Directrice de publication : Valérie Brard-TrigoLes cours du Cned sont strictement réservés à l’usage privé de leurs destinataires et ne sont pas destinés à une utilisation collective. Les personnes qui s’en serviraient pour d’autres usages, qui en feraient une reproduction intégrale ou partielle, une traduction sans le consentement du Cned, s’exposeraient à des poursuites judiciaires et aux sanctions pénales prévues par le Code de la propriété intellectuelle. Les reproductions par reprographie de livres et de périodiques protégés contenues dans cet ouvrage sont effectuées par le Cned avec l’autorisation du Centre français d’exploitation du droit de copie (20, rue des Grands Augustins, 75006 Paris). BTS Informatique de gestion 2 e année Option administrateur de réseaux locaux d’entreprise Isabelle Ufarte Architecture logicielle des systèmes informatiques Cours Sommaire Séquence 1 : Vocabulons ................................................................................................... 5 Séquence 2 : Les systèmes multi-utilisateurs .............................................................. 11 Atelier 1 : Mise en domaine ............................................................................................. 21 Séquence 3 : Introduction à Active Directory............................................................... 33 Atelier 2 : Les droits et permissions ................................................................................. 43 Séquence 4 : Gestion des authentifications ................................................................. 51 Atelier 3 : Gestion des utilisateurs ................................................................................... 59 Séquence 5 : Actions d’AD sur les partages ................................................................. 63 Séquence 6 : Les stratégies d’AD .................................................................................... 67 Atelier 4 : Mise en place des stratégies ........................................................................... 75 Séquence 7 : Le DNS ou tout ce que vous n’avez jamais … ........................................ 77 Atelier 5 : Mise en place d’un serveur de sites : IIS ........................................................ 93 Atelier 6 : Le DNS .............................................................................................................. 99 Séquence 8 : Le DHCP ...................................................................................................... 103 Atelier 7 : Le DHCP .......................................................................................................... 111 Séquence 9 : Les protocoles ........................................................................................... 117 Atelier 8 : Le routage ..................................................................................................... 129 Séquence 10 : Les différents rôles des contrôleurs de domaine ............................ 131 Atelier 9 : Terminal server .............................................................................................. 137 Séquence 11 : Le modèle du client-serveur .............................................................. 139 Atelier 10 : Outils de prise en main à distance ............................................................. 149 Atelier 11 : De la sécurité avant tout! ........................................................................... 151 Séquence 12 : Un serveur de bases de données ....................................................... 161 Atelier 12 : Les utilisateurs SQL ...................................................................................... 173 Atelier 13 : SQL Server suite et fin ................................................................................ 179 Séquence 13 : La sécurité .............................................................................................. 189 8 3986 TG PA 00 5 Séquence 1 Vocabulons Cette séquence prépare le lecteur quant au contenu de cet ouvrage. Durée indicative 1/2 heure. Contenu Définitions des principaux termes utiles à tout bon administrateur réseau. Capacités attendues Comprendre et connaître les termes de base. Références bibliographiques Guide de ressources techniques Windows 2003 Server. Bienvenue Bienvenue dans le monde merveilleux des administrateurs réseaux. Vous venez de choisir l’option de tous les délices. Partager, communiquer, administrer, centraliser... les problèmes ! Vous pouvez encore reculer, choisir une autre voie, il est encore temps, ceci n’est que le premier chapitre de deuxième année. Car, il faut bien l’avouer, l’informatique ça ne marche jamais ! Et c’est VOUS qui allez passer votre temps à vous retourner dans votre lit pour comprendre. Pourquoi ? Pourquoi ? POURQUOI ? Pour commencer vous allez vous contenter de votre petit réseau personnel que nous allons mon- ter ensemble, et même si vous êtes guidés, conseillés, voire chouchoutés, ça ne marchera pas du premier coup. On vous aura averti, ne vous plaignez pas ensuite. Le métier d’administrateur réseau demande de la patience, de la passion (qui aime passer des nuits blanches devant un réseau qui s’obstine à ne pas fonctionner ?) et des connaissances. Sur ce dernier point, voici un livre qui vous dira que tout est éphémère. Les différents systèmes étudiés ici n’ont qu’une faible durée de vie ! Alors vous apprendrez les bases : apprendre à rechercher, apprendre à apprendre. Un peu de vocabulaire Afin de mieux se comprendre, il va falloir établir un lexique sur les différents points qui seront abordés dans ce livre. Il dépend des systèmes étudiés : Windows 2003 Server et Linux (la distribution Mandrake). Des phrases caractérisant le système Windows 2003 Server seront énoncées. Il en ressortira un certain 8 3986 TG PA 00 6 Séquence 1 Vocabulons nombre de mots importants dont il faut dès maintenant connaître la signification qui devra être gravée à jamais dans votre mémoire (la Ram ou la Rom ?). Windows 2003 Server est un système d’exploitation multitâches, multithread 32 bits à architecture SMP. Multitâche : un système d’exploitation qui gère plusieurs programmes simultanément en leur attribuant un pourcentage du temps processeur. – Coopératif : chacun à son tour dispose du processeur et des ressources. Mais si le programme plante, il bloque le reste (SE Windows 16 bits) l’application ne libérant pas le processeur. Chaque application dépend du bon fonctionnement des autres. – Préemptif : le SE gère l’ordonnancement et l’attribution du temps par des priorités. Il n’y a pas de blocage possible. Multithreading : plusieurs tâches s’exécutent en pseudo-parallèle à l’intérieur d’une même appli- cation. Les threads d’un même processus partagent le même espace mémoire. Un thread est un bout de programme, une unité d’exécution. Multiprocessing : quand sur un serveur il y a plusieurs processeurs. – Asymétrique : un processeur pour le système, les autres aux différentes applications (ASMP). – Symétrique : (SMP) toutes les requêtes sont réparties sur les différents processus. Il est à noter que Windows 2003 Server existe aussi en version 64 bits, pour Entreprise Édition et Datacenter Édition. Windows 2003 Server Standart Édition est un système d’exploitation qui nécessite un processeur cadencé à 400 MHz, 512 Mo de Ram voir 1 Go et 1,5 Go de place sur le DD. On remarque toutefois que la technologie 64 bits, sur un ordinateur Itanium est plus gourmand. Itanium : il s’agit d’un ordinateur équipé d’un microprocesseur Intel qui utilise un mode de calcul à base de jeux d’instructions explicitement parallèles et l’adressage mémoire 64 bits. On le compare avec les processeurs x86 (voir cours AMSI). Il supporte les formats de fichiers FAT, FAT 32 et NTFS. Le serveur doit être formaté en NTFS. NTFS : – sécurité au niveau répertoire et fichiers ; – gère la compression de disque ; – permet de gérer un quota de disque pour chaque utilisateur ; – encrypte les données pour chaque propriétaire ; – obligatoire pour stocker des volumes partagés. Rappel : sur un poste si l’on choisit d’installer des systèmes d’exploitation sur une partition FAT et un autre sur NTFS, il faut impérativement installer le SE sur la partition FAT avant le SE sur la partition NTFS. De plus on ne peut pas en FAT voir le contenu de la partition NTFS. Windows 2003 Server a été conçu pour gérer de grands réseaux (grosse artillerie ?) avec notion de clustering (deux machines se relaient en cas de problème). On crée des clusters quand on dispose de plusieurs serveurs fonctionnant sous Entreprise Édition ou DataCenter Édition qui vont fonctionner ensemble pour offrir aux utilisateurs un système et des ressources stables. 8 3986 TG PA 00 7 Séquence 1 Vocabulons Windows peut fonctionner : – soit en mode groupe de travail : c’est du poste à poste, chacun gère ses propres données et son partage ; – soit fonctionner en domaine : modèle client-serveur, toutes les ressources sont administrées par des contrô- leurs de domaine (serveur avec Windows 2003), donc centralisées. On verra plus en détail les avantages et inconvénients de chacun dans des ateliers particuliers. Il gère le protocole TCP/IP : c’est le protocole de base d’Internet. Il est routable et gère des réseaux étendus. Il nécessite un plan d’adressage explicite (notre plan d’adressage, qui vous sera présenté dans l’atelier 2 ). Il nous servira au niveau application (couche 7 du modèle OSI) pour le courrier, le transfert de fichiers et la connexion à distance et au niveau réseau (couche 3 du modèle OSI) pour le transfert d’informations. Protocole : règles appliquées par des couches de même niveau sur un réseau afin de commu- niquer alors que les systèmes physiques et d’exploitation peuvent être différents. Ouvrez votre livre d’AMSI pour revoir le modèle OSI qui présente les différentes couches. Un exercice dans la séquence sur les protocoles fera un rapprochement entre les différents protocoles que nous étu- dierons et le modèle OSI. IP (Internet Protocol) : une adresse IP est codée sur 32 bits. Elle est constituée d’une partie réseau et d’une partie machine. Groupée en quatre classes (utilisées) suivant la taille du réseau (nombre de machines présentes). Il faudra s’y faire, le cours d’ALSI est étroitement lié au cours d’AMSI, puisque c’est sa mise en pratique. TCP (Transmission Control Protocol) : protocole de transport de l’information fiable (avec contrô- le du transport) orienté connexion. Routable : il passe les routeurs, il circule sur des réseaux différents. Windows 2003 Server a augmenté son niveau de sécurité en ajoutant une console de récupération automatique du système ASR. ASR (Automated system recovery) : il sauvegarde l’état du système et la configuration des dis- ques, afin de pouvoir les restaurer en cas de défaillance. Voici maintenant une série de mots qui apparaîtront dans les prochaines séquences et atelier. Adresse MAC (Media Access Control) : adresse propre à chaque machine elle identifie une carte réseau alors qu’une adresse IP identifie un poste sur un réseau. Elle est unique et est donnée par le constructeur, vous ne pouvez pas la modifier contrairement à l’adresse IP. Loopback : c’est une adresse très particulière : 127.0.0.1 qui permet de diffuser une information localement sur une même machine à tous les processus (elle ne sort pas sur le réseau et ne permet pas de tester le bon fonctionnement de la carte réseau à communiquer sur le réseau). Masque de sous-réseau : il permet d’identifier dans quel réseau (ou sous-réseau) se trouve une machine. Nom netbios (NETwork Basic Input/ Output System) : c’est le nom donné à un ordinateur jusqu’à NT4. Nom netbeui (NETBios Extended User Interface) : c’est le nom d’un ordinateur non routable. Donc c’est un nom de machine qui ne peut être vu que par les stations ou serveurs d’un même réseau. 8 3986 TG PA 00 8 Séquence 1 Vocabulons Nom d’hôte : c’est le nom d’un ordinateur d’après la « norme Internet », appelé aussi RFC. Il est plus long que le nom de machine, vous le verrez très bientôt. DNS (Domain Name system) : il gère un espace de noms de domaines avec division du réseau en régions pour permettre une classification. Si vous surfez sur Internet alors vous avez affaire à la notion de DNS. On peut noter trois entrées concernant le DNS : • le service DNS permet de résoudre des noms d’hôtes en adresses IP et inversement (sur le serveur ce service est un grand annuaire), il permet de donner le chemin que va emprunter une information pour aller à sa destination en utilisant les serveurs qui sont des nœuds de redirection ; • le serveur DNS permet d’indiquer quels seront les contrôleurs de domaines qui peuvent authentifier la connexion sur le réseau ; • les enregistrements de ressource de service SRV enregistrent également le rôle joué par cha- que serveur dans un domaine. Le nom du serveur possédant le rôle auquel voudra accéder le client sera transmis grâce aux enregistrements SRV stockés dans le serveur DNS. DHCP (Dynamic Host Configuration Protocol) : le service distribue des adresses IP dynamiquement aux machines connectées au réseau. WINS (Windows Internet Name Service) : c’est un service qui permet de mapper des noms Windows (netbios) à une adresse IP. SNTP (Simple Network time protocol) : protocole de distribution de l’heure. Il permet la synchro- nisation de toutes les machines du domaine pour une authentification Kerberos. LDAP : (Lightweight Directory Access Protocol) Il permet l’accès à l’annuaire Active Directory pour y rechercher un objet et plus. Vous pouvez faire une chouette activité professionnelle dessus ! Kerberos v5 : c’est un système d’authentification de l’utilisateur (il faut montrer patte blanche) et des services (est-ce vraiment un service authentique ?) demandés sur le réseau. Il se trouve donc sur le contrôleur de domaine. Certificats : l’authentification d’une personne ou d’un ordinateur peut être validée par des certi- ficats. Les certificats peuvent être utilisés pour l’encryptage des données ou la signature. Ipsec : ce protocole crypte le transit IP grâce à des stratégies de sécurité. Il fonctionne avec le protocole IKE qui permet de négocier des sécurités entre les ordinateurs qui souhaitent commu- niquer. IPv6 (Internet Protocol version 6) : c’est le protocole remplaçant IPv4, qui ne permet plus entre autres d’attribuer suffisamment d’adresses sur le réseau. Ce protocole permet d’améliorer la sécu- rité du trafic IP puisqu’il prend en charge Ipsec. L’adresse IP sur 128 bits divisés en tranches de 16 bits. IPv6 n’utilise pas de masque de sous-réseau. Seule la notation à longueur de préfixe est prise en charge. 8 3986 TG PA 00 9 Séquence 1 Vocabulons Exercice 1 Ce petit questionnaire vous permet de vérifier vos connaissances. Suivant le nombre de OUF gagné vous pourrez rebûcher cette séquence ou passer à la suite. Question 1 Le terme ALSI veut dire : a. Automatiquement Lu et Saisi. b. Autant Le Savoir Irréprochablement. c. Architecture Logique des Systèmes d’Information. d. Architecture Logicielle des Systèmes Informatiques. Question 2 Le terme multitâche coopératif veut dire : a. L’utilisateur peut graver un CD et faire des recherches sur Internet. b. Le système permet d’ouvrir deux fichiers Word en même temps. c. Quand le système effectue plusieurs tâches en même temps, il faut qu’elles aient un lien entre elles, puisqu’elles doivent coopérer. d. Il ne peut y avoir de système multitâche sans l’associer au terme de mutithread. Question 3 SNTP est utilisé : a. Lorsque sur un même serveur il y a plusieurs processeurs qui permettent de répondre aux différentes requêtes b. Le système est exécuté sur un seul processeur et les autres processeurs se partagent le reste du travail. c. Système national des travaux public. d. Pour synchroniser toutes les machines du domaine. Question 4 Sur les systèmes d’exploitation 32 bits et 64 bits on peut dire : a. Ils utilisent le même type de partitionnement. b. Windows 2003 Server entreprise fonctionne suivant les deux modes. c. Windows 2003 Server fonctionne avec des partitions MBR et des partitions GPT. d. Il y en a un plus cher que l’autre. Question 5 Pour répondre aux questions suivantes, vous disposez de trois choix : nom netbios, nom d’hôtes ou les deux. a. Lorsque l’on configure Windows 2003 Server on nous demande de saisir un nom… b. Le service Wins permet de mapper un nom… et une adresse IP. c. Le service DNS permet de mapper un nom… et une adresse IP. d. Un nom… est routable. 8 3986 TG PA 00 11 Séquence 2 Les systèmes multi-utilisateurs Cette séquence trace les grandes lignes de l’administration d’un réseau. Elle donne des notions de multi-utilisateurs et du multitâches. Durée indicative 2 heures. Contenu Expliquer les principes de base du fonctionnement d’un Système d’Exploitation multi-utilisateurs et/ou réseau. Notion d’administration centralisée. Expliquer le rôle important d’un administrateur dans le pôle sécurité. Capacités attendues Survol des compétences. C31 Assurer les fonctions de base de l’administration d’un réseau. C32 Assurer les fonctions d’exploitation. Préambule Aujourd’hui chacun ne peut plus rester dans son coin, le travail en équipe est devenu obligatoire. Aussi a-t-il fallu relier les différents postes entre eux, le médium commun étant le réseau, sans oublier les points de connexions, représentés par les cartes réseaux et surtout un langage commun. Pourquoi un réseau ? • Cela permet la communication entre les utilisateurs (installés devant un poste, sinon ils crient dans le couloir). On connaît l’importance de la messagerie, et de l’accès à l’information via le réseau. • Le partage. Ce terme qui vient rapidement à l’esprit ne concerne pas uniquement les don- nées (partage de dossiers et fichiers) et les logiciels, cette fameuse notion de clients légers et serveur lourd. Il y a aussi le partage de ressources matérielles comme les UC et la mémoire du serveur pour gros calculs, l’espace disque d’un poste pour les sauvegardes, la mise en commun des périphériques comme des imprimantes, des traceurs, des lecteurs et graveurs de DVD, l’accès à Internet. • La rapidité. Cette notion découle de la précédente. 