Chapitre 1 : Serveurs Windows

1.1 Introduction.

1.1.1 Rappel : constitution d'un système d’exploitation

Plusieurs éléments se retrouvent systématiquement dans tout système d'exploitation :

– Le noyau qui va intégrer des fonctions de base telles que : la gestion de l’exécution du CPU
(multi-tâches, temps réel...), la gestion bas niveau des E/S (drivers), la gestion des ressources
(fichiers...).
– Une interface Homme/Machine (IHM ou UI User Interface) de type texte ou plus souvent
graphique
– Un interpréteur de commande
– Des utilitaires en ligne de commande ou graphique permettant de surveiller et de configurer le
système

A p p lic a tio n s
O u tils :
C o m p ila te u r
In te rp ré te u r H u m a in
L in k e r
de In te rfa c e
D ebugger
com m andes H /M
B ib lio th è q u e s
s y s tè m e s
G e s tio n d e s
fic h ie rs
G e s tio n d e s
I/O
D riv e rs

M a té rie l

1
Pour que l'ordinateur soit opérationnel, ces éléments sont complétés par des applications plus ou
moins associées au système d'exploitation (éditeur, traitement de texte...) ainsi que par des outils de
développement (compilateur...).

1.1.2Un système d ’exploitation « serveur »

Actuellement, tous les systèmes d'exploitation serveur sont associés à des systèmes d'exploitation
client. En effet, un système d'exploitation (S.E.) est un ensemble de codes énorme évalué en terme
de développement à des centaines voire des milliers d'années/homme. Il est donc normal de
réutiliser pour un S.E. serveur tous les outils développés pour les S.E. commerciaux standard ce qui
favorise ainsi la rentabilité et diminue le prix de revient d'un S.E. Serveur.

le temps de développement étant très long, il y a en fait très peu d'évolutions entre les versions d'un
S.E. qu'il soit client ou serveur et ceci en particulier sur le noyau qui est un ensemble de codes
complexes et interdépendants. Souvent ces évolutions se limitent à l'ajout de quelques
fonctionnalités et à des modifications d'interfaces. Des améliorations sont apportées mais en prenant
en compte l'existant et en respectant surtout dans la mesure du possible la compatibilité entre
versions, ceci étant encore plus sensible pour les S.E. Windows conduisant des fois à une évolution
très lente.

Concernant les S.E. serveurs, l'évolution est encore plus lente car il n'y a pas vraiment d'effet
« marketing » comme pour un poste client et généralement le S.E. reste installé sur le matériel
pendant toute sa durée de vie, la mise à jour étant une opération trop complexe et risquée. Il n'est
pas donc rare de voir des S.E. Serveurs, tournant en entreprise, correspondant à des versions âgées
d'une dizaine d'années.

Les différences entre S.E. client et serveur sont assez faibles, on les retrouve principalement au
niveau des outils d'administration et des applications fournies directement avec le serveur.
Sous Unix/Linux, il s'agit principalement d'une optimisation de l'exécutable permettant une vitesse
d’exécution des services plus forte, des fonctionnalités de communication améliorées ainsi qu'une
sûreté de fonctionnement plus importante. Les services supplémentaires (serveur de fichiers, Web,
Mail...) étant livrés sous forme de paquets, ils peuvent s'ajouter à n'importe quelle version du S.E.
Des implémentations spécifiques (payantes) proposent des fonctionnalités supplémentaires : gestion
des droits d’accès renforcés, outils d’administration graphiques...

Concernant Windows, objet de ce chapitre, il existe de nombreuses versions de S.E. serveur qui
différent par les services qui y sont associés, la base restant strictement la même.

1.1.3Windows Server

Les versions serveurs de Windows s'insèrent dans la famille Windows de manière parallèle aux
évolutions des S.E. client. Elles ont souvent le même code mais avec des différences de
configuration de la base de registres.

2
 Windows
1.0 2.0 3.0 3.1
95 98 Mil. Home
Windows for 3.1
Workgroup XP Vista W7 W8 W10

NT 3.1 4.0 2000 Pro

XP Vista W7 W8 W10

Serveur 3.1 4.0 2000 2003 2008 2012 2016 2019

a)Différentes versions de Server 2003/ Server2008/Server2012/Server2016/Server2019

Derrière l’appellation Server20xx, il y a plusieurs versions possibles qui ont en commun la base
d'un serveur mais qui diffèrent par les services fournis et des options différentes :
– Server 2012 Standard Edition (virtualisation pour 2 serveurs) service complet
– Server 2012 Essentials ne permet pas de virtualiser
– Server 2012 DataCenter Edition fonctionnalités complètes
– Server 2012 Foundation ne propose que les services de base

– Il existe aussi une version sans interface graphique et une version réduite pour être intégrée dans
un container (comme Docker).

La dernière version stable s'appelle Server 2019.

b)Configuration nécessaire à Serveur 2016

• Processeur 1.6GHz minimum (64 bits)
• 1 Goctets de RAM (moins si seulement serveur de fichiers)
• 32 Goctets de disque pour le S.E. (moins pour des installations minimales)
• Espace pour les utilisateurs
• Le systèmes de fichiers doit être en NTFS (FAT32 non supporté)
• les communications sont basées sur TCP/IP

En fait, Windows Server ne nécessite pas, de base, plus de ressources qu'une configuration poste de
travail, ce qui fait la différence ce sont les services qui vont être mis en place.

Le contrôle de légalité se fait par un système de licences différent suivant les versions :
– Licences d’accès client (CAL) ; une par poste connecté indépendamment du nombre de serveurs
– Licences serveur : maintenant définies en fonction du nombre de processeurs ou de coeurs.
C'est une limitation stricte, il faut donc posséder les licences pour chaque utilisateur.

3
c)Différents types de services proposés par Server 2012
Serveurs d'infrastructure
– Serveurs DNS, DHCP, WINS
– Contrôleur de domaine (Active directory…) : basé sur LDAP

Serveurs de ressources :
– Serveurs de fichiers
– Serveurs d’impression
– Serveurs d’applications (IIS, ASP, NET)

Serveurs GroupWare :
– Serveurs de messagerie

Communication :
– Serveurs multimedia par flux
– Serveurs de terminaux
– Serveurs d’accès distants (VPN)

Base de données

Plusieurs serveurs (services) sont en général présents sur la même machine même si cet aspect tend
à se réduire avec la virtualisation.
Attention, il ne faut pas mélanger les fonctions véritablement serveurs avec celles liées à
l’infrastructure de fonctionnement réseaux voire avec les fonctions réseaux (routage, firewall…)
qui peuvent être présentes sur la même machine

1.2 Active Directory.

1.2.1 Structure

Active Directory est basée sur une approche par objets. Il comporte différents types d'objets :
– des utilisateurs
– des ordinateurs
– des ressources
– des services
– mais aussi des « objets lien »
– des profils
– des règles de fonctionnement ou stratégies (policy)?

Cette approche était déjà présente dans les anciens serveurs novell (dans les années 1995), elle
procure une maintenance plus aisée mais avec un logique plus difficile à comprendre initialement,
en effet, par exemple des objets de types différents peuvent être regroupés dans un même conteneur.

Les éléments constitutifs d'Active Directory permettent de décrire une structure hiérarchique où les
éléments physiques habituels (ordinateurs, utilisateurs) ne sont que la terminaison. De plus des
éléments transversaux complètent cette structure (relations d'approbation, droits...).
Déjà sous Windows NT Server, un certain nombre d'éléments étaient présents :

4
Les Utilisateurs et les Ordinateurs bien entendu, mais aussi les Domaines, les Groupes
(d'utilisateurs et d'ordinateurs), ainsi que les Relations d'Approbations.
Les Unités d ’organisation (OU) sont apparues avec Windows 2000 Server, ainsi que, pour
permettre la gestion de grands réseaux, les Sites, les Arbres de domaines, les Forêts d’arbre de
domaine, ainsi que les Stratégies de Groupe (GPO). Il n'y a pas eu d'évolution fondamentale dans
les versions suivantes.

1.2.2Concepts de base

a)Les domaines
Ils sont un regroupement d'entités gérées par une même base de données (Active Directory). Cette
base de données contient l'ensemble des comptes utilisateurs, des machines raccordées et permet
donc une authentification unique. Les machines contenant cette base de données sont des
contrôleurs de domaine.

b)Les arbres
Les arbres regroupent un ensemble de domaines avec un aspect hiérarchique (ou peu comme la
hiérarchie dans un système de DNS). Il existe des relations de confiance entre eux.

c)Les forêts
Ce sont des ensemble d’arbres (sans relation de nom) présents à un même niveau.

d)Les sites
Ils constituent une autre vision de l'organisation des domaines et font appel à une subdivision
physique ou géographique d’un domaine. Ils sont basés sur la constitution physiques des réseaux
locaux et vont agir sur les contraintes de communication. Active Directory répertorie les
emplacements géographiques, ce qui permet par exemple d’optimiser l’usage des liens WAN. Ils
doivent être définis à la construction de la base de données.

