer une page de test
i ck
a tr
t P
a u
a in
© H

Publication d'une imprimante dans l'AD
• Dans les propriétés d'une
imprimante donnée,
on trouve dans l'onglet partage
i ck
tr
l'option Lister dans l'annuaire
• Si on l'active (facultatif), il est,

Pa
dès lors, possible de rechercher
u t
cette imprimante dans l'AD
in a
H a
©
Configuration et gestion d'une

imprimante
• Au niveau du panneau de configuration, section imprimantes, en
cliquant avec le bouton droit au niveau d'une imprimante donnée,
on accède aux propriétés de l'imprimante
i ck
• Onglet général:
a tr
– Nom, emplacement et commentaire
t P
a u
– Le bouton Options d'impression permet de modifier la façon
dont le périphérique d'impression va travailler. Il vaut mieux
a
spécifiques comme couleur ou n&b in
créer plusieurs imprimantes disposant chacune de paramètres
© H
– Le bouton Imprimer une page de test permet de tester le bon
fonctionnement de l'imprimante

imprimante
• Onglet partage:
– La case à cocher Partager cette imprimante active le partage avec
les paramètres par défaut
i c k
a
– Evitez les espaces dans le nom de l'imp.tr Partagé
t P
clients indique si une a
– L'option Rendu des travauxu d'impression sur les ordinateurs
l'ordinateur clientin
partie du travail de préparation se fait sur
H a
© Pilotes supplémentaires permet d'ajouter des pilotes
– Le bouton
pour les autres OS Microsoft utilisés

imprimante
• Onglet Ports:
– Cet onglet affiche la liste des ports disponibles actuellement sur le
k
serveur d'impression, leur description et s'ils sont rattachés à une
c
imprimante
tr i
– Le bouton Ajouter un port permet d'ajouter un port local, TCP/IP ou
a
un autre type de port
sauf les ports par défaut

t P
– Le bouton Supprimer un port permet de supprimer le port sélectionné
u
– Le bouton configurer le port permet éventuellement de modifier les
a
in
paramètres pour le port sélectionné
a
– L'option Activer la gestion du mode bidirectionnel permet également
au périphérique d'impression de communiquer avec l'imprimante
© H
– L'option Activer le pool d'imprimante permet de grouper plusieurs
périphériques d'impression identiques

imprimante
• Onglet Avancé:
– Permet de définir des horaires d'impression, des priorités, des
fonctionnalités avancées, …
i ck
– Expérimentez-les
a tr
• Onglet Gestion des couleurs
t P
a u
– Permet de définir, pour chaque périphérique d'impression, des
possible
a in
profils pour gérer les couleurs et donner le meilleur rendu
© H

imprimante
• Onglet Sécurité:
– Permet de gérer les permissions applicables aux imprimantes
i ck
tr
– Le mieux est de restreindre au maximum les droits des utilisateurs
Pa
t
– Par défaut, Tout le mode a la permission d’imprimer
u
in a
– Les administrateurs, les opérateurs de serveur et d’impression ont
a
tous les droits sur le serveur d’impression
H
© les différentes possibilités
– Expérimenter

imprimante
• Onglet paramètres du périphérique:
ck
– Cet onglet est réservé pour configurer des paramètres propres à
i
tr
l’imprimante définis par le fabricant
Pa
t
– Pour éviter que les utilisateurs ne modifient ces paramètres, il est
u
a
conseillé de créer plusieurs imprimantes, chacune correspondant
à une catégorie d’utilisateurs
a in
© H
11. Sauvegarde et Restauration

Introduction
• Un fichier corrompu, un disque qui tombe en panne, sont des
exemples de problèmes courants et pour se prémunir contre ce type
de risque, il est nécessaire de copier les données sur un autre
emplacement
i ck
a tr
• L'utilitaire dédié est Windows Server Backup
• Un utilitaire en ligne de commande existe: wbadmin
t P
a u
•
a i n
Windows requiert un disque dédié à la sauvegarde
Ce disque peutH
du disque,©
• être un disque externe USB ou Firewire, un volume
un média amovible
Mise en œuvre
• Installation de la fonctionnalité de sauvegarde:
– A partir du Gestionnaire
de serveur,
installez la fonctionnalité
i ck
Windows Server Backup
a tr
t P
a u
a in
© H