8 3986 TG PA 00 12 Séquence 2 Les systèmes multi-utilisateurs • Enfin la simplification des tâches à la fois pour les utilisateurs et pour l’administrateur. L’utilisateur qui bénéficie d’un réseau ne se déplace plus pour rechercher une information et peut paradoxalement changer de poste, c’est-à-dire changer de PC et retrouver tous les outils et l’environnement qui lui est propre. L’administrateur centralise la gestion des utilisateurs et des ressources, il peut intervenir à distance. Les problèmes qui en découlent. Toute nouvelle technique à des défauts. • Intégrités des données. Si l’utilisateur A accède à un document ainsi que B (puisqu’il y a par- tage) et que tous deux désirent en modifier le contenu, quelle sera la mise à jour prise en compte ? • Blocage des ressources. Lorsqu’il y a trop de personnes qui désirent accéder aux ressources en même temps, on aimerait bien que le réseau fonctionne encore. • Limitation d’accès au système. C’est facile de comprendre que les personnes extérieures au réseau de l’entreprise ne doivent pas y avoir accès. Tout le personnel ne doit pas avoir accès aux bulletins de salaire, par exemple. • Stabilité du système. Puisque toutes les machines sont liées, il ne faudrait pas que la panne d’un serveur entraîne le dysfonctionnement du réseau. • Optimisation de l’exécution des tâches. Ce n’est pas parce qu’on partage que l’on doit atten- dre des heures. 1. Les différents contextes multi-utilisateurs Mettre en réseau, oui, mais comment répartir le travail ? Voici trois contextes différents. 1 er cas : un système multi-utilisateurs avec un programme commun Les différents utilisateurs sur leurs terminaux respectifs utilisent tous le même programme installé sur le serveur. Par exemple les systèmes de réservations de places d’avion ou de train. Ce premier cas met en évidence trois points importants qui sont : – l’accès aux données ; – la sécurité des données ; – le partage des données. Plusieurs utilisateurs peuvent compulser les infos sans devoir attendre leur tour (simultanéité apparente). Toutefois, la modification est contrôlée de deux manières : – avoir le droit (n’importe qui ne peut pas regarder les fichiers de la police) ; – pas en même temps qu’un autre. Le système interdit la modification à Y si X la modifie en ce moment. Ce qui permet de ne pas réserver une même place de train pour deux personnes dif- férentes (il y a déjà suffisamment de problèmes avec les personnes qui se trompent de place). Exercice 2 Donnez un autre exemple. 8 3986 TG PA 00 13 Séquence 2 Les systèmes multi-utilisateurs 2 e cas : un système multi-utilisateurs multitâches Les utilisateurs se partagent les mêmes ressources tout en travaillant sur des programmes diffé- rents. Les trois points importants de ce 2 e cas sont : • la protection des données de chaque utilisateur ; • la répartition équitable des ressources (paramétrable) ; • la sécurité des données. Le système d’exploitation a un travail plus lourd et plus complexe que précédemment. Chaque utilisateur a des droits qui lui sont propres lui permettant d’avoir accès à certains fichiers. Mais il a également le droit de laisser des données sur le serveur auxquelles il aura seul ou non accès. Tout utilisateur doit avoir l’impression d’être seul sur le serveur, le système veille à allouer à cha- cun une tranche de temps de l’unité centrale. Exercice 3 Donnez un exemple. 3 e cas : un système multi-utilisateurs multitraitements Les utilisateurs se partagent les différentes unités de traitements, c’est-à-dire plusieurs serveurs ou un seul composé de plusieurs processeurs. Il s’agit par exemple de systèmes informatiques dis- tribués (thème abordé dans le cours sur le client-serveur, séquence 11). Une société partage sa base de données sur deux sites distants, Paris et Marseille. Chacun a une BDDR (Base De Données Relationnelle) sur son serveur qui contient les articles mis en vente par la société, les clients et les commandes de sa région. Les trois points importants ici sont : – la cohérence des données ; – l’intégrité des données partagées ; – la gestion de la répartition des processus. Exemple : le siège d’une société est dans un charmant village à Saint-Prieux. Lors du changement des prix des produits décidé au siège, la répercussion est immédiate sur les sites de vente de Lazcogne et Briancin (cohérence des données). De même quand le site de production de Millau indique une certaine quantité en stock, les sites distants, qui ont leur propre BDDR, ne peuvent pas vendre le même produit à des clients différents (intégrité des données partagées). Avec la multiplication des BDDR, des utilisateurs on remarque que la difficulté s’est accrue, car dans le premier exemple on ne disposait que d’une source de données, ici il y en a quatre différentes, Saint-Prieux, Lazcogne, Briancin et Millau. Il s’agit du principe du réseau que nous appliquerons toute l’année. Exercice 4 Donnez un autre exemple. 8 3986 TG PA 00 14 Séquence 2 Les systèmes multi-utilisateurs Exercice 5 Parmi les propositions suivantes indiquez celles qui impliquent un système multitâches et celles qui impliquent un système multitraitements. a. Un grand club de loisirs met en place une application informatique (utilisée par les agences de voyages connectées) destinée à indiquer le nombre de places disponibles dans les centres de vacances du club. b. Un comptable utilise un micro-ordinateur pour tenir ses dossiers clients en utilisant un logiciel comptable multi-sociétés. c. L’organe central d’une banque propose à ses agences un accès télématique à son système informatique. Les agences pourront ainsi exploiter les différents logiciels de gestion de la banque. 2. Caractéristiques essentielles d’un système d’exploitation multi-utilisateurs 2A. La gestion des utilisateurs Il faut recenser les utilisateurs de notre société pour leur donner la possibilité ou non d’utiliser le réseau. Il faudra dans ce recensement choisir si chaque utilisateur du réseau s’identifie individuel- lement ou à l’aide d’un pseudo, commun à plusieurs, si ces utilisateurs effectuent la même tâche très ponctuellement. Notons que l’identification personnalisée permet une meilleure traçabilité et avec les problèmes de vaches folles... Droits d’accès Chaque utilisateur peut être reconnu spécifiquement par le système avec un nom de compte et un mot de passe, qu’il utilise lors de sa connexion au réseau. Le système crée un numéro unique associé à chaque compte : Guid. Il existe différentes politiques concernant ces noms de comptes. L’administrateur devra suivre une charte en fonction de ses besoins. De même en fonction de l’im- portance des informations du réseau, le mot de passe peut lui aussi être sujet à des stratégies. Afin d’optimiser cette gestion des utilisateurs on utilise des groupes. Le plus facile est toujours de globaliser les problèmes. Ces groupes pourront rassembler des personnes du même service, ou des personnes effectuant les mêmes tâches et ou ayant les mêmes droits sur les ressources. Il y a beaucoup de possibilités, on verra cela en temps voulu. L’accès sécurisé aux programmes et aux données s’effectue par la gestion des noms des utilisateurs ou des groupes. C’est-à-dire que sur chaque objet « partagé » on indiquera qui peut faire quoi et pas l’inverse (sur les utilisateurs on ne peut pas indiquer à quoi ils ont accès). Remarque : si l’administrateur (donc vous) peut décider des droits d’accès de chacun, à leur tour les utilisateurs peuvent en faire de même sur leurs propres objets (may-day, may-day, danger on coule !). Environnement : profil obligatoire ou errant. On peut définir des environnements propres à chaque utilisateur. Quand un utilisateur se connec- te sur un poste, il retrouve son bureau où qu’il aille au sein du réseau. C’est un profil itinérant ou errant. Rassurant non ? 8 3986 TG PA 00 15 Séquence 2 Les systèmes multi-utilisateurs L’utilisateur peut modifier son environnement et retrouver ses dernières mises à jour s’il n’a pas de profil obligatoire. Ces deux possibilités sont offertes à l’administrateur qui jugera en fonction des compétences de l’utilisateur et de son type de travail, ou des ennuis qu’ils lui causent, s’il lui laisse la possibilité de modifier son bureau ou non. Toujours est-il que le profil est un outil pré- cieux pour l’administrateur pour lui permettre de sécuriser l’environnement des utilisateurs par exemple. On les connaît ces utilisateurs qui cliquent n’importe où et effacent tout ce qui bouge. Ils vous effacent des raccourcis comme qui rigole, détruisent le menu Démarrer en un quart de tour. Et qui va recréer le lien ? C’est fini tout ça, avec les profils obligatoires au revoir les problèmes. À la prochaine connexion des utilisateurs leur bureau est comme neuf. Le miracle vous sera expliqué très prochainement. Il faut en garder pour plus tard, ceci n’est qu’une introduction. 2B. La gestion des ressources Le système gère également les ressources que doivent se partager les différents programmes exé- cutés par les utilisateurs. Pour comprendre comment le système peut gérer son temps machine et sa mémoire dans un environnement multi-utilisateurs, il faut se rappeler qu’un programme est composé de plusieurs tâches. Le SE les rend actives ou inactives suivant le principe d’événements ou de temps partagé mis en place sur la machine. La gestion du microprocesseur La gestion des évènements consiste en la reconnaissance des événements, mais surtout au fait que le temps libéré par une tâche lors de l’accès au périphérique peut être utilisé par une autre tâche. Par exemple pendant qu’une tâche a accès à une information sur un fichier, le microprocesseur est libre. Le Time Sharing consiste à partager le temps en fractions égales entre les différentes applications tournant actuellement sur le poste. Chacune de ces tranches est allouée aux programmes au fur et à mesure. Gestion de la mémoire Parallèlement le système d’exploitation gère le chargement des programmes en mémoire cen- trale. Il faut optimiser l’utilisation de la mémoire centrale aussi. Pour ceci trois méthodes peuvent être utilisées : • le partitionnement : il consiste à découper la mémoire en morceaux de tailles fixes ou non ; • la pagination est utilisée dans le cas de gros programmes trop importants pour être intégra- lement chargés en mémoire centrale. Les programmes sont découpés en pages de taille fixe, chargées soit en mémoire centrale soit sur le disque dur utilisé à cet effet comme mémoire virtuelle (swap). Le système d’exploitation gère l’échange entre les deux ; • la segmentation est une méthode perfectionnée de la pagination. Les pages ont une taille non fixe qui dépend du programme. Ces segments peuvent être ou non chargés complète- ment en mémoire centrale. 8 3986 TG PA 00 16 Séquence 2 Les systèmes multi-utilisateurs Partages des périphériques Le partage des autres ressources s’effectue sans temps partagé. Il y a tout d’abord la notion de droit d’accès, puis les priorités et enfin à priorité égale, les premiers demandeurs sont les premiers servis et les autres ne le seront qu’une fois la tâche entièrement exécutée. Exemple de mise en place de droits : le directeur, PDG ou patron d’une entreprise, quelque soit son nom le résultat est le même, ne souffre pas d’attendre que le document qu’il a décidé d’im- primer passe après celui d’un de ses employés. Outre le droit d’accéder à l’imprimante partagée, une priorité plus grande lui a été accordée pour l’impression de ses documents. 2C. La gestion de la sécurité Sécuriser un réseau c’est prévenir et au pire guérir ! Droits Comme indiqué au paragraphe 2A., les utilisateurs et les groupes ont des droits différents : les droits de lecture, écriture, exécution, modification qui peuvent êtres appliqués sur des dossiers ou des fichiers. Pour certains logiciels (SQL serveur) on peut donner d’autres droits en fonction des fonctionnalités du programme, comme ajouter, modifier, exécuter ou créer. Donc suivant la ressource ces ACL (Access Control List) peuvent être différentes. Une personne appartenant à un groupe hérite des droits de ce groupe et les cumule avec les sien- nes propres. C’est toujours le droit le plus fort (dit restrictif) qui l’emporte : le droit d’interdire. Les termes de permission et droit sont deux éléments différents qui seront approfondis dans l’atelier 3. Sauvegardes La sécurisation ce n’est pas seulement empêcher que n’importe qui se promène n’importe où, la sécurisation passe également par la sauvegarde des données et du système ainsi que la dupli- cation des informations primordiales avec un système Raid ou un autre serveur qui va gérer la tolérance aux pannes. Outils d’intégrités Dans un contexte multi-utilisateurs des outils d’intégrités sont mis en place pour gérer les données du système et des BDD. Outils d’optimisation Il s’agit aussi d’optimiser l’exécution de tâches ; plusieurs serveurs de domaines pour ne pas engor- ger le système. 3. L’administrateur Il s’agit en général d’une seule personne qui sera nommée administrateur (elle aussi a un compte avec un nom autre que celui de l’administrateur). Son rôle est tout d’abord d’établir une ligne de conduite pour gérer le système efficacement. L’administrateur pense ! L’installation de SE ou d’outils ne sont pas une fin en soi, il faut déterminer ensuite le paramétrage du système. Comme toujours une analyse de l’existant puis du futur projet est nécessaire. Ne pas négliger les différen- tes possibilités offertes par le SE et ses successeurs. 8 3986 TG PA 00 17 Séquence 2 Les systèmes multi-utilisateurs L’administrateur centralise, contrôle, sécurise, informe, optimise, répare, planifie et délégue. Il doit pour cela analyser les coûts d’installation de maintenance et sécurité afin d’effectuer les bons choix de matériel, logiciels et configurations. Donc il vous faudra maîtriser le cours de GEOSI. Exercice 6 Donnez des exemples pour chacune des actions de l’administrateur. Un ensemble d’outils matériels et logiciels est disponible pour mener à bien les tâches de l’admi- nistrateur. Son outil principal après son cerveau, est son niveau de communication avec les utilisa- teurs. Vous êtes le noyau du système mais vous êtes aussi au service des autres. Exercice 7 Donnez des exemples d’outils. 4. Les serveurs Dans un réseau on trouve différents types d’ordinateurs. Ces ordinateurs peuvent être associés en groupes de travail aujourd’hui ils sont égaux entre eux, personne n’est maître, pas de centralisa- tion des informations ; les droits, les permissions sont donnés sur chacune des machines. À partir d’un certain nombre (assez petit) il est préférable de grouper ces ordinateurs dans un domaine. Sinon c’est rapidement la panique, totalement ingérable. L’administrateur ne peut pas être par- tout à la fois. Un poste sera serveur et centralisera les droits... Plus la société est importante (et par conséquent le nombre d’ordinateurs et les sites) plus il est recommandé de créer plusieurs domaines qui s’interconnectent pour former ce que Windows appelle une forêt. Ce terme sera longuement expliqué dans la séquence suivante. Un domaine est géré par un serveur spécial appelé contrôleur de domaine : il contient la liste des comptes utilisateurs, des postes du réseau et les rôles des serveurs. Il gère l’authentification. Il existe d’autres serveurs que l’on dit membres du domaine car ils ne gèrent pas les accès aux réseaux mais ils partagent des ressources : • les serveurs de fichiers ; • les serveurs d’application ; • les serveurs d’impression ; • les serveurs Web... Il n’est écrit nulle part que les différents postes du réseau, clients et serveurs doivent fonctionner sous le même système d’exploitation. Les premières phrases d’introduction parlent d’un langage commun, pas d’un système d’exploitation commun, apprenez à lire ! Oui, mais pourquoi parler de langage commun ? Et les protocoles vous les avez oubliés ? Ces règles qui permettent de faire communiquer des machines à travers les différentes couches du modèle OSI. Il est à noter que plus le réseau est important plus il est judicieux de partager les tâches sur diffé- rents serveurs. La notion d’accessibilité/rapidité, cela vous rappelle quelque chose ? Remarque : pour un souci de sécurité évidente on évitera au maximum de créer un serveur Web sur un contrôleur de domaine. 8 3986 TG PA 00 18 Séquence 2 Les systèmes multi-utilisateurs Exercice 8 Puisque c’est si évident, expliquez pourquoi un serveur Web ne doit pas être contrôleur de domaine. 5. Le modèle à domaine unique Le modèle à domaine unique est le plus simple de tous à comprendre et surtout à gérer (par rap- port à une forêt ou avec des domaines enfants, attendez la prochaine séquence !). Il est choisi en fonction du nombre d’utilisateurs, de leur travail (l’administration d’un lycée ne se trouve pas sur le même domaine que les élèves) et des contraintes de distance (postes clients dans un périmètre restreint, sinon on parlera de site). Donc en général dans une PME ou PMI, chez un artisan on met en place un réseau comportant un seul domaine. De toutes les manières avant de penser à créer des forêts, on commence par créer un domaine. Donc autant maîtriser la première brique avant de se lancer à construire un immeuble. On vient de voir dans le paragraphe précèdent, qu’un domaine était régi par un contrôleur de domaine, mais aussi que pour éviter l’engorgement et pour gérer la tolérance aux pannes, il était conseillé de configurer plusieurs serveurs. Le nombre de contrôleurs de domaine dépend donc du nombre d’utilisateurs, du matériel installé et de l’importance du réseau pour le bon fonctionne- ment de l’entreprise. Les avantages d’un tel modèle sont : • gestion centralisée des comptes utilisateurs ; • c’est le plus simple à gérer (pas de relation d’approbation, pas d’autres groupes que les locaux et globaux). Par opposition, les inconvénients sont : • moins de modularité : pas de regroupement des utilisateurs en services bien distincts et donc de délégation par service ; • pas de regroupement des ressources. Dès que le domaine comporte plusieurs serveurs il y a une augmentation du temps de parcours de l’information ; • difficile évolution : s’il y a trop d’utilisateurs ou de groupes il faut changer de modèle. La notion de domaine sera approfondie dans la séquence suivante, ce chapitre est suffisamment long comme ça ! À ce niveau il serait temps de commencer à travailler sur un réseau. La théorie c’est bien beau surtout quand on peut la mettre en pratique. À travers le premier atelier on verra les avantages et inconvénients des réseaux poste à poste. Le deuxième atelier montre un réseau de type 3. Il met en évidence la notion de droit d’accès centralisé, la politique qui en découle et la notion de langage commun. Alors sus aux machines ! 