D o m a in e :
Is ta s e .o r g D o m a in e :
U n iv - s t- e tie n n e .f r

D o m a in e : D o m a in e :
E tu d .Is ta s e .o r g D o m a in e : D o m a in e :
P r o f .Is ta s e .o r g Is ta s e .u n iv - s t....f r F a c S .u n iv …

D o m a in e : D o m a in e : S ite
T p .e tu d e .Is ta s e .o r g T d .e tu d .Is ta s e .o r g

5
A cela s'ajoutent des structures plus bas niveau :

e)Les groupes
Ce sont des sous-ensembles d’utilisateurs (au sens compte utilisateurs). Ils permettent une gestion
commune des droits. On peut mélanger dans un groupe des utilisateurs et des ordinateurs. Un
groupe peut contenir d’autres groupes (imbrications).

f)Les unités d'organisation (OU)

Ce sont des conteneurs (conteners) regroupant des utilisateurs, des groupes et des ordinateurs. Ils
permettent d'appliquer des politiques globales de fonctionnement via des GPO (Group Policy
Objects).

1.2.3Les groupes

a)Différentes catégories de groupes

Windows Server distingue 2 catégories de groupes :

Des groupes de sécurité

Ils sont utilisés pour attribuer des permissions à de grands ensembles d’utilisateurs
Exemple : droit d’accès à un répertoire pour tous les éléments du groupe. Ils possèdent une
description unique par un SID (Security ID). Ce sont ceux qui sont couramment utilisés dans Active
Directory.

Des groupes de distribution

Active Directory étant un annuaire LDAP, on peut aussi y définir des caractéristiques
supplémentaires liées par exemple à une messagerie. Un groupe de distribution permet d'envoyer
directement un message à tous les membres du groupe de manière indépendante de l’application. Ils
sont surtout utilisés dans les applications de messagerie (Exchange par exemple).

b)Différents types de groupes de sécurité

Les groupes de sécurité peuvent être distingués par leur portée. On distingue alors des groupes
locaux, globaux et universels. Ils vont permettre de partager des ressources entre plusieurs
domaines d'une forêt. Suivant les cas, ils vont contenir des objets de plusieurs domaines, ou à
l'inverse être restreint à des objets d'un seul domaine. De même, ils vont pouvoir être utilisés soit
uniquement à l'intérieur du domaine où ils sont définis soit dans toute la forêt. Toutes les
possibilités seront couvertes par la constitution de groupes de groupes permettant ainsi un contrôle
fin de l'accès aux ressources sur toute une forêt.

Les groupes locaux d’ordinateur

Ils sont présents sur chaque ordinateur (serveur ou poste de travail). Par exemple, les groupes
« utilisateur avec pouvoir », « administrateurs », « opérateurs de sauvegarde »…

6
On peut accéder à leur liste par : Poste de travail -> bouton de droite -> gérer -> utilisateur et
groupes.
Ces groupes n'ont aucun intérêt pour une gestion de domaine, leur portée est locale uniquement.

Les groupes locaux de domaine

Ils vont permettre de définir des droits pour une ressource appartenant au domaine. Les utilisateurs
et les groupes pouvant obtenir ces droits peuvent être issus de toute la forêt. Un groupe local peut
donc contenir des utilisateurs et des groupes globaux d'autres domaines.

Les groupes globaux

Ils ne contiennent que des utilisateurs du domaine mais peuvent avoir des droits sur toutes les
ressources de la forêt.
Ils sont insérables dans un groupe local pour les machines qui font confiance au domaine.

Les groupes universels

Ce sont les plus généraux des groupes, ils peuvent contenir des utilisateurs de toute la forêt et être
utilisés pour définir des droits sur n'importe quelle ressource de la forêt. Ils n'existent qu'à partir de
Server 2000. Ils peuvent contenir n'importe quel groupe de n'importe quel domaine de la forêt.

Emboîtement de groupes :

Les groupes locaux de domaine (GLD) peuvent contenir :

– des utilisateurs de toute la forêt
– des groupes universels
– des groupes globaux de toute la forêt
– des groupes locaux de son domaine

Les groupes universels (GU) peuvent contenir :

– des groupes globaux d’un domaine quelconque de la forêt
– des groupes universels d’un domaine quelconque de la forêt

Les Groupes globaux (GG) peuvent contenir :

– des utilisateurs du domaine
– des groupes globaux de son domaine

Toutes ces relations peuvent être résumées dans le schéma suivant :

7
 U tilis a te u r s
I n tr a - d o m a in e
G lo b a u x

U tilis a te u r s
I n te r - d o m a in e
M ê m e fo rê t
U n iv e r s e ls

U tilis a te u r s

I n tr a - d o m a in e
L ocaux de
d o m a in e

Il convient maintenant de définir l'usage des groupes pour déterminer l’accès aux ressources :
Ordre : A -> GG -> GG -> GU -> GLD -> P
avec A : Account (les utilisateurs) et P : les permissions (autorisations) sur les ressources

Les groupes globaux permettent de rassembler les utilisateurs d’un même domaine
Les groupes universels permettent de rassembler des groupes globaux issus de toute la forêt
Enfin, les groupes de domaines locaux permettent d’attribuer plus facilement les permissions à une
ressource du domaine pour le rassemblement des groupes précédents.

Comme pour une station de travail, il existe des groupes prédéfinis sur un serveur Windows :
– des groupes Administrateurs avec plusieurs niveaux
• administrateur de domaine
• administrateur de forêt...
– des groupes Opérateurs avec des fonctions et des droits différents :
• Opérateurs de compte
• Opérateurs de serveur
– des groupes Utilisateur

1.2.4Les unités d’organisation (OU)

Ce sont des conteneurs d’objets Active Directory. On peut y mettre des utilisateurs, des groupes,
des ordinateurs, d’autres OU.
Si un domaine est trop grand, on peut envisager un découpage en unités d’organisation, on peut
alors les considérer comme des sous-domaines. Cela permet de définir un découpage logique plus
proche de celui présent au sein d’une entreprise
Exemple : au sein d’un même domaine (TSEwin)
Service général (1 administrateur global, des utilisateurs, des ordinateurs)
Site Comptable (1 administrateur local, des utilisateurs, des ordinateurs)

8
Un utilisateur peut avoir un bureau (informatique) différent suivant le site où il travaille
On peut envisager plusieurs types de découpage suivant le modèle d'administration :

– Modèle d’administration centralisé

Administration par un seul groupe centralisé sur un site. Les serveurs stratégiques (DNS, Mail...)
sont sur ce site, mais il est nécessaire d'avoir une action à distance sur les autres serveurs.
– Modèle d’administration distribué
Le service informatique est réparti sur tous les sites. Les droits sont plus difficiles à définir et
granulaires, mais les actions peuvent se faire sur place.
– Modèle d’administration mixte
Combinaison des 2 précédents avec un choix de se rapprocher plus ou moins de l’un ou de l’autre
modèle.

Les unités d’organisation vont être utilisées pour attribuer plus facilement des droits et pour
appliquer des configurations aux utilisateurs et machines d'une même OU (Bureau, applications
accessibles...). En effet, les stratégies de groupes (GPO) s’appliquent uniquement aux OU et aux
domaines. Seule exception, les stratégies de comptes ne s'appliquent qu'à l'ensemble du domaine.

Exemple : dans un modèle décentralisé, chaque site à une OU contrôlée par le service informatique
local.
L’usage des OU est assez controversé. Pratiquement on peut avoir un usage réduit avec une OU par
domaine dans le cas d'une entreprise moyenne et une gestion informatique centralisée. L'avantage
est que les OU sont moins contraignantes que les domaines : on peut les modifier facilement. A
l'inverse beaucoup d’OU rendent la gestion difficile car il faut bien connaître leur contenu.

1.2.5 Usage

Il faut bien comprendre les différences entre OU et groupes car ils peuvent contenir les mêmes
catégories d'objets :
un utilisateur peut appartenir à plusieurs groupes, mais un utilisateur n’appartient à un niveau donné
qu’à une OU car c'est un conteneur (Container) dans lequel l'objet est déposé. Active Directory ne
définit qu'une fois chaque objet et celui-ci est soit déposé dans un conteneur simple (non
paramétrable) soit dans une OU.
Les OU contiennent ce que l’on veut contrôler alors que les groupes définissent qui contrôle car les
OU sont placées sous le contrôle d’un groupe. On peut emboîter des OU (les groupes aussi), mais
une OU ne peut être emboîtée à un niveau donné qu'à une autre OU alors que les groupes peuvent
être imbriqués.
Les groupes ne sont utilisés qu'en lien avec les attributs (droits sur) d’un objet. Les OU permettent
d'agir sur les éléments qui y sont contenus via les GPO.

