Introduction

Introduction Elments d'architecture rseau Internet
Toute machine connecte au rseau Internet peut thoriquement communiquer avec toute autre machine elle-mme connecte. Dans la pratique, c'est loin d'tre systmatiquement le cas. Pour ce faire, un message d'une machine une autre machine est segment en paquets. Chacun des ces paquets est marqu par la machine source avec son nom et le nom de la machine cible et est mis sur le rseau destination de cette machine. Rien n'interdit qu'un paquet ne se perde en cours de route. Suivant la technique de gestion de la communication, ces pertes peuvent tre tolres ou interdites. Dans le second cas, la perte est dtecte et le paquet est envoy de nouveau. Le transfert de ces paquets require la prsence d'une infrastructure matrielle gre par une infrastructure logicielle. Infrastructure Matriel : Sous-rseau Un sous-rseau est un rseau dont chaque machine peut communiquer directement avec toute autre machine. Dans le cas des rseaux ethernet sur double paires torsades (technologie la plus courante actuellement), les machines sont interconnectes via des concentrateurs (hubs) ou des commutateurs (switchs). Un concentrateur relie les machines en toile. Il duplique et transmet tout paquet toutes les machines qui lui sont directement connectes. Une machine cible conservera et exploitera les paquets qui lui sont destins et oubliera les autres. Du fait de la duplication des paquets, la somme des bandes passantes instantanes sur l'ensemble des machines connecte est la bande passante du concentrateur (gnralement 10 ou 100 Mbits/s). La capacit de transfert est donc partage entre les machines connectes et est limite celle du concentrateur. Un commutateur relie les machines en toile et transmet un paquet la seule machine laquelle il est destin. -> Une machine ne reoit que les seuls paquets qui lui sont destins. Chaque machine possde une bande passante potentielle vers les autres machines qui lui sont connectes gale celle de son interface rseau (10, 100 ou 1000 Mbits/s).La bande passante globale du sous-rseau est toutefois limite par la vitesse de commutation du fond de panier du commutateur (matrice de commutation). Toujours pour les rseaux ethernet, deux ou plusieurs sous-rseaux spars peuvent tre connects entre eux via un routeur. Un tel matriel est capable de "router" les paquets entre les sous-rseaux qui contiennent les machines source et cible. Dans les cas simples, les sousrseaux sont directement connects sur un routeur unique qui aprs configuration semble agir comme un commutateur. Dans les cas plus complexes (rseaux d'entreprise, Internet), un seul routeur ne permet pas l'interconnexion de l'ensemble des sous-rseaux. Plusieurs routeurs relis entre eux conscutivement sont alors utiliss sur le chemin des paquets. Pour des raisons de prennit de fonctionnement, le rseau de routeurs, au lieu d'tre construit en toile, pourra tre construit en graphe. Plusieurs chemins pourront exister pour aller d'un sous-rseau un autre sous-rseau. Pour un mme message, les paquets pourront transiter par des chemins diffrents et mme arriver dans un ordre diffrent de celui de dpart. Le matriel actif se contente d'assurer le transfert de l'information. Ce seront les machines qui reconstitueront la cohrence des messages l'arrive.
Infrastructure logiciel L'infrastructure logicielle d'un rseau informatique est base sur l'utilisation de un ou plusieurs protocoles de communication (i.e. langage de communication d'informations entre ordinateurs). Les protocoles les plus courants sont TCP/IP, NetBEUI et IPX/SPX. TCP/IP est le protocole de l'Internet et tend se gnraliser. La diffrence essentielle entre ces trois protocoles est que TCP/IP est assez facilement "routable" (i.e. est gr par les routeurs) et permet donc d'interconnecter des sous-rseaux. NetBEUI ne l'est pas. IPX/SPX l'est moins facilement que TCP/IP. Cette caractristique ainsi. NetBEUI NetBEUI possde le gros avantage d'tre simple installer et configurer. Cette simplicit est principalement due au fait qu'il n'a pas t conu dans le but d'tre rout et qu'il n'intgre donc pas les paramtres qui pourraient tre ncessaires la gestion du routage. Les machines sont dsignes par des noms alphanumriques sur 15 caractres. Toutes les machines places sur le mme concentrateur, sur le mme commutateur ou lies par une suite de concentrateurs commutateur peuvent communiquer directement entre elles. Un certain nombre de services rseau ont t dvelopps pour NetBEUI. En particulier SMB (Server Message Block) et Lan Manager proposent les services: de gestion d'utilisateurs, de gestion de rpertoires partags, de gestion d'imprimantes partages, NetBEUI et les services qui lui sont associs est disponible sous les diffrentes versions de Windows et sous Linux (Samba). Outre sa non routabilit, NetBEUI utilis sous Windows possde l'inconvnient de mettre en uvre un processus d'exploration du rseau la recherche des machines qui y sont prsentes de manire en rendre accessible la liste. Dans le cas le plus dfavorable, chaque machine met rgulirement un "broadcast" (i.e. un message destin toutes les machines de son sousrseau) destin susciter une rponse contenant le nom de la machine rpondant. Si n machines gnrent un broadcast entranant n rponses, on obtient de l'ordre de n 2 messages changs rgulirement. -> partir d'un certain nombre de machines, une part importante du trafic du rseau (voire prs de 100%) peut tre consacre ce processus d'exploration.
Pour viter ce problme, dans une version plus labore (en particulier depuis Windows NT), un "matre explorateur" est lu automatiquement sur chaque sous-rseau. Cette machine sera la seule assurer l'exploration. Elle sera contacte par toute machine souhaitant connatre la liste des machines du rseau. TCP/IP Plus complexe que NetBEUI, TCP/IP intgre, outre des paramtres permettant de nommer les machines et de les placer dans des sous-rseaux, un ensemble de paramtres destins au routage : Paramtres gnraux:

Adresse IP : Une machine est nomme de manire unique sur son rseau par son "adresse IP" forme de 4 nombres compris entre 0 et 255. Exemple: 172.20.128.23 Masque de sous-rseau (Subnet Mask) : Form de 4 nombres compris entre 0 et 255, le masque de sous-rseau permet d'indiquer une machine quelles sont les adresses IP des machines qui font partie de son sous-rseau (i.e. les machines avec lesquelles elle peut communiquer sans routage). Comme son nom l'indique, le masque de sous-rseau est un masque numrique. Il est gr en arithmtique binaire. Si les "et binaire" entre les adresses IP de deux machines et le masque sont gaux alors les deux machines font partie du mme sous-rseau TCP/IP. Exemple: Soient le masque M = 255.255.255.128 et les machines d'adresses IP I1 = 172.20.128.164 et I2 = 172.20.128.213. En binaire, le masque devient M = 11111111.11111111.11111111.10000000 et les adresses I1 = 10101100.00010100.10000000.10100100 et I2 = 10101100.00010100.10000000.11010101 Si (M & I1) = (M & I2) alors les machines font partie du mme sous rseau. Le signe & dsigne le "et binaire". M & I1 = 10101100.00010100.10000000.10000000 M & I2 = 10101100.00010100.10000000.10000000 (M & I1) est gal (M & I2) -> Ces deux machines sont sur le mme sous-rseau. lles pourront communiquer directement si elles sont interconnectes par un concentrateur ou un commutateur. Les masques de sous-rseau ne peuvent pas tre considrs arbitrairement. Ils sont construits de gauche droite au moyen d'une suite de bits 1 suivie d'une suite de bits 0. Les masques de sous-rseau classiques sont : 255.255.255.0 -> 256 adresses dans le mme sous-rseau (si les trois premiers nombres de deux adresses IP sont les mmes, les deux adresses sont dans le mme sous-rseau) (ce masque correspond ce que l'on appelle usuellement une classe C), 255.255.255.128 -> 128 adresses (2 sous-rseaux sur une classe C : de 0 127 et de 128 255), 255.255.255.192 -> 64 adresses (4 sous-rseaux sur une classe C : de 0 63, de 64 127, de 128 191 et de 192 255), 255.255.255.224 -> 32 adresses (8 sous-rseaux sur une classe C), 255.255.255.240 -> 16 adresses (16 sous-rseaux sur une classe C), 255.255.255.248 -> 8 adresses (32 sous-rseaux sur une classe C), 255.255.255.252 -> 4 adresses (64 sous-rseaux sur une classe C).
Passerelle par dfaut (Gateway) : Il s'agit de l'adresse IP vers laquelle seront envoys tous les paquets non destins une machine du mme sous-rseau que la machine source. Un routeur ou un ordinateur assurant le routage sera install cette adresse pour les rceptionner et les transmettre.
Paramtres de configuration DNS La technique de dnomination par adresse IP est pratique pour les ordinateurs car facilement manipule par eux. En revanche, la mmorisation est difficile pour les individus. Une machine porte un nom et appartient un domaine TCP/IP qui peut lui-mme tre le sousdomaine d'un autre domaine TCP/IP,... Un domaine peut ainsi possder plusieurs sousdomaines, qui eux-mmes peuvent possder des sous-domaines,... crant ainsi une organisation arborescente. Les parties du nom IP sont dlimites par des points avec, de gauche droite, le nom de la machine, puis les diffrentes parties du nom de domaine du plus particulier au plus gnral. Exemple: 172.20.128.99 <=> bunny.edu-info.univ-fcomte.fr (machine bunny du sousdomaine edu-info.univ-fcomte.fr du sous-domaine univ-fcomte.fr du domaine fr). Les listes de couples (adresse TCP/IP, nom TCP/IP) peuvent tre gres de deux manires:

localement sur chaque machine au moyen de "fichiers hosts", globalement sur un ensemble de machines relies en rseau au moyen d'un serveur DNS (Domain Name Server) qui gre la liste associe un domaine et peut tre interrog via une connexion rseau normalise. La configuration TCP/IP de la machine cliente inclut alors une rfrence ce serveur.
Les serveurs DNS sont gnralement organiss sous une forme arborescente calque sur l'arborescence des domaines TCP/IP qu'ils reprsentent. Chaque serveur grera tout ou partie des noms de machine associs au nom de domaine dont il est le nud. Il peut y avoir plusieurs serveurs DNS pour un mme nom de domaine soit pour distribuer les machines entre eux, soit au contraire pour rpliquer les bases de donnes de machines et avoir une redondance permettant une meilleure prennit ou encore un quilibrage de charge pour les domaine trs consults. Paramtres de configuration WINS Un problme spcifique aux machines Windows est qu'elles peuvent devoir rpondre la convention de nommage NetBEUI. Or, la non routabilit de ce protocole fait qu'il est impossible de l'utiliser pour des rseaux comportant un nombre important de machines. Via une "Interface NetBIOS", il est possible de faire transiter des informations au moyen du protocole TCP/IP en utilisant les conventions de nom NetBEUI et donc d'autoriser le routage. Le problme est d'arriver rendre compatibles les noms TCP/IP et les noms NetBEUI. Windows Internet Name Service (WINS) est l'une des solutions possibles. WINS est un service rseau pouvant tre implant sur un serveur permettant celui-ci de grer une base de donnes d'associations nom TCP/IP <=> nom NetBEUI, et d'tre mme d'effectuer des rsolutions de nom via requtes rseau normalises. Il s'agit de l'quivalent rsolution nom TCP/IP <-> nom NetBEUI de ce qu'est DNS pour les rsolutions nom TCP/IP <-> adresse IP.
Concepts et planification
La gestion de la scurit Le systme dexploitation assure le contrle discrtionnaire des activits des utilisateurs. Des actions, ressources sont refuses ou accordes en fonction de l'utilisateur. Possibilits multiples de scurisation:

autorisation d'utilisation d'une machine (obtention obligatoire d'un compte d'utilisateur de la part d'un utilisateur ayant le droit d'en fournir), interdiction d'utiliser d'autres applications que celles dment autorises, interdiction d'installer des applications, interdiction de modifier l'environnement de travail, restrictions d'accs aux ressources (fichiers, imprimantes,), audit des actions ralises par les utilisateurs (ouvertures de sessions d'utilisateur, accs des ressources,...),
Droit ou privilge: Autorisation d'excuter une action systme. (Exemples: Crer des comptes, installer un pilote d'imprimante, partager un rpertoire, arrter le systme,...) Permission: Autorisation d'accs une ressource.(Exemples: Imprimer sur une imprimante partage, lire un fichier,...) Tous les objets du systme sont soumis permissions via des ACL. La gestion du rseau (Scurit gre au niveau du rseau.) Nombre important de normes de cblage connectes aux machines via des cartes d'interface rseau (NIC, Network Interface Card): Ethernet pais, fin et double paires torsades, Phonenet, Fibre optique, Infrarouge, Bluetooth, Wifi, Modem,... Nombre important de protocoles rseau reconnus (Pilotes conus par Microsoft ou par des diteurs tiers): NetBEUI, TCP/IP, IPX/SPX, DLC, Appletalk, ATM, TokenRing, FDDI, Nombre important de services rseau tant du point de vue serveur que du point de vue client: SMB, Lan Manager, DNS, WWW, FTP, Telnet, SMTP, NNTP, NTP, Proxy, DHCP, WINS, ADS,... Grande interoprabilit dans le cadre de rseaux htrognes tout niveau. Protocole natif de Windows NT: NetBEUI. Protocole natif de Windows 2000: TCP/IP. Windows 2000 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les conventions de nom de NetBEUI. Depuis Windows 2000 Microsoft encourage l'utilisation de TCP/IP mme si la base de Windows NT et 9x reste NetBEUI.
Le partage de ressources (Scurit au niveau des ressources partages.) Utilisation d'une ressource partage: Utilisation d'objets offerts par une machine distante.
Ressources partageables:

les rpertoires, les imprimantes, dans une certaine mesure, les applications (Excution d'une application sur une machine distante avec transmission du rsultat d'excution sur la machine locale) (possibilit d'utiliser le service Terminal Server pour configurer un serveur de terminaux Windows, quivalent fonctionnel un serveur X).
Active Directory Active Directory (AD) est un annuaire destin contenir des "objets": utilisateurs, ordinateurs, applications, donnes partages, ... et tre interrog par d'autres machines. AD est bas sur un systme de gestion de base de donnes hirarchique driv d'ACCESS. Dans le cadre d'une utilisation "systme", AD possde l'avantage d'intgrer nativement des fonctionnalits de distribution et de rplication de ses informations sur plusieurs serveurs. Ainsi, il exonre le systme d'intgrer ces caractristiques essentielles un fonctionnement prenne. Intrt d'AD:
Windows 2000 avec AD supporte des domaines de plusieurs millions de comptes d'utilisateurs alors que, dans la pratique, Windows NT 4.0 tait limit quelques dizaines de milliers. Windows 2000 avec AD supporte des domaines de plusieurs dizaines de milliers de machines alors que, dans la pratique, Windows NT tait limit quelques centaines.
Unit Organisationnelle La caractristique la plus fondamentale d'Active Directory (hrite de l'annuaire X.500) est l'Unit Organisationnelle (UO). L'UO est un objet conteneur de l'annuaire mme de contenir des feuilles ou d'autres objets conteneurs, crant ainsi une organisation arborescente. L'extensibilit d'Active Directory Un autre aspect d'AD est son extensibilit par la possibilit offerte de dfinir de nouveaux objets partir d'un paradigme hirarchique orient objet qui permet la cration de nouvelles classes d'objet par ajout d'attributs et hritage d'anciennes classes. Kerberos Kerberos V5.0 est le protocole d'authentification rseau de Windows 2000. Il succde NT Lan Manager (NTLM). Associ Active Directory, il rend Windows 2000 trs diffrent de Windows NT 4.0 du point de vue de la gestion de la scurit. Deux points importants sont signaler:
L'authentification mutuelle: Cette fonctionnalit permet aux clients et serveurs, lors d'une communication d'informations, de vrifier l'authenticit de leurs identits respectives pour viter les usurpations d'identit. L'approbation transitive: Si A fait confiance B, et B fait confiance C, alors A fait confiance C.
-> En particulier, cette loi est vrifie pour les approbations entre "Domaines Windows 2000". La notion de domaine Windows 2000 Domaine: Unit d'administration sous Windows 2000. Domaine: Groupe de machines gres sous Windows 2000 et Active Directory, relies en rseau et pouvant tre administres comme une machine unique du point de vue des comptes d'utilisateur et de la politique de scurit associe. Active Directory permet une organisation diffrente de la classique et trs rigide organisation base de domaines et d'approbation entre domaines de Windows NT 4.0. Ce sont la souplesse de la gestion par base de donnes et les possibilits d'extension hrite de l'annuaire X.500 ( l'origine d'Active Directory) qui permettent ces nouvelles possibilits. Les UO dfinies au sein des domaines permettent le contrle de dlgation sous Windows 2000 alors que sous NT, ce sont les domaines. La notion de domaine au sens Windows NT 4.0 disparat donc avec Windows 2000. Contrleur de domaine (DC, Domain Controller): Machine charge de l'administration du domaine (obligatoirement une machine sous Windows 2000 Server). La base de donnes des utilisateurs et des groupes d'utilisateurs (SAM, Security Account Manager, dans la terminologie NT 4.0) est stocke sur les DCs du domaine au sein d'Active Directory et est rplique automatiquement entre eux. Autre dfinition d'un domaine: Ensemble d'ordinateurs partageant la mme base d'utilisateurs et de groupes d'utilisateurs. Contrairement au modle NT 4.0 o existe un et un seul contrleur de domaine "principal" auquel il peut tre adjoint 0, 1 ou plusieurs contrleurs de domaine "secondaires", un domaine Windows 2000 contient 1 ou plusieurs contrleurs de domaine placs au mme niveau hirarchique. Le problme de la "solution" NT 4.0 est que l'indisponibilit du contrleur primaire entrane l'arrt de toute possibilit d'administration du domaine: comptes d'utilisateur et machines. Dans le modle Windows 2000, ce n'est plus le cas car les tches d'administration peuvent tre continues. Dfinition possible de plusieurs domaines sur le mme rseau. ATTENTION: Ne pas confondre les notions de domaine Windows 2000 et domaine TCP/IP. Mme si les domaines 2000 porteront frquemment des noms mapps sur leurs quivalents TCP/IP et permettront l'administration centralise des machines d'un tel domaine, les domaines TCP/IP n'incluent absolument pas cette notion d'administration systme centralise. Les tendues NIS ou NYS sont des quivalents UNIX des domaines Windows 2000. Approbation Il est possible d'tablir des relations d'approbation entre domaines permettant aux utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine.
Elles pourront tre cres:

implicitement (voir plus loin) auquel cas elles sont bidirectionnelles et cres automatiquement, explicitement auquel cas elles sont unidirectionnelles et cres explicitement par l'administrateur.
Arborescence de domaines: Structure de domaines hirarchise sur le mode arborescent par des relations d'approbation implicites. La base est constitue du domaine racine, qui possde un ou plusieurs domaines enfants, qui peuvent eux-mmes possder des domaines enfants. Les noms de ces domaines respectent les mmes conventions que les noms TCP/IP -> espace de noms contigu pour tous les domaines fils d'un domaine racine.
Fort: Ensemble d'arborescences de domaines sans racine commune. La racine de la fort est la premire arborescence avoir joint la fort. Tous les domaines racines des arborescences de la fort possdent implicitement une relation d'approbation bidirectionnelle avec la racine de la fort.
Les contrleurs de domaine Gestion centralise de la base de donnes des utilisateurs et des groupes d'utilisateurs ainsi que de la politique de scurit associe. Contrle des ouvertures de session et des accs aux ressources partages qu'ils proposent. DDNS, WINS et DHCP Une implantation Windows 2000 ncessitera frquemment le dploiement des services DDNS (Dynamic Domain Name Service), WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol). Actuellement seul DDNS est rellement ncessaire car les domaines Windows 2000 l'utilisent obligatoirement. L'implantation de DDNS permettra la constitution du serveur de nom du
domaine Windows 2000 construit (gnralement quivalent un domaine TCP/IP). Par rapport un serveur DNS classique, DDNS autorise l'enregistrement automatique et dynamique des clients dans la base de donnes au sein d'Active Directory. L'utilisation de WINS n'est rellement ncessaire que lorsque plusieurs sous-rseaux TCP/IP diffrents doivent communiquer entre eux pour constituer un seul et mme domaine. La connexion entre ces sous-rseaux est gnralement tablie physiquement et logiquement au moyen de routeurs ddis au protocole TCP/IP. Le problme se pose alors de la rsolution de nom entre ces deux sous-rseaux si le protocole employ n'est pas uniquement TCP/IP. En effet, les machines du domaine vont employer leurs protocoles natifs, et donc sa convention de nom, pour dsigner les machines. Mais, pour les communications entre sous-rseau, elles devront faire transiter les informations au sein de "paquets" TCP/IP qui utiliseront une autre convention de nom. WINS consiste proposer un service de nom permettant d'associer bijectivement les noms TCP/IP et les noms NetBEUI (protocole natif de Windows NT dont la convention de nom a t reprise sous Windows 2000). Les machines clientes seront configures pour interroger un serveur WINS si elles ont besoin d'une rsolution de nom. Au dmarrage, tout client WINS s'enregistre automatiquement sur son serveur WINS de manire renseigner la base de donnes d'associations bijectives de celui-ci. Il est possible de configurer un ensemble de serveurs WINS pour qu'ils changent leurs bases de donnes. Sous Windows 2000, les bases de donnes WINS sont stockes au sein d'Active Directory. L'utilisation de DHCP, mme si elle n'est pas obligatoire, permet de centraliser la gestion des paramtres TCP/IP des machines d'un domaine. Les utilisateurs et les groupes d'utilisateurs Les utilisateurs Il faut tre rfrenc en tant quutilisateur autoris pour pouvoir utiliser une machine windows 2000 ou accder une ressource partage par une machine Windows 2000. Il y a stockage dans la base de donnes des utilisateurs et des groupes d'utilisateurs d'un certain nombre dinformations concernant chaque utilisateur:

nom d'utilisateur complet nom d'utilisateur principal (UPN, User Principal Name) nom d'utilisateur raccourci (quivalent NT 4.0, convention UNC) mot de passe les restrictions apportes aux actions qui lui sont autorises.
Exemple de nom: John Smith comme nom complet, john.smith@w2k.univ-fcomte.fr comme nom principal (ATTENTION, le nom principal est format comme une adresse lectronique) et w2k\smith comme nom quivalent NT en convention UNC. Les groupes Cest le regroupement des utilisateurs en groupes dutilisateurs possdant un mme jeu de privilges et de permissions. Un utilisateur peut appartenir plusieurs groupes. -> Possibilit de gestion hirarchise des comptes des utilisateurs.
-> Facilit de gestion. Il y a deux types de groupe:
Groupes de scurit: Leurs membres sont susceptibles de se voir attribuer des permissions ou des droits via le groupe. Ils peuvent aussi servir de listes de distribution. Un groupe de scurit est un ensemble de compte d'utilisateurs ou de comptes d'ordinateurs. Les groupes de scurit sont utiliss pour assigner des autorisations sur des objets (fichier/dossier N.T.F.S, units d'organisation, G.P.Os, imprimantes,...) mais ils peuvent aussi tre utiliss pour crer des listes de distribution. Groupes de distribution: Ils peuvent servir de listes de distribution mais pas l'attribution de permissions ou de droits. Un groupe de distribution est un ensemble de compte d'ordinateurs ou de comptes d'utilisateurs. Ces groupes servent exclusivement crer des listes de distribution dans un serveur de messagerie.
Trois tendues de groupe sur une machine Windows 2000 Server contrleur de domaine:
Groupe tendue universelle: Ils peuvent avoir comme membres des groupes et des comptes de n'importe quel domaine Windows 2000 dans l'arborescence de domaine ou dans la fort et peuvent recevoir des permissions dans n'importe quel domaine de l'arborescence de domaine ou de la fort. Groupe tendue globale: Ils peuvent avoir comme membres des groupes et des comptes du domaine dans lequel le groupe est dfini et peuvent recevoir des permissions dans n'importe quel domaine de la fort. Groupe tendue de domaine local: Ils peuvent avoir comme membres des groupes et des comptes du domaine Windows 2000 et peuvent tre utiliss pour octroyer des permissions l'intrieur d'un domaine uniquement et seulement vers des machines Server contrleur ou membre.
Sauf cas particulier, ces groupes sont dploys et accessibles sur toutes les machines du domaine de dfinition et des domaines approuvant le domaine de dfinition. Un seul type de groupe peut tre dfini sur une machine Windows 2000 Professional: les groupes locaux. Aprs l'installation initiale Il y a trois comptes dutilisateur crs linstallation d'un systme:

le compte "administrateur" de ladministrateur du domaine un compte "invit" (Attention!!! pas de mot de passe), actif sur Windows 2000 Professionnal, dsactiv sous Windows 2000 Server. un compte "administrateur" d'administration local sur les machines Windows 2000 Professionnal et les Windows 2000 Server membres simples.
Les Groupes intgrs crs au sein d'Active Directory linstallation d'un Windows 2000 Server contrleur de domaine sont:

Administrateurs (domaine local) Invits (domaine local) Utilisateurs (domaine local) Oprateurs de compte (domaine local) (gestion des comptes et des groupes d'utilisateurs sauf pour ceux qui possdent des privilges d'administration) Oprateurs de serveur (domaine local) (gestion du bon fonctionnement des serveurs du rseau)
Oprateurs dimpression (domaine local) (gestion du bon fonctionnement des activits lies aux imprimantes) Duplicateurs (domaine local) (gestion des activits de rplication de rpertoires) Admins du domaine (global) Invits du domaine (global) Utilisa. du domaine (global) Ordinateurs du domaine (global) Contrleurs du domaine (global) diteurs de certificat (global) Administrateurs de l'entreprise (universelle ou globale) Administrateurs de stratgie de groupe (universel ou global) Administrateurs du schma (universel ou global)
Les Groupes spciaux (ne possdant pas de membre) d'une machine Windows 2000 Server contrleur de domaine sont:

Crateur/propritaire (propritaires des objets systme) Systme (activits lies au systme d'exploitation) Rseau (activits d'utilisateurs provenant du rseau) Anonymous logon (utilisateur non authentifi) Utilisateur authentifi (utilisateur authentifi) Batch (processus batch) Dialup (utilisateur via un accs dial-up) Tout le monde (tout utilisateur authentifi rfrant au domaine natif ou un domaine approuv) Interactif (utilisateur qui accde une ressource en se connectant localement l'ordinateur proposant cette ressource) Service (un service)
Groupes intgrs crs linstallation d'une machine Windows 2000 Professionnal ou serveur simple:

Administrateurs (local) Invits (local) Utilisateurs (local) Utilisateurs avec pouvoirs (local) (utilisateurs possdant certains privilges d'administration) Oprateurs de sauvegarde Rplicateurs
Groupes issus le cas chant du domaine:

Admins du domaine (global) Invits du domaine (global) Utilisa. du domaine (global) ...
Groupes spciaux:

Crateur/propritaire Systme ...
Contenu prcis dun compte dutilisateur
Les Informations pouvant tre renseignes lors de la cration ou bien tout autre moment aprs la cration:

Nom d'utilisateur complet Nom d'utilisateur principal (UPN, User Principal Name) Nom d'utilisateur raccourci (quivalent NT 4.0, convention UNC) Mot de passe Adresse lectronique Numros de tlphone Horaires daccs Stations de travail autorises pour l'accs Adresse postale Date dexpiration (date au del de laquelle le compte est dsactiv, les fichiers personnels ne sont pas dtruits) Rpertoire de base (gnralement, le rpertoire personnel) (rpertoire local ou rseau) Script douverture de session (fichier de commandes lanc l'ouverture de session, mais pas lors du simple accs une ressource partage) Profil (localisation des fichiers de configuration de l'utilisateur) Place de l'utilisateur dans son organisation Groupes auxquels appartient l'utilisateur Informations de configuration Remote Access Service Informations de configuration de l'utilisateur pour les services Terminal Server
SID (Security Identifier): Identificateur unique utilis pour dsigner un utilisateur ou un groupe d'utilisateurs au sein d'un domaine Windows 2000. Exemple: S-1-5-21-3292650235-2243138800-104724495-1005 Tout SID ayant t utilis ne le sera jamais plus. Les stratgies de groupe Via l'utilisation de stratgies de groupes (stratgies de scurit), il est possible de grer de manire centralise un certain nombre de paramtres relatifs aux utilisateurs. Les possibilits des stratgies de groupes sont trs larges:

gestion de l'interface graphique, gestion des applications utilisables, taille des profils, droits des utilisateurs, ...
Les profils Profil: Ensemble d'informations visibles ou masques (exemple: clefs et valeurs du registre pour le paramtrage des applications) dfinissant l'environnement de travail d'un utilisateur. Par exemple, pour chaque utilisateur:

la configuration de sa barre des tches, de son menu dmarrer, de son bureau, ... ses variables d'environnement (path, set, ...), ses dfinitions de couleurs, de police de caractres,... les paramtrages de ses logiciels,
...
Stockage des profils dans des ensembles de fichiers et de rpertoires. Profil par dfaut: Profil gr par le systme et attribu par copie chaque utilisateur (faute d'une configuration contraire) lors de sa premire connexion sur une machine. Le profil par dfaut doit tre configur sur chaque poste client. LAttribution d'un profil personnel tout utilisateur est possible et modifiable uniquement par lui. Dans le cadre d'un domaine, la centralisation de la gestion des profils de manire ce que tout utilisateur retrouve son profil quel que soit l'ordinateur sur lequel il se connecte est possible. -> Profils sauvegards dans un rpertoire partag d'un serveur de fichiers du domaine (accessible toutes les machines du domaine) ou de tout autre serveur du domaine.