8 3986 TG PA 00 19 Séquence 2 Les systèmes multi-utilisateurs Résumé Administrer un réseau c’est se simplifier le travail et se rajouter des problèmes plus complexes. En fonction du contexte on devra gérer au mieux les utilisateurs et les ressources du réseau. Il faudra effectuer des choix tant à l’architecture du réseau (domaine), que son organisation (serveur, partage des ressources, gestions des utilisateurs) et de sa sécurité. 8 3986 TG PA 00 21 Atelier 1 Mise en domaine Dans cet atelier nous allons créer un domaine. Durée indicative 6 heures, il y a deux bonnes heures d’installation. Contenu Formatage et partitionnement, NTFS. Installation du poste serveur sous Windows 2003 Server. Configuration du réseau. Partage de ressources logicielles et matérielles. Capacité attendue C22 Installer et configurer un réseau. C31 Assurer les fonctions de base de l’administration d’un réseau. Matériel nécessaire Deux PC Un CD avec partition magique Le CD de Windows XP Pro qui est bootable Un Hub ou un Switch Deux cartes réseaux et leur driver Deux câbles réseaux Un tournevis. Préambule Vous frémissez de plaisir à l’idée de laisser courir vos doigts sur le clavier, de cliquer à tout va, ne le niez pas ! Si jusqu’à présent quand vous passiez sur machine, c’était un régal, vous risquez aujourd’hui la douche froide. En première année, votre PC fonctionnait. En deuxième année ce ne sera pas automatique. Nous allons tellement triturer la machine qu’elle risque de ne pas bien s’en remettre. Nous allons commencer par formater deux PC. Aussi je vous recommande de réfléchir à votre future organisation pour faire vos devoirs en AMSI, DAIGL, et GEOSI. Soit vous avez un troisième PC, soit il faudra attendre la fin de l’atelier 1 où vous retrouverez un PC sous Windows XP Pro avec Office ou l’équivalent que vous aurez réinstallé. Dans tous les cas, ne vous contentez pas de lire cet atelier et de dire, je sais faire, j’ai compris. Mettez les mains dans le cambouis ! 1. Formatage 1A. Préambule au formatage C’est une action que connaissent bien les bidouilleurs en informatique qui pour un oui ou pour un non formatent à tout va. Sacher que formater est l’action que l’on effectue en extrême limite, 8 3986 TG PA 00 22 Atelier 1 Mise en domaine quand on a passé des heures sur la machine et que l’on n’a pas réussi à la dépanner. Il faut bien vous dire que formater une machine correspond à un échec. Vous serez un vrai informaticien, pas un bidouilleur, vous. Vous n’userez du formatage qu’en extrême limite. Si l’information a été gravée dans votre esprit, nous allons pourvoir formater les PC. Et non je ne suis pas en contradiction avec le paragraphe précèdent, puisque nous allons commencer notre premier atelier ensemble. C’est bien d’avoir l’esprit vif ! Vous êtes bien en face de votre PC ? Il contient bien une carte réseau ? Vous pourriez introduire votre CD de partition magique et suivre les indications pour créer deux partitions, une pour le système d’exploitation et l’autre pour les données. Votre premier poste sera votre poste client et ne sera pas reformaté au cours des différents ate- liers que nous suivrons ensemble. Vous créez une plateforme de test. N’allez pas reproduire ceci en entreprise ! Vous hésitez à formater selon les indications ? Je sais bien que vous pouvez repartitionner votre disque afin de garder votre travail. Mais je vous dis non, non et NON ! Il faut formater votre PC, reprendre sa configuration de zéro. Si vous avez une machine sous Linux, sachez que les systèmes Windows doivent être installés avant le système Linux. Windows modifiera le MBR, on ne pourra jamais choisir le multiboot, sauf si vous maîtrisez Linux, auquel cas je vous laisse faire. Si vous ne me croyez pas vous pouvez toujours vous amuser à perdre du temps ! Dernière chose et on passe sur machine, il existe la possibilité d’utiliser un utilitaire de type VM Ware qui vous créée une machine virtuelle sur votre PC, c’est pratique, moins cher, mais c’est plus difficile de s’y retrouver. 1B. Formatage (enfin !) Vous n’avez pas d’utilitaire de partitionnement, alors vous pouvez reprendre le livre d’AMSI « cours commun aux deux options » faire un CD de boot avec l’atelier 2 et formater et partition- ner le disque avec la commande fdisk de l’atelier 3. Formater c’est initialiser le système de fichiers. Nous aurons deux systèmes, il faudra deux forma- tages de deux partitions. Il nous faut créer des partitions principales car elles sont dites « amorçables », c’est-à-dire que l’on peut démarrer dessus. Mais je ne vous apprends rien de nouveau, vous le saviez déjà ! Windows XP Pro sera installé sur du NTFS et Linux sur EXT2FS. Comme il y a eu assez de blabla dans cet atelier, nous ferons un rapide rappel sur le formatage, le partitionnement et les différents systèmes NTFS… plus loin. Vous pouvez utiliser maintenant votre CD de partition magique pour créer les partitions et les formater. Je n’irai pas jusqu’à vous proposer des photos du logiciel, vous y êtes bien arrivé tout seul en première année! 8 3986 TG PA 00 23 Atelier 1 Mise en domaine C’est fait ? Rien de fabuleux ! Oh ! Et croyez vous qu’avec Fdisq on peut créer ou effacer une partition Linux, que neni ! Fdisk est une commande DOS et ne voit et ne comprend que des systèmes de fichiers DOS. 2. Les différents Systèmes Windows 2003 Server est un système qui doit être installé sur une partition NTFS. Parce que c’est mieux nous dit la première séquence, mais en quoi ? C’est ce que vous découvrirez en achetant notre complément à 650 000 E. Vous avez remarqué vous aussi que quand cela devient plus inté- ressant, quand on sort des généralités, le prix augmente ? Moi, je vous dirai tout. 2A. Le formatage Il s’effectue à deux niveaux, celui effectué par le fabriquant et quelquefois vous, si vous disposez du bon utilitaire (un bon administrateur réseau a de bons outils) et l’autre que vous avez tendance à trop utiliser (mais cela va changer, vous savez que ce n’est pas une bonne solution). • Le formatage de bas niveau découpe le disque dur en pistes en secteurs et en cylindres. Mais peut-être serait-il bon de rappeler qu’un disque dur est un ensemble de plateaux (pas de TV) qui retiennent les informations (appelées des bits) grâce à la couche d’oxyde magnétique dont ils ont été enduits. On peut écrire sur les deux faces d’un plateau sur des pistes concentriques. Ces pistes sont découpées en secteurs. Si au lieu de découper, on regroupe, on utilise le terme de cylin- dre pour nommer l’ensemble des pistes n°1 de tous les plateaux par exemple. Quand on formate physiquement un disque c’est que l’on pola- rise le disque pour le découper en piste, secteurs et cylindres. Polariser c’est du réel, du concret, c’est comment dire... physi- que ! • Le formatage de haut niveau dépend directement du système d’exploitation, c’est donc logi- que de dire qu’il s’agit d’un formatage logique car effectué logiquement. Il crée un système de fichiers lui permettant de stocker des fichiers (les données sont regroupées en fichiers, c’est plus commode pour y accéder). • Le MBR : le Master Boot Record est le secteur le plus important du disque, il contient des infos comme le nombre d’octets par secteur, le nombre de secteurs... il permet la reconnaissance du disque dur. En plus il contient la table de partition principale et le boot loader qui permet de démarrer le système qui se trouve dans la partition choisie. Si vous le chercher, on le trouve sur le secteur 1 de la piste 0. 2B. Systèmes FAT32 et NTFS Le système FAT pour File Allocation Table est basé sur le principe d’une table qui contient les numéros des blocs utilisés. Il localise ainsi les fichiers dans les blocs. Le terme de cluster est préféré au terme de bloc. Un cluster a une taille fixe de secteurs. 8 3986 TG PA 00 24 Atelier 1 Mise en domaine Une particularité plus apparente pour vous est le principe de répertoire racine et de sous-dossiers. Dans ces dossiers on trouvera nos fichiers. Tout cela vous le saviez bien sûr. Le système NTFS pour New Technologie File System est basé sur le principe d’une table de fichier maître. Cela ressemble beaucoup au précédent. On peut gérer des noms longs et respecter la casse et surtout rajouter des attributs, gérer les quotas. On stocke les données et non plus une liste de clusters. Comme il est contraignant de ne pouvoir avoir qu’un seul système d’exploitation ! Comme il serait plaisant de séparer l’espace de mon disque dur en différents morceaux afin qu’il ne puisse y avoir aucune interférence entre les données, ou comme si j’avais une multitude de disques durs pour le prix d’un. 2C. Le partitionnement On sait pourquoi partitionner, voyons comment. Vous l’avez lu quelque part, il existe au maximum quatre partitions principales pour les systèmes X86. Les partitions principales sont bootables, donc c’est sur elles que l’on pourra installer des systèmes. Afin de simuler d’autres partitions principales ou plus de partitions, on peut n’avoir que trois partitions principales et une étendue qui contiendra des lecteurs logiques. Chacun aura un nom de volume. Quand on partitionne on indique les tailles des partitions, leurs types, le système Fat, NTFS, EXT ... Quand on partitionne et formate un disque avec Windows 2003 Server, on peut créer des disques de base et des disques dynamiques. Le deuxième permet la tolérance de panne grâce au mirroring et au RAID 5 et l’agrégation de plusieurs volumes (coller des morceaux de volumes différents). 3. Création du poste serveur 3A. Création des partitions Le CD de 2003 Server, comme XP Pro intègre un outil permettant de partitionner et formater le disque dur, autant s’en servir. Modifiez le bios de votre serveur, l’ancien poste Chameau, afin de démarrer sur le CD. Démarrez à partir du CD et créez une partition de la moitié de votre disque, laissez le reste libre, pour Linux. Formatez en NTFS. Pour ceci sur la première fenêtre tapez sur la touche ENTRÉE pour installer 2003 Server. Appuyer sur C dans la deuxième fenêtre pour créer deux partitions. Puis une fois les deux partitions créées, tapez sur la touche ENTRÉE pour installer 2003 Server sur la partition sélectionnée. Ne vous trompez pas, choisissez la première ! Quand il aura fini de formater et de copier les fichiers, il redémarrera, ne bootez plus sur le CD, vous recommenceriez la même opération. 3B. Installation du système Notre voyage nous amène en Inde, un rêve d’enfant se réalise, restons dans les bras d’un gros nounours : le serveur sera Balou2003, notre client pourra être nommé Moogli. 8 3986 TG PA 00 25 Atelier 1 Mise en domaine Vous voulez rester sérieux ? Alors nommez votre domaine dom51.loc, cela manque de charme, non ? Mais les machines sont identifiées en premier lieu par une adresse IP, aussi je vous propose de travailler sur le réseau 192.168.5.0 de garder la première adresse 192.168.5.1 pour le serveur Balou2003, d’utiliser l’adresse 192.168.5.3 pour le client XP Pro(Moogli). Pour l’adresse 192.168.5.2 on verra plus tard. 3C. Configuration du système Lors de l’installation plusieurs validations vous sont proposées, voyons-les ensemble. 1. Vérifier et valider les paramètres régionaux. Si vous êtes un étudiant français choisir tout ce qui concerne la France, vous pouvez cliquer sur les boutons Personnaliser et Détails. 2. Vous rentrerez ensuite votre nom et votre organisation sur la personnalisation de votre poste. Si vos CD proviennent de votre entreprise entrez le nom de votre entreprise dans la zone orga- nisation, sinon cela vous regarde. 3. Pas de problème pour la clé, mais pour le nombre de licence laissez par défaut par serveur nombre simultané 5. Ceci n’est qu’une plateforme de test. 4. Cela devient sérieux, c’est ici que les ennuis peuvent commencer si vous n’y faites pas attention. Le nom de l’ordi- nateur est Balou2003. Rappelez vous de votre mot de passe. Il doit suivre la stra- tégie des mots de passe fort de Windows 2003 Server. C’est-à-dire une sécurité accrue en utilisant des majuscules, des chiffres ou caractères autres que des let- tres. Le tout donnant un mot qui n’existe pas dans le dictionnaire. 5. Réglez l’heure. 6. À l’étape Paramètres de Gestion du réseau, vous reprenez la main en cliquant sur le bouton Paramètres Personnalisés. C’est ici que l’on va attribuer les adresses IP. Dans la liste des composants, sélectionnez Protocoles Internet TCP/IP. Puis cliquez sur Propriétés. Saisissez votre adresse : 192.168.5.1 puis son masque de sous réseau 255.255.255.0 (c’est une adresse de classe C). Et Validez. 7. La notion de domaine est abordée à cette étape. Vous avez la ferme intention de créer un domaine dans les minutes qui viennent, pour l’instant il n’existe pas, aussi laissez coché l’op- tion : non cet ordinateur ne se trouve pas sur un réseau... 8. Laissez terminer l’installation. Votre poste n’est pas encore un serveur de domaine nous allons le transformer maintenant. 8 3986 TG PA 00 26 Atelier 1 Mise en domaine 3D. Configuration automatique d’Active Directory Au redémarrage de la machine, connectez-vous avec votre compte Administrateur. Si l’écran suivant n’apparaît pas vous pouvez faire le tour de magie qui suit. Choix 1 : développez le menu Démarrer. Développez Tous les programmes, puis dans le menu Outils d’administration choisir l’option Gérer votre Serveur. Enfin cliquez sur Ajouter ou Supprimer un rôle. Cliquez sur suivant. Choisir la configuration person- nalisée, au moins on sait ce qu’on fait ! Dans la liste sélectionner le Contrôleur de domaine (Active Directory). Ou, choix 2 pour les plus cascadeurs, à partir du menu Démarrer et de la fenêtre Exécuter, tapez DCPROMO. Cela revient au même. Maintenant le vrai travail commence ! 1. Sélectionner l’option Contrôleur de domaine pour un nouveau domaine. C’est la première fois que vous créez un domaine. 2. Sélectionnez l’option domaine dans une nouvelle forêt, car les deux deux autres options sont utilisées quand on configure des serveurs dans des domaines comportant déjà un contrôleur de domaine. 3. Votre contrôleur de domaine Active Directory s’appuie sur le serveur DNS, aussi votre serveur sera également serveur DNS, sélectionnez l’option : non, je veux installer et configurer le ser- vice DNS sur cet ordinateur. 4. Cette étape installe donc le serveur DNS. Vous devez saisir le nom DNS complet du domaine D51.loc. Un nom DNS comporte deux parties : un suffixe .loc et un préfixe D51. On utilise loc pour indiquer que notre domaine est sur un réseau local. D51 est un nom comme les autres, si vous souhaitez en changer, il faudra faire la corrélation avec votre nom et le mien. 5. Puis on vous demande de saisir le nom de domaine NetBIOS qui est simplement le préfixe choisit précédemment donc D51. 6. L’étape qui suit concerne les éventuels autres serveurs de votre domaine, qu’ils soient contrô- leurs ou pas. Afin d’observer une bonne interopérabilité on choisit l’une ou l’autre option. Pour vous le problème ne se pose pas, il n’y a qu’un seul serveur, c’est celui-ci, donc vous choisissez la deuxième option : autorisations compatibles uniquement avec les systèmes d’exploitation serveurs Windows 2000 ou Windows 2003. 7. Vous utilisez le même mot de passe pour l’administrateur de restauration des services d’annuai- res que celui de l’administrateur. 8. L’assistant configure le tout et vous demande de redémarrer, ce que vous vous empressez de faire. 8 3986 TG PA 00 27 Atelier 1 Mise en domaine 3E. Configuration automatique du DNS Lors de l’installation d’Active Directory, il vous sera dit ou demandé d’installer le service DNS. Pourquoi ? Lorsqu’un utilisateur se connecte au serveur, il demande à entrer dans un domaine. On peut voir le nom du domaine dans la troisième zone de texte déroulante à la connexion quand on appuie sur trois touches en même temps CTRL ALT SUPPR. Le client doit demander au serveur DNS de traduire ce nom en adresse IP du serveur Contrôleur de domaine. Vous avez ici un exemple des liens étroits entre Active Directory et le serveur DNS. 1. Vous allez modifier les paramètres TCP/IP du serveur en lui rajoutant l’adresse du serveur DNS : 192.168.5.1 Vous ne travaillez que sur un seul serveur qui aura beaucoup de tâches à exécuter, puisqu’il sera contrô- leur de domaine et serveur DNS. C’est pourquoi l’adresse IP du serveur DNS est la même que l’adresse IP du contrôleur de domaine. Vous avez compris que sur votre client dont l’adresse IP est 192.168.5.3, on rajoutera comme adresse du ser- veur DNS préféré 192.168.5.1 2. Au travail. C’est ici encore un rôle que doit assumer le serveur, vous devez réutiliser la console Gérer votre serveur. Pour ceci re-effectuer les opérations suivan- tes. Développez le menu Démarrer. Développez tous les programmes, puis dans le menu Outils D’administration choisir l’option Gérer votre Serveur. Enfin cliquez sur Ajouter ou Supprimer un rôle. 3. Dans la liste des rôles double cliquez sur le serveur DNS. 4. Après avoir inséré le CD d’installation il faut faire des choix. Le premier concerne la création d’une zone de recher- che directe seule. Le deuxième parle de deux types de zone, directe et inversée. Le troisième des indications de racine. Même si votre réseau est de petite taille, deux machines, vous êtes en apprentissage, aussi vous choisirez la deuxième option. Cela nous permettra de faire une traduction d’un nom en adresse IP et d’une adresse IP en un nom. Remarque : seule la partie haute de l’iceberg DNS sera expliquée ici. 8 3986 TG PA 00 28 Atelier 1 Mise en domaine 5. Vous choisissez ensuite de créer une zone de recherche directe maintenant. 6. Cette zone est dite principale, il n’y a pas d’autre serveur DNS sur votre réseau. Sélectionnez le premier choix. 7. Le nom de votre zone correspond à votre nom de domaine, dom51.loc Votre serveur n’appar- tient pas à une forêt, il n’y a pas de choix. 