Mise en œuvre
• Un nouvel outil apparaît
dans les outils d'administration
i ck
a tr
t P
a u
a in
© H
Mise en œuvre
• Interface:
i ck
a tr
t P
a u
a in
© H

Mise en œuvre
• Les seules opérations possibles sont:
– La planification de la sauvegarde
i ck
–
–
La sauvegarde manuelle unique
a tr
P
La configuration des paramètres de performances
– La récupération
u t
in a
H a
©
Création d'une sauvegarde

• Création d'une sauvegarde manuelle unique:
– Dans le volet de droite (ou dans le menu Action), cliquez sur
k
Sauvegarde unique
– Parcourez les pages
Options de sauvegarde,
tr i c
Sélectionner la
configuration…,
Pa
Spécifier le type de
u t
destination,
– Spécifier une option
in a
avancée pour
configurer votre
H a
sauvegarde
©
– Sur la page Confirmation,
relisez les infos et cliquez sur Sauvegarder

• Planification de sauvegarde:
– Dans le volet de droite, cliquez sur Planification de sauvegarde
i ck
tr
– Parcourez les différentes pages afin de spécifier les différentes
destination
Pa
options dont l'heure et la fréquence de sauvegarde, ainsi que la
u t
in a
– Sur la page Confirmation, relisez les infos et cliquez sur Terminer
H a
©

• Configuration des paramètres de performances:
– Dans le volet de droite, cliquez sur Configurer les paramètres de
performance
i c k
a tr complète et les
– Vous pouvez choisir entre la sauvegarde
t Pde réduire le temps de

sauvegardes incrémentielles afin
sauvegarde
a u
a i n
© H

Restauration d'une sauvegarde
• Récupération des données:
– Dans le volet de droite, cliquez sur Récupérer
– Sur la page Démarrer, sélectionnez l'emplacement de la
i ck
sauvegarde
a tr
– Sur la page suivante, sélectionnez la date et l'heure de la
sauvegarde à utiliser
t P
a u
– Sur la page Sélectionnez le type de récupération, sélectionnez
in
Fichiers et dossiers, Applications ou Volumes
a
© H
Restauration d'une sauvegarde

• Récupération du système d'exploitation:
– Vous pouvez récupérer l'OS (et les applications installées), ce qui
k
suppose que la taille des disques est importante et au moins égale
à la taille des disques de l'ancien système
i c
tr d'installation
a
– Démarrer votre serveur à l'aide du DVD
P
– Spécifiez les para mètres detlangue et sélectionnez Réparer votre
a u
n
ordinateur
i
a de récupération système, sélectionnez l'OS
– Sur la pageH
– Sur la page Options
© Windows -> sélectionnez la sauvegarde

l'ordinateur
Choisir un outil de récupération -> Restauration de
– Sur la page Choisissez comment restaurer…, choisissez les

options de restauration

12. Accès aux fichiers
Introduction
• La gestion des fichiers et des dossiers est un des points les plus
sensibles dans une entreprise
i ck
a tr
• Les données sont en effet primordiales et doivent être protégées
contre la destruction et l'accès non-autorisé, accidentels ou pas
t P
a u
• Il faut de plus limiter l'espace à disposition des utilisateurs sous peine
serveur
a in
de se retrouver avec une masse impressionnante de données sur le
© H

12a. Permissions NTFS
Permissions NTFS
• Les permissions NTFS permettent de protéger les fichiers d'un
système Windows contre des accès non-autorisés
i ck
a tr
• Windows utilise les permissions NTFS basées sur les DACLs
(Discretionary Acces Control List) pour protéger les dossiers et les
fichiers
t P
a u
List)
a in
• A chaque objet est affectée une liste appelée ACL (Access Control
© H

Permissions NTFS
• L'ACL se compose de descripteurs de sécurité ACE (Access Control
Entry)
i ck
autorisation ou refus
a tr
• Chaque ACE définit une décision pour un utilisateur ou un groupe;
t P
a u
a in
© H
Permissions NTFS
• Pour afficher et modifier les permissions NTFS:
– Connectez-vous en tant
qu'administrateur
i ck
– Ouvrez l'explorateur Windows
et déplacez-vous jusqu'à l'objet
a tr
dont vous voulez afficher
t P
les permissions
a u
– Cliquez avec le bouton droit
a
sur l'objet, puis sur Propriétés in
H
– Cliquez sur l'onglet Sécurité
©