1.3 Relations Clients-Serveur.

1.3.1 Principe.

Plusieurs éléments vont entrer en ligne de compte dans une relation client-serveur. Principalement,
on distingue :

9
– les utilisateurs (personne et machine)
– les ressources fournies par le serveur

Serveur
User Ordinateur Information de
Client connexion

Script
Profil errant

Accès aux
ressources

Ressources Ressources
partagées propres

L'administration d'un serveur de type Windows Server 20xx fait appel à plusieurs aspects. Les
tâches courantes sont liées à :
– L'administration d’utilisateurs ou de groupes
– L'administration de ressources
– La surveillance de bon fonctionnement

elles sont complétées par des tâches plus exceptionnelles :

– Maintenance, mise à jour
– Dépannage

1.4 Utilisateurs
L'administration des utilisateurs fait appel à un certain nombre de fonctions de base qui vont se
traduire par des modifications ou des ajouts d ’informations dans l’annuaire Active Directory, par
exemple :
– Création , modification ou suppression d'utilisateurs.
– Réinitialisation de mots de passe
– Gestion des profils utilisateurs
– Modification des droits et des appartenances
– Surveillance des usages
– Détection des comptes inactifs...

10
1.4.1 Les comptes d'utilisateurs.

a)Généralités
Un compte d'utilisateur désigne de manière univoque une personne via un nom d'utilisateur.
Certaines caractéristiques y sont associées : un profil utilisateur (fond d'écran...), des scripts
(exécutable à la connexion...), la possession et/ou le droit d'usage de ressources (fichiers...).

Sur un système serveur comme Windows Server 20xx, on associe à ce nom d'utilisateur d'autres
caractéristiques qui vont être stockées conjointement dans l'annuaire :
– Autres noms (Civilité, nom équivalent pour d'autres servcies, Mail...)
– Appartenance à un ou plusieurs groupes d'utilisateurs
– Environnement utilisateur (bureau, nom du répertoire personnel, scripts d'ouverture de session)
– Heures de connexion autorisées, ...
– Informations diverses : adresses, numéro de téléphone...

Le nom d'utilisateur présente ceratines contraintes : il doit être au maximum de 20 caractères sans
caractères spéciaux tels que : "/ \ [] <>:;+?,*.

Il est décrit en interne par un SID unique (Security ID) de type : S-1-5-21-N1-N2-N3-RID

par exemple : S-1-5-21-123456-456789-2374847-1010

S-1-5-21 toujours présent (version inchangée)

N1-N2-N3 définissent le domaine (valeur identique pour tous les utilisateurs d'un domaine)
Le dernier chiffre est le RID (Relative IDentifier) : il est toujours différent pour chaque élément du
domaine et n'est jamais réutilisé sur un domaine.

Ceci veut dire que si vous créez un utilisateur puis le détruisez, puis le recréez avec le même nom
d'utilisateur ce deuxième utilisateur ne sera pas le même en interne et ne pourra donc pas accéder
aux ressources du précédent. Les ressources appartenant à un utilisateur détruit sont donc
inaccessibles sauf éventuellement par l'administrateur qui doit alors changer les droits et surtout
leur appartenance pour les rendre à nouveau accessible.

b)Contexte de compte

Il existe deux contextes de comptes d'utilisateur :

– Contexte serveur : ce sont des comptes globaux gérés au niveau du domaine, ils sont donc
hébergés sur un serveur.
– Contexte local : pour des machines windows clientes il existe des comptes d'utilisateur pour la
machine(en particulier l'administrateur local).

Attention : il existe aussi des comptes locaux sur un serveur (en particulier aussi l'administrateur),
qui vont permettre de se connecter directement sur le serveur pour la gestion principalement.

Au moment de la connection, l'invite de login permet de choisir entre le contexte local et le

contexte serveur. On acccède à un compte local en tapant un "\" devant le nom lorsque la machine
est raccordée à un domaine. De manière limitative, il n'est possible de se connecter directement via
l'invite de commande qu'à un seul domaine Windows.

11
Contexte local :
Ce sont les comptes d'utilisateur locaux sur une machine particulière. Les noms utilisés n'ont
aucune correspondance sur une autre machine.
Ils sont stockés dans une base de données SAM (Security Accounts Manager) dans \windows\
system32\config\SAM (c'est un des fichiers de la ruche : on le retrouve donc dans la base de
registres).
Cette base contient au minimum des utilisateurs prédéfinis :
– L'administrateur (administrator ou administrateur) qui le premier compte créé à l'installation de
l'ordinateur
– Un compte invité (guest ou invite) qui a des droits réduits (il peut être désactivé pour plus de
sécurité, ce qui est le défaut)

Sur un serveur, la gestion des comptes locaux est différente de celle des comptes de domaine
concernant la stratégie de sécurité : en effet il n'est pas souhaitable, par exemple, de verrouiller le
compte administrateur pour un nombre de tentatives de connection infructueuses trop important car
cela bloquerait le serveur...

Contexte serveur (en fait comptes de domaine) :

Les comptes de domaine sont valides sur tout le domaine et les sous-domaines Windows. Ils
regroupent en particulier tous les utilisateurs du domaine (qui peuvent donc se connecter sur toutes
les machines du domaine).
Il est stocké dans le fichier NTDS.DIT sous windows\NTDS. Il contient une base de données de
tpye Access, qui va servir de base d'information pour le service d'annuaire Active Directory, le
protocole LDAP étant utilisé pour la communication de ces informations entre machines.
En fait c'est une base de données beaucoup plus large contenant : les serveurs, les stations de
travail, les ressources, les paramètres des applications, les stratégies…
Cette base de données est répliquée vers tous les contrôleurs de domaines du domaine concerné.

Il existe sur un serveur de domaine des comptes prédéfinis en plus grand nombre que les comptes
locaux : il y a bien entendu l'administrateur du domaine mais aussi un certain nombre d'autres
comptes de type administration (administrateur de comptes, d'arbre...). Concernant les comptes
administrateurs, il peut être prudent de ne pas imposer des restrictions sur le nombre d'essais du mot
de passe avant verrouillage comme pour le compte administrateur local pour éviter tout risque de
blocage. A l'inverse, l'accès aux comptes administrateurs à distance doit être restreint.

Il est aussi préférable de désactivé le compte invité (guest), car une connexion locale sur un poste
du domaine peut permettre ensuite l'accès aux ressources via le compte invité.
D ’autres utilisateurs (et groupes) sont créés automatiquement en fonction des besoins
(administrateur du domaine, de l ’entreprise…), ils sont placés dans le container "user" par défaut.
Enfin, il est conseillé de créer des comptes administratifs supplémentaires et de garder le compte
Administrateur pour les cas d'urgence.

c)Création d’un utilisateur

Il existe plusieurs possibilités pour créer de nouveaux utilisateurs :

– via l'interface graphique et la console utilisateurs et ordinateurs Active Directory.

12
– commande « dsadd user » : ele permet une automatisation de la création des comptes via des
fichiers de script. Sa syntaxe est assez complexe, elle utilise un format LDIF : CN=user,
OU=tpreseau, DC=istase,DC=fr pour décrire les objets.

Que ce soit par l'une ou l'autre des manières, un certain nombres d'informations sont nécessaires
pour créer correctement un nouvel utilisateur :
– au minimum un nom et le nom d’ouverture de session
– puis le mot de passe

Ensuite on peut préciser les propriétés du compte via de nombreux onglets, ces informations seront
aussi stockées dans l'annuaire Active Directory :
– Adresses mail, web, postale, téléphones, commentaires…
– Titre du poste de travail, nom des responsables...
– Profil (poste avant W2000) sinon stratégies de groupes
– Membre de : appartenance aux divers groupes...

L’utilisateur ainsi créé est placé par défaut dans le conteneur "User". Comme ce n’est pas une OU il
est nécessaire de déplacer l'utilisateur si on veut le contrôler plus fnement.

d)Définition d'un mot de passe

La sécurité étant un élément essentiel au bon fonctionnement d'un domaine, la méthode pour définir
les mots de passe est importante.

Lors de la création d'un compte un mot de passe initial temporaire y est affecté. Il faut donc cocher
la case : « l'utilisateur doit changer de mot de passe à la 1ère connexion » sauf pour les comptes
partagés ou l'invité s'il est activé, car la personne qui se connecte en invité ne doit pas changer le
mot de passe. De fait, pour ces comptes, il faut cocher la case : "l’utilisateur ne peut pas changer le
mot de passe". Enfin pour éviter que des mots de passe trop ancien subsiste avec une plus grande
chance d'être découvert, il ne faut pas cocher le mot de passe n'expire jamais sauf toujours pour les
comptes partagés car l'utilisateur n'a pas le droit de le modifier.

Les caractéristiques d'un mot de passe utilisateur sont définies dans la stratégie de compte (globale),
ou via une GPO appliquée à une OU. Ces caractéristiques sont par exemple :
– Taille minimale/maximale (8 caractères minimum recommandé)
– nombre de mots de passe antérieurs interdit avant réutilisation (10 recommandé)
– Lettres et chiffres ; Majuscule/minuscule
– Proximité avec le nom de compte
– le délai d'expiration du mot de passe
– le nombre de tentatives erronées avant désactivation du compte
– la durée de désactivation du compte (perpétuelle recommandé)

La règle par défaut est contraignante mais plus sure. Elle conduit à préférer les mots de passe ayant
subi au moins deux transformations : insertion de un ou plusieurs caractères, de mot au sein de mot,
remplacement de caractères, permutations.