Lors de la connexion, tlchargement du profil sur le poste client. Utilisation du profil (avec ou sans modification) sur le poste client. Lors de la dconnexion, dchargement du profil du poste client vers le serveur.
La scurit: Les privilges (droits) Privilge (droit): Autorisation attribue aux utilisateurs et aux groupes dutilisateurs leur permettant d'excuter une action systme. Le Privilge attribu un groupe est automatiquement attribu lensemble de ses membres. A l'installation du systme d'exploitation, il y a attribution de privilges par dfaut aux groupes d'utilisateurs intgrs par le programme d'installation. Via les stratgies de groupe, l'administrateur pourra changer les privilges des groupes intgrs et attribuer des privilges aux groupes qu'il cre. Existence d'un "groupe par dfaut" dans lequel tout utilisateur est automatiquement plac. La scurit: les permissions Permission: Autorisation d'accs une ressource accorde par un administrateur un utilisateur ou un groupe d'utilisateurs.

Accs scuris pour les fichiers et rpertoires (crs dans une partition NTFS). Accs scuris pour les imprimantes. Accs scuris aux ressources rseau (fichiers, imprimantes, ...).
Propritaire: Utilisateur qui a cr ou qui s'est appropri un fichier ou un rpertoire (il possde gnralement tous les droits sur cet objet). Le Contrle d'accs est organis par l'administrateur (effectu au niveau utilisateur ou plus globalement au niveau groupe d'utilisateurs). Les Permissions pouvant tre attribues par l'administrateur: Pour les rpertoires (on fixe les permissions pour le rpertoire lui-mme et pour les fichiers qu'il contient ou qu'il contiendra lors de leur cration): Aucun accs, Lister, Lire, Ajouter, Ajouter et lire, Modifier, Contrle total, Accs spcial un rpertoire Accs spcial un fichier
Pour les fichiers : Aucun accs, Lire, Modifier, Contrle total, Accs spcial Accs spciaux: Lire, crire, Excuter, Effacer, Changer les permissions, Prendre possession Contrle total: toutes les permissions prcdentes sont attribues. A l'installation du systme, permissions par dfaut attribues aux fichiers et rpertoires du systme d'exploitation aux groupes et utilisateurs intgrs -> scurit minimale. Droit de l'administrateur: Prendre possession et changer les permissions de l'intgralit des objets. Lors de la cration d'un fichier ou d'un rpertoire, attribution cet objet des permissions du rpertoire dans lequel il est plac (le crateur en est le propritaire). Lors du dplacement d'un fichier ou d'un rpertoire, conservation des informations de scurit. La scurit: L'audit Audit: Conservation d'une trace des oprations ralises sur une machine -> Occurrence d'vnements. A chaque vnement correspond un enregistrement d'une ligne de description dans l'un des journaux d'vnements. Evnements pouvant tre audits (impliquant des journaux diffrents):

Systme (audit des activits du systme d'exploitation) Scurit (audit de l'activit des utilisateurs et de l'utilisation des ressources) Application (audit des applications et des services) Active Directory (spcifique aux DC) DNS (spcifique aux serveurs DNS) Rplication de fichiers (spcifique aux machines rplicatrices)
Journaux Systme et Application: Audit du fonctionnement de la machine pour dtecter les dysfonctionnements ventuels soit hardware, soit software. Journal scurit: Audit des activits des utilisateurs. vnements pouvant tre audits dans le journal scurit:

Les ouvertures et fermeture de session Les accs aux fichiers et objets L'utilisation de ses droits par un utilisateur La gestion des utilisateurs et des groupes Les modifications de la stratgie de scurit Les dmarrages et arrt du systme Le suivi de processus
Par dfaut, audit activ seulement pour les vnements lis aux journaux Systme, Application, Active Directory, DNS et Rplication de fichiers. La gestion des partitions et des systmes de fichiers
Introduction du systme de fichiers NTFS avec Windows NT 4.0. Ncessaire la gestion de la scurit d'accs aux fichiers et l'implantation de la compression la vole. Nouvelle volution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques "dynamiques" et apporte les fonctionnalits de gestion logicielle des disques en RAID (agrgats par bandes, disques en miroir, agrgats par bandes avec parit -> disques RAID). Gestion du systme de fichiers FAT32 (Windows 98). Gestion du systme de fichiers FAT16. Gestion des noms longs. Windows 2000 Server inclut la gestion logicielle de trois niveaux RAID:

le niveau 0: Agregat par bandes de partitions, le niveau 1: mirroring de partitions, le niveau 5: Agregat par bandes avec parit.
ACTIVE DIRECTORY Active Directory Service (ADS) est le service LDAP implant par Windows 2000 Server pour la gestion d'annuaires. Il est utilis pour toutes les tches d'administration demandant une forte implantation rseau et en particulier pour la cration de domaines. De base, ADS n'est pas install sous Windows 2000. Au cours de son installation, un domaine devra tre dfini.
DNS et DDNS Dynamic Domain Name Server (DDNS) est implant par Windows 2000 Server pour l'implantation de serveurs DNS. Aprs installation d'ADS et de DDNS, un certain nombre de nouveaux outils d'administration sont disponibles dont l'administrateur DNS. Les tches raliser via loutil gestionnaire DNS sont:

la configuration de la rsolution directe nom IP -> adresse IP, la configuration de la rsolution inverse adresse IP -> nom IP, l'intgration au sein du domaine univ-fcomte.fr par rfrenciation du o des serveurs DNS de ce domaine qui seront contacts lorsqu'une rsolution ne peut tre conclue localement.
En outre, le serveur de domaine HERACLITE dfini pour le domaine philo.univ-fcomte.fr, devra tre dclar auprs de l'administrateur du domaine univ-fcomte.fr pour dlgation vers lui des requtes qui concernent ses machines.
Un seul serveur DNS dont le nom est HERACLITE Dfinition de zones de recherche directes : pour les rsolutions nom IP -> adresse IP et de zones de recherche inverses : pour les rsolutions adresse IP -> nom IP
Une zone de recherche directe dfinie pour le domainephilo.univ-fcomte.fr, mais pas de zone inverse Menu contextuel associ aux clefs contenant les zones de recherche directes et inverses Configuration de philo.univ-fcomte.fr en zone directe
Menu contextuel associ un domaine TCP/IP en zone de recherche directe
Dclaration d'une nouvelle machine (hte)
Dclaration d'un nouvel alias
Etat aprs configuration Configuration de la classe 172.20.128.xxx en zone inverse Dans un premier temps, cette zone inverse doit tre cre.
Lancement de l'assistant de cration de zone inverse
Intgration de la zone Active Directory
Dfinition de l'ID rseau de cette zone
Fin de l'assistant de cration de zone inverse
DNS avec zone de recherche inverse
Menu contextuel associ une zone de recherche inverse
Cration d'un nouveau pointeur de zone de recherche inverse
Lors de la cration d'un hte de zone de recherche directe, cration simultane du pointeur associ en zone de recherche inverse Configuration d'un serveur DNS redirecteur
Onglet Redirecteurs dans les proprits du serveur DNS HERACLITE
Reconfiguration des paramtres TCP/IP
Reconfiguration des paramtres TCP/IP pour intgrer le 172.20.128.63 comme DNS principal et philo.univ-fcomte.fr comme premier suffixe DNS Etat du DNS aprs configuration
Zone de recherche directe
Zone de recherche inverse Tests (nslookup)
tests nom IP -> adresse IP pour des noms du domaine
test nom IP -> adresse IP pour un alias du domaine
test nom IP -> adresse IP pour un nom quelconque
tests nom IP -> adresse IP pour des noms complets
tests adresse IP -> nom IP pour des adresses du domaine
test adresse IP -> nom IP pour des adresses quelconques
ADMINISTRATION La gestion des licences sur Windows 2000 Server Ce panneau permet le choix du mode de gestion des licences d'accs client ainsi que l'ajout ou la suppression de licences d'accs client dans le mode par serveur. Par Sige Le mode de licence "Par sige" est la meilleure option si les clients utilisent frquemment plusieurs serveurs sur le rseau. Le mode de licence Par sige permet tous les ordinateurs du rseau d'accder tous les serveurs d'un rseau. Il n'y a aucune limite quant au nombre de connexions simultanes, quel que soit le serveur. Par sige est le mode de licence normal pour un produit serveur install sur plusieurs serveurs d'un rseau.
Par Serveur Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit serveur est install sur un seul serveur accessible tout moment par tout au plus un sous-ensemble des utilisateurs. Les connexions simultanes Par serveur un serveur spcifique sont alloues sur une base premier arriv, premier servi et limites au nombre de licences d'accs client alloues au serveur. Cela peut s'avrer conomique pour un rseau dot d'un seul serveur ou pour un produit serveur accessible sur un serveur par un seul dpartement ou groupe d'une organisation. Une unique conversion en licence Par sige est autorise.
LE CHOIX dpendra du nombre de serveur de l'entreprise, si vous avez un seul serveur et que vous tes en accs licence par serveur alors il vous faut autant de licence que d'utilisateurs accdant ce serveur. Si vous achetez un deuxime serveur, selon ce mode d'accs il vous faut acheter nouveaux autant de licence que d'utilisateurs accdant ce serveur. En mode d'accs par sige ce n'est pas le cas car chaque client possde sa licence d'accs quel que soit le serveur. Administration (La Microsoft Management Console, la MMC) La Microsoft Management Console (MMC) est le programme via lequel une grande partie des tches d'administration de Windows 2000 sont ralises. Il est possible d'ouvrir des "composants logiciel enfichables" (snap-in) dans la MMC, permettant de raliser telle ou telle configuration. Les divers outils d'administration sont implants via ces snap-in. L'excutable correspondant est MMC.EXE. Il est install au sein du systme d'exploitation. Lanc seul, il ouvre une MMC vide.
Lancement MMC
Une MMC vide
Le snap-in "gestionnaire d'ordinateur" La zone gauche donne accs l'arborescence des lments de configuration du snap-in. La zone de droite permet de raliser la configuration souhaite sur l'lment slectionn.
Le menu Console Ajout d'un Composant logiciel enfichable (snap-in)
Bouton Ajouter pour choisir le composant souhait
Choix du type de composant
Choix de la localisation gre par le composant
Nouveau contenu de la MMC
Rsultats dans la MMC Sauvegarde d'une console
Enregistrer
Rsultat dans le poste de travail Administration (La gestion des utilisateurs, l'approbation entre domaines) La gestion des utilisateurs, des groupes d'utilisateurs et des ordinateurs du domaine Cet outil ralise l'administration des utilisateurs, des groupes dutilisateurs et des ordinateurs d'un domaine:

cration, destruction, proprits, ...
Interface gnrale
Groupe crs l'installation
Utilisateurs et groupes d'utilisateurs du domaine
Contrleurs de domaine du domaine Menus contextuels associs aux clefs ADS
Utilisateurs et Ordinateurs Active Directory
Domaine
Builtin Cration dun nouvel utilisateur Dfini par son nom (unique).
Users
Choix des paramtres de cration: nom de login Windows 2000 (obligatoire), nom de login de compatibilit NetBIOS, nom dtaill
Choix des paramtres de cration: mot de passe (obligatoire), obligation ou non de changer le mot de passe la prochaine ouverture de session, interdiction ou non de changement de mot de passe, pas d'expiration du mot de passe mme en cas de limite de validit temporelle, compte dsactiv ou non Menu contextuel associ un utilisateur
Changement du mot de passe d'un utilisateur
Rinitialisation du mot de passe Proprits dun utilisateur
Paramtres gnraux
Adresse postale
Principales proprits du compte
Options configurables
Horaire d'accs
Stations d'accs
Configuration du profil
Numros tlphoniques de l'utilisateur
Implantation hirarchique de l'utilisateur dans son entreprise
Groupes d'appartenance de l'utilisateur
Contrle distance des paramtres Terminal Server
Profil utilisateur en cas d'utilisation de Terminal Server
Paramtres d'accs entrant RAS ou VPN
Dmarrage des services Terminal Server
Time out Terminal Server Cration dun groupe
Cration d'un nouveau groupe: dfini par son nom (unique), dfini sur le domaine local ou globalement, groupe de scurit ou de distribution
Proprits gnrales d'un groupe
Proprits d'un groupe: membres
Proprits d'un groupe: groupes dont il est membre
Proprits d'un groupe: utilisateur gestionnaire
Affectation d'un rpertoire de base et d'un profil itinrant
Cration d'un rpertoire destin hberger les rpertoires de base et les profils itinrants
Partage de ce rpertoire et configuration des permission sur le rpertoire et sur le partage
Configuration de l'utilisateur concern dans l'onglet profil de ses proprits au sein du gestionnaire des utilisateurs
Possibilit d'utiliser la variable d'environnement %USERNAME% pour dsigner un utilisateur
Le gestionnaire des utilisateurs cre lui-mme le rpertoire de base et lui affecte les permissions en limitant l'accs au seul administrateur et l'utilisateur
Aprs la premire ouverture/fermeture de session, le profil de l'utilisateur est sauvegard dans le rpertoire profils. Le profil est obtenu par copie du profil "Default User" de la premire machine cliente. Affectation d'un script d'ouverture de session
Configuration de l'utilisateur concern dans l'onglet profil de ses proprits au sein du gestionnaire des utilisateurs
Localisation des scripts dans le rpertoire \WINNT\SYSVOL\domain\scripts
Contenu du script Begin.cmd
Rsultat l'ouverture de session de l'utilisateur
Lapprobation entre domaines
Via approbation, un utilisateur d'un domaine A pourra utiliser les machines d'un domaine B comme s'il tait connect sur une machine de son propre domaine. L'tablissement d'une relation d'approbation met en jeu la participation des administrateurs du domaine des deux domaines. L'administrateur de A devra autoriser l'administrateur de B l'approuver. Ensuite B pourra approuver A. L'approbation entre domaines Windows 2000 est commutative et transitive. Si un domaine Windows NT 4.0 est concern, l'approbation n'est ni commutative, ni transitive.
Menu contextuel associ la cl "Domaines et approbations Active Directory" Proprits d'un domaine rfrenc
Menu contextuel associ un domaine rfrenc
Aprs installation initiale, un domaine Windows 2000 est configur en mode mixte, i.e. il interopre avec les domaines des versions antrieures de Windows
Approbation d'autres domaines
Zone du haut: Domaines autoriss nous approuver (attribution d'un mot de passe)
Zone du bas: Domaines approuvs (indication du mot de passe attribu)
Utilisateur gestionnaire Exemple: On souhaite que les utilisateurs du domaine Windows NT 4.0 IUP_INFO soient autoriss sur les machines du domaine Windows 2000 PHILO.UNIV-FCOMTE.FR.
Au moyen du gestionnaire des utilisateurs d'un contrleur du domaine IUP_INFO, configurer une autorisation d'approbation (attribution d'un mot de passe) pour le domaine PHILO.UNIV-FCOMTE.FR (PHILO en terminologie NT 4.0).
Approbation prpare
Au moyen du gestionnaire d'approbation d'un contrleur du domaine PHILO.UNIVFCOMTE.FR, configurer l'approbation des utilisateurs du domaine IUP_INFO (indication du mot de passe cr cette intention).
Approbation tablie
Accs aux utilisateurs de tous les domaines approuvs
Administration (Les stratgies de groupe)
Les stratgies de groupe
Une stratgie de groupe ou stratgie de scurit est un ensemble d'lments de configuration de Windows 2000 s'appliquant un ordinateur, un utilisateur ou un groupe d'utilisateurs permettant d'autoriser ou d'interdire certaines actions. Les stratgies sont organises avec une gestion de priorit entre stratgies et la possibilit de ne pas dfinir tel ou tel lment dans une stratgie pour que cet lment soit pris en compte dans une stratgie moins prioritaire. Il existe par dfaut une stratgie de scurit locale sur chaque ordinateur Windows 2000 non contrleur de domaine. Une stratgie de scurit de contrleur de domaine est aussi dfinie par dfaut concernant l'ensemble des contrleurs du domaine. Enfin, une stratgie de scurit de domaine est dfinie par dfaut l'chelle du domaine concernant toutes les machines. Ces trois stratgies sont, dans cet ordre, de la moins prioritaire la plus prioritaire. Un administrateur pourra crer des stratgies de scurit destination d'ordinateurs, d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorit avec les stratgies par dfaut. Toutes les modifications ralises sont automatiquement dployes sur le domaine en temps rel. Les paramtres de stratgie de compte sont tous appliqus au niveau du domaine. La stratgie par dfaut des contrleurs de domaine, intgre Windows, dfinit les valeurs par dfaut des stratgies de compte, stratgies de verrouillage de compte et stratgies Kerberos. Au moment de dfinir ces stratgies dans Microsoft Active Directory, gardez l'esprit que Microsoft Windows n'autorise qu'une seule stratgie de compte de domaine : la stratgie de compte applique au domaine racine de l'arborescence. La stratgie de compte de domaine devient la stratgie de compte par dfaut de tout systme Windows membre du domaine. Il existe une seule exception cette rgle : lorsqu'une autre stratgie de compte est dfinie pour une unit d'organisation. Dans ce cas, les paramtres de la stratgie de compte de l'unit d'organisation (UO) affecteront la stratgie locale de tous les ordinateurs contenus dans l'UO. Les paramtres de chacun de ces types sont dcrits dans ce module. Les stratgies de compte sont mises en uvre au niveau du domaine. Un domaine Microsoft Windows Server 2003 ne doit avoir qu'une seule stratgie de mot de passe, une seule stratgie de verrouillage de compte et une seule stratgie de protocole d'authentification Kerberos version 5 pour le domaine. Si vous configurez ces stratgies n'importe quel autre niveau dans Active Directory, elles ne s'appliqueront qu'aux comptes locaux des serveurs membres. Si certains groupes requirent d'autres stratgies de mot de passe, vous devez les segmenter dans un domaine ou une fort part, en fonction de leurs autres besoins. Pour les comptes de domaine, il ne peut y avoir qu'une seule stratgie de compte par domaine. La stratgie de compte doit tre dfinie dans la Stratgie de domaine par dfaut ou dans une nouvelle stratgie lie la racine du domaine et ayant la priorit sur la Stratgie de domaine par dfaut, qui est applique par les contrleurs de domaine qui constituent le domaine. Un contrleur de domaine extrait toujours la stratgie de compte auprs de la racine du domaine, mme si une autre stratgie de compte est applique l'unit d'organisation dont il fait partie. La racine du domaine est le conteneur de niveau suprieur du domaine, ne pas confondre
avec le domaine racine d'une fort ; dans une fort, le domaine racine est le domaine de niveau suprieur au sein de la fort. Par dfaut, les stations de travail et les serveurs appartenant un domaine, les ordinateurs membres du domaine, reoivent galement la mme stratgie de compte pour leurs comptes locaux. Toutefois, il est possible d'appliquer aux ordinateurs membres des stratgies de compte local diffrentes en dfinissant une stratgie de compte pour l'UO contenant les ordinateurs membres. Stratgie de scurit locale Utilise pour configurer les paramtres de scurit pour l'ordinateur local. Ces paramtres comprennent la stratgie de mot de passe, la stratgie de verrouillage du compte, la stratgie d'audit, la stratgie de scurit du protocole IP, les attributions des droits utilisateur, les agents de rcupration pour les donnes cryptes et d'autres options de scurit. La stratgie de scurit locale est disponible uniquement sur les ordinateurs Windows 2000 qui ne sont pas contrleurs de domaine. Si l'ordinateur est membre d'un domaine, ces paramtres peuvent tre remplacs par les stratgies reues du domaine.
Les paramtres locaux sont indiqus dans la deuxime colonne, les paramtres hrits du domaine (qui s'appliquent car prioritaires) sont indiqus dans la troisime colonne.
Stratgie de mot de passe Dfinition des paramtres de validit des comptes d'utilisateur: gestion d'un historique des mots de passe pour empcher l'introduction du mme mot de passe chaque changement, dure maximale d'un mot de passe
avant changement obligatoire, dure minimale du mot de passe, complexit du mot de passe, longueur minimale des mots de passe, cryptage
Dure maximale d'un mot de passe
Complexit des mot de passe
Longueur minimale du mot de passe
Stratgie de verrouillage verrouillage des comptes en cas de tentatives de connexion infructueuses trop nombreuses
Dure de verrouillage du compte