Permissions NTFS
• Si vous cliquez sur Modifier, vous pouvez changer les
permissions actuelles
i ck
a tr
t P
a u
a in
© H
Permissions NTFS
• Le bouton Ajouter permet d'ajouter un groupe ou un utilisateur pour
lui affecter une autorisation
i ck
• Le bouton Supprimer l'enlève
a tr
t P
a u
a in
© H

Permissions NTFS
• En cliquant sur Avancé… puis sur Rechercher, on peut récupérer
la liste des
utilisateurs
i ck
tr
de l’ordinateur
Pa
u t
in a
H a
©
Permissions NTFS
• Une fois l’utilisateur choisi, double-cliquez dessus, puis cliquez sur
OK
i ck
a tr
t P
a u
a in
© H

Permissions NTFS
• L’utilisateur est alors ajouté à la liste
• Attention, un refus explicite est prioritaire par rapport à une
autorisation (ce qui n’est pas le cas du refus implicite)
i ck
a tr
t P
a u
a in
© H
Permissions NTFS
• Testez l’influence de ces permissions avec plusieurs comptes
utilisateurs
i ck
a tr
• attention que, par défaut, seuls des utilisateurs appartenant au groupe
des administrateurs peuvent ouvrir une session sur le contrôleur de
domaine
t P
u
Point de vue sécurité, il est normal qu’il en soit ainsi, le DC étant un
a
in
élément critique du domaine
H a
• Juste pour le test, comment pourriez-vous permettre aux utilisateurs
©
du domaine d’ouvrir une session en local sur le DC ? (attention à ne
pas mettre en production …)

12b. Partage de fichiers
Les partages
• Un partage est un point d'entrée réseau pour accéder à des
ressources de type fichier sur un serveur
i ck
tr
• Un dossier peut correspondre à plusieurs points de partage nommés
différemment et disposant de permissions différentes
Pa
u t
in a
H a
©

Les partages
• L'accès au dossier partagé utilise un chemin UNC (Universal
Convention Name) de syntaxe suivante:
\\NomDuServeur\NomDuPartage ou
i ck
tr
\\NomDuServeur\DossierPartagé\Ressource
Pa
• Si on ajoute un caractère $ à la fin du partage, celui-ci n'apparaîtra
pas dans la liste des partages
u t
in a
H a
©
Les partages
• Le déplacement d'un dossier partagé supprime le partage
i ck
tr
• Il existe de multiples façon de créer un partage. Nous en
développerons une …
Pa
u t
in a
H a
©

Les partages
• Création d'un partage via l'outil Gestion de l'ordinateur:
– Connectez-vous en tant qu'administrateur
ck
– Démarrer -> Outils d'administration -> Gestion de l'ordinateur
i
tr
– Dans le volet gauche, cliquez sur le nœud Dossiers partagés
a
t P
a u
a in
© H
Les partages
• Le nœud Partages affiche tous les partages de l’ordinateur
ck
• Le nœud Sessions affiche les utilisateurs actuellement connectés sur
i
les dossiers partagés
a tr
t P
• Le nœud Fichiers ouverts affiche des informations sur les fichiers
actuellement ouverts
a u
a in
© H

Les partages
– Cliquez avec le bouton droit sur Partages puis cliquez sur
Nouveau Partage
puis cliquez sur Suivant

i ck
– Sur la page Assistant création d'un dossier partagé, lisez les infos
a tr
t P
a u
a in
© H
Les partages
– Sur la page Chemin du dossier, recherchez l'emplacement du
dossier à partager
– S’il n’existe pas, le système proposera de le créer
i ck
a tr
t P
a u
a in
© H

Les partages
– Le nom de partage peut être modifié et sur la page suivante, on
peut choisir les autorisations d’accès
– … le plus souplement, en cliquant sur Personnalisé …
i ck
a tr
t P
a u
a in
© H
Les partages
– On peut modifier les permissions pour les utilisateurs existants
ou en ajouter d’autres en cliquant sur Ajouter …
i ck
– Ca se passe ensuite de manière similaire aux dias 224 à 226
a tr
t P
a u
a in
© H