De plus des règles de fonctionnement vont permettre de détecter des tentatives d'intrusion : les
tentatives de connexion infructueuses sont signalées dans l'observateur d'événements. Concernant le
blocage d'un compte, il y a réinitialisation du décompte automatique après une connexion réussie au
compte.

13
1.4.2 Les profils.

a)Principes généraux
Les profils (ou profil utilisateur) sont un ensemble d'informations associées à un utilisateur ou à un
groupe d'utilisateurs. Ils ont pour but principal la personnalisation de l'environnement de travail.
C'est un des point les plus délicats de la gestion d'un domaine, les utilisateurs devant travailler dans
de bonnes conditions.

Le profil contient en particulier :

– la définition de l'environnement graphique,
– le contenu du menu démarrer, ainsi que plusieurs autres répertoires de base
– la partie utilisateur de la base de registre

Il existe deux types de profils :

– les profils locaux stockés sur la machine
– les profils itinérants stockés sur le serveur et recopié sur la machine.

Un profil utilisateur comprend plusieurs fichiers et répertoires.

En particulier le fichier NTUSER.DAT qui va contenir les informations servant à remplir la partie
utilisateur de la base de registres lors du démarrage (HKEY_CURRENT_USER). Ce fichier est
stratégique pour le bon fonctionnement du compte utilisateur sur l'ordinateur.
Il existe aussi un fichier ntuser.ini qui va contrôler la manière dont le profil est sauvegardé ainsi
qu'un fichier ntuser.dat.log (historique des modifications) mais qui n'est pas accessible par
l'utilisateur. Des applications peuvent rajoutées d'autres fichiers sous ce répertoire, mais
habituellement un ou plusieurs répertoires sont prévus pour cet effet (local Settings ; Application
Data).
D'autres répertoires existent aussi et vont permettre de sauvegarder la configuration du bureau ou
vont contenir des informations pour certaines applications (Internet Explorer...). Des répertoires
temporaires permettent aussi aux applications de sauvegarder des informations durant la connexion
courante (des plantages peuvent remplir artificiellement ces répertoires). Le répertoire
"Mes Documents" est normalement prévu pour stocker les fichiers utilisateurs (le défaut sur la
plupart des logiciels Microsoft et autres). Son usage est à déconseiller car il peut entraîner des
délais importants lors de l'usage en réseaux s'il est sauvegardé sur le serveur et poser des problèmes
de sauvegarde si la partition système est endommagée. Il est de bonne politique de placer les
données Utilisateurs dans une partition indépendante ou de les mettre sur un partage réseaux sur le
serveur dans le cas d'un usage en domaine. De même, le répertoire Bureau contient les raccourcis et
fichiers déposés sur le bureau, il est donc déconseillé de placer sur le bureau des fichiers car ils sont
transférer, en usage domaine, à chaque connexion et déconnexion se qui provoque des délais
importants à ces phases de fonctionnement et surcharge le serveur.

b)Profil local
Le profil local est stocké sur la machine cliente dans le répertoire c:\Documents and Settings\nom
de l'utilisateur. Il existe pour tous les utilisateurs locaux. Un profil local peut aussi exister pour les
utilisateurs du domaine suivant la configuration.

14
Lors de la connexion en local, des données contenues dans le profil "All Users" viennent se rajouter
aux informations contenues dans le profil local utilisateur.

Enfin lors d'une première connexion, ou si un problème d'accès au profil se pose, il existe un profil
utilisateur nommé "Default User" pour permettre un fonctionnement simplifié.

c)Profil itinérant
Ils sont stockés sur le serveur de domaine dans un répertoire partagé. Il faut préciser dans la
configuration des utilisateurs sous Active Directory un chemin d'accès réseau permettant d'y
accéder (exemple : \\tpserver\partage\user\profile). La structure d'un profil itinérant est la même
que celle d'un profil local, sous le chemin réseau, un répertoire de profil va être créer et mis à jour.

Lors de la connexion le profil itinérant est recopié sur la machine cliente dans le répertoire associé
aux profils locaux. Cette copie du profil est conservée en local (sauf indication contraire dans la
configuration), elle permet en cas de problème de connexion au serveur de conserver une copie
pour une utilisation ultérieure. En fait, il y a un choix du profil retenu lors d'une connexion : si les
deux existent : le plus récent (comparaison de la date de NTUser.dat) est conservé. Comme le profil
itinérant est mis à jour par recopie du profil local lors de chaque déconnexion, ils doivent être
synchronisés si l'utilisateur reste sur la même machine. Dans le cas d'un usage nomade (même au
sein d'un même établissement), il y a des mises à jour qui sont faites et les connexion/déconnexion
sont plus longues surtout en fonction de la taille du profil…

Pour accélerer cette recopie, certains répertoires ne sont pas recopiés, c'est le rôle du fichier
ntuser.ini qui va définir les répertoires à prendre en compte et ceux à ne pas recopier.

Si un profil itinérant est défini, lors de la première connexion de l'utilisateur sur le domaine un
profil est créé avec le profil courant de la machine (Default User), le répertoire utilisateur est créé
sur le serveur. Il est donc assez important de bien choisir sa machine lors de la première connexion
(celle où un profil par défaut est bien construit). A chaque modification, ce profil est sauvegardé sur
la machine et sur le serveur. Ensuite, lors d'une connexion sur une nouvelle machine, il y a recopie
du profil itinérant en local sur la machine et l'environnement résultant et ce profil en addition du
profil "All User" de la machine en local. C'est pour cela que même en fonctionnement de profil
itinérant les configurations peuvent varier.

Pour des raisons de sécurité et de bon fonctionnement, il peut être nécessaire de figer
l'environnement de travail des utilisateurs. Ceci est relativment simple avec les profils itinérants, il
suffit alors de renommer NTUser.dat en NTUser.man (de mandatory). Le seul fait de changer cette
extension va faire que le profil itinérant sera en lecture seul : l'utilisateur peut changer ses
paramètres lors d'une session, mais ils ne seront pas conservés pour la session suivante.

1.4.3 Les scripts.

a)Les fichiers de commande Windows

Même si Windows n'est pas un SE orienté ligne de commandes, l'usage des scripts y est possible et
même incontournable pour un certain nombre d'opération d'administration.

15
Sous Windows, initialement les fichiers scripts sont des fichiers de commande (type *.bat). Il vont
permettre d'exécuter une suite de programmes via un langage de commande. Ces programmes ne
doivent pas avoir d'interfaces graphiques (ils doivent fonctionner en mode console).
Toutes les commandes natives du shell DOS/Windows sont utilisables. Certaines se sont rajoutées
ensuite. Sur un serveur des commandes supplémentaires sont aussi disponibles pour gérer la base
Active Directory (dsadd...) et un certain nombre d'autres services (DNS...).
Des variables peuvent être utilisées, ce sont des variables d’environnement. Elles sont entourées par
le caractère %.
Exemples : %username%, %Homedrive%, %Homepath%, …
L'usage de telles variables est conseillé lorsque l'on veut paramétrer certaines informations (chemin
utilisateur...), ce qui permet par exemple de créer des comptes par recopie.

Hormis le langage de commande de base, d'autres langages sont possibles (sans restriction si il
existe un interpréteur) : par exemple PERL, Python, Jscript.

b)Langage de commande
Plusieurs commandes dont nous verrons le détail plus loin, vont permettre de gérer certains aspects
du fonctionnement de Windows : lancement de services (net, svchost), gestion réseau (netsh), ... et
ainsi de créer des scripts utilisables au moment opportun. A la manière d'UNIX, Windows fournit
de nombreuses commandes en ligne, mais elles ne sont pas vraiment documentées de manière
exhaustive. Ces commandes sont lancées manuellement via l'interface cmd, ou en les plaçant dans
des fichiers scripts (fichier bat). Un certain nombre de directives de contrôle (if, for) peuvent aussi
être utilisées dans les fichiers scripts. Le langage de commande powershell fournit beaucoup de
plus de possibilités dans les dernières versions.

c)Scripts utilisateurs
Des commandes vont permettre de réaliser des opérations automatiques à des moments précis de
fonctionnement : par exemple lors du démarrage du PC. On les retrouve dans les script de Login.
L'exécution a lieu dans une fenêtre de commande (cmd.exe) fugitive, on la voit apparaître
lorsqu'une commande du script est bloquante (demande de mot de passe...)

Windows server utilise les scripts a plusieurs moments de la connexion/deconnexion :

– Scripts de connexion (pour l'utilisateur),
– Scripts de déconnexion (pour l'utilisateur) ,
– Scripts d’arrêt (pour la machine),
– Scripts de démarrage (pour la machine).

On peut définir un script d’ouverture de session de plusieurs manière :

Dans les informations de profil du compte
Dans les stratégies de groupes (GPO)

L'exécution est soit synchrone (bloquant) soit asynchrone (non bloquant), ce réglage se fait dans la
base de registres. Normalement, l'exécution du script de connexion se fait dans une fenêtre de
commande visible mais elle peut être cachée. Attention : les scripts peuvent être bloquants ou longs
et même nécessiter une intervention utilisateur si il y a une authentification demandée. Le test avant
usage doit donc être méticuleux et se faire avec les mêmes droits que l'utilisateur potentiel.