8. Le service DNS n’est pas une base de données statique, il se met à jour automatiquement quand une traduction de nom en adresse IP a été résolue, surtout quand les postes appartiennent au domaine et sont donc des objets d’active directory. Choisissez le premier choix N’autorisez que les mises à jour sécurisées. 9. Il vous faut créer la deuxième zone qui elle est une zone de recherche inversée. Cliquez sur Oui, créer une zone de recherche inversée maintenant. 10. Cette zone est aussi une zone principale pour la même raison que pour la zone de recher- che directe. Cliquez sur le premier choix. 11. Contrairement à 2000 Server on saisit l’adres- se réseau à l’endroit c’est-à-dire : 192.168.5 seuls les trois premiers octets. Si tout va bien le nom de la zone de recher- che inversée sera 5.168.192.in-addr.arpa. 12. N’autorisez pas les mises à jour dynamiques. 13. Si vous souhaitez sortir sur Internet il faudra que le serveur, quand il ne sait pas résoudre un nom en adresse IP, ce qui est le cas pour google.fr par exemple, aille demander à un autre serveur DNS. En cliquant sur non vous laissez aux sept serveurs racines du Web, la possibilité de résoudre la requête. Puis Validez le tout. 4. Création d’une console MMC Vous venez d’installer seulement Windows 2003 Server et il y a déjà beaucoup de « programmes ». Nous allons créer une trousse à outils com- prenant seulement le nécessaire. Une Microsoft Management Consol placée sur le bureau, à portée de main, contiendra notre matériel nous permettant de gérer les composants matériels, logiciels et réseaux de notre système. 8 3986 TG PA 00 29 Atelier 1 Mise en domaine Pour créer une console, exécutez la commande MMC. Dans la nouvelle fenêtre ainsi obtenue, vous rajouterez les composants enfichables voulus à partir du menu Fichier. Cliquez sur le bouton Ajouter en bas de page et dans la liste vous choisirez les différents éléments de l’image écran à gauche. La liste sera complétée au besoin au cours des séquences et ateliers que nous ferons ensemble. Les composants sont des liens directs sur les services, péri- phériques installés sur la machine et publiés dans Active Directory. Vous ne pouvez pas rajouter le composant de SQL Server tant que vous n’aurez pas installé ce logiciel. Si vous regardez dans le fichier Options vous verrez quel est le mode d’accès, donc la sécurité associée à cette console. Par défaut il s’agit du mode auteur. Cela veut dire que lorsque vous vous connecterez avec un autre utilisateur qu’Administrateur sur le serveur, ce qui va être le cas, très rapidement, vous ne verrez pas cette console. Ouf n’importe qui ne peut pas faire n’importe quoi avec ma console ! Au fait quelle sécurité existe-t-il pour empêcher l’utilisateur Lambda, très malfaisant d’accéder à mon système ? Il existe des stratégies pour empêcher les utilisateurs d’accéder à des données sensibles, la pre- mière étant que seuls les membres du groupe Administrateurs peuvent se connecter au serveur. Cela va mieux, mais comme on peut créer des consoles MMC sur XP Pro, ne serait-ce pas le moyen pour l’utilisateur Lambda, toujours aussi malfaisant, mais aussi malin, d’accéder au ser- veur et via le composant Utilisateur et ordinateurs Active Directory de se rajouter dans le groupe Administrateur ? Non, les stratégies sont bien faites ! Vous ne me croyez pas alors vous ferez cet exercice quand vous aurez configuré vos clients conve- nablement. Exercice 1 Avec l’utilisateur Lambda, sous Windows XP Pro, lancez la commande MMC et rajoutez le com- posant enfichable « service sur le poste serveur ». Puis essayez de lancer ce composant dans la console MMC de l’utilisateur Lambda. 8 3986 TG PA 00 30 Atelier 1 Mise en domaine 5. Mise en domaine du client sous XP Pro Avant, installez XP Pro sur la pre- mière partition de Moogli. Il va fal- loir modifier les adresses IP (si cela n’a pas été déjà fait), le renommer et le faire appartenir au domaine. • Cliquez droit sur le bureau et dans le deuxième onglet Bureau, cliquez sur le bouton Personnalisation du bureau, rajoutez l’icône favoris réseau. • Cliquez droit sur l’icône Favoris réseau, puis Propriétés. • Cliquez droit sur l’icône Connexion au réseau local et Propriétés. • Sélectionnez le protocole TCP/IP (qu’il faut rajouter si besoin) et entrez l’adresse IP 192.168.5.3 et le masque 255.255.255.0 • Rajoutez l’adresse du serveur DNS 192.168.5.1 • Enfin rajoutez l’adresse du serveur WINS 192.168.5.1 en cliquant sur le bouton Avancé puis sur l’onglet WINS. 8 3986 TG PA 00 31 Atelier 1 Mise en domaine On renomme un ordinateur en même temps qu’on le fait appartenir à un domaine. • Cliquez droit sur le Poste de travail sur le bureau, et choisissez Propriétés dans le menu contex- tuel. • Cliquez sur l’onglet Identification réseau. On y est ! • Le plus rapide est de choisir le bouton Propriétés et de se passer de l’assistant. • Renommez l’ordinateur en Moogli. • Cochez le bouton d’option Domaine dans le groupe Membre de et entrez le nom du domaine dom51.loc. • On vous demande qui est autorisé à effectuer ce changement et c’est l’administrateur du domaine dom51, ne vous trompez pas de mot de passe ! Devinez, il demande à redémarrer !!! On peut utiliser le bouton ID réseau pour faire la même chose, c’est plus long mais il y a plus d’explications sur la manipulation. Si cela ne marche pas, il faut vérifier vos adresses IP, votre masque, vos câbles et bien sûr je n’ose le dire que votre serveur 2003 soit allumé et l’administrateur connecté ! Une main qui se lève ? J’écoute : – « À quoi ça sert de rentrer l’adresse du serveur DNS et du serveur WINS ? » – Le client quand il se connecte sur un réseau doit connaître l’adresse du serveur qui pourra lui effectuer la résolution de nom et c’est sur la carte réseau que ces informations sont stockées. Les séquences 6 et 9 sont plus explicites sur ces deux termes. 8 3986 TG PA 00 32 Atelier 1 Mise en domaine 6. Augmentation du niveau de fonctionnalité du serveur Dans un réseau important, tous les serveurs ne peuvent pas être changés en même temps, aussi plusieurs versions de Microsoft Server cohabitent-elles. Pour garder la compatibilité entre un serveur fonctionnant sous 2003 Server et NT Server certaines fonctionnalités de 2003 Server sont inhibées et certaines fonctionnalités de NT Server sont émulées sous 2003 Server. Dans ce cas 2003 Server doit fonctionner en mode mixte. Quand on fait cohabiter du 2000 Server avec du 2003 Server on fonctionne en mode natif. Enfin quand tous les serveurs sont sous 2003 Server, ce qui est notre cas, on fonctionne en mode 2003 Server (Microsoft n’a pas trouvé mieux comme nom !). Par défaut votre serveur est installé en mode mixte même s’il vous demande si vous travaillez avec d’autres versions et que vous répondez non. Il va donc falloir augmenter le niveau de fonctionna- lité du domaine pour profiter de la pleine puissance de 2003 Server. Cette opération peut s’effectuer de deux endroits différents : de la console Domaine et approba- tions Active Directory comme de la console Utilisateurs et Ordinateurs Active Directory. • Lancez votre console MMC enre- gistrée sur le bureau. • Ouvrez Domaines et approba- tions Active Directory (ou l’autre) pour faire apparaître votre domaine. • Cliquez droit sur le domaine et choisissez Augmenter le niveau de fonctionnel du domaine. • Dans la zone Sélectionner un niveau fonctionnel du domaine disponible vous allez Augmenter deux fois de niveau jusqu’à atteindre le niveau Windows Server 2003. Remarque : cette opération est irrémédiable, il n’y a aucun retour en arrière possible si ce n’est de réinstaller votre serveur ! 8 3986 TG PA 00 33 Séquence 3 Introduction à Active Directory Cette séquence présente un système d’exploitation de type réseau 2003 Server. Durée indicative 2 heures. Contenu Présentation des éléments caractéristiques à ce système. Présentation du rôle d’Active Directory et sa structure d’organisation. Présentation du DNS. Gestion d’objets particuliers : les utilisateurs, les groupes. Capacités attendues C31 Assurer les fonctions de base de l’administration d’un réseau. C32 Assurer les fonctions d’exploitation. Préambule Un système d’exploitation réseau permet de gérer plusieurs utilisateurs, plusieurs ordinateurs (de types différents), et de partager des ressources. Le mot gérer englobe de nombreux verbes comme protéger, partager, organiser, sauvegarder... Afin d’implémenter et administrer un réseau Windows 2003, il faut comprendre la philosophie du système. Windows 2003 Server considère de la même manière du matériel, des utilisateurs et des ressources. Tous dans le même panier, torchons et serviettes. Un seul outil contrôle le tout : Active Directory. 1. Active Directory Seuls les serveurs contrôleurs de domaine disposent de la magie d’Active Directory. Active Directory centralise la gestion du réseau (tout peut être géré d’un seul poste) mais peut également déléguer des autorisations spéciales à d’autres utilisateurs. L’outil Active Directory est appelé un service d’annuaire : c’est un service réseau qui stocke des informations sur les ressources réseau, caractérisées par un symbole, et les rend accessibles aux utilisateurs et aux applications. Les ressources peuvent êtres : des serveurs, des éléments palpables comme des utilisateurs, ou des éléments symboliques (pour un exemple il faut lire la suite). C’est à travers les opérations : nommer, décrire, localiser, gérer, et sécuriser qu’il permet cet accès aux informations sur les ressources réseau. 8 3986 TG PA 00 34 Séquence 3 Introduction à Active Directory 1A. Structure logique d’organisation d’Active Directory Les objets Toutes les informations (utilisateurs, machines, serveurs, domaines...) sont considérées comme des objets. Chaque objet possède des attributs dont une valeur les caractérise. Exemple : l’objet utilisateur Durdedur Tif du service investigation, a pour valeur Durdedur dans son attribut Nom. Les différents types d’objets sont regroupés dans des classes. Chaque classe définit les objets avec la liste des attributs qui les caractérise. Les classes d’objets sont : ordinateurs, utilisateurs, imprimantes... Les principaux attributs d’un objet de type utilisateur sont : nom, nom de session, nom complet, mot de passe... Les attributs d’un objet de type imprimante sont : nom, emplacement... Exemple : la personne Tif qui se connecte au réseau est un objet de type utilisateur (sa classe) dont les valeurs des quatre principaux attributs cités ci-dessus sont : Durdedur,
[email protected], Durdedur.investigation.trouvetout, XX20 Comme la liste des classes est stockée dans une base de données on peut en avoir la liste dynami- quement. Ce schéma de classes peut être enrichi par des personnes habilitées. Ces listes sont dites DACL (Discretionary Access Control List). Le rangement Après le type d’objet voyons le rangement de ces objets dans Active Directory. Cela ressemble beaucoup à un chemin de fichier. Par exemple le fichier bilan2005-1.xls se trouve sur le disque dur C dans le dossier compta puis dans le sous dossier prem_trimestre. Avec l’explorateur on suivra le chemin suivant : C:\compta\prem_trimestre\bilan2005-1.xls Les chemins d’accès aux objets suivent le protocole LDAP (Lightweight Directory Access Protocol). Exemple : CN=Durdedur,OU=investigation,OU=trouvetout,DC= dom51,DC=loc CN est la clé qui précède le nom des objets utilisateurs, ordinateurs... OU est la clé qui précède l’unité d’organisation. DC est la clé qui précède le nom DNS (Domain Name System) du domaine. Ainsi chaque objet est caractérisé par un nom unique (chemin d’accès) et un nom unique relatif qui est généralement la première partie du nom unique. Il sert à identifier l’objet dans son conte- neur lors d’une recherche. L’ordinateur crée également un numéro unique : le GUID (Globaly Unique Identifier) À travers ce chemin on voit une hiérarchie organisationnelle. 8 3986 TG PA 00 35 Séquence 3 Introduction à Active Directory Le domaine, l’unité d’organisation, l’objet. • Un domaine est un ensemble d’ordinateurs de tous poils regroupés autour d’un réseau. Un domaine est géré par au moins un contrôleur de domaine : un serveur sur lequel se trouve la base de données d’annuaire. Un domaine est contrôlé par un administrateur. Un domaine porte un nom unique. Un domaine gère l’accès aux ressources de manière centralisée. Un domaine dispose de ses propres stratégies de sécurité. On préfère installer plusieurs contrôleurs de domaine dans un même domaine pour pallier aux pannes et pour diminuer les temps de connnexions quand le trafic du réseau est important. Dans un domaine sur chacun des contrôleurs d’un même domaine est dupliqué l’annuaire d’Active Directory afin de prendre le relais si le contrôleur principal devenait hors service. Lorsqu’il existe plusieurs contrôleurs de domaine, la mise à jour des modifications s’effectue soit automatiquement, soit à la demande de l’administrateur. • Afin de ranger les différents objets d’un domaine (utilisateurs, ordinateurs et ressources) on uti- lise des unités d’organisation (ou Organisational Unit) qui sont des objets conteneurs. On peut effectuer une hiérarchie par rapport au modèle d’administration du réseau, c’est-à-dire une unité d’organisation pour les utilisateurs, une autre pour les machines... ou suivre une hiérarchie organisationnelle qui suit par exemple l’organisation des salariés au sein de la société. Voyons plus loin et plus grand. On peut regrouper des domaines qui communiquent entre eux dans des forêts. Exemple 1 : pour une société, si elle est importante, il est souvent plus simple de créer plusieurs domaines. Par exemple une SSII spécialisée dans la création de sites Internet travaille en réseau (local et sur Internet). La partie administration de cette société doit partager des informations sur son propre réseau, et il existe un « autre » réseau pour les équipes conceptrices. Chacun de ces réseaux est géré par un contrôleur de domaine différent. Toutes les informations ne doivent pas être partagées entre ces deux réseaux car elles concernent des domaines d’informations diffé- rents. Pourtant il est intéressant de lier les deux, car un chef de projet doit établir des plannings, des devis qu’il doit transmettre à l’administration. C’est plus simple pour lui de se connecter une seule fois à son ordinateur et de « communiquer » avec les deux contrôleurs principaux sans avoir à changer de nom d’utilisateur et de mot de passe suivant le réseau dans lequel il travaille. Les deux domaines sont en relation d’approbation et forment ainsi une forêt. Les utilisateurs des domaines ont la chance d’être authentifiés par l’autre domaine. Tout comme on trouve une hiérarchie organisationnelle dans une société on peut trouver une hiérarchie dans les domaines. Dans une forêt on trouve aussi des arbres (dans certaines on trouve aussi des champignons mais on n’a pas encore trouvé à quoi cela correspondait en informatique). Un arbre dans une forêt est un ensemble de domaines partageant un espace de noms contigus. Un exemple assez simple pour mieux comprendre le terme ? le domaine histoiresdekermess.his- toires.com et fêtesandco.histoires.com (même fin = espace contigüs). Pour des domaines de types pères et enfants on utilise le terme d’arborescence. Un domaine enfant est un domaine qui garde le nom de son père auquel on a rajouté un nom qui le caractérise. 8 3986 TG PA 00 36 Séquence 3 Introduction à Active Directory Admin. Élève.lyc IG.Élève.lyc CPSE.Élève.lyc arborescence Forêt du lycée Exemple 2 : dans un lycée tous les élèves peuvent avoir accès au réseau du lycée. Certains élè- ves n’ont pas de cours d’informatique et accèdent au réseau via le CDI afin généralement de se connecter sur Internet. Ils ont la possibilité de stocker des informations sur un espace personnel sur le disque dur du serveur du CDI. Les élèves en BTS compta et secrétariat ont en plus des cours dans des salles informatiques d’un autre bâtiment le RIZ. Ils travaillent sur des machines dites client léger (les programmes sont sur le serveur). Parce que l’administrateur responsable des serveurs du CDI n’est pas le même que celui responsable des serveurs du RIZ, deux domaines différents ont été créés. Les élèves de BTS IG se connectent aussi sur le réseau mais ont besoin d’outils et d’ordi- nateurs très différents (des PC classiques) et des serveurs très spécialisés, leurs possibilités seront différentes des autres élèves. On voit là trois domaines différents qui s’imbriquent. Élève étant le domaine parent. Tous les élèves du lycée y ont accès. IG et CPSE sont des domaines enfants. Seuls les élèves des BTS en question peuvent s’y connecter. Si on rajoute le personnel administratif qui doit pouvoir travailler dans un endroit réservé, on rajoute un quatrième domaine Admin.lic. On peut dire que Admin.lic et Elève.lyc sont deux arbres de la forêt car ils sont en relation d’appro- bation (les profs doivent pouvoir travailler avec les élèves et saisir les notes dans le réseau admi- nistratif). Voici un schéma récapitulatif. Chaque triangle correspond à un domaine. Exercice 9 Rajoutez sur le schéma les relations d’approbation. Entourez les arbres de la forêt. Exercice 10 Combien y a-t-il d’arbres ? 8 3986 TG PA 00 37 Séquence 3 Introduction à Active Directory Il existe des relations bidirectionnelles (approbation dans les deux sens) et des relations d’ap- probation transitive (de père en fils qui sont généralement aussi bidirectionnelles). Un petit rappel de mathématique : Transitivité : si A approuve B et B approuve C alors A approuve C On remarque que dans une arborescence il y a partage de nom contigu. Le nom du domaine enfant est combiné au nom du domaine parent pour former son DNS. Par contre les arborescences distinctes d’une forêt ne forment pas un espace de nom contigu. Afin de communiquer entre eux ils possèdent un catalogue global commun. Un catalogue global permet de trouver les informations des Active Directory de toute la forêt, il permet d’utiliser des informations d’appartenance à des groupes universels pour ouvrir une session sur le réseau (nom de session). Ce catalogue se trouve sur le serveur de catalogue global qui est en fait le contrôleur du premier domaine créé sur le réseau. On communique avec ce ser- veur via des requêtes. On retrouvera la notion de catalogue global dans la séquence sur les rôles du serveur. 