Les partages
– Une fois le partage effectué, on peut modifier celui-ci en cliquant
avec le bouton droit de la souris sur le dossier partagé et en
Partage avancé…
i ck
sélectionnant propriétés, puis l’onglet partage et finalement
a tr
t P
a u
a in
© H
Les partages
– Vous pouvez modifier le nom de partage ou en ajouter un autre,
sur lequel vous pourrez spécifier d’autres
de partage
i ck
autorisations, différentes de celles précisées pour le premier nom
a tr
t P
a u
a in
© H

12c. Gestion des quotas
Mise en œuvre des quotas

• Pour éviter que quelques utilisateurs occupent tout l'espace
disponible, il est possible de restreindre l'espace disque par utilisateur
à l'aide des quotas
i c k
•
a t
L'activation des quotas s'appliquent à tousrles fichiers déjà créés de
P
tous les utilisateurs, donc prudence…
t
a u
a i n
© H

• Activation des quotas:
– Connectez-vous en tant
qu'administrateur
i ck
tr
– Ouvrez l'explorateur Windows
a
et cliquez avec le bouton droit
sur le disque sur lequel vous
voulez activer les quotas ->
t P
Propriétés -> Quota ->
a u
in
activer la gestion de quota
H a
– La case à cocher Refuser de
l'espace disque … garantit que
©
l'utilisateur ne peut pas
dépasser l'espace qui lui est
alloué

• L'option de limite du quota par
défaut définit un quota pour tous
les utilisateurs, en spécifiant
i ck
tr
un niveau d’alerte et
un niveau maximum
• Les cases à cocher
Pa
Enregistrer l'événement…
u t
permettent d'ajouter
in a
a
un événement dans
© H
le journal des événements
• Le bouton Entrées de quota
permet de définir un quota pour
un utilisateur, différent du quota par défaut

• En cliquant sur Quota puis Nouvelle entrée de Quota…, on peut
spécifier un utilisateur (voir dias 224 à 226)
i ck
a tr
t P
a u
a in
© H

• Une fois l’utilisateur choisi, on peut spécifier la limite d’espace
personnalisée
i ck
a tr
t P
a u
a in
© H

13. Stratégies de Groupe
Introduction
• La stratégie de groupe ou GPO (Group Policy Object) est
surement le meilleur compromis pour canaliser les besoins des
utilisateurs
i ck
• Une stratégie de groupe est un ensembletde
a r paramètres formant
P
une règle s'appliquant automatiquement à des utilisateurs ou à
des groupes placés à l'intérieur td'un objet conteneur
a u
a i n
© H

Introduction
• L'objet conteneur peut être un site Active Directory, un domaine ou
une unité d'organisation
i ck
tr
• Tous les objets à l'intérieur du conteneur subissent la stratégie définie
Pa
t
• L'objet subit toutes les stratégies de groupe appliquées au conteneur
u
in a
H a
©
Introduction
• Les stratégies sont traitées les unes après les autres, dans l'ordre
suivants:
– Stratégies de groupe locales
i ck
– Stratégies de groupe liées au site
– Stratégies de groupe liées au domaine a tr
– Stratégies de groupe liées aux OU
t P
– Stratégies de groupe liées aux OU enfant
a u
a in
© H
• Si des paramètres entrent en conflit, par défaut, c'est le dernier
paramètre lu qui s'applique

Introduction
• Technologie IntelliMirror:
– Présente depuis Windows 2000, c'est un ensemble de fonctions puissantes
destinées à augmenter l'efficacité des systèmes
i ck
a tr
– Elle n'est utilisable que dans un environnement AD avec des serveurs et
ou MacOS
t P
clients Windows à partir de Windows 2000 et n'est pas compatible Linux
a u
a in
© H
Introduction
• Technologie IntelliMirror:
– Elle permet une gestion des modifications et changements de
i ck
configuration s'appuyant sur deux grands types de stratégies:
tr
• La stratégie locale: stockée localement sur la machine, est supplantée par une
stratégie issue du domaine
Pa
• La stratégie de groupe: est appliquée de manière centralisée et uniforme à des
t
groupes d'utilisateurs et/ou d'ordinateurs
a u
a in
© H