Le paramtre Dure de verrouillage du compte dtermine le nombre de minutes pendant lesquelles le compte reste verrouill, avant d'tre automatiquement dverrouill. Ce nombre peut tre compris entre 1 et 99 999 minutes. Vous pouvez spcifier la valeur 0 pour que le compte reste bloqu jusqu' ce qu'un administrateur le dverrouille explicitement. Si un seuil de verrouillage du compte est dfini, la dure de verrouillage du compte doit tre suprieure ou gale la dure de rinitialisation.
Seuil de verrouillage du compte

Le paramtre Seuil de verrouillage du compte dtermine le nombre de tentatives de connexion infructueuses partir duquel le compte est verrouill. Un compte verrouill ne peut plus tre utilis tant qu'il n'a pas t dverrouill par un administrateur ou tant que la dure de verrouillage du compte n'a pas expir. Vous pouvez dfinir un nombre de tentatives de connexion compris entre 1 et 999 ou spcifier que le compte ne doit jamais tre verrouill en spcifiant la valeur 0. Si vous dfinissez un seuil de verrouillage du compte, alors la dure de verrouillage du compte doit tre suprieure ou gale la dure de rinitialisation.
Rinitialiser le compteur de verrouillages du compte aprs

Le paramtre Rinitialiser le compteur de verrouillages du compte aprs dtermine le nombre de minutes devant s'couler aprs une tentative d'ouverture de session infructueuse pour que le compteur d'checs d'ouverture de session revienne 0. Si un Seuil de verrouillage du compte est dfini, cette dure de rinitialisation doit tre infrieure ou gale la Dure de verrouillage du compte. Si aucune stratgie n'est dfinie pour remettre zro le verrouillage des comptes, les administrateurs devront dverrouiller manuellement tous les comptes. Si ce paramtre est configur sur une dure raisonnable, les comptes utilisateur seront verrouills pendant une certaine priode, puis ils seront dverrouills automatiquement.
Stratgie Kerberos
Dans Windows Server 2003, le protocole d'authentification Kerberos version 5 fournit le mcanisme par dfaut utilis par les services d'authentification, ainsi que les donnes d'autorisation requises pour permettre aux utilisateurs d'accder aux ressources et d'effectuer des oprations sur celles-ci. En diminuant la dure de vie des tickets Kerberos, vous diminuez le risque que les informations d'identification lgitimes d'un utilisateur soient dtournes par un pirate. Cependant, vous augmentez la charge lie l'autorisation. Dans la plupart des environnements, ces paramtres n'ont pas tre modifis. Ces paramtres sont appliqus au niveau du domaine. Les valeurs par dfaut sont configures dans l'objet Stratgie de groupe du domaine par dfaut de l'installation par dfaut d'un domaine Active Directory Windows 2000 ou Windows Server 2003.
Appliquer les restrictions pour l'ouverture de session

Ce paramtre de scurit dtermine si le service systme Centre de distribution de cls Kerberos V5 valide chaque demande de ticket de session en vrifiant la stratgie des droits utilisateur du compte utilisateur. La validation de toutes les demandes de ticket de session est une tape facultative car elle prend du temps et peut ralentir l'accs aux services via le rseau. Si ce paramtre est dsactiv, les utilisateurs pourront se voir attribuer des tickets de session correspondant des services qu'ils n'ont pas le droit d'utiliser.
Dure de vie maximale du ticket de service

Ce paramtre de scurit dtermine la dure maximale (en minutes) pendant laquelle un ticket de session accord peut tre utilis pour accder un service donn. Ce paramtre doit tre dfini sur une valeur de 10 minutes ou plus, et infrieure la Dure de vie maximale du ticket utilisateur. Si un client prsente un ticket de session expir lors d'une demande de connexion un serveur, le serveur renvoie un message d'erreur. Le client doit demander un nouveau ticket de session au Centre de distribution de cls Kerberos V5. Une fois la connexion authentifie, toutefois, la dure de validit du ticket de session n'est plus prise en compte. Les tickets de session servent uniquement authentifier les nouvelles connexions aux serveurs. Les oprations en cours ne sont pas interrompues si le ticket de session ayant servi authentifier la connexion expire au cours de celle-ci. Si la valeur de ce paramtre est trop leve, les utilisateurs pourront accder aux ressources rseau en dehors de leurs horaires de connexion, ou les utilisateurs dont les comptes ont t dsactivs pourront continuer accder aux ressources rseau l'aide de tickets de service mis avant la dsactivation du compte.
Dure de vie maximale du ticket utilisateur

Ce paramtre de scurit dtermine la dure maximale (en heures) d'un ticket d'attribution de tickets octroy un utilisateur. Lorsque le ticket d'attribution de tickets d'un utilisateur expire, un nouveau ticket doit tre demand ou le ticket existant doit tre renouvel . Si la valeur de ce paramtre est trop leve, les utilisateurs pourront accder aux ressources rseau en dehors de leurs horaires de connexion, ou les utilisateurs dont les comptes ont t dsactivs pourront continuer accder aux ressources rseau l'aide de tickets de service mis avant la dsactivation du compte.
Dure de vie maximale pour le renouvellement de ticket utilisateur

Ce paramtre de scurit dtermine la priode maximale (en jours) au cours de laquelle le ticket d'attribution de tickets d'un utilisateur peut tre renouvel. Si la valeur de ce paramtre est trop leve, les utilisateurs pourront renouveler des tickets utilisateur octroys il y a trs longtemps.
Tolrance maximale pour la synchronisation des horloges des ordinateurs

Ce paramtre de scurit dtermine l'intervalle maximal (en minutes) que Kerberos V5 tolre entre l'heure de l'horloge du client et l'heure du contrleur de domaine sur lequel le systme Windows Server 2003 fournissant l'authentification Kerberos est excut. Pour viter les attaques par relecture , la dfinition du protocole Kerberos V5 inclut l'horodatage. Pour que l'horodatage fonctionne correctement, les horloges du client et du contrleur de domaine doivent tre aussi synchrones que possible. tant donn que l'heure varie trs souvent d'un ordinateur l'autre, les administrateurs peuvent utiliser cette stratgie pour dfinir la diffrence maximale que Kerberos V5 peut accepter entre l'horloge d'un client et celle du contrleur de domaine. Si la diffrence entre l'horloge d'un client et l'horloge du contrleur de domaine est infrieure la diffrence maximale dfinie dans la stratgie, tout horodatage utilis dans une session entre les deux ordinateurs est considr comme authentique. Horodatage=Enregistrement de la date de cration ou d'existence d'une information.
Stratgie d'audit Lancement de l'audit sur certains vnements: la gestion des utilisateurs et des groupes, l'ouverture et la fermeture de session, l'accs aux fichiers et objets, l'ouverture et la fermeture de session, l'utilisation de ses droits par un utilisateur, les arrt et dmarrage du systme, l'utilisation de ses droits par un utilisateur, ...
Droits des utilisateurs A l'installation du systme, droits par dfaut attribus aux groupes d'utilisateurs prdfinis, leurs autorisant tel ou tel privilge. Extension ou restriction possible de ces droits
Utilisateurs autoriss ouvrir une session
Arrt du systme
Options de scurit
Accs aux stratgies du domaine Outre les accs proposs dans les outils d'administration, la MMC peut tre utilise et paramtre pour crer d'autres points d'accs.
Dans l'outil MMC demander l'ajout d'un composant logiciel enfichable. Choisir un composant de type stratgie de groupe
Aucun composant prsent. Demander ajouter
Demander Parcourir
Ajouter les deux stratgies par dfaut du domaine
Pas de stratgie site
Ajouter la stratgie locale
Ajouter la stratgie locale de l'autre machine du domaine
Rsultat des slections
Rsultat dans la MMC Cration et affectation d'une stratgie de scurit l'chelle d'un domaine
Accs aux proprits de l'entre portant le nom d'un domaine
Etat initial
Etat aprs cration de la stratgie "Test Policy". Stratgie la moins prioritaire
Nouvel ordre des stratgies de groupe
Options de cette stratgie
Menu contextuel associ une stratgie
Proprits gnrales d'une stratgie
Liaisons sur cette stratgie entre sites, domaines et unit organisationnelles
Scurit de cette stratgie (valeurs initiales)
Pour qu'une stratgie s'applique un utilisateur, un groupe d'utilisateurs ou un ordinateur, les scurits doivent tre places en "Lire" et en "Appliquer la stratgie de groupe".
Ouverture de la stratgie dans la MMC via un double-clic Quelques manipulations utiles