16
En environnement domaine, les scripts de connexion sont recherchés par les clients dans un partage
NETLOGON défini sur le serveur par défaut dans Windows\SYSVOL\sysvol\domain_name\script.
En effet comme l'utilisateur ne peut avoir défini de directive de montage avant de lancer le script
qui les contient, il doit donc y avoir au moins un répertoire partagé qui est un nom prédéfini
permettant d'accéder aux scripts de démarrage, c'est le rôle de NETLOGON présent depuis les
premières versions de Windows Server.
Une option existe dans les versions les plus récentes permettant de définir un montage utilisateur
directement dans un onglet de la configuration utilisateur.

Un même script peut être défini pour plusieurs utilisateurs. De fait, le partage NETLOGON ne peut
avoir de protection en lecture, il est donc lisible par tous même avant connection au serveur. Les
fichiers scripts qu'il héberge ne doivent pas contenir des directives portant atteinte à la sécurité
(exemple : mot de pas dans une directive net use...).

d)Scripts de gestion
Ils vont permettre à l'administrateur d'automatiser un certains nombre de procédures répétitives et
fastidieuses, par exempe :
– Création de nombreux utilisateurs
– Création de répertoire utilisateurs
– Modification des caractéristiques d’un ensemble d’utilisateurs

Des scripts d'automatisation des tâches plus complexes peuvent se faire à partir de plusieurs
langages spécifiques : en langage Perl, il est possible d’utiliser des fichiers texte en entrée qui vont
permettre de paramétrer les actions (mot de passe tiré au sort...).

Windows Server met à disposition des commandes supplémentaires pour la gestion d'Active
Directory :
– Création d'utilisateur : commande dsadd user
– Modification des caractéristiques d’un ensemble d’utilisateurs : commande dsmod user
– Utilisation possible de l’annuaire Active Directory par des requêtes : dsquery puis utilisation du
résultat dans un pipe...

1.4.4Les comptes d'ordinateurs

Sous Active Directory, il existe aussi des objets ordinateur. Ceux-ci vont permettre de les placer
dans des unités d'organisation afin d'en contrôler le fonctionnement.

Ces comptes d'ordinateurs du domaine peuvent être créés de plusieurs manières :

– 1ère approche (Sur le contrôleur du domaine)
Création d'un compte pour le nouvel ordinateur par utilisation du gestionnaire de serveur
Cliquer sur Ordinateur puis Ajouter au domaine
– 2ème approche : sur le poste que l'on veut connecter au domaine
Possibilité de créer un compte d'ordinateur à distance via l'onglet : nom d'ordinateur dans Propriétés
Système puis modifier puis nom de domaine. Il y a ensuite création automatique à la 1ère
connexion (il faut toutefois une authentification utilisateur avec des droits appropriés sur le
serveur : c'est à dire administrateur de comptes).

17
1.5 Ressources

1.5.1Généralités
Un des objectifs d'un serveur est de fournir des ressources partagées aux postes du domaine. Les
ressources habituelles sont des répertoires ou disques, c'est à dire un espace de stockage ou l'accès à
des informations stockées, des imprimantes.
D'autres ressources sont possibles : services, registres, GPO...

La mise à disposition de ressources s'effectue en plusieurs étapes :

– Côté serveur : partage de ressources
Définition d'un partage (clic droit sur le répertoire puis partage)
attention il faut décocher l’onglet partage simple dans l’explorateur pour pouvoir contrôler le
partage d'une ressource.
– Côté Serveur : définir des autorisations d ’accès (liste de contrôles d'accès : ACL)
Cela va permettre de d'autoriser ou refuser les différents accès (lecture, écriture...) aux ressources
par les utilisateurs ou les groupes.
– Côté Client : montage de la ressource
Le client s’attribue la ressource qui apparaît comme un disque logique (une lettre suivie de:) par
une commande net use ou par l'explorateur de fichiers, ou comme une imprimante partagée.

Sur Windows Server, il existe aussi une console de gestion des ressources appelable par une MMC
(Microsoft Management Console) via un composant logiciel enfichable.

1.5.2 Les permissions d'accès

a)Principe
Leur objectif est d'autoriser ou d'interdire l'accès de certaines machines et/ou utilisateurs à diverses
ressources d'autres machines (les serveurs).

Elles vont permettre de gérer le niveau d'accès maximal à un fichier ou à un répertoire local ou au
contenu d'un partage.

Initialement, les permissions sous Windows étaient assez limitées (lecture, écriture, accès total).
Avec les listes de contrôle d'accès (ACL : Access Control List), cet aspect est devenu beaucoup plus
détaillé. Les ACL sont devenus l'outil de base pour gérer l'accès des utilisateurs aux ressources
(fichiers, répertoires, périphériques).

Les ACL vont permettre de définir des permissions (autorisation ou refus) pour des utilisateurs et
des groupes. De base, il y a 6 groupes d'accès possibles :
– aucun accès
– lecture
– lecture et exécution
– écriture
– modifier (=lire, écrire, exécuter, supprimer)
– contrôle total (=modifier + droit de changer les permissions)

En fait il y a 13 autorisations spécifiques

18
Les groupes d'accès correspondent à des droits représentés par une lettre :
Contrôle total : RWXDPO
Modifier : RWXP
Lire : RX
Autorisation spéciale : définition manuelle des droits d'accès (c'est à dire accès aux 13 items
spécifiques).

En cas de conflit de permissions, ce sont les permissions les plus restrictives qui s'appliquent.
Pour chaque item on peut définir : autoriser ou refuser, ce qui va encore compliquer les droits
d'accès résultants.
L'accès à un fichier est indépendant de l'accès à un répertoire. Un utilisateur peut accéder à un
fichier même si le répertoire ou l'un des répertoires du chemin d'accès lui est interdit.

Attention à l'imbrication des droits d'accès, car les autorisations ou les refus peuvent venir de
l'utilisateur mais aussi des groupes auxquels il appartient.
Exemple : l'utilisateur toto ne dispose pas a priori des droits pour accéder au fichier boot.ini. Mais
s’il est membre du groupe Administrateur, il peut modifier ses droits d'accès et ainsi passer outre
Remarque : lorsqu'on spécifie des droits d'accès pour un répertoire, on a 2 jeux de droits : un pour
le répertoire et un pour les fichiers qui seront ajoutés à ce répertoire
il peut y avoir héritage des droits pour les sous-répertoires et les fichiers contenus dans un
répertoire (case à cocher pour choisir l’option).

Dans un environnement complet avec des utilisateurs et des groupes divers, la définition des droits
résultants devient rapidement difficile à évaluer. Il existe un outil permettant d'obtenir les droits
résultants calculés par Windows.

b)Mise en oeuvre
Une boîte de dialogue permet de régler ces droits pour chaque utilisateur ou groupe ajoutés (bouton
de droite puis sécurité) avec un choix initial :
– Autorisations spéciales
– lecture
– lecture et exécution
– écriture
– modifier (=lire, écrire, exécuter, supprimer)
– contrôle total (=modifier + droit de changer les permissions)

Principes de base de mise en œuvre.

Une ACL fiable repose sur des groupes d'utilisateur solides et cohérents. Il faut donc planifier la
constitution des groupes pour qu'ils soient logiques et associés à des besoins réels.
Les accès doivent être distribués avec parcimonie, si possible à partir de l'item de taille la plus
petite. Éviter d'ajouter tout un groupe à une ACL pour satisfaire les besoins d'un seul utilisateur.
Attention aux cases « Refuser » qui conduisent souvent à une perte d'accès aux ressources. Par
exemple, refuser contrôle total à « Utilisateurs », fait qu'il n'y a quasiment plus d ’accès à la
ressource (car l’utilisateur administrateur peut aussi être utilisateur) !

19
1.5.3 Les droits ou privilèges, compétences (gestion des serveurs).

Une autre approche coexiste avec les ACL, ce sont les privilèges :
Droits spécifiques attribués à des groupes (ou utilisateurs)
Exemple : droit de sauvegarde pour les opérateurs de sauvegarde (c'est à dire droit de lecture sur
toutes les ressources à sauvegarder).

Les droits sont définis avec l’outil paramètres de sécurité du poste (gestion de la sécurité locale) ou
du contrôleur de domaine (Stratégies locales->Attribuer des droits utilisateurs).

Les droits sont associés à des actions, les autorisations à des ressources. Les droits ou privilèges
passent outre les ACL (autorisations), sinon les opérations de maintenance seraient impossibles.

Quelques exemples de droit :

– Accéder à cet ordinateur depuis le réseau
– Ajouter des ordinateurs au domaine
– Sauvegarder des fichiers et des répertoires
– Restaurer des fichiers et des répertoires
– Modifier l'heure système
– Gérer le journal d'audit et de sécurité
– Arrêter le système
– Prendre possession de fichiers ou d'objets

Les membres du groupe Administrateurs possèdent quasiment tous les droits, ceux par exemple du
groupe "Opérateurs de Compte" peuvent ajouter un utilisateur mais ne peuvent pas modifier l'heure
du système ou réaliser une sauvegarde ou une restauration.