Stratégies de groupe (de domaine)
• Une stratégie de groupe se compose de paramètres que
l'administrateur peut modifier, voire ajouter
i ck
tr
• Ils peuvent s'appliquer soit à l'ordinateur, soit à l'utilisateur
a
t P
• Comme paramètres, on trouve des stratégies et des préférences
a u
•
a i n
Les stratégies sont strictement appliquées, pas les préférences
• Un utilisateur
H
© peut modifier une préférence, pas une stratégie
Outil de gestion des stratégies de

groupe (GPMC)
• Pour ouvrir l'outil GPMC:
– Dans les outils d'administration ->
Gestion des stratégies de groupe
i ck
– S'il n'était pas installé,
a tr
ajoutez la fonctionnalité:
t P
Gestion des stratégies
a u
in
de groupe
H a
©

groupe (GPMC)
• Un moyen efficace d'utiliser les GPO est d'utiliser les modèles de
stratégie pour contrôleur de domaine
i ck
tr
• Développez
a
l'arborescence et
cliquez avec le
bouton droit sur
t P
Default DC Policy
a u
• Sélectionnez
a in
Modifiez… pour
accéder à l'éditeur © H

groupe (GPMC)
• Les restrictions
peuvent porter
sur l'ordinateur
i ck
tr
ou l'utilisateur
Pa
• Les restrictions
se placeront au
u t
niveau de
in a
a
l'onglet Stratégies
H
• ©apportons une restriction au niveau du bureau en
Par exemple,
spécifiant le papier peint

groupe (GPMC)
• On spécifiera le fichier image
à utiliser pour cela
i ck
tr
• On peut placer ce
a
fichier dans le
répertoire partagé
netlogon
t P
a u
• Le chemin indiqué
sera un chemin
a in
UNC puisque ce
sont les PC clients© H
qui utilise cette info.

groupe (GPMC)
• Pour répercuter cette stratégie sur notre OU, cliquez avec le bouton
droit sur l'OU et puis cliquez sur Lier un
objet de stratégie de
i ck
tr
groupe …
Pa
u t
in a
H a
©

groupe (GPMC)
• Dans la fenêtre suivante, on sélectionnera Default Domain
Controllers Policy
i ck
a tr
t P
a u
a in
© H

groupe (GPMC)
• L'objet de stratégie de groupe est maintenant lié à notre unité
d'organisation
i ck
a tr
t P
a u
a in
© H

groupe (GPMC)
• Il reste à activer les stratégies retenues
ck
• Pour cela, on clique avec le bouton droit sur l'objet de stratégie et
i
puis sur Appliqué
a tr
t P
a u
a in
© H

groupe (GPMC)
• Maintenant que vous connaissez le principe des GPO, essayez
d’appliquer d’autres stratégies …
i ck
a tr
t P
a u
a in
© H

14. Gestion du support de
stockage
Disque MBR et Disque GPT

• Le mécanisme GPT permet de:
– S’affranchir des limitations imposées par le BIOS
i ck
tr
– Créer plus de 4 partitions
Pa
u t
– Gérer en théorie 2^64 blocs logiques de 512 octets, soit 18 exa-
octets, ce qui implique que la taille d’un cluster disque est fixe et
in a
ne change pas en fonction de la taille du disque
H a
Un cluster disque ne peut contenir des informations que
©
provenant d’un seul fichier
Si la taille d’un cluster est de 8k et la taille d’un fichier de 2k, 6k
sont inutilisés

Disque MBR et Disque GPT
• Fonctionnalités des disques MBR et GPT
MBR GPT Imp. GPT de Windows
Nbr de partitions 4 illimité 128

Taille du cluster Variable 512 o Variable
Syst. de fichier supporté FAT NTFS Divers NTFS
Taille minimale 0 Mo 0 Mo 4 To
recommandée
Taille maximale 2 To 18 Eo 256 To
Peut contenir des données Oui Oui Oui
Démarrage Windows Oui Oui Seulement sur des sys.
Basés EFI
Initialisation d’un disque

• Initialiser un disque avec l’outil Gestion des disques:
ck
– Démarrer -> Outils d’administration -> Gestion de l’ordinateur -
i
tr
> Stockage de l’arborescence de la console -> Gestion des
disques
Pa
u t
in a
H a
©