1B. Structure physique Si la structure logique organise les ressources réseaux, la structure physique gère le trafic du réseau. Elle est transparente pour les utilisateurs. Elle est formée de contrôleurs de domaines et de sites. Un contrôleur de domaine est un serveur équipé de Windows 2003 Server qui : • stocke l’annuaire ; • duplique vers d’autres contrôleurs du domaine l’annuaire (automatique) ; • contrôle l’ouverture de session : authentification de l’utilisateur. Un site est une combinaison d’un ou plusieurs sous-réseaux IP connectés par une liaison haut débit. Comme il n’existe aucune corrélation entre le côté physique et logique, un site peut contenir plu- sieurs domaines et un domaine peut être formé de plusieurs sites. Les noms des sites et domaines sont indépendants. Exercice 11 Admi.lic pourrait-il être un site différent ? 2. Le système DNS Windows 2003 utilise le standard DNS pour son espace de nom de domaine. Tout ce qui a été présenté dans la notion de domaine, arbre, forêt... Le serveur DNS permet la résolution de nom d’hôtes en adresse IP. On utilise aussi le terme de mapper. Je rappelle qu’une machine s’identifie sur le réseau grâce à une adresse IP, mais que l’uti- lisateur lambda y accède depuis un autre poste via un nom. C’est le service DNS qui traduit. Il permet aussi de localiser les services réseaux fonctionnant dans le domaine : enregistrements SRV contenant le rôle de chaque serveur. 8 3986 TG PA 00 38 Séquence 3 Introduction à Active Directory Tout premier exemple d’utilisation du service DNS Quand on installe un nouveau poste client, on lui indique l’adresse IP du serveur DNS qu’il devra interroger pour savoir qui est le contrôleur de domaine. Ainsi le client pourra avec l’adresse IP renvoyée authentifier la connexion auprès du contrôleur de domaine. Les deux fonctions peuvent être sur un même serveur comme sur des serveurs différents. Voir atelier d’installation du DNS atelier 6. Cette notion fera l’objet d’une séquence entière à lui tout seul, séquence 7. 3. Configuration et administration des utilisateurs et des groupes 3A. Les utilisateurs Afin de permettre à un utilisateur de se connecter sur le réseau il faut lui ouvrir un compte. Puis on lui octroiera des permissions sur les ressources du réseau. Il existe trois types de comptes utilisateur. Compte d’utilisateur local : il n’autorise l’accès qu’à un seul ordinateur, celui sur lequel il est créé et ne permet pas d’utiliser les ressources réseau, puisque qu’il n’est pas authentifié par le contrôleur de domaine. Compte d’utilisateur de domaine : il autorise l’accès aux ressources du domaine (des droits peuvent le restreindre). Ce sont des comptes créés sur le serveur. Compte d’utilisateur intégré : il permet d’effectuer des taches administratives ou accéder pro- visoirement au réseau. Ce sont des comptes spéciaux créés sur le serveur. Les comptes peuvent être créés individuellement ou en bloc à l’aide d’un fichier texte ou batch (c’est pour bientôt dans la séquence 4 !). Exercice 12 Un compte utilisateur d’utilisateur intégré est-il un objet ou une classe ? Afin que chaque utilisateur soit unique on doit respecter des règles d’unicité de nom de compte. Même si l’ordinateur attribue à chaque utilisateur un GUID qui lui est propre. De plus par souci d’une bonne gestion des utilisateurs on observera des règles de nommage. Exemples de règles de nommage : première lettre du prénom et les cinq premières lettres du nom. Ou première lettre du prénom, première lettre du nom et dernière lettre du nom. Sous Windows 2003 Server il existe un nom principal d’utilisateur et un nom d’ouverture de session d’utilisateur, le deuxième permet la continuité dans un domaine où il existerait des contrôleurs de domaine sous des versions précédant 2000. Encore une fois c’est la différence entre les noms Netbios et les noms DNS ou d’hôte. 8 3986 TG PA 00 39 Séquence 3 Introduction à Active Directory Le nom principal d’utilisateur est créé en ajoutant au nom de l’utilisateur le nom du domaine racine. Tout comme une adresse @mail. Exemple : Tif Durdedur de la société Trouvetout a comme nom principal d’utilisateur : TDurdedur@ dom51.loc Dom51 est le nom du domaine racine et loc indique le domaine par rapport à Internet (exemple loc pour local). Le nom d’ouverture de session est le nom du domaine auquel on ajoute le nom de l’utilisateur. Car on commence toujours par choisir son domaine avant de se connecter. Exemple : dom51. TDurdedur 3B. Les groupes Les groupes permettent de gérer l’accès aux ressources du réseau en regroupant les autorisations. Ils facilitent la gestion des utilisateurs et des droits sur les ressources. Ils nécessitent une véritable attention de l’administrateur. Il existe deux types de groupes : sécurité et distribution. Les groupes de sécurité sont les plus utilisés car ils permettent d’obtenir des droits sur des res- sources. Les groupes de distribution ne permettent pas de recevoir des permissions d’accès aux ressources, ils sont simplement utilisés dans des applications gérant le courrier électronique. On peut choisir de créer des groupes locaux de domaine, globaux ou universels. On choisit son type de groupe et son étendue en fonction du mode de son domaine (mixte ou natif 2000 ou natif 2003). Même, si la séquence est longue, vous n’avez pas pu oublier l’installation de 2003 Server et le pas- sage en contrôleur de domaine ! Dans une des étapes on vous demande s’il y a d’autres serveurs dans le domaine dont la version est inférieure à 2003. Si c’était le cas, il faut travailler avec une méthode différente. Avec des serveurs sous NT on fonctionne en mode mixte. Avec des serveurs sous 2000 on fonctionne en mode natif 2000. Vous devriez fonctionner en mode natif 2003. Caractéristiques générales : • un utilisateur peut être membre de plusieurs groupes ; • les groupes peuvent êtres imbriqués les uns dans les autres sauf en mode mixte ; • les groupes imbriqués héritent des autorisations du groupe dont ils sont membres ; • les groupes peuvent contenir jusqu’à 5 000 membres. Les groupes globaux On utilise un groupe global pour regrouper des personnes effectuant les mêmes tâches et accé- dant aux-mêmes ressources. • Les membres des groupes globaux sont : – tous les comptes utilisateurs d’un même domaine en mode mixte ; – tous les comptes utilisateurs et groupes globaux d’un même domaine en mode natif. • Étendue Le groupe est visible dans son domaine et dans tous les domaines approuvés de la forêt. 8 3986 TG PA 00 40 Séquence 3 Introduction à Active Directory • Peut recevoir une autorisation pour tous les domaines de la forêt. Rappel : on ne les utilise pas pour contrôler l’accès aux ressources du domaine. Les groupes locaux de domaine On les utilise pour affecter des autorisations sur les ressources situées dans le même domaine. • Les membres des groupes locaux sont : – tous les comptes utilisateurs, groupes globaux d’un domaine de la forêt en mode mixte ; – tous les comptes utilisateurs, groupes globaux et universels d’un domaine de la forêt et groupes locaux de domaine d’un même domaine (natif). • Étendue. Le groupe local n’est visible que dans son domaine. • Peut recevoir une autorisation pour son domaine. Les groupes universels Ils n’existent que dans le mode natif. Ils permettent d’imbriquer des groupes globaux afin d’affec- ter des autorisations aux ressources concernées sur plusieurs domaines. • Les membres des groupes universels sont tous les comptes utilisateurs, des groupes globaux et d’autres groupes universels d’un domaine de la forêt. • Étendue. Le groupe universel est visible dans tous les domaines de la forêt. • Peut recevoir une autorisation pour tous les domaines de la forêt. Remarque : sur un domaine unique, il n’y a pas de groupe universel. Exercice 13 Faites un tableau récapitulatif ou un schéma permettant d’indiquer quels sont les membres de ces groupes dans les différents modes. Il existe quelques conseils de gestion pour créer des groupes et donner des permissions. La stratégie A, G, DL, P indique dans quel ordre on doit créer des groupes. On place des comptes utilisateurs (Account) dans des groupes globaux (G). Puis on place des groupes globaux dans des groupes locaux (DL). Enfin on accorde aux groupes locaux des autorisations sur les ressources (Permission). La stratégie A, G, P s’utilise quand on a un seul domaine et peu d’utilisateurs. La stratégie A, DL, P s’utilise quand on a un seul domaine. La stratégie A, G, DL, P s’utilise quand on a plusieurs domaines. La stratégie A, G, U, DL, P s’utilise dans une forêt à plusieurs domaines et beaucoup d’utilisateurs. Pour accorder des autorisations, se placer sur la ressource et dans l’onglet sécurité, ajouter les utilisateurs et groupes ainsi que leurs droits. 8 3986 TG PA 00 41 Séquence 3 Introduction à Active Directory Résumé 2003 Server est organisé autour d’Active Directory qui est une base d’annuaire (ensemble d’enregistrements) contenant la liste des objets à gérer. Objet : élément de base. Ce peut être l’utilisateur TDurdedur comme l’unité d’organisation Investigation. Chaque objet à des attributs avec des valeurs. L’attribut qui permet d’identi- fier un objet est le GUID. Classe : les objets sont regroupés dans des classes : utilisateur, unité d’organisation... Les objets sont rangés selon le protocole LDAP. Quand on associe plusieurs domaines ont peut obtenir des structures qui sont : Forêt : pour faire une forêt on doit avoir au moins deux domaines qui ont une relation d’approbation entre eux. Cette relation d’approbation permet de mettre en commun un cer- tain nombre d’objets dont les utilisateurs, qui seront ainsi reconnus dans les deux domaines. Arbre : si des domaines partagent un espace de noms contigus (même suffixe par exemple) ils forment un arbre. Arborescence : quand deux domaines sont reliés par une relation père-fils on parle d’arbo- rescence. Parmi les éléments d’Active directory on retrouve les utilisateurs qui sont des comptes permettant l’authentification d’une connexion sur le domaine. Ces comptes peuvent être assemblés dans des groupes en fonction de choix de l’administrateur et de la structure de son réseau. Les objets sont nommés par rapport au protocole FQDN. Ils portent un nom complet et uni- que (contenant le nom du domaine). 8 3986 TG PA 00 43 Atelier 2 Les droits et permissions Dans cet atelier nous allons comprendre la différence et l’interférence entre les droits et les permissions des utilisateurs que nous auront créés au préalable. Cela implique une pri- se en main de la console utilisateurs et ordinateurs Active Directory et de l’explorateur. Durée indicative 2 heures de casse-tête. Contenu Création d’utilisateurs en mode console. Création de groupes en mode console. Gestions des droits et des autorisations. Création de dossiers partagés. Gestion des héritages. Capacité attendue C22 Installer et configurer un réseau. C31 Assurer les fonctions de base de l’admi- nistration d’un réseau. Matériel nécessaire Un poste client avec XP Pro et le poste Serveur avec 2003 Server. Rappel Un utilisateur Lambda ne peut pas se connecter sur le serveur, c’est pourquoi il nous faut un poste client pour effectuer nos tests, nous travaillerons sur deux postes à la fois pour tester chacune de nos créations. 1. Information sur le compte utilisateur. Quels sont les comptes utilisateurs prédéfinis ? On découvre les utilisateurs du domaine grâce à notre console Utilisateurs et ordi- nateurs d’Active Directory accessible via notre console MMC sur le bureau. Microsoft a organisé les objets dans des unités d’or- ganisations de base appelées conteneur (vous et moi utilisons ce terme pour les poubelles le plus souvent) (regardez sur la photo à gauche). La dernière unité Users nous intéresse plus particulièrement. Elle contient des têtes seules, les utilisateurs et des têtes doubles (les groupes voir le para- graphe du dessous). Par défaut on remarque le compte utilisateur Administrateur et le compte Invité qui est désactivé par souci de sécurité (croix rouge et non pas le croissant bleu). 8 3986 TG PA 00 44 Atelier 2 Droits et permissions Nous allons créer un utilisateur Tondu Ducheveu ensemble pour se (re)familiariser avec les élé- ments qui le caractérisent. • Sur le conteneur Users, cliquez droit sur Nouveau puis sur Utilisateur. • Renseignez les attributs. Tout est clair ici si ce n’est le nom d’ouverture de session. C’est le nom principal d’utilisateur ou UPN (user principal name) que vous avez découvert dans la séquence 3. Il est bien sûr unique !! Comme Tondu qui est un prénom peu employé qui conviendra bien ici. • Cliquez sur le bouton suivant. Vient ensuite le mot de passe que je vous laisse choisir avec soin en vous rappelant simplement que Windows 2003 Server applique par défaut une stratégie de sécurité qui peut paraître lourde mais à laquelle il vous faudra vous plier ! (voir séquence 4) Là aussi pas besoin d’explication. Si ? Le terme d’expiration ? Il a le même sens que la date d’expiration sur un yaourt ! • Cochez seulement le mot de passe n’expire jamais. • Cliquez sur le bouton Suivant. • Cliquez sur le bouton Terminer. Bien que vous ayez cliqué sur le bouton Terminer, c’est loin d’être fini ! Regardons les autres attributs qui seront pour certains finement explicités dans la séquence 4. • Sur Tondu cliquez droit Propriétés dans le menu contextuel. Je vous laisse découvrir seul les onglets Général, Adresse, Téléphone et Organisation. Intéressons-nous plutôt à l’onglet Compte. Il rappel le nom UPN du compte et rajoute des possibilités concernant : Quand se connecter ? Où se connecter ? D’autres propriétés sur le mot de passe ainsi que la possibilité de lui donner une date de péremp- tion (comme sur les yaourts ! La différence avec un yaourt c’est qu’après la date de péremption le compte n’est pas malade, il est bloqué). Vous êtes un vrai administrateur de réseau et vous avez eu la curiosité de cliquer sur les boutons pour voir ce que cela faisait, si ce n’est pas le cas réparez vite cet oubli ! 8 3986 TG PA 00 45 Atelier 2 Droits et permissions L’onglet Appel entrant permet de configurer le compte pour lui permettre l’accès à distance, c’est- à-dire via Internet. Les onglets Environnement, Sessions, Contrôle à distance, Profil de services Terminal Server ne sont configurés qu’avec le service Terminal Server, on en reparlera avec l’atelier s’y reportant. Enfin l’onglet Membre de va faire une excellente liaison avec le paragraphe suivant. • Cliquez sur le bouton OK. • Testez votre utilisateur sur le poste client. Exercice 2 Créez les comptes utilisateurs Tif et ptiAnnie, puis testez-les. 2. Information sur les groupes. Quels sont les groupes prédéfinis ? Ces comptes-là semblent moins bien rangés puisqu’on les retrouve dans deux conteneurs diffé- rents : Builtin et Users. Ainsi dans Builtin on a les groupes Administrateurs, Invités, Opérateurs de Compte, Utilisateurs... qui sont des groupes de sécurités du domaine local et dans Users le groupe Admins de domaine, Utilisateurs de domaine... qui sont des groupes globaux. On ne va pas en faire ici une liste exhaus- tive, chacun à son utilité. Il peut être intéressant si vous avez lu le cours de se rappeler que les groupes peuvent être inclus les uns dans les autres, donc eux aussi ont un onglet Membre de. Nous allons créer le groupe global Voyageurs qui rassemblera Tif et Tondu. • Sur le container Users, cliquez droit sur nouveau puis sur groupe. • Gardez les attributs de groupe global de sécurité. • Cliquez droit Propriétés sur le groupe Voyageurs, nous allons rajouter Tif et Tondu. • Dans l’onglet Membre rajoutez Tif et Tondu. • Cliquez sur OK. Exercice 3 Créez le groupe local explorateur qui contient le groupe Voyageurs et PtiAnnie. La mise en pratique des groupes globaux et locaux s’effectuera dans la séquence 4. 8 3986 TG PA 00 46 Atelier 2 Droits et permissions 3. Création de ressources partagées Inutile de rappeler que depuis que nous sommes en domai- ne, les dossiers partagés sont sur le serveur où ils sont cen- tralisés, ceci est acquis, je ne ré-expliquerai pas pourquoi ! • À la racine du disque C de votre serveur, créez le dossier Explorateur qui ne sera accessible qu’au groupe du même nom. • Pour le partager utiliser les propriétés puis l’onglet Partage. Le nom du partage est le même que celui du dossier mais vous pouvez lui donner un nouveau nom. Dans la mesure du possible n’utilisez pas de nom comprenant un espace pour les dossiers et les noms de partage quand on travaille en mode commande cela complique tout ! Quand on partage un dossier tous ses sous-dossiers sont accessibles par ce partage, il est important de partager au bon niveau de l’arborescence. 4. Notion de droits et d’autorisation 4A. Affectation des droits et autorisations pour les utilisateurs et les groupes L’illustration du dessus est suffisamment grande pour vous permettre de distinguer qu’il existe pour un dossier partagé un bouton Autorisation et un onglet Sécurité. C’est entre ces deux notions que les difficultés sont les plus grandes, non pas à mettre en place mais ce que cela implique. Quand on clique sur chacun de ces éléments voici ce que l’on obtient. Quelles différences y a-t-il ? Tout d’abord les possibi- lités des groupes et des utilisateurs sont dans un cas au nombre de trois : on peut avoir le contrôle total, la lecture ou l’écriture. Dans l’autre cas sont rajoutés la modification, la lecture et l’exécution, l’affichage du contenu du dossier et des autorisations spéciales. Par défaut les groupes proposés sont différents. 