1.6 Les Stratégies

1.6.1Principe
Elles sont un complément aux autorisations et aux droits en particulier pour les ressources
particulières et pour le fonctionnement global du poste de travail.

Windows Server fournit des outils supplémentaires pour contrôler le fonctionnement des postes au
sein d’un domaine Active Directory. Le cœur de la gestion d'un poste de travail étant la base de
registres, il est alors nécessaire de réaliser des actions sur la base de registres au moment de la
connexion par exemple, les stratégies vont le permettre et donc étendre le champ d'action du
serveur sur les postes de travail.

1.6.2 Historique.
Cette approche existe depuis les versions NT Server sous la forme de Stratégies systèmes (avant
W2000 server). Elles pouvaient être appliquées aux utilisateurs et ordinateurs et influencer le
fonctionnement des applications. Leur gestion se faisait par un utilitaire PolEdit, les stratégies
système étaient enregistrées dans un fichier NTConfig.pol. Elles permettaient de sauvegarder et
d'imposer des configurations dans la base de registres lors d ’une connexion.

20
Elles se sont transformée en Stratégies de groupes (GPO : Group Policy Object) à partir de
Windows Server 2000, elles s'appliquent à certains objets Active Directory (unité d'organisation,
domaine). Elles rassemblent aussi les configurations utilisateurs (script…)
Les objectifs est de définir les actions que chaque utilisateur est autorisé à effectuer sur une
machine donnée, c'est une notion assez proche du profil (car lié à l'aspect du bureau) mais plus
efficace au niveau de la sécurité

1.6.3 Les GPO.

Les GPO (Group Policy Object) sont des objets Active Directory rassemblant les droits, les règles
de fonctionnement et les paramètres applicables aux ordinateurs ou aux utilisateurs d'un domaine
Windows Server. Les GPO permettent une gestion plus fine des autorisations.
Elles regroupent un ensemble de paramètres très complet.

Elles sont associables à seulement certains objets Active Directory :

– Site
– Domaine
– Unités d’organisation

Ces objets peuvent contenir les objets sur lesquels elles sont applicables : ordinateurs, utilisateurs...
Contrairement à ce que pourrait laisser penser leur nom, elles ne sont pas associables à des groupes
mais elles peuvent s'appliquer aussi à des groupes à condition qu'ils soient inclus dans des unités
d'organisation.

Les GPO étant des objets Active Directory, on peut et doit définir des autorisations sur les Objets
GPO : Création, destruction, lecture/application. Leur accès en modification doit être limité aux
administrateurs car elles ont une incidence directe sur la sécurité dans le domaine.

La gestion des GPO s'effectue par un outil graphique de gestion : la GPMC (Group Policy
Management Console). A l'ouverture apparaît un choix sur les éléments à contrôler.

21
Au premier niveau, deux choix existent :
– ordinateur, les paramètres ne s'appliqueront qu'aux ordinateurs placés sous l'objet où est appliqué
la GPO.
– utilisateur, les paramètres ne s'appliqueront qu'aux utilisateurs et groupes placés sous l'objet où est
appliqué la GPO.

Le 2ème niveau est identique pour les 2 items de 1er niveau :

– Paramètres de logiciel (installation de logiciels)
– Paramètres Windows (scripts + sécurité)
– Modèle d ’administration

Quoi qu'il en soit les items présents sous ces onglets de 2ème niveaux sont différentes : si cela
concerne l'ordinateur les paramètres vont être liés au comportement des applications et des
ressources. Si cela concerne les utilisateurs : les paramètres interviendront sur le bureau, les
différents menus...

Par défaut, très peu de paramètres sont configurés, lorsqu'ils sont configurés, ils peuvent prendre 2
états : Activé ou Désactivé. L'état Désactivé n'est pas équivalent à Non configuré, car dans le
premier cas la GPO applique l'état Désactivé, dans le deuxième elle laisse le choix de l'état à un
autre niveau de fonctionnement (autre GPO, paramètres locaux).

22
Un bon paramétrage de GPO est difficile à mettre en place. En effet, il y a une telle abondance de
possibilités que le choix est souvent difficile et les résultats aléatoires.
De même, il est difficile de comprendre la portée exacte des choix que l'on fait. Par exemple, si l'on
veut empécher l'utilisateur de lancer un utilitaire, le contrôle peut se faire que sur le nom de
l'exécutable, un simple changement de nom permet alors de passer outre. Enfin, la configuration
peut provenir de plusieurs sources et se révéler contradictoire entre plusieurs éléments avec un
résultat souvent inattendu.

Lors de dysfonctionnements, il peut être nécessaire d'utiliser des outils de debuggage présent dans
Windows : ils sont configurés par des entrées de la base de registres. Concernant les GPO, on peut
obtenir un compte-rendu verbeux en modifiant la clef suivante :

SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Diagnostic :
GPSvcDebugLevel = 00030002 (pour voir les erreurs)

le 3 : active logfile (1) et debugger (2)

le 2 : Verbose avec comme choix none (0), normal (1) et verbose (2)

Il faut bien remettre à l'état normal après résolution sinon les logs peuvent prendre beaucoup de
place

Lors d'une modification de GPO, la mise en oeuvre peut aussi être retardée, on peut alors utiliser la
commande "gpupdate" qui permet une prise en compte immédiate.

1.7 Les outils d'administration

Windows Server propose un certain nombre de services afin de faciliter la gestion du serveur
- automatisation des actions
– Sauvegarde et restauration de fichiers (backup)
– Observateur d'événements serveur (Audit)
– Surveillance du réseau, analyseur de performances
– Administrateur d'accès distant
– etc.…

L’administration se fait en général par des outils graphiques (console de gestion) qui peuvent être
lancées via des menus ou par une commande (services.msc, gpedit.msc…) permettent de lancer
rapidement ces consoles de gestion.

1.7.1 Gestion via le langage de commande

Le langage de commande Windows, hormis les commandes issues de MSDOS (copy, del, echo…),
permet de lancer chaque programme exécutable disponible (ceux présentant une interface graphique
peuvent poser certains problèmes lorsqu’ils sont exécutés surtout dans des phases spécifiques :
démarrage…).
Dans les scripts, plusieurs utilitaires sont couramment utilisés : commandes net, netsh, netstat,
svchost…

23
a)commandes net
Tout un ensemble de commandes vont permettre de gérer des services réseaux. Elles existent depuis
les premières versions. Ce sont les commandes "net xxx ". Elles vont permettre entre autre de gérer
le fonctionnement de NetBIOS.

Commandes sur un client

net name : définition d'un alias
net print : impression d'un fichier
net send : envoi d’un message
net use : montage d'un disque réseau
net config : affiche la configuration
net statistics : affiche les statistiques
net time : synchronise un ordinateur
net view : fournit la liste des serveurs et des ressources
net helpmsg : affiche l'aide sur les messages (erreurs, alertes)?
net help : aide en ligne (aussi : net [cmde] /help)?

Gestion sur un serveur

net user : gère les utilisateurs
net group : gère les groupes
net localgroup : gère les groupes locaux
net account : gestion base de données utilisateur
net computer : gestion base de données domaine
net file : referme les fichiers ou liste les fichiers ouverts
net session : gère les sessions sur un serveur
net share : gestion des partages

Commande de gestion des services

net start : démarre un service réseau
net stop : arrête un service réseau
net pause : arrête temporairement un service réseau
net continue : redémarre un service réseau

Par exemple :
Montage d'un partage disk\répertoire du serveur sur le disque logique n:
(net use n: \\serveur\\disk\repert)
Envoi d'un message aux utilisateurs :
net send utilisateur message

b)commandes netsh
Cette commande permet de configurer les interfaces réseaux sans passer par l'interface graphique :
sa syntaxe complexe (il y a beaucoup de niveaux de choix) fait qu'elle est largement moins utilisée
que son équivalente sous UNIX.

c)Commandes svchost
De la même manière que la précédente, la commande schost permet de gérer les services de façon
équivalente à l'interface graphique, mais de manière automatique. Une autre commande, la
commande "sc" permet aussi de gérer les services.
d) Powershell

24
Depuis Windows7 ou Windows Server 2008, un nouvel environnement en ligne de commande est
disponible. Il est très complet (voire excessivement) et peut être considéré comme un équivalent
des langages shell d'UNIX. Il correspond en particulier à la gestion de serveurs sous forme de
machines virtuelles minimalistes comme c'est la règle actuellement.