Initialisation d’un disque
• Initialiser un disque avec l’outil Gestion des disques:
ck
– Sélectionnez le disque à initialiser puis le type de disque:
i
tr
Secteur de démarrage principal pour MBR ou partition GPT
Pa
u t
in a
H a
©
Conversion d’un disque

• Convertir un disque avec l’outil Gestion des disques:
– Pour pouvoir convertir un disque, il ne faut pas qu’il soit
partitionné
i ck
a
– Démarrer -> Outils d’administration t->r Gestion de l’ordinateur -
t Pla console -> Gestion des
> Stockage de l’arborescence de
disques
a u
– Cliquer avec lea in droit sur le disque puis cliquez sur
H
bouton
©
Convertir et choisissez GPT ou MBR suivant l’état du disque

Conclusion
• Vous savez maintenant comment configurer un serveur 2016
pour activer les services de base
i ck
• D’autres présentations viendront compléter celle-ci
a tr
• Merci de votre attention
t P
a u
a in
© H

Manip4 2016 Server

Transféré par

Droits d'auteur :

Formats disponibles

Manip4 2016 Server

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manip4 2016 Server

Transféré par

Droits d'auteur :

Formats disponibles

Administration Windows

Hainaut Patrick 2017

But de cette présentation

© Hainaut P. 2016 - www.coursonline.be 1

© Hainaut P. 2016 - www.coursonline.be 2

Nouveautés: 2 Windows defender

© Hainaut P. 2016 - www.coursonline.be 3

i n a plus facilement et rapidement

© Hainaut P. 2016 - www.coursonline.be 4

• Azure stack permet d'installer un cloud Azure au sein de son

© Hainaut P. 2016 - www.coursonline.be 5

a i n les versions Standard et Datacenter)

© Hainaut P. 2016 - www.coursonline.be 6

supplémentaires, la version datacenter s’impose

• Il n'existe qu'en 64 bits …

© Hainaut P. 2016 - www.coursonline.be 7

© Hainaut P. 2016 - www.coursonline.be 8

H a le sont aussi mais généralement, un serveur

©Hainaut P. 2017 - www.coursonline.be 17

Configuration minimale requise

Nombre de processeurs minimal 1

©Hainaut P. 2017 - www.coursonline.be 18

© Hainaut P. 2016 - www.coursonline.be 9

©Hainaut P. 2017 - www.coursonline.be 19

© Hainaut P. 2016 - www.coursonline.be 10

© Hainaut P. 2016 - www.coursonline.be 11

© Hainaut P. 2016 - www.coursonline.be 12

Installation avec interface graphique

© Hainaut P. 2016 - www.coursonline.be 13

Installation avec interface graphique

© Hainaut P. 2016 - www.coursonline.be 14

© Hainaut P. 2016 - www.coursonline.be 15

d'une longueur d'au moins 6 caractères

domaine et© pas un réseau

© Hainaut P. 2016 - www.coursonline.be 16

Configuration initiale – nom du serveur

• Dans la fenêtre qui s'ouvre, cliquez sur Change …

© Hainaut P. 2016 - www.coursonline.be 17

• Cliquez sur OK et puis redémarrer

Configuration initiale – ajout de rôles

© Hainaut P. 2016 - www.coursonline.be 18

Configuration initiale – ajout de rôles

© Hainaut P. 2016 - www.coursonline.be 19

Configuration initiale – ajout de rôles

© Hainaut P. 2016 - www.coursonline.be 20

Configuration de la carte réseau

• Cliquez sur Rechercher et tapez cmd

© Hainaut P. 2016 - www.coursonline.be 21

Configuration de la carte réseau

© Hainaut P. 2016 - www.coursonline.be 22

Configuration de la carte réseau

© Hainaut P. 2016 - www.coursonline.be 23

u t de celui configuré sur la carte

© Hainaut P. 2016 - www.coursonline.be 24

©Hainaut P. 2017 - www.coursonline.be 50

© Hainaut P. 2016 - www.coursonline.be 25

©Hainaut P. 2017 - www.coursonline.be 51

Processus d'acquisition d'une adresse IPv4

• Lorsque l'hôte se connecte sur un réseau, il envoie un message de

© Hainaut P. 2016 - www.coursonline.be 26