8 3986 TG PA 00 47 Atelier 2 Droits et permissions À ce niveau là il semble qu’une petite mise au point s’impose. Qu’est ce que le contrôle total ? Le contrôle total a ceci de commun avec le pouvoir absolu qu’il est très puissant et donc diaboliquement dangereux. La personne qui l’obtient peut tout faire comme indiqué dans l’image et notam- ment donner des droits à d’autres per- sonnes, mais le danger est plutôt qu’elle peut retirer des droits et notamment aux administrateurs. Dans ce cas, l’adminis- trateur doit se réapproprier le dossier. (cliquez droit Propriétés, onglet Sécurité, bouton Paramètre avancés, onglet Propriétaire) Pour mieux appréhender la différence entre les autorisations sur un dossier partagé et les autori- sations et la sécurité appliquée, rien ne vaut un bon exercice. Exercice 4 Laissez les droits tels quels dans chacun des onglets. Qu’observez-vous pour Tif et pour ptiAnnie, peuvent-ils faire les mêmes choses ? Est-ce normal ? Exercice 5 Si l’on donne la permission de modifier au groupe Tout le monde à l’aide du bouton Autorisations, que se passe-t-il pour les mêmes lascars ? Exercice 6 Supprimez le groupe Utilisateurs et rajoutez le groupe Explorateur dans l’onglet Sécurité et don- nez lui le droit de modification, que se passe-t-il pour les mêmes lascars ? Exercice 7 On enlève le groupe Tout le monde dans les autorisations que l’on remplace par le groupe Explorateur en lecture, que se passe-t-il pour les mêmes lascars ? Exercice 8 On donne le droit de modifier à ce groupe Explorateur à l’aide du bouton Autorisations, que se passe t-il pour les mêmes lascars ? Exercice 9 On donne le droits de lecture au groupe Explorateur dans l’onglet Sécurité, que se passe-t-il pour les mêmes lascars ? Exercice 10 À quoi sert le bouton Autorisations et à quoi sert l’onglet Sécurité ? 8 3986 TG PA 00 48 Atelier 2 Droits et permissions 4B. Gestions de l’héritage Il n’est pas question directement d’argent ici, quoiqu’en y réfléchissant bien, à terme, il parait que travailler en rapporte ! Pour revenir à nos moutons, l’héritage, en informatique, fonctionne de la même manière que chez le notaire, les frais et les impôts en moins. Les descendants (les sous-répertoires) héritent des biens (les droits) de leur parent (pas de cousinage, les fils héritent de ce que possède le père) sans les déshériter (le répertoire père garde ses droits puisqu’il ne meurt pas). Plus précisément, un dossier hérite de la même sécurité que le dossier du niveau supérieur. On peut bloquer cet hérita- ge pour les descendants ou ne pas hériter de la sécurité du parent. Dans l’onglet Sécurité cliquer sur le bouton Paramètres avancés. Pour récapituler, des comptes utilisateurs et des groupes ont des doits et permissions sur le par- tage et son contenu. Ces droits sont visibles sur la ressource et non pas sur le compte utilisateur ou le groupe. On parle d’héritage dans l’autre sens aussi, un utilisateur hérite des droits sur un dossier par le groupe dont il est membre, ainsi que des droits des groupes dont ce dernier est membre. On peut bloquer l’héritage au niveau du parent : dans l’onglet Sécurité, cliquez sur le bouton Paramètres avancés. Cliquez sur le bouton Modifié. Dans la fenêtre Entrée d’autorisations pour... Choisir Modifier le dossier seulement. Exemple : l’utilisateur Tif a un droit de lecture sur le dossier partagé Cadeaux. Tif fait partie du groupe Voyageurs qui a le droit d’écriture sur le dossier partagé Cadeaux. Tif hérite des droits du groupe voyageurs donc il a le droit de lecture et d’écriture sur le dossier partagé Cadeaux. Le refus reste un droit prioritaire sur tous les autres droits, il est comme le zéro pour une multi- plication, il absorbe tout.. Si le groupe explorateurs se voit refuser le droit d’écriture alors, le groupe voyageurs n’a plus le droit d’écriture sur le dossier partagé Cadeaux et donc par héritage successif Tif n’a plus le droit d’écriture. C’est le droit le plus fort qui l’emporte dans l’héritage quand il n’y a pas de refus : le contrôle total. 8 3986 TG PA 00 49 Atelier 2 Droits et permissions Exercice 11 Voici une série d’utilisateurs, de groupes et un dossier partagé, vous indiquerez pour les utilisa- teurs et chacun des groupes leurs droits finaux après héritage. Le compte utilisateur Indigo est membre du groupe Couleurs et le groupe Couleurs appar- tient au groupe Pastels et au groupe Huile. Le compte utilisateur est aussi membre du groupe ArcEnCiel. L’utilisateur Indigo a le droit de lecture et d’exé- cution sur le dossier Cadeaux. Le groupe Pastels a le droit de lecture sur le dos- sier Cadeaux. Le groupe Huile a le droit d’écriture sur le dossier Cadeaux. Le groupe Couleurs a le droit d’écriture sur le dossier Cadeaux. Le groupe ArcenCiel a le contrôle total sur le dos- sier Cadeaux. 5. Fichier Batch Un ordinateur est un outil d’automatisation à qui on donne des ordres et qui obéit strictement. Un fichier Batch contient une suite de commandes comme vous l’avez déjà vu dans le programme de première année. Remplissons donc des fichiers de commandes afin d’automatiser la création de dossiers partagés de lecteurs logiques et d’attribution de droits aux utilisateurs et aux groupes. 5A. Les commandes Voici une liste de commandes, pour plus de détails reportez-vous à l’aide Microsoft de votre ordi- nateur : – créer un répertoire : md c:/nomdurep ; – partager un répertoire : net share nompartage = c:/nomrep ; – créer un lecteur logique sur un répertoire partagé : net use nomlecteur : \\nomordi\nompar- tage ; – attribuer des droits : cacls g utilisateur:droits ; – et pour terminer en beauté, la boucle permettant d’effectuer plusieurs fois ces commandes : for /f %variable in (fichier.txt) do. Remarque : dans un fichier batch on double les signes cabalistiques comme \ et %. 8 3986 TG PA 00 50 Atelier 2 Droits et permissions 5B. Mise en application Cahier des charges : soient nos gentils explorateurs qui veulent mettre en commun leurs souve- nirs de voyages. On créera un répertoire Voyages qui contiendra les répertoires pour le Maroc, la Chine, la Finlande, le Canada et Bora-Bora. On souhaite pouvoir, des postes clients, accéder directement au dossier partagé Voyages. Seuls PtiAnnie et Tif peuvent ajouter des données à ces répertoires et bien sûr les lire. N’oubliez pas de laisser tous les droits au groupe Administrateurs sinon, il faudra pour effectuer des changements qu’il s’approprie le dossier et son contenu. Il est souvent recommandé pour tester les commandes de créer autant de fichiers Batch qu’il y a de commandes différentes, nous n’en ferons rien ici (il y a trop peu à faire). Nous devrons créer trois fichiers : – le fichier pays.txt qui contient la liste des destinations ; – le fichier utilisateurs.txt qui contient la liste des utilisateurs ; – le fameux fichier de commandes beaureve.bat. Exercice 12 Expliquez en détail ce que fait chaque ligne du fichier « Beaureve.bat » et rajoutez les comman- des manquantes pour venir à bout de l’exercice. Remarques : pour rajouter des commandes dans un fichier bat, on le modifie, l’ouvrir veut dire l’exécuter, mais vous le saviez bien sur ! Restez ordonné ! Ne créez pas vos fichiers n’importe où ! Les fichiers textes se situeront avec les fichiers Batch. Utilisateurs.txt ptiAnnie Tif Beaureve.bat md c:/Voyages for %%i in (pays.txt) do md C:\%%i net share Voyages=C:\Voyages cacls Voyages /t /e g Tif:w Pays.txt Maroc Chine Finlande Canada Bora-Bora 8 3986 TG PA 00 51 Séquence 4 Gestion des authentifications Cette séquence présente en détail le contrôle d’accès via la création de comptes et la création de groupes. Durée indicative 3 heures. Il doit être traité en parallèle avec l’atelier 3 qui contient l’énoncé d’un projet. Contenu Les profils utilisateurs. Les répertoires de base. La création d’utilisateurs en CSVDE, en LDIF et en LDAP. Capacités attendues C32 Assurer les fonctions d’exploitation. C34 Surveiller et optimiser le trafic sur le réseau. Être administrateur d’un réseau implique une organisation. Qui pourra se connecter au réseau ? Et pour y faire quoi ? Ces utilisateurs, en fonction des actions qu’ils effectueront, seront regroupés dans des unités d’or- ganisation et des groupes, ce qui simplifiera par cette centralisation, le travail de l’administrateur, mais lui demandera d’être plus organisé, c’est-à-dire plus structuré. Vous pouvez lire le cours et en même temps jeter un œil sur votre console Utilisateurs et Ordinateurs d’active directory. 1. Les unités d’organisation La séquence précédente indique que les objets d’Active Directory seront rangés à notre convenance. Il est plus facile de retrouver un objet dans les tiroirs étiquetés que dans une grande armoire ne contenant aucun réci- pient. Nous garderons cette image à l’esprit afin de ne pas lésiner sur la profondeur du rangement. Un administrateur organisé com- me vous, pensera à utiliser le premier outil de rangement à sa disposition, l’unité d’organisation. 8 3986 TG PA 00 52 Séquence 4 Gestion des authentifications Rappelons qu’une unité d’organisation est un conteneur. Tout comme on évite de modifier la structure d’une base de données une fois que les différents formulaires s’y reportant ont été construis, il est recommandé de ne pas modifier l’agencement des unités d’organisation. De plus cette fameuse unité permettra de mieux contrôler la stratégie du groupe. Car dans une unité d’organisation on peut : • déléguer le contrôle de l’administration en offrant la possibilité de créer, modifier et suppri- mer des objets ; • gérer l’accès à l’unité ; • déléguer le contrôle sur les ressources réseau ; • attribuer des autorisations aux utilisateurs et aux groupes ; • grouper des ressources réseau dont les exigences de sécurité sont identiques ; • contrôler la visibilité des ressources réseaux ; • donner des autorisations à une unité d’organisation sur toutes les ressources réseau parta- gées qu’elle contient. C’est Microsoft qui le dit, cela doit être un peu vrai ! Remarque : seuls les membres du groupe Administrateur du domaine et de l’entreprise peuvent créer des unités. Pour déléguer les droits il faut faire bénéficier des autorisations de lire, lister le contenu et créer tous les objets enfants provenant d’une unité d’organisation parent. Exercice 14 Créez l’unité d’organisation Trouvetout qui vous servira pour l’atelier 3. Un administrateur n’est pas un esthète, il est avant tout pratique, un vase vide n’a que peu d’in- térêt pour lui ! Après avoir créé des unités d’organisation, on va y ajouter des utilisateurs. 2. Création de comptes d’utilisateurs On sait déjà qu’il existe trois types d’utilisateurs, utilisateur local, utilisateur de domaine, uti- lisateur intégré, et que l’on créera surtout des utilisateurs de domaine. Critères : • un compte utilisateur, tout comme un compte ordinateur est appelé une entité de sécurité ; • ces objets très particuliers permettent à un utilisateur ou une machine de s’authentifier dans le domaine. Pour les différencier le contrôleur de domaine leur attribuera un SID (Security Identificateur Unique) ; • lorsque l’on crée un nouvel utilisateur on crée un nom de connexion = nom d’ouverture de session suivi du nom de domaine ; • pour le localiser dans la hiérarchie des unités d’organisation, un des attributs de l’objet utili- sateur contiendra son chemin complet : le DN ; • tous les utilisateurs doivent avoir un mot de passe qui sera de type fort ou faible suivant la sécurité qu’on appliquera à notre réseau. 8 3986 TG PA 00 53 Séquence 4 Gestion des authentifications Un mot de passe est dit fort lorsqu’il suit les impératifs suivants : – il est composé de sept caractères au minimum ; – il ne contient ni le nom de connexion ni son vrai nom, ni le nom de la société ; – il est différent du mot de passe précédent ; – il n’est pas incrémenté de 1 par rapport au mot de passe précédent ; – il contient des majuscules, des minuscules, des chiffres et d’autres caractères du clavier. 2A. Création d’un utilisateur : quelques attributs Pour créer un utilisateur on utilise la console Utilisateurs et Ordinateurs Active Directory. On défi- nira l’ensemble des propriétés indiquées au-dessus. On peut retrouver les aspects liés à la sécurité dans l’onglet compte (mode passe cryptage...) Les points forts d’un objet de ce type sont bien sûr les différentes stratégies sur le mot de passe, les accès mais aussi l’onglet profil. On y trouve des renseignements sur le type de profil mais aussi sur les scripts qui seront lancés à la connexion de l’utilisateur et le répertoire de base. Le répertoire de base est un dossier personnel de l’utilisateur qui peut se trouver soit localement sur le poste qu’utilise l’individu soit sur le réseau. L’avantage évident de le sauvegarder sur le réseau, est de pourvoir centraliser les données des utilisateurs à des fins de sauvegarde et de sécurités mais aussi de permettre aux utilisateurs d’avoir accès à leurs données de n’importe quelle machine d’où ils se connectent. Le chemin indiqué est un chemin logique \\nom de serveur\nom du dossier partagé\ %username%. %username% sera remplacé par la machine par le nom de l’utilisateur lors de la connexion. On remarque également qu’un redirecteur sur le serveur est rajouté dans les favoris réseau du poste client, pour permettre un accès plus rapide au répertoire personnel. Il est important que le dossier sur le serveur contenant l’ensemble des répertoires de base, soit partagé afin de permettre l’accès à l’utilisateur en question et à l’administrateur. Exercice 15 Nous allons créer un compte pour le superintendant de l’équipe d’investigation. Marcel Dupin (descendant du célèbre Arsène Lupin) doit pouvoir enregistrer le résultat de ses recherches sur son répertoire personnel du serveur. Marche à suivre : 1. Vous commencerez par créer le compte pour ce monsieur dans la bonne unité. 2. Puis vous créez si ce n’est déjà fait le dossier RepPerso sur le disque dur C du serveur Balou2003 dans le dossier Trouvetout. C’est dans ce dossier que l’on retrouve tous les autres sous-dossiers de la société. 3. La troisième étape consiste à donner l’accès à l’utilisateur sur la ressource (avec des droits et des permissions). 4. Enfin vous modifierez l’attribut du répertoire personnel de Marcel dans Active Directory. 8 3986 TG PA 00 54 Séquence 4 Gestion des authentifications Profil d’utilisateurs locaux Un profil est un fichier qui enregistre l’environnement de l’utilisateur. Un profil local est enre- gistré localement sur une seule machine à l’ouverture de session et est stocké dans le dossier Documents and Settings. Un profil qu’il soit local ou non est une copie du profil Default User auquel on a rajouté des infor- mations provenant de All Users. Le fichier majeur contenant le profil est ntuser.dat Profils d’utilisateurs errants Afin de faire suivre l’environnement de l’utilisateur où il se connecte, on enregistrera son profil sur le serveur. À la connexion, le serveur téléchargera le profil sur le disque dur du client ou sim- plement les modifications (pour gagner du temps) si un profil de l’utilisateur existe déjà locale- ment. À la fermeture de session le profil enregistré sur le client est copié sur le serveur. En local le profil n’est pas supprimé. Exercice 16 Pour comprendre le principe du profil errant, nous allons mettre en place plusieurs cas de figure. Dessinez un serveur dans une colonne, un poste client 1 dans une deuxième colonne et un poste client 2 dans une troisième colonne. Vous noterez chaque étape dans les bonnes colonnes et vous incrémenterez le numéro du profil à chaque changement. Cas 1 L’utilisateur Martin qui a un profil errant se connecte pour la première fois sur le poste client 1 lundi à 9 h 10. Il rajoute en fond d’écran la photo de sa petite amie du moment : Cécilia. En fin de matinée il rajoute un raccourci vers le dossier de travail de la semaine sur le bureau. À 17 h 30 il se déconnecte du réseau, la journée de travail est terminée. Quel profil est sur le serveur ? Cas 2 Martin se connecte mardi matin à 8 h 50 sur le poste de travail 1. Quel profil a-t-il ? À 10 h à la pause café, il se connecte sur le poste client 2 au deuxième étage pour montrer une astuce à un collègue. Il en profite pour récupérer une nouvelle photo, celle de Martine, qu’il place en fond d’écran. Il se déconnecte et retrouve son poste 1 qu’il n’avait pas déconnecté. À 17 h 30, il se déconnecte du réseau, la journée de travail est terminée. Quel profil est sur le serveur ? Cas 3 Martin se connecte mercredi matin à 9 h 02 sur le poste 2. Quelle photo trouve t-il en fond d’écran ? Il se connecte quelques minutes à 9 h 07 plus tard sur le poste 1. Quelle photo trouve t-il en fond d’écran ? Il rajoute un nouveau raccourci sur le bureau du poste 1 et place la photo de Nathalie en fond d’écran. À 10 h il se déconnecte et retourne travailler sur le poste 2. Quelle est la photo du fond d’écran ? 8 3986 TG PA 00 55 Séquence 4 Gestion des authentifications Il modifie son paramètre d’affichage écran. Une panne d’électricité intervient à 15 h, il doit se reconnecter au réseau à 16 h. Quel est son profil ? Un profil errant ou itinérant se déplace au gré des connexions et des déconnexions de l’utilisa- teur. Pour appliquer un profil à un compte utilisateur retrouvez, dans les propriétés, l’onglet profil, puis, dans la zone de texte chemin du profil entrez : \\nom du serveur\nom du dossier partagé contenant tous les profils\%username%. On peut voir l’ensemble des profils enregistrés sur le poste local et les effacer, les modifier ou les copier dans les propriétés du panneau de configuration, onglet profils des utilisateurs. Profils d’utilisateurs errants obligatoires Pour certains utilisateurs il est recommandé de créer des profils obligatoires afin qu’ils ne puissent le modifier. Il suffit de modifier l’extension du fichier ntuser.dat en ntuser.man. Ainsi l’utilisateur pourra modifier son environnement tant qu’il le voudra sur son poste de travail, à la déconnexion aucune sauvegarde sur le serveur ne sera effectuée. 2B. Création de plusieurs objets à la fois Si l’on veut créer un ensemble d’utilisateurs disposant des mêmes caractéristiques on peut effec- tuer des copies à partir d’un compte modèle. Chaque copie aura un GUID différent mais certains paramètres seront conservés : mot de passe, activation du compte, groupe... Le copier coller de Microsoft classique ! Il est plus pratique quand on doit créer plusieurs utilisateurs d’utiliser le mode commande. Solution 1 On crée un fichier texte assez spécial contenant toutes les informations nécessaires. À l’aide de l’un des deux utilitaires CSVDE (comma separated value directory exchange) ou LDIFDE (ligtwei- ght directory acces protocol data interchange format directory exchange) on « compile » ce fichier afin de créer les utilisateurs dans la base d’annuaire. On remarque que ces deux outils peuvent gérer en bloc d’autres objets d’Active Directory (unités, groupes). Comment nommer ces fichiers textes ? L’extension csv du fichier texte implique que chaque enregistrement soit séparé par une virgule. L’extension ldf implique que chaque enregistrement soit séparé par un saut de ligne. Pour créer de tels fichiers n’importe quelle application de base de données peut être utilisée, ou même Excel, Word ou un quelconque éditeur de texte. Solution 2 Ou directement à l’aide de commandes attaquant Active Directory. La commande dsadd par exemple pour rajouter des objets de type utilisateurs, ordinateurs, groupes et unité d’organisa- tion dans l’annuaire. Dsmod pour modifier ces objets, Dsrm pour supprimer des objets, Dsget pour afficher des attri- buts de ces objets, Dsmove pour déplacer les objets dans l’annuaire. Ceci n’est possible que depuis la version 2003 Server. 8 3986 TG PA 00 56 Séquence 4 Gestion des authentifications Solution 3 Enfin, on peut modifier des attributs des comptes avec les commandes batch : net use, net account... Vous pouvez toujours vous amuser à créer des utilisateurs avec un fichier en CSVDE ou LDIFDE. Ces technologies étaient utiliser autrefois (il y a très longtemps, dans un passé très lointain, avant 2003). Aujourd’hui il existe un autre outil plus pratique et c’est celui-ci que nous mettrons en œuvre dans cette séquence et les ateliers qui y sont liés. 2C. Travailler sur LDAP Voici les commandes que seul Windows 2003 intègre pour créer des objets dans Active Directory. Les méthodes CSVDE et LDIFDE permettent d’êtres compatibles avec d’anciens systèmes. dsadd ou NUUnitéOrganisation [-desc Description] dsadd computer NUOrdinateur [-samid NomSAM] [-desc Description] [-loc Emplacement] [-memberof NUGroupe ...] dsadd user NUUtilisateur [-samid NomSAM] [-upn NPU] [-fn Prénom] [-mi Initiale] [-ln Nom] [-display NomAffiché] [-pwd {Mot_de_passe | *}] [-desc Description] [-memberof Groupe;...] [-hmdir RépertoireBase] [-hmdrv LettreLecteur:] [-profile CheminProfil] [-loscr CheminScript] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires Nombre_de_jours] [-disabled {yes | no}] On remarque que l’étoile permet de ne pas indiquer de mot de passe, dans ce cas, le compte sera automatiquement bloqué à la création. Exemple : Dsadd user ‘’CN=Marcel Dupin,OU=investigation,OU=Trouvetout,DC=dom51,DC=loc ‘’ –samid MaDupin –upn