1.7.2 Les sauvegardes.

C'est une des responsabilités principales de l'administrateur système : il doit assurer que les
utilisateurs ne perdent pas leurs données.
Il faut définir une stratégie de sauvegarde : le temps investi pour mettre en oeuvre une bonne
stratégie de sauvegarde n'est jamais du temps perdu, car il faut répondre à de nombreuses questions
pour assurer le servcie auprès des utilisateurs :
– Quels fichiers doivent être traités ?
Tous, mais pas forcément tous à la même fréquence ....
– Où ces fichiers se trouvent ils ?
Déterminer les ordinateurs les plus importants à sauvegarder
– Qui est chargé de sauvegarder tel fichier ?
Par exemple, Administrateur réseau : le serveur, utilisateur :disques locaux
– Quelles sont les ressources mises en oeuvre ?
Lecteur de bande, CDRom, ...
– Où, Quand et dans quelles conditions ont lieu les sauvegardes ?
Idéalement depuis le poste de l'administrateur en dehors des heures ouvrables
– Quelle est la fréquence des sauvegardes?
Tous les jours pour les fichiers importants, sinon 1 fois par semaine (par exemple). Il faut
garder à l'esprit que l'objectif est de faire perdre le minimum de temps à l'entreprise. De fait, lors de
la perte de données, la sauvegarde n'a un intérêt que si le temps cumulé de sauvegarde et de
restitution des données perdues est inférieur au temps passé à les créer. L'opération de sauvegrade
est souvent automatisée, mais celle de reconstruction est toujours une opération délicate et qui
prend du temps.

Concernant les fichiers et répertoires plusieurs opérations sont possibles :

– Sauvegardes complètes
Tous les fichiers sont copiés et marqués sauvegardés
– Sauvegarde par duplication
Tous les fichiers sont copiés
– Sauvegarde différentielle
Tous les fichiers modifiés depuis la dernière sauvegarde complète sont copiés et marqués
sauvegardés
– Sauvegarde incrémentielle
Idem précédent sauf sauvegarde précédente de type quelconque
– Sauvegarde quotidienne : Tous les fichiers de la journée

Initialement les opérations de sauvegarde requieraient un lecteur de bande. Sous Windows Server la
stratégie de sauvegarde a complètement changée depuis Windows Server 2008. Elle était basée
avant sur NTBackup associé avec un lecteur de bande. Suite à la disparition progressive de ce type
de périphérique, il n'est plus géré dans les nouvelles versions : les sauvegardes s'effectuent
maintenant sur des disques ou via des CD/DVD. L'accès aléatoire pour ce genre de périphérique
permet une restauration plus facile que sur une bande où seul un accès séquentiel était possible.

25
Les outils de sauvegarde sont accessibles seulement aux membres des groupes Administrateurs et
Opérateurs de sauvegarde.

Plusiuers éléments font que les outils de sauvegarde fournis avec Windows Serverv ne sont pas
suffisants pour une grande entreprise, il faut alors utiliser de préférence des utilitaires du commerce
plus approfondis.
En particulier, il est insuffisant de ne sauvegarder que les fichiers, il faut aussi conserver les
autorisations voire d'autres informations.
Par défaut, les fichiers sont restaurés dans leurs répertoires d'origine. Si on ne restaure pas l'ACL,
alors c'est l'utilisateur qui restaure le fichier qui en devient propriétaire, et l'ACL par défaut du
répertoire est appliquée.

1.7.3 La surveillance du fonctionnement.

a) L'observateur d'événements

C'est le premier outil à connaître pour identifier les différents problèmes de fonctionnement d'un
serveur. Il va répertorier les problèmes de lancement de services, les tentatives de connexion
frauduleuses.

C'est un outils totalement paramétrables. Sur chaque objet Windows Server on peut définir des
actions à auditer. Hors de son usage par défaut, il est d'une très grande complexité. Il faut en
particulier faire un compromis entre le nombre d’évènements que l'on surveille et une surveillance
efficace. Les messages de surveillance sont destinés à un opérateur qui doit pouvoir les explorer
sans trop prendre de temps.

L'audit de sécurité est une facette de l'observateur d'événements :

Selection de Journal->Sécurité
Configuration des événements reportés dans l’audit de sécurité
Stratégies>Audit (gestionnaire des utilisateurs)

Les évènements "auditables" sont :

26
– Ouverture et fermeture de sessions
– Accès à certains fichiers ou objets
– Gestion des utilisateurs et groupes
– Modifications des stratégies de sécurité
– Redémarrage / arrêt du système

Remarque : il est aussi possible de filtrer les événements par date, par source, par utilisateur

b) Les fichiers de Log

Ils se situent en particulier dans le répertoire c:\windows\Debug, on peut modifier le mode de

fonctionnement de ces fichiers par des clefs de la base de registre (comme vu pour les GPO).

De même lors de problème de connection (difficile à debugger) on peut modifier la clef :

SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon :
UserEnvDebugLevel = 00030002 (pour voir les erreurs)

le 3 : active logfile (1) et debugger (2)

le 2 : Verbose avec comme choix none (0), normal (1) et verbose (2)

1.7.4 L'évaluation des performances.

Un autre outil va permettre de suivre les performances du serveur : l'analyseur de performances. Il

propose :
– des graphes de compteurs d'accès (Différents compteurs : temps processeur, temps utilisateur...)
– des journaux de performances
– des alertes de baisse de performances

27
Cet outil va permettre de surveiller le système en permanence et de pouvoir donner des indications
lors de baisse de performances. Les informations sont par défaut assez sommaires.

Il propose certaines fonctionnalités intéressantes, par exemple :

– l'enregistrement des performances dans un journal, ce qui permet de faire des recoupements
d'informations entre baisse de performances et différents événements.
– La définition d'alerte (Alerte sur différentes valeurs de compteurs) : par exemple sur le temps
CPU utilisé

Quoi qu'il en soit, en fonctionnement normal, les performances sont directement liées aux
ressources mise en jeux (taille de la mémoire centrale, puissance du processeur...). Cet outil est
surtout utile lors de problèmes de fonctionnement liés à une application trop gourmande par
exemple (Antivirus inadapté à la puissance de la machine...).

Des utilitaires permettent aussi de surveiller le système :

tasklist donne une liste ordonnée des tâches
tasklist /svc donne une liste des services

1.7.5 Le service planning

Son objectif est de planifier le lancement de tâches répétitives.

Exemple : sauvegarde journalière des différents fichiers journal

Commande at
Syntaxe : at [\\hote] heure [quand] commande

28
Exemple :
at \\istase 16:00 /every:vendredi SumEvent.bat

Cette commande a été remplacée par schtasks à partir de Windows Server 2003 :

schtasks /paramètre [arguments]

Liste de paramètres de premier niveau:

/Create Crée une nouvelle tâche planifiée.
/Delete Supprime les tâches planifiées.
/Query Affiche toutes les tâches planifiées.
/Change Modifie les propriétés d'une tâche planifiée.
/Run Exécute la tâche planifiée immédiatement.
/End Arrête la tâche planifiée actuellement en cours d'exécution.
/? Affiche cet écran d'aide.

Des arguments supplémentaires sons ensuite ajoutés suivant la fonction demandée :

/S système Spécifie le système à distance sur lequel seconnecter.

/U nom_utilisateur Spécifie le contexte de l'utilisateur sous lequel la commande doit s'exécuter.
/P mot_passe Spécifie le mot de passe pour un utilisateur donné.
/TN nom_tâche Identifie la tâche planifiée à exécuter.
/? Affiche cet écran d'aide.

Exemple :
SCHTASKS /Run /S servertest /U admintest /P admintest /TN "Sauvegarde Incrémentale"

1.7.6Gestion des contrôleurs de domaine

En environnement de taille importante, il est nécessaire de faire cohabiter plusieurs serveurs et

contrôleur de domaine. Il va être en particulier nécessaire de synchroniser les contrôleurs de
domaine entre eux pour que les informations Active Directory contenu dans le contrôleur principal
puissent être partagées vers les serveurs contrôleur de domaine secondaires : on parle alors de
synchronisation des contrôleurs secondaires.
La synchronisation est faite par défaut lors de l'ajout d'un nouveau contrôleur

Outil graphique : Gestionnaire de serveur

Option Ordinateur, Synchroniser avec le contrôleur principal

Promouvoir des ordinateurs aux rôles de contrôleur de domaine

Commande ordinateur, promouvoir au rôle de PDC

Rétrograder le PDC en contrôleur secondaire

suppression du compte d'ordinateur, réinstallation de NT,…

Attention les fonctionnalités dépendent des niveaux du domaine : natif, mixte...

29
1.7.7Gestion des serveurs de fichiers

Toutes les fonctions liées aux serveurs de fichiers sont regroupés sur une console d'administration.
On y retrouve les 4 fonctions principales :
– la gestion physique et logique des unités de stockage (Administration des disques et des volumes)
– la gestion globale des ressources de type fichiers (Gestion de ressources du serveur)
– la gestion des partages (Gestion des dossiers partagés)
– la gestion du système de fichiers distribué (DFS)

L'administration des disques et volumes permet de définir de nouvelles partitions, de gérer leurs
tailles et de leur affecter une lettre de lecteur (par exemple x:).
Il peut y avoir deux types de partition :
Partition principale : partition qui accueille un système d'exploitation
Partition étendue : partition dédiée aux données
Sur un disque formaté avec Windows, il peut y avoir un maximum de 4 partitions.

Si il y a plusieurs partition principal, une seule est active.

Sur une partition étendue, vous pouvez créer plusieurs unités logiques qui vont apparaître comme
des disques différents (lettres différentes).