[email protected] -ln Dupin -fn Marcel Exercice 17 Créez les unités d’organisation de l’atelier 3 Exercice 18 Créez le membre manquant du service avec son répertoire personnel et son profil itinérant Exercice 19 Créez les utilisateurs Zinzin Reporteur et Milou Lechien avec un répertoire personnel dans l’unité d’organisation investigation. Exercice 20 Créez L’unité d’organisation Bandit dans Trouvetout et rajoutez-y l’individu Raspoutine Charles en utilisant des commandes LDAP. 8 3986 TG PA 00 57 Séquence 4 Gestion des authentifications 3. Création de groupe La commande en LDAP est : dsadd group NUGroupe [-secgrp {yes | no}] [-scope {l | g | u}] [-samid NomSAM] [-desc Description] [-memberof Groupe ...] [-members Membre ...] Ici c’est l’attribut scope qui permet de qualifier un groupe de local ou global. Exercice 21 Créez les groupes locaux et globaux de la séquence 3 en LDAP. Exercice 22 Supprimez Bandit et tout ce qui s’y trouve en LDAP. 4. Modifier, Supprimer des objets AD Il existe cinq autres commandes que l’on peut marier à volonté avec les utilisateurs, les unités, les groupes. • dsget—Affiche les propriétés des objets dans l’annuaire. • dsmod—Modifie des attributs spécifiques d’un objet existant dans l’annuaire • dsquery—Recherche des objets dans l’annuaire correspondant à un critère de recherche spécifié. • dsmove—Déplace un objet de son emplacement actuel vers un nouvel emplacement parent.. • dsrm—Supprime un objet, toute la sous-arborescence d’un objet dans l’annuaire ou les deux. Exemple : pour afficher la liste des groupes dont l’utilisateur Marcel Dupin est membre on utilise la commande : dsget user ''CN=Marcel Dupin,OU=investigation,OU=Trouvetout,dc=dom51,dc=loc'' -memberof Pour rajouter L’utilisateur Marcel Dupin et Thomas Tuck dans le groupe local Détectives dsmod group ''CN=Detectives,OU=investigation,DC=dom52,DC=loc'' -addmbr ''CN=Marcel Dupin,OU=in vestigation,OU=Trouvetout,dc=dom51,dc=loc'' ''CN=Thomas Tuck,OU=investigation,OU=Trouveto ut,dc=dom51,dc=loc''. 8 3986 TG PA 00 58 Séquence 4 Gestion des authentifications Résumé La première sécurité dans un domaine consiste à créer des comptes d’utilisateurs pour chacun des utilisateurs. Même si certains utilisateurs effectuent les mêmes tâches, cela permet de mieux contrôler qui a fait quoi en cas de problème. Les comptes utilisateurs sont : – locaux ; – du domaine ; – intégrés. Avant la création de compte, il est important de mettre au point une politique de nommage et de sécurité : mots de passe, profils, répertoire de base... Les comptes peuvent être créés à l’aide de quatre méthodes différentes : – mode console ; – mode CSVDE (création uniquement) ; – mode LDIFDE ; – mode commande Active Directory. Quand une société à un grand nombre d’utilisateurs il est important de les classer dans des unités d’organisation. À travers les activités 1, 2 et 3 on a pu remarquer l’importance des groupes, qui comme tout objet d’Actives Directory peuvent être créés de quatre manières différentes. 8 3986 TG PA 00 59 Atelier 3 Gestion des utilisateurs Dans cet atelier vous travaillerez sur un scénario et effecturerez les exercices de la séquence 4 en parallèle de ceux indiqués ci-dessous. Durée indicative 8 heures, si tout va bien. Cet atelier fait appel à tout votre esprit, soyez à 300 % dans cet ate- lier ! Rien de difficile, c’est long quand on débute, ceci pourra être effectué en 2 heures à la fin de votre formation. Contenu Scénario sur la société Trouvetout. Création de la structure de la société : Unités d’organisation, groupes. Gestion des utilisateurs et des droits en mode console, en scripts. Capacité attendue C32 Assurer les fonctions de base de l’administration d’un réseau. C32 Assurer les fonctions d’exploitation. Maîtriser la gestion des utilisateurs sous Windows 2003 Server. Scénario La société Trouvetout est une SSII d’envergure internationale. Elle comporte plusieurs agences dans diverses villes de différents pays. Toutes ne sont pas reliées entre elles. Chaque pays est indépendant sauf l’Allemagne, l’Angleterre et la France qui sont organisés en trois sites. La belle ville de Montbrilland est le plus gros centre de France, il centralise les recherches et les dossiers. Il existe une agence à Paris, une autre à Lyon, à Marseille et enfin à Bordeaux. Toutes les cinq possèdent leurs propres contrôleurs de domaine et gèrent leurs équipes d’inves- tigateurs. Pour information le domaine de la société est Trouvetout.com précédé du nom du pays et de la ville pour les agences. Vous devez gérer l’administration du contrôleur de domaine situé à Montbrilland. Pour ceci, sachez que l’agence est constituée de quatre services : • service administratif ; • service comptabilité ; • service investigation ; • service informatique. 8 3986 TG PA 00 60 Atelier 3 Gestion des utilisateurs Les autres agences françaises n’en comportent que trois, les trois premiers. À Montbrillard : Le service administratif comporte : – le grand chef : Paul Bigout ; – sa secrétaire : Pauline Hujier ; – le chef du personnel : Jean Duhamel ; – deux autres personnes : Jeannine Guerelle, Julie Kernel. Le service comptabilité comporte : – un expert comptable : Gille de Raille ; – deux comptables : Ginette Puces et Florence Camuraz ; – trois autres personnes : Laurence Truide, Liliane Marche, Michael Junit. Le service investigation comporte : – le chef du service investigation : Hugo Jetrouve ; – le superintendant : Marcel Dupin, un homme de terrain, pas un gratte papier comme Hugo ! – deux secrétaires : Mireille Hujet et Murielle Xentier ; – dix « détectives » : James Luigui, Maurice Luigi, Etienne Vergue, Sabine Trousse, Julie Zaner, Michel Katernuc, Jacques Fliges, Antoine Hermine, Arthur Jules, Sabrina Mangin. Le service Informatique comporte : – le directeur informatique : Kevin Rouletabille ; – trois administrateurs réseaux : Jonathan Hulley, Rémi Triveille et Caroline Mano ; – un développeur : Xavier Kleine. L’agence de Montbillard étant le berceau de la société, le service administratif chapeaute toutes les agences de France et est en partenariat avec les agences des autres pays. Le service comptabi- lité centralise et traite les informations venant des agences de France. Il n’y a pas d’informaticiens dans les différentes agences de France, le contrôle s’effectue par une prise en main à distance de tout le matériel informatique : les serveurs comme les postes indivi- duels (PC, portable, PDA...). Il y plusieurs serveurs à Montbillard : trois contrôleurs de domaines (deux pour Montbelliard et un regroupant les domaines de France et reliant les sites d’Allemagne et d’Angleterre), un ser- veur de messagerie, un serveur d’applications, deux serveurs de fichiers et un serveur de bases de données. Dans l’agence de Montbrillard : aux services administratif, comptabilité et investigation les utilisa- teurs ont leurs propres comptes leur permettant de se connecter au réseau, ils ont tous le même environnement qu’ils ne peuvent personnaliser. Ils ont un répertoire personnel sur le serveur pour sauvegarder leurs données. Chaque service a un répertoire permettant l’échange d’informations entre les différents membres du service. Ce répertoire porte le nom du service et est invisible aux non-membres sauf à Paul Bigout. 8 3986 TG PA 00 61 Atelier 3 Gestion des utilisateurs Un répertoire communication est nécessaire pour que M. Paul Bigout fasse circuler les informa- tions à tous ses employés (il est le seul à pouvoir y ajouter des données, ses employés les consul- tent uniquement). À chaque investigation, un nouveau dossier dont le nom commence par affaire suivi d’un numéro, est créé dans le répertoire Recherche du répertoire investigation du service. Seuls les investiga- teurs concernés par ces recherches y ont accès ainsi que le chef du service investigation et M. Paul Bigout. Les secrétaires utilisent les logiciels de bureautique classiques et étant regroupées dans la même salle se partagent la même imprimante située dans une salle reprographie. Le service comptabilité se partage deux imprimantes. Dans la salle de reprographie en plus de l’imprimante réservée aux secrétaires on trouve une imprimante partagée pour tout le personnel. Paul Bigout, Gilles de Raille, Kevin Rouletabille et Hugo Jetrouve, comme des bons chefs qui se respectent, ont leur propre imprimante. Ils ont chacun un dossier Monttouve suivi du nom de leur service dans lequel ils stockent des informations à destination des autres chefs où ils ont un accès en écriture et les autres un accès en lecture seule. Les détectives sont équipés de portable ou de PDA qu’ils peuvent connecter au réseau de l’exté- rieur. Mais trois PC sont également à leur disposition s’ils veulent profiter des ressources de l’en- treprise (logiciels spécifiques, accès au serveur de base de données). Au service administratif comme au service comptabilité les utilisateurs ne peuvent pas changer de machine. Au service Informatique, les utilisateurs ont un répertoire personnel et un dossier documents, commun à tous, qu’ils peuvent mettre à jour en temps réel. Il contient des indications sur la confi- guration du réseau, les différentes installations du matériel, des problèmes... Exercice 13 (à faire avant l’exercice 14 de la séquence 4) Proposez un schéma de la forêt Trouvetout. Exercice 14 (à faire avant l’exercice 14 de la séquence 4) Proposez un schéma récapitulant les différentes unités d’organisations, les différents groupes, locaux, globaux et universels, les utilisateurs, les permissions, les ressources partagées. Exercice 15 (à faire avant l’exercice 15 de la séquence 4) Créez les différentes ressources partagées. Exercice 16 (à faire entre l’exercice 18 et 19 de la séquence 4) Créez les comptes de Paul Bigout et de James Luigui en fonction des différentes exigences. 8 3986 TG PA 00 62 Atelier 3 Gestion des utilisateurs Exercice 17 (à faire avant l’exercice 19 de la séquence 4) Avec un script en LDAP créez les neuf détectives restants. Exercice 18 (à faire avant l’exercice 19 de la séquence 4) Écrivez le fichier contenant des commandes active directory (LDAP) pour créer l’ensemble des comptes de Montbillard manquants. Exercice 19 (à faire après l’exercice 21 de la séquence 4) Faites en sorte que chacun ait accès aux ressources partagées voulues (membres de groupes attribution des droits et permissions...). Remarque : Jeannine, Julie et les deux secrétaires du service comptable seront gérées avec Terminal serveur. On peut remplacer le répertoire communication par un Intranet. 8 3986 TG PA 00 63 Séquence 5 Actions d’AD sur les partages Cette séquence continue l’apprentissage d’Active Directory et le traitement de ses objets à travers des particularités bien utiles de 2003 Server. Durée indicative 2 heures. Contenu Partage de ressources. Publication de ressources. Sécurité des ressources. Capacités attendues C32 Assurer les fonctions d’exploitation. C34 Surveiller et optimiser le trafic sur le réseau. 1. Partager Lors des ateliers précédents et des séquences précédentes, j’ai bien insisté, me semble t-il, sur le fait que pour rendre accessible à tous, les ressources, il faut les partager. Cette opération indique quels sont les utilisateurs qui peuvent accéder à la ressource et quelles sont ses autorisations sur cette ressource. Une ressource a un nom particulier lors du partage, nous n’avons pas vu l’utilité de ne pas garder le nom de la ressource jusqu’à présent. Toutefois en ce qui concerne les imprimantes on préfère indiquer dans le nom du partage, le type ou la marque mais aussi sa localité plutôt que de garder le nom par défaut. Si les accès ne sont pas autorisés à un utilisateur, il ne voit même pas la ressource. Le partage de dossier s’effectue avec beaucoup de soin. En fonction des autorisations que reçoit l’utilisateur, celui-ci pourra créer des sous-dossiers pour lesquels il aura le contrôle total et notam- ment celui de propager ces droits à qui il désire. 8 3986 TG PA 00 64 Séquence 5 PaActions d’AD sur les partages 2. Publier Définition : c’est créer des objets dans AD contenant une ou plusieurs informations que l’on désire rendre disponibles ou proposer une référence à cette information. Par défaut un certain nombre d’éléments est déjà publié. Les imprimantes branchées au serveur, la liste des comptes... On peut ainsi effectuer une recherche dans la base de données Active Directory sur un attribut de cet objet. Exemple : on recherche tous les comptes utilisateurs dont le nom commence par la lettre T. À partir de la console Favoris réseau, de n’importe quel poste on recherche dans Active Directory un utilisateur dont le champ nom commence par T dans l’onglet Avancé. En général on publie des dossiers partagés, des imprimantes d’un ordinateur n’exécutant pas Windows 2000 puisque ce n’est pas automatique. Remarque : les ressources peuvent se déplacer mais le lien permet de rendre ce déplacement transparent à l’utilisateur. Exemple : si l’imprimante dont le nom de partage est LaserCoulS12 n’est plus connectée au poste 552 mais au poste 658 sera toujours accessible de la même manière par les utilisateurs. 2A. Comment voir ou cacher une imprimante réseau • Lancez la console Utilisateurs et Ordinateurs d’AD de votre boîte à outils MMC. L’imprimante ne peut pas être vue dans ce mode. • Cliquez sur le menu Affichage puis utilisateurs, groupes et ordinateurs en tant que conte- neur. En cliquant sur l’ordinateur sur lequel elle est connectée, on voit l’imprimante. Pour cacher des imprimantes aux autres utilisateurs : • décochez lister dans l’annuaire de l’onglet Partage des Propriétés de l’imprimante ; • configurez le paramètre de stratégie de groupe Publier automatiquement les nouvelles imprimantes dans l’annuaire Active Directory, sous Configuration ordi- nateur puis Modèle d’administration puis Imprimante. 8 3986 TG PA 00 65 Séquence 5 PaActions d’AD sur les partages 2B. Publier un dossier partagé • Dans console Utilisateurs et Ordinateurs Active Directory cliquez droit sur l’unité d’organisa- tion dans laquelle on souhaite publier le dossier. • Cliquez Nouveau puis Dossier partagé. • Dans la zone Nom tapez le nom. • Dans la zone chemin réseau UNC tapez le chemin. Un chemin UNC est le nom complet Windows 2003 Server d’une ressource réseau conforme à la syntaxe \\serveur\partage. Dans les propriétés ajoutez des mots clés afin de simplifier les recherches. 3. Comparaison entre des objets publiés et des ressources partagées Chacun des objets à des propriétés qui lui sont propres. Chacun a sa propre liste DACL. L’ordinateur redirige l’objet publié vers l’objet partagé. On peut effectuer une recherche sur les objets publiés. Exemple : une imprimante peut cacher un autre objet. La liste DACL d’une imprimante partagée permet de contrôler les personnes qui auront accès aux travaux d’impression sur l’imprimante et qui seront autorisées à gérer ces travaux. Tif a le droit d’imprimer avec cette imprimante. L’objet file d’attente d’impression de notre imprimante (deuxième objet publié dans Active Directory) a sa propre liste DACL pour contrôler qui pourra visualiser ou modifier les propriétés de l’objet publié. Tif ne peut pas supprimer son impression dans la liste d’attente, s’il a lancé l’impression plusieurs fois, il doit faire appel à Tondu qui peut modifier les travaux de la liste d’attente. Cela évite qu’une personne non responsable s’accapare l’imprimante et supprime les travaux des autres utilisateurs par exemple. 4. Sécurité des objets dans Active Directory Chaque objet dans AD est associé à un descripteur de sécurité unique qui définit les autorisations d’accès requises pour lire et mettre à jour les propriétés d’objets. Les autorisations sont attribuées au niveau des propriétés. Les entités de sécurité (exemple un utilisateur) les identificateurs de sécurité (SID valeur alphanu- mérique unique donnée à la création du compte) et les descripteurs de sécurité (ils stockent les informations de contrôle d’accès associées à un objet) sont les composants de base du contrôle d’accès dans Active Directory. On peut octroyer ou refuser des autorisations pour chaque objet d’AD par l’intermédiaire des Propriétés, Autorisation et Liste des autorisations. Héritage Lorsque l’on attribue des autorisations on peut vouloir attribuer ou non ces autorisations aux enfants de l’objet, il suffit de cocher ou décocher la case permettant aux autorisations pouvant être héritées du parent d’être propagées à cet objet. 