Le gestionnaire de ressource va permettre de contrôler les quotas d'occupation du disque (taille

maximale adminssible pour un utilisateur) et de gérer du filtrage (fichiers interdits de stockage).

Le gestionnaire des dossiers partagés lui va concerner les définitions des paratges et le suivi des
postes les utilisant.

1.7.8NTFS

30
NTFS (New Technology File System) est le système de fichiers standard sous Windows. A l'inverse
de son prédécesseur (système FAT), il permet de définir un propriétaire pour les fichiers ainsi que
des autorisations d'accès complexes. Il a une capacité théorique de stockage très importante
(Plusieurs To).

Il permet la journalisation : toutes les opérations réalisées sur le système sont stockées dans un
fichier journal. Ceci permet "théoriquement" de reconstruire le système dans la dernière bonne
configuration connue après un plantage.

Il met en place une écriture différée des données : écriture directe dans un cache mémoire vive,
écriture en temps masqué sur le disque dur.

La description d'un fichier sous NTFS comporte :

– son nom en UNIcode
– des dates (création, dernier accès, dernière modification)
– des attributs DOS (lecture seule, archive, caché, système) pour compatibilité
– des autorisations de sécurité (ACL)

Cela permet un contrôle d'accès discrétionnaire : permet de spécifier des notions de contrôles
d'accès au niveau répertoire et fichiers.

NTFS peut être activé avec une compression automatique des données ainsi qu'avec un cryptage.

1.7.9La sécurité sous Windows Server

Le premier niveau essentiel de sécurité est le contrôle d'accès aux comptes avec droits : mots de
passe fiables. La stratégie par défaut de Windows Server concernant les mots de passe peut paraître
contraignante mais elle est sure.
Il peut être intéressant d'utiliser un compte Administrateur différent de celui par défaut pour le
rendre moins repérable, car il faut connaître le couple login/mot de passe et non pas seulement le
mot de passe.

Utiliser avec parcimonie le groupe Tout le monde car il regroupe à la fois des utilisateurs
authentifiés (password) et aussi des utilisateurs non authentifiés. Une bonne pratique est de ne
jamais l'utiliser dans des ACL et de le remplacez par le groupe "Utilisateurs authentifiés".

Tous les objets Active Directory étant controlable par des ACL, il peut être intéressant de protéger
des clés du registre par des ACL.

Verrouiller certains accès réseau : La configuration avancée de TCP/IP permet d'interdire des accès
protocole par protocole : il faut mettre en œuvre le Firewall et le paramétrer correctement.

Il faut aussi utiliser correctement l’observateur d'évènements et régler les évènements à auditer.

31
 TP n°3 : OptionRX1

1.8TP N°3 : Configuration de Windows 20xx Server

Objectifs du TP:
Paramétrage d’un contrôleur de domaine et d'un serveur de fichiers sous Windows Server 20xx

Ressources nécessaires au TP
– Deux PC client sous windows7 et un troisième spécifique pour Windows Server 20xx.
– Le nom de login est adminposteX. (X étant le numéro du poste de travail)

Attention vous avez des droits d’administration sur un serveur qui est difficile à dépanner ...

Phase 1 : Configuration réseau des PC client et serveur

1. Configurer les adresses IP sur les 3 machines. Vérifier le bon fonctionnement par un ping.

Phase 2 : Configuration du serveur DNS

1. Lancer la console de gestion DNS (démarrer -> outils d’administration -> DNS).
2. Créer un fichier de zone pour le domaine tsepostex.fr (cette zone sera différente de la zone
initiale de création du serveur -liée à Active Directory- pour éviter les erreurs)
3. Remplir cette zone avec les relations pour les 2 machines plus le serveur :
Nom des clients : clientxx.tsepostex.fr
Nom du serveur : serveur.tsepostex.fr
4. Configurer la résolution de nom ainsi que la résolution inverse (console DNS). Pour vérifier
s'il y a des problèmes de configuration, vous pouvez utiliser l'observateur d’événements.
5. Configurer le serveur et le poste client Windows afin qu’il utilise ce DNS.
6. Tester vos configurations via des ping de la machine cliente Windows vers l’autre machine
cliente en se servant des noms littéraux.
7. Visualiser le cache DNS de votre machine (ipconfig /displaydns)
8. Visualiser les trames échangées entre la machine et le serveur DNS lors de la résolution.
9. Utiliser la commande nslookup pour tester les résolutions directe et inverse mises en place.
10. Activer les enregistrements dans le journal de log à partir de la console DNS. Mettre en
œuvre quelques résolutions puis consulter le journal avec l’observateur d’événements.

Phase 3 : Configuration des utilisateurs et des ordinateurs du domaine

1. En utilisant la console de gestion des utilisateurs (menu Utilisateur et Ordinateur Active
Directory), visualiser les différents éléments de la structure Active Directory. Retrouver les
groupes, les Unités d’organisation et les utilisateurs. Vous travaillerez uniquement dans une
OU (Organization Unit) spécifique (optrx1) que vous créerez à la racine du domaine.
2. Sous cette OU créez en une seconde de nom « admin ». Avec la console, créer un premier
compte utilisateur ayant pour nom admintp1. Placer le sous l’OU « admin ».
3. Créer une OU de nom « technicien » au même niveau que l'OU « admin ». Ajouter un
utilisateur « admintp2 » en ligne de commandes sous l'OU « technicien » (commande
dsadd) puis pour trois autres comptes (tech1, tech2 et tech3) de manière automatisée en
créant un fichier *.bat regroupant ces commandes.
4. Déplacer l'utilisateur admintp2 dans la bonne OU.
5. Modifier et compléter les caractéristiques des utilisateurs pour peupler l’annuaire Active
Directory. Soit par bouton de droite et onglet propriétés, soit en ligne de commande
(commande dsmod). Placer les dans des groupes correspondant à leurs fonctions :

32
 - admintp1 sera un administrateur complet
- admintp2 ne pourra que gérer des utilisateurs et des groupes
- les techx seront des utilisateurs standard
6. Donner le contrôle de gestion de chaque OU respectivement à un de ses utilisateurs. Quels
droits effectifs a cet utilisateur sur l’OU ?
7. Sur les ordinateurs clients, connectez-vous en vous raccordant au domaine Windows 2008
adéquat (Poste de travail->Propriétés->nom de l’ordinateur). Visualisez les modifications
dans la base de données Active Directory sous l’onglet Computer. Déplacer ces ordinateurs
pour les mettre dans vos OU (un sera le poste des administrateurs, l'autre celui des techx).

Phase 4 : Mettre en œuvre l’accès au fichier par partage (Gestion du service de fichiers)
1. Ajouter un répertoire spécifique à chaque utilisateur dans l’arborescence C:\domain\server1.
Attribuer lui le nom de l’utilisateur, donner les droits d’accès à cet utilisateur sur ce
répertoire. Pour lui permettre de l’utiliser à distance partager le répertoire précédent.
Vérifier le bon usage en montant un disque réseau sur le client.
2. Définir des autorisations différentes pour les différents répertoires utilisateurs relativement
aux autres utilisateurs (Lecture, Ecriture…). Vérifier le bon fonctionnement. Finalement,
attribuer les droits de lecture seuls pour les utilisateurs non propriétaire du compte.
3. Ajouter un répertoire partagé accessible à tous les utilisateurs (vous pouvez pour cela les
mettre tous dans un groupe que vous aurez créé). A qui appartiennent les fichiers déposés ?
4. Définir des quotas sur chaque répertoire

Phase 5 : Définition des profils, des scripts de connexion et contrôle des propriétés
1. Créer un script permettant de connecter un lecteur réseau. Tester en appelant ce script.
2. Pour un utilisateur, définir un profil itinérant et le script de connexion (en utilisant celui créé
précédemment) par l’onglet adéquat. Le script doit être placé dans le partage netlogon du
serveur et le profil dans un autre répertoire partagé.
3. Connecter-vous avec le nom du premier utilisateur, vérifier qu’un profil a été créé sur le
serveur à l’endroit déterminé.
4. Modifier l’aspect du bureau, vérifier que cette modification a été sauvée en vous connectant
avec l’autre utilisateur ayant le profil en commun.
5. Sur le serveur, modifier l’extension du fichier ntuser.dat en ntuser.man (profil obligatoire),
reconnecter-vous, faite une modification sur le bureau. Puis déconnectez-vous et
reconnectez-vous et vérifier que le profil est resté comme à l’initial.
6. Sur le client, visualiser le fichier c:\windows\debug\usermode\userenv.log pour voir les
différentes étapes de la connexion.
Phase 6 : Utilisation de GPO
1. Pour le groupe d’utilisateurs, définir un script de connexion supplémentaire (en en créant un
deuxième avec un autre montage) par une GPO associée à la troisième OU (attention ces
scripts sont dans un répertoire imposé).
2. Créer une nouvelle GPO pour chaque unité d’organisation créée précédemment. Peut-on en
créer pour les utilisateurs ?
3. Configurer différemment les paramètres d’Internet Explorer sur les différents comptes et les
différentes machines de votre domaine grâce aux GPO.

Phase 7 : Audit (optionnel)

33