8 3986 TG PA 00 66 Séquence 5 PaActions d’AD sur les partages Le propriétaire d’un objet est le créateur, sauf dans le cas d’un membre du groupe administrateur c’est le groupe et non l’utilisateur qui en est propriétaire. Pour visualiser qui est propriétaire d’un objet cliquer sur le bouton Avancé dans l’onglet Sécurité des Propriétés. Lorsqu’un utilisateur hérite d’une autorisation d’un groupe, s’il a déjà une autorisation sur l’objet en question, c’est l’autorisation la plus faible qui l’emporte. 5. Délégation du contrôle d’administration des objets d’AD Afin d’alléger le travail de l’administrateur sur des réseaux étendus on peut déléguer certaines tâches administratives à des utilisateurs. Cette délégation peut s’effectuer à l’aide de l’assistant délégation : • il faut cliquer droit sur l’unité d’organisation dans laquelle on souhaite déléguer le contrôle. Cliquez sur Action puis sur Déléguer le contrôle ; • sélectionnez les utilisateurs ou les groupes ; • attribuez les tâches à déléguer ; • sélectionnez un objet AD ; • attribuez les autorisations aux comptes. Lorsque l’on délègue le travail à certains utilisateurs privilégiés, il est intéressant de leur donner des outils d’administration un peu limités mais qui leur permettront d’effectuer les tâches admi- nistratives. Pour cela on peut créer une console MMC personnalisée et on doit certainement ajou- ter des composants logiciels enfichables sur les postes clients. Afin d’aider un utilisateur on peut lui adjoindre également une liste de tâches. 8 3986 TG PA 00 67 Séquence 6 Les stratégies d’AD Cette séquence termine la liste des objets gérés dans la base de données d’Active Directory : les stratégies et la sécurité qu’elles apportent. Durée indicative 2 heures. À travailler avec l’atelier 5. Contenu Les GPO. Les différents types. Leurs applications et leurs liaisons. Capacités attendues C31 Assurer les fonctions de base de l’administration d’un réseau. C32 Assurer les fonctions d’exploitation. Rien n’est plus dangereux dans un réseau qu’un utilisateur tel Attila : « où qu’il passe le réseau tré- passe ». C’est sur cette note d’optimisme qu’interviennent les stratégies. Elles sont un formidable outil de simplification du travail pour un administrateur. Par exemple en limitant les possibilités de tout un groupe d’utilisateur en une seule opération, car les sécurités (droits) sur les ressour- ces ne sont qu’une phase de protection. Mais aussi comme l’administrateur n’est pas qu’un gars paranoïaque il peut utiliser les stratégies pour installer un logiciel à distance sur l’intégralité du parc informatique. 1. Une stratégie de groupe Une stratégie est un ensemble de droits de permissions de paramètres que l’on associe aux sites, domaines, unités d’organisations afin que cette stratégie se répercute systématiquement sur les utilisateurs et ordinateurs des conteneurs. Appliquer une stratégie c’est gagner du temps sur la sécurité (on peut empêcher les utilisateurs de reconfigurer leur poste de travail, d’installer de nouveaux outils). La structure de la console stratégie de groupe que vous allez implémenter, est contenue dans des objets GPO (Group Policy Object). 8 3986 TG PA 00 68 Séquence 6 ParLes stratégies d’AD 1A. Types de paramètres à configurer Les stratégies proposées par Microsoft sont multiples, elles sont classées dans des groupes en fonction de leurs effets. Modèle d’administration : paramètres de registre de configuration des applications et des environne- ments de bureau des utilisateurs : composants du système d’exploitation et applications des utilisa- teurs, niveau d’accès au panneau de configuration et contrôle des fichiers hors connexion. Sécurité : paramètres de configuration de la sécu- rité du réseau, des domaines et des ordinateurs locaux : contrôles d’accès au réseau, configuration des stratégies de compte et d’audit, contrôles des droits des utilisateurs. Installation des logiciels : paramètres de centrali- sation de la gestion des installations, mise à jour et suppression des logiciels. On peut configurer les applications pour qu’elles soient automatiquement installées, mises à jour ou supprimer sur des ordinateurs clients. On peut également publier des applications afin qu’elles soient affichées dans Ajouter/Supprimer des programmes du Panneau de config, ce qui est plus simple pour l’utilisateur. Scripts : paramètres qui spécifient les moments auxquels Windows exécute des scripts spécifiques : au démarrage, à l’arrêt de l’ordinateur. Ces scripts peuvent contenir une suite d’opérations et on peut définir l’ordre dans lequel ils s’exécuteront. Services d’installation à distance : paramètres qui contrôlent les options disponibles lors de l’exé- cution de l’assistant installation de clients lors de l’installation à distance RIS (Remote Installation Service). Maintenance d’Internet explorer : paramètres d’administration et de personnalisation de MIE sur des ordinateurs M2000. Redirection de dossier : paramètre de stockage des dossiers de profils utilisateurs spécifiques sur le serveur réseau. Ces paramètres créent un lien sur le profil renvoyant au dossier partagé sur le réseau, mais les dossiers s’affichent sur les ordinateurs locaux. On doit se référer à ces indications pour retrouver une stratégie dans la multitude proposée. 1B. Stockage du contenu d’un objet GPO Chez Trouvetout les utilisateurs sont recrutés en fonction de leur flair, les investigateurs savent se fondrent dans la masse et certains ont le don d’ubiquité. C’est du même acabit pour les objets GPO, ils apparaissent dans deux emplacements différents. 8 3986 TG PA 00 69 Séquence 6 ParLes stratégies d’AD Conteneur de stratégie de groupe : c’est un objet AD qui contient les informations sur la version et les attributs de l’objet GPO. Cela permet aux ordinateurs de rechercher les modèles de stratégie de groupe et aux contrôleurs de vérifier qu’ils ont bien la dernière version. C’est ici que vous configurez la stratégie Modèle de stratégie de groupe : c’est une hiérarchie de dossiers située dans le dossier SYSVOL des contrôleurs de domaine. C’est ici qu’elle est enregistrée. 1C. Paramètres de stratégie de groupe pour les ordinateurs On peut appliquer une stratégie autant sur un ordinateur précis ou des ordinateurs que sur des sessions d’utilisateurs. Les paramètres de stratégie de groupe pour les ordinateurs définissent le comportement du système d’exploitation et du bureau, la configuration de la sécurité, les scripts de démarrage et d’arrêt des ordinateurs, les options d’application affectées par l’ordinateur et la configuration des applications. Ces stratégies sont appliquées à l’initialisation du système d’exploitation (démarrage et redémar- rage de l’ordinateur en clair) et lors du cycle de l’actualisation périodique (tous les X temps défini par le contrôleur de domaine qui prêche à sa paroisse). Ces stratégies de groupe priment sur les stratégies de groupe de l’utilisateur. 1D. Paramètres de stratégie de groupe pour les utilisateurs Ils définissent le comportement du système d’exploitation, la configuration du bureau et de la sécurité, les options d’application affectées et publiées, la configuration des applications, les options de redirection des dossiers et les scripts d’ouverture et fermeture de sessions utilisateur. Non je n’ai pas fait un copier coller, les stratégies pour les ordinateurs et utilisateurs diffèrent pour la plupart notamment en fonction du but à obtenir, avec la pratique, ce sera plus précis ! Les stratégies sont appliquées à l’ouverture d’une session utilisateur sur l’ordinateur et lors du cycle d’actualisation périodique. 1E. La liaison d’un objet GPO Les objets GPO sont liés à des sites, domaines, unités d’organisation, ce qui permet l’application des paramètres aux objets contenus dans ces conteneurs. Mais ces objets peuvent êtres liés après leur création. Un même objet peut être lié à plusieurs conteneurs. Ceci est dû au fait que les stra- tégies sont des objets portant un nom distinct. Si on prend l’exemple de la couleur rose, on peut dire qu’un cochon est rose et qu’une robe est rose sans avoir à redéfinir cette couleur pour chacun des éléments qu’elle qualifie. Une fois la couleur rose définie, on ne revient plus dessus. C’est la même chose pour les stratégies, si on crée une stratégie qui configure le proxy des utilisateurs de l’unité d’organisation Comptabilité et il n’est pas utile d’en recréer une nouvelle pour l’unité d’organisation Investigation, il suffit de chercher dans notre base de données de stratégie celle créée précédemment. Attention les conteneurs de stratégies ne peuvent pas être Users, Computers ou Builtin. 8 3986 TG PA 00 70 Séquence 6 ParLes stratégies d’AD 1F. Création d’un objet GPO lié • Ouvrir la console Utilisateurs et ordinateurs d’AD • Cliquez droit sur une unité d’organisation. • Cliquez sur Propriétés • Cliquez sur Nouveau • Tapez un nom • Entrée Cet objet GPO ne fera rien car vous n’avez configuré aucune stratégie du modèle. 1G. Création d’un objet non lié Seuls des administrateurs peuvent lier des objets GPO à des sites, domaines et unités d’organisa- tion. On peut créer un objet GPO non lié en ajoutant un composant logiciel enfichable Éditeur de Stratégie de groupe dans la console MMC. • Lancez votre console MMC et ajouter le composant logiciel. • Dans la boîte de dialogue Sélection d’un objet stratégie de groupe, cliquez sur Parcourir. • Dans la boîte de dialogue Recherche un objet stratégie de groupe dans l’onglet Tous, cliquez avec le bouton droit n’importe où dans la liste Tous les objets stratégie de groupe stockés dans ce domaine, puis cliquez sur Nouveau. • Tapez le nom du nouvel objet GPO. • OK. • Fermez la boîte de dialogue. 1H. Liaison d’un objet Une stratégie qui fonctionne sur un domaine, un site ou une unité peut être appliquée sur un autre conteneur (voir mon laïus sur la couleur rose). • Console Utilisateurs et Ordinateurs AD. • Cliquez droit sur l’unité où l’on va lier l’objet GPO. Cliquez Propriétés. • Dans l’onglet stratégie de groupe cliquez Ajouter. • Cliquez sur l’onglet Domaine puis unités d’organisation, sites ou Tous selon l’emplacement auquel l’objet GPO est actuellement lié. • Dans la liste regarder dans, cliquez sur le domaine contenant l’objet GPO. • Dans la liste Domaines, unités d’organisation et objets de stratégie de groupes liés, cliquez sur l’objet GPO OK. 1I. Héritage d’une stratégie de groupe Quand plusieurs stratégies s’appliquent, un ordre s’instaure, celui du plus grand au plus petit : d’abord les stratégies du site et enfin les stratégies de l’unité d’organisation. 8 3986 TG PA 00 71 Séquence 6 ParLes stratégies d’AD Exercice 23 L’objet GPO1 paramètre de stratégie de groupe de compte qui assure l’affichage de favoris dans le menu démarrer. Est appliqué au niveau du site. L’objet GPO2 paramètre de stratégie de groupe de compte qui requiert un mot de passe de 11 caractères minimum est appliqué au niveau du domaine. L’objet GPO3 paramètre du menu Démarrer qui supprime Windows Update de ce menu. Est appli- quée au niveau Domaine. L’objet GPO4 paramètre du menu Démarrer qui assure que Windows update s’affiche dans ce menu et que favoris est supprimé. Est appliqué au niveau de l’unité d’organisation Administrateur Quels sont les paramètres de stratégie de groupe résultants pour les objets utilisateur dans l’unité d’organisation et pourquoi ? On applique une stratégie au plus haut niveau de la hiérarchie (AD et non pas de l’entreprise, la stratégie des plus hauts dignitaires de l’entreprise est connue, gagner toujours plus d’argent !), afin qu’elle s’applique sur le plus grand nombre d’utilisateurs ou de machines, toutefois certains utilisateurs bénéficiant d’un tarif spécial (souvent les administrateurs réseau) ne doivent pas hériter de ces faveurs. On peut modifier l’héritage en bloquant ou filtrant l’héritage des paramètres de stratégie de groupe. Le Blocage : mais on ne peut pas choisir les objets à bloquer, ils le sont tous sauf si on a configuré l’objet GPO à l’aide de l’option aucun remplace- ment. Cliquer sur les propriétés du conteneur enfant. Dans l’onglet stratégie de groupe, cliquez sur blo- quer l’héritage de stratégie. Le filtrage : dans les droits on accorde et on refuse. On peut refuser l’autorisation Appliquer la stratégie de groupe pour un groupe. C’est beaucoup plus fin. Exercice 24 On souhaite qu’une application antivirus soit installée sur tous les postes du domaine. On souhaite qu’Office ne soit installé que sur l’unité d’organisation administrative, et que le logiciel de comptabilité ne soit installé que sur l’unité Comptabilité à l’exception de celui de Michael Junit. Que faire ? 8 3986 TG PA 00 72 Séquence 6 ParLes stratégies d’AD 1J. Traitement et contrôle d’une stratégie de groupe Comme Windows traite les paramètres de stratégie de groupe dans un ordre spécifique et à des intervalles donnés on peut réduire les risques de remplacement des paramètres. Au démarrage de l’ordinateur Windows traite tout d’abord les paramètres de l’ordinateur, puis ceux de l’utilisateur. Quand il traite les paramètres de l’ordinateur, les scripts de démarrage sont exécutés. De même pour les scripts de l’utilisateur. La liste des objets GPO à traiter est définie par une fonction win32 GetGPOList. Cette fonction traite des fichiers userenv.dll, Dskquota.dll, Fdeploy.dll, GPtext.dll, Appmgmts.dll, scecli.dll et Iedkcs32.dll qui contiennent les paramètres. Les intervalles sont de l’ordre de 90 minutes sur Win pro. Les contrôleurs sont actualisés toutes les 5 minutes. Quand on est plus pressé de voir le résultat d’une stratégie que l’on vient juste de mettre en place, on force la mise à jour de la stratégie ordinateur ou utilisateur avec la commande : Gpupdate qui sera suivie d’options pour ne l’appliquer que sur certains éléments ou faire redémarrer la session ou l’ordinateur après. 2. Utilisation de stratégie de groupe pour gérer des utilisateurs On utilisera plus couramment des modèles de paramétrage d’administration. Voici un exemple de stratégie un peut particulier parce qu’il fait intervenir un fichier Batch. 1. Il est important de commencer par écri- re le fichier Batch. Pour le retrouver l’enregistrer sur le bureau. 2. Créez une nouvelle stratégie de grou- pe. Modifiez cette stratégie dans l’ar- borescence de la console sous confi- guration utilisa- teur, développez paramètres Windows, cliquer sur scripts (ouverture/fermeture de session). Choisir Ouverture de session, Cliquez sur le bouton Ajouter. Regarder où doit être placé le fichier batch grâce au chemin indiqué dans Parcourir. 3. Copier le fichier batch enregistré sur le bureau à l’emplacement bouton parcourir c:\windows\sysvol\sysvol\domaine\policies\N°de votre stratégie\user\scripts\logon 4. Basculer sur la fenêtre stratégie pour finir par appeler le fichier rangé dans la stratégie. 8 3986 TG PA 00 73 Séquence 6 ParLes stratégies d’AD Résumé Afin de protéger et d’administrer son réseau au mieux, Windows 2003 Server propose des stratégies près configurées. Chacune de ces stratégies constitue un objet GPO. On peut appliquer une stratégie sur un ordinateur. Cette stratégie s’exécutera si l’ordinateur s’allume ou s’éteint. Comme on peut appliquer une stratégie sur un utilisateur, cette stratégie s’exécutera si un utilisateur ouvre une session sur un ordinateur. Les stratégies ne se définissent pas sur un ordinateur ou un utilisateur mais sur des sites ou des unités d’organisations. Comme pour les droits et les permissions, quand des stratégies sont en contradiction on connaîtra celle appliquée finalement en fonction de l’ordre d’exé- cution des stratégies (Site, Unité d’organisation, Machine, Utilisateur). Il est possible de bloquer ou filtrer des stratégies pour qu’elles ne s’appliquent pas à tous les groupes des containeurs. Les stratégies s’appliquant qu’à des moments stratégiques (d’où leur nom) : démarrage de la machine, ouverture de session... on peut les forcer à s’appliquer avec la commande GpUpdate. 8 3986 TG PA 00 75 Atelier 4 Mise en place des stratégies Dans cet atelier, nous allons mettre en place des stratégies. Durée indicative 1 heure. Contenu Stratégie de protection du réseau Stratégie de paramétrage du réseau Stratégie d’installation de logiciels à distance. Capacité attendue C31 Assurer les fonctions de base de l’administration d’un réseau. C32 Assurer les fonctions d’exploitation. Matériel nécessaire Le client pour vérifier et le serveur pour y créer les stratégies. La société Trouvetout fourmillant de détectives, l’administrateur n’apprécie pas beaucoup qu’ils mettent en péril son réseau, aussi vous êtes chargés de protéger la configuration des postes. Exercice 20 Empêchez tous les utilisateurs exceptés ceux du service Informatique de : – modifier leur menu Démarrer ; – modifier leur paramètres Réseau ; – modifier les paramètres d’Internet Explorer. Un proxy vient d’être mis en place pour partager l’accès à Internet. Son nom est Parici, il fonc- tionne sur le port 8081. En même temps, toutes les requêtes sur le serveur Intranet Toutvala ne doivent pas passer par le Proxy. 8 3986 TG PA 00 76 Atelier 4 Mise en place de stratégies Exercice 21 Créez une stratégie qui configure les postes de l’entreprise Trouvetout avec les paramètres indi- qués ci-dessus. Chaque utilisateur doit retrouver dans ses favoris réseaux un raccourci vers la ressource partagée CE. Exercice 22 Écrivez le fichier Batch qui crée ce raccourci vers la ressource CE et créez la stratégie qui permettra de rajouter ce raccourci. On souhaite installer sur tous les postes du service comptabilité un nouveau logiciel. Exercice 23 Écrivez la stratégie qui permet d’installer à distance ce logiciel au démarrage de la session des utilisateurs. On met en commun un nouveau logiciel pour le service Informatique. Exercice 24 Écrivez la stratégie qui permet aux utilisateurs d’installer ce logiciel enregistré sur le serveur à partir du Panneau de Configuration Ajout/Suppression de Programmes.