Cration d'une stratgie de groupe pour l'administrateur du domaine et lui autorisant tout Autorisation d'ouverture de session de travail attribue tous les utilisateurs sur les machines Windows 2000 Server Limitation de la taille du profil des utilisateurs Limitation de l'accs l'onglet paramtres du panneau de configuration Affichage Paramtrage de la stratgie de gestion des mots de passe
Gestion de lordinateur
Gestions des utilisateurs locaux (inactif sur un contrleur de domaine)
Administration (La gestion des profils d'utilisateurs, le gestionnaire de licence, l'diteur du registre)
La gestion des profils d'utilisateurs Profil de l'utilisateur en cours de session stock sous \Documents and Settings. Outre ce profil, on trouve dans ce rpertoire tous les profils d'autres utilisateurs qui n'auraient pas t supprims, ainsi que les profils All Users et Default User. Profil d'un utilisateur compos de deux parties :

une partie commune tous les utilisateurs (non modifiable) stocke dans le rpertoire \Documents and Settings\All Users, une partie spcifique l'utilisateur (ventuellement modifiable) stocke dans un rpertoire portant le non de l'utilisateur sous \Documents and Settings.
Existence d'un profil prdfini l'installation:
"Default User" (utilisateur par dfaut): Profil attribu tout utilisateur n'en possdant encore aucun (Attribution ralise par cration d'une copie)
Profil non modifiable -> mise en lecture seule de l'arborescence qui le contient. Profil errant (ou itinrant): 1. tlcharg sur le rseau vers le poste client depuis un serveur lors de l'ouverture de session d'un utilisateur, 2. install sur le poste client, 3. utilis sur le poste client (ventuellement modifi si l'utilisateur en possde le droit), 4. dcharg depuis le poste client vers le serveur la fermeture de session. Profil local: Profil stock uniquement localement Profil en cache: Profil errant rest sur un poste client aprs fermeture de session (ventuellement rutilisable sur ce mme poste). Configuration possible d'une commande d'effacement au moment de la fermeture de session pour qu'il n'y ait pas de profil en cache. Attribution d'un profil personnel errant un utilisateur U travaillant sur plusieurs machines:

Partager un rpertoire du serveur en contrle total pour U. Indiquer explicitement au moyen du gestionnaire d'utilisateurs que U possde un profil situ sur cette ressource. Crer dans le rpertoire partag pour U un profil par copie d'un autre profil. Si cette copie n'est pas faite, lors de sa premire ouverture de session, U se verra attribu par copie le profil Default User du poste client de connexion.
Sur une machine possdant un administrateur local et hritant d'un administrateur de domaine, existence de deux profils Administrateur:

un pour l'administrateur du domaine, l'autre pour l'administrateur de la station.
Le profil d'un utilisateur Profil de l'administrateur Bureau: Contenu du bureau Cookies: cookies de l'administrateur Favoris: favoris de l'administrateur Menu Dmarrer: menu dmarrer de l'administrateur NTUSER.dat: partie de registre de l'administrateur ... Le profil All Users Un bureau, des documents, des favoris, un menu dmarrer, ..., mais il manque certains fichiers personnels (NTUser.dat) Les utilisateurs reoivent l'union de leur profil personnel et du profil "All Users". Ceci concerne en particulier le bureau, les documents, les favoris et le menu dmarrer.
Le profil Default User : Un profil complet
Le gestionnaire de licences
Dfinitions (Documentation Microsoft) Mode de licence "par sige": Une licence d'accs client pour chaque ordinateur amen accder un serveur excutant Windows NT Server pour fournir des services rseau de base (services de fichiers, d'impression, d'accs distant, ...). Une fois qu'un ordinateur est sous licence, il peut accder, sans cot supplmentaire, tout ordinateur install sur le rseau excutant Windows NT Server. Plusieurs utilisateurs peuvent galement ouvrir une session sur ce mme ordinateur sans frais supplmentaires. Le mode licence "par sige" est souvent le plus conomique pour les rseaux dont les clients se connectent gnralement plusieurs serveurs. -> Ce mode revient enregistrer les utilisateurs. Mode de licence "par serveur": Chaque licence d'accs client est accorde un serveur donn et autorise une connexion ce serveur pour fournir des services rseau de base (services de fichiers, d'impression, d'accs distant, ...). Vous devez disposer d'un nombre de licences d'accs client rserves ce serveur gal ou suprieur au nombre maximum dordinateur client susceptible de se connecter ce serveur un instant quelconque. Le mode de licence "par serveur" est souvent le plus conomique pour les rseaux dont les clients se connectent gnralement un seul serveur. -> Ce mode revient enregistrer les machines. Le gestionnaire de Licences permet une gestion des licences plus puissante que le panneau de configuration "Licences":
gestion des licences centralise pour l'ensemble d'un domaine: o cration, o destruction, o historique des actions, o etc, gestion d'autres licences que les seules licences d'accs client Windows NT (produits Microsoft), obtention de statistiques d'utilisation, ...
Historique des achats sur le domaine
Licences achetes et alloues au cours du temps sur ce domaine dans les deux modes de gestion
Clients rpertoris en mode de licence par sige sur le domaine
Explorateur de serveur pour accder aux configurations particulires des serveurs de licence Proprits demandes sur une licence logicielle gre
Clients rpertoris en mode de licence par sige sur cette machine pour les licences d'accs client
Historique des achats sur cette machine pour les licences d'accs client
Nombres de licences accs client achetes sur l'ensemble des machines du domaine et accs ces machines Installation de nouvelles licences
Fentre de dclaration de nouvelles licences
Fentre de Warning associe la dclaration de nouvelles licences
Choix du mode de licence sur un serveur Un serveur de licence est slectionn.
Un seul aller et retour est possible entre les deux modes
Rvocation d'un utilisateur dans le cas du mode de licence par sige
Dpassement du nombre de licences autorises
Dans l'onglet "Clients par sige" des proprits du type de licence concern, utilisation du bouton rvocation pour rcuprer la licence d'accs client
Acquitement
L'diteur du registre
L'ensemble des paramtres systme est sauvegard dans une base de donnes scurise appel "Registre".
Les programmes Regedit.exe et Regedt32.exe donnent un accs direct ces donnes. Regedit.exe est hrit de Windows 95, Regedt32.exe est la version Windows 2000 et intgre les fonctionnalits supplmentaires de connexion distante et de gestion des autorisations.
ATTENTION: Ces applications sont utiliser de manire extrmement prudente car les actions ralises sont irrversibles. ATTENTION: Faute d'une configuration contraire, l'utilisation de ces outils est autorise aux utilisateurs (dans la limite des protections places). Pour une machine, organisation arborescente de l'information dans 5 arbres:

HKEY_LOCAL_MACHINE : Configuration globale de la machine HKEY_CURRENT_CONFIG : Configuration du profil matriel actuellement utilis HKEY_USERS : Configuration des utilisateurs possdant un profil local HKEY_CURRENT_USER : Configuration de l'utilisateur en cours de session HKEY_CLASSES_ROOT : Configuration de l'environnement d'utilisation de la machine (associations extensions-applications, ...)
Les cls des arborescences sont affiches gauche, les valeurs droite. Types de valeur: REG_BINARY: Donne "champ d'octets" REG_DWORD: Donne numrique sur 4 octets REG_EXPAND_SZ: Chane de longueur variable REG_MULTI_SZ: Chane multiple REG_SZ: Chane de longueur fixe
Administration (L'administration distance, l'administration Active Directory)

L'administration distance Joindre un domaine L'administration distante ncessite le regroupement des ordinateurs en domaine. Les machines Windows 2000 Professionnel ne pourront intgrer un domaine qu'en tant que membre. Les oprations d'authentification qu'elles raliseront seront sous-traites un contrleur du domaine. Une machine Windows 2000 Server pourra tre intgre de deux manires:
En tant que serveur simple, elle est gre comme une machine Windows 2000 Professionnel mais peut possder un certain nombre des fonctionnalits de Windows 2000 Server (IIS par exemple). En tant que contrleur de domaine supplmentaire, elle fait fonctionner Active Directory Service pour stocker une copie de la base de donnes de gestion du domaine et est capable de raliser des authentifications.
Joindre une machine membre simple un domaine Dans l'onglet Identification du panneau de configuration Systme, demander la modification.
Intgration de l'ordinateur diogene au domaine Windows 2000 philo.univ-fcomte.fr
Modification du suffixe DNS principal dans la configuration TCP/IP (bouton Autres)
Authentification de l'adjonction par un administrateur du domaine
Acquittement
Redmarrage
Rsultat dans le gestionnaire des Utilisateurs et Ordinateurs Active Directory: Computers contient une machine de plus.
Menu contextuel associ au membre simple
Proprits du membre simple: Paramtres gnraux
Proprits du membre simple: Systme d'exploitation
Proprits du membre simple: Rle au sein du domaine
Proprits du membre simple: Emplacement
Proprits du membre simple: Utilisateur gestionnaire
Joindre un contrleur supplmentaire un domaine Dans l'outil "Configuration du Serveur", lancer l'assistant d'installation d'Active Directory.
Dbut de l'installation
Choix de l'installation d'un contrleur supplmentaire
Identification pour l'adjonction
Choix du domaine
Rpertoires d'installation
Mot de passe pour le mode Restauration des services d'annuaire
Rsum avant l'installation effective
Installation
Fin de l'installation
Redmarrage
Rsultat dans le gestionnaire des Utilisateurs et Ordinateurs Active Directory: Domain Controllers contient une machine de plus.
Menu contextuel associ au controleur supplmentaire
Proprits du controleur supplmentaire: Paramtres gnraux
Proprits du controleur supplmentaire: Systme d'exploitation
Proprits du controleur supplmentaire: Rle au sein du domaine
Proprits du contrleur supplmentaire: Emplacement
Proprits du controleur supplmentaire: Utilisateur gestionnaire
La MMC Windows 2000 permet l'administration distance sur les machines d'un domaine. Les possibilits sont multiples. Elles sont majoritairement bases sur la possibilit qu'offre la MMC de se connecter sur une machine distante pour l'administrer comme s'il s'agissait de la machine locale.
Choix du composant logiciel enfichable joindre
Choix de l'hte joindre
Rsultat dans la MMC
Accs distance la Gestion des disques de diogene.univ-fcomte.fr
Possibilit de crer un fichier MSC pour accder de nouveau au composant cible Autres outils Certains outils d'administration de Windows 2000 intgrent nativement la possibilit de connexion distante. Ce sont, entre autres, l'observateur d'vnements (bas sur la MMC), le gestionnaire des services Internet (bas sur la MMC), le gestionnaire d'ordinateur (bas sur la MMC), le gestionnaire d'utilisateur et d'ordinateur Active Directory (bas sur la MMC), l'diteur du registre.
L'administration Active Directory La dlgation de contrle Les objets Active Directory peuvent voir leur contrle dlgu.
Internet Information Server (IIS 5.0)

Introduction IIS est un ensemble de services TCP/IP ddis l'Internet. Il comprend les serveurs suivants:

Web, FTP, Gopher, SMTP, NNTP,
et les outils d'administration associs. Modification de Windows 2000 Server aprs l'installation de IIS 5.0
Cration d'un rpertoire \Inetpub dans lequel seront stocks dans diffrents rpertoires (Wwwroot pour le WEB, Ftproot pour le FTP) les fichiers des diffrents sites crs. Configuration des permissions sur ces rpertoires. Cration de deux comptes. Le compte IUSR_NomMachine est le compte qui sera utilis pour dsigner l'utilisateur anonymous et permettre la gestion des permissions pour ses accs. Installation de diffrents services: o Service de publication Worls Wide Web: dmon Web, o Service de publication FTP: dmon FTP, o Service IIS Admin: Service ncessaire l'administration de IIS y compris via le rseau, o Indexe de contenu: Service d'indexation des rpertoires des sites installs (accs plus rapide), o ... Installation des outils d'administration de IIS et cration des raccourcis correspondants dans les outils d'administration et au sein du gestionnaire d'ordinateur.
Configuration de IIS 5.0
L'administration de IIS 5.0 est ralise via le Gestionnaire des services Internet, c'est dire la MMC (Microsoft Management Console) munie du snap-in iis.msc,
Fentre du Gestionnaire des Services Internet
Menu contextuel du gestionnaire des Services Internet
Menu contextuel associ un serveur
Menu contextuel associ un site FTP
Menu contextuel associ un site Web
Menu contextuel associ un site Web Trois sites sont installs localement:

le site FTP par dfaut, le site WEB par dfaut, le site WEB d'administration (Administrateur des Services Internet via HTML).
Site FTP par dfaut: Vide
Site Web par dfaut: Site FrontPage Possibilit de connexion sur un serveur IIS distant.
Si le composant a t install, il est aussi possible de raliser l'administration des service WEB via Internet depuis un navigateur.
Les services FTP Aprs slection des proprits d'un site FTP.
Attribution de l'adresse IP laquelle sera associ le site FTP parmi toutes celles dfinies sur l'hte et le port TCP sur lequel le site FTP est install (port FTP standard: 21). Configuration du nombre de connexions simultanes pouvant tre gres ainsi que du dlai de dconnexion automatique en cas d'inactivit
Configuration de la gestion (intervalles de temps, localisation) et des informations enregistres (clients, fichiers tlchargs, quantits d'informations, ...) dans le journal de log du site FTP
Sessions en cours sur le site FTP et cloture ventuelle
Comptes de connexion anonyme et d'administration
Messages de connexion et de dconnexion
Rpertoire de base: Soit un rpertoire local, soit un rpertoire rseau. Lecture seule ou lecture/criture
Scurit d'accs implante sur un rpertoire en fonction de l'adresse ou d'une classe d'adresses
Les services WEB
Attribution de l'adresse IP laquelle sera associ le site Web parmi toutes celles dfinies sur l'hte et le port TCP sur lequel le site Web est install (port Web standard: 80). Configuration du nombre de connexions simultanes pouvant tre gres ainsi que du dlai de dconnexion automatique en cas d'inactivit
Configuration de la gestion (intervalles de temps, localisation) et des informations enregistres (clients, fichiers tlchargs, quantits d'informations, ...) dans le journal de log du site FTP
Configuration avance du site
Comptes des oprateurs du site
Performances du site
Filtres ISAPI
Rpertoire de base: Soit un rpertoire local, soit un rpertoire rseau, soit une URL. Accs en lecture seule ou lecture/criture. Journalisation et/ou indexation. Exploration
Documents de base lorsqu'aucun fichier explicite
Messages d'erreur
Extensions serveur
Paramtres de contrle d'accs et types mime
Les types MIME
Scurits d'accs au rpertoire
Filtrage IP sur des adresses, des classes d'adresse ou des noms de domaine
Authentification
Cration d'un nouveau site FTP Plusieurs sites FTP peuvent tre hbergs sur le mme serveur FTP. La diffrenciation entre les sites est ralise soit par l'adresse IP sur lequel le site est install (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes rseau sont installes), soit par le port TCP sur lequel le site rpond. Le port standard du FTP est le port 21. C'est celui qui est utilis implicitement si aucun port n'est indiqu explicitement. Les ports de 0 1023 sont standardiss et non utilisables. Les ports de 1024 65535 sont libres.
Nom du site dans le Gestionnaire des Services Internet
Choix de l'adresse IP associ au site (parmi celles disponibles sur l'hte)
Choix du port TCP associ au site (Port FTP standard : 21)
Chemin d'accs au rpertoire local associ au site
Contrle d'accs
Fin de la cration
Rsultat de la cration Cration d'un nouveau site WEB Plusieurs sites WEB peuvent tre bergs sur le mme serveur FTP. La diffrenciation entre les sites est ralise soit par l'adresse IP sur lequel le site est install (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes rseau sont installes), soit par le nom d'entte utilis par le client WEB, soit par le port TCP sur lequel le site rpond. Le port standard du WEB est le port 80. C'est celui qui est utilis implicitement si aucun port n'est indiqu explicitement. Les ports de 0 1023 sont standardiss et non utilisables. Les ports de 1024 65535 sont libres.
Nom du site dans le Gestionnaire des Services Internet
Choix de l'adresse IP associ au site (parmi celles disponibles sur l'hte)
Choix du port TCP associ au site (Port Web standard : 80)
Choix du nom d'entte auquel rpondra le site
Chemin d'accs au rpertoire local associ au site
Contrle d'accs
Fin de la cration
Rsultat de la cration
Proprits avances du site Web cr
Site cr en accs depuis Internet Explorer (vide) Cration d'un rpertoire virtuel FTP Un rpertoire virtuel est un rpertoire cr et gr logiciellement par le serveur FTP au sein de l'arborescence des rpertoires physiques existant dans le rpertoire de base. Cet "alias" peut correspondre un rpertoire de la machine locale ou un rpertoire partag sur un autre ordinateur.
Nom du rpertoire virtuel sur le site FTP
Rpertoire local correspondant
Contrle d'accs
Cration d'un rpertoire virtuel (alias) FTP
Rsultat dans le Gestionnaire des Services Internet Cration d'un rpertoire virtuel Web Un rpertoire virtuel est un rpertoire cr et gr logiciellement par le serveur WEB au sein de l'arborescence des rpertoires physiques existant dans le rpertoire de base. Cet "alias" peut correspondre un rpertoire de la machine locale, un rpertoire partag sur un autre ordinateur ou une redirection vers un autre site WEB.
Nom du rpertoire virtuel sur le site Web
Rpertoire local correspondant
Contrle d'accs
Cration d'un rpertoire virtuel (alias) Web
Rsultat dans le Gestionnaire des Services Internet Les types MIME Sauvegarde d'un serveur
Gestion de plusieurs sauvegardes Redmarrage d'un serveur
Demande de redmarrage
Redmarrage en cours
Qu'est-ce qu'un type MIME? MIME: Multipurpose Internet Mail Extensions Standard propos par les laboratoires Bell Communications en 1991 afin d'tendre les possibilits du courrier lectronique (mail), c'est--dire de permettre d'insrer des documents (images, sons, texte, ...) dans un courrier. Utiliss pour typer:

les documents attachs un courrier les documents transfrs par le protocole HTTP.
Lors d'une transaction entre un serveur web et un navigateur Internet, le serveur web envoie d'abord le type MIME du fichier envoy au navigateur, de manire qu'il puisse savoir de quelle manire afficher le document. Un type MIME est constitu de la manire suivante:
Content-type: type_mime_principal/sous_type_mime
Une image GIF a par exemple le type MIME suivant: Content-type: image/gif
!************************************* ! Question 1 a) Un domaine Windows 2000 est un ensemble de machines gres comme une seule machine du point de vue des utilisateurs, des groupes d'utilisateurs et des stratgies de scurit associes. Un domaine Windows 2000 comporte un ou plusieurs contrleurs de domaine et 0, 1 ou plusieurs machines clientes simples. Ces informations de scurit sont stockes et rpliques sur les contrleurs au sein d'Active Directory. Les contrles de scurit sont raliss uniquement par les contrleurs. Les machines clientes dlguent ces contrles l'un quelconque des contrleurs. L'administration d'un domaine Windows 2000 peut tre ralise de manire centralise depuis n'importe quel contrleur sans hirarchie en ceux-ci. b) Un domaine TCP/IP est un ensemble de machines dont les noms TCP/IP fournis par serveur(s) DNS (Domain Name Server) se terminent par la mme sous-chane alphanumrique. Les points de cette chane sont les dlimiteurs entre tokens de domaine et sous-domaine. Exemple n1: fr est le domaine TCP/IP pour la France. Exemple n2: univ-fcomte.fr est un sous-domaine du domaine fr est et le domaine TCP/IP de l'Universit de Franche-Comte. Ces deux notions n'ont donc que peu de rapport si ce n'est que les domaines Windows 2000 sont mapps sur des domaines TCP/IP. Au moins dans les cas simples, la cration d'un serveur DNS et d'un domaine TCP/IP sera gnralement associe la cration d'un domaine Windows 2000.
Question 2 Pour transiter sur un rseau Ethernet, les messages d'information sont dcoups en morceaux lmentaires de quelques dizaines d'octets. A partir de chacun de ces morceaux, un "paquet" est construit avec indication, entre autres, de la machine mettrice et de la machine destinataire. Puis le paquet est transmis sur le rseau. Les modes de fonctionnement des deux types de matriel d'interconnexion sont diffrents du point de vue de l'information transmise aux machines qui sont connectes sur leurs ports. Dans le cas des concentrateurs, tout paquet est transmis l'ensemble des machines connectes. La machine destinataire rceptionne et utilise l'information. Toutes les machines non destinataires rceptionnent et ignorent l'information. Dans le cas des commutateurs, le matriel d'interconnexion acquire la connaissance des machines qui lui sont relies (via l'adresse MAC de leurs cartes rseau) de manire n'envoyer les lments d'information que vers les machines auxquelles ils sont destins. On comprend bien que du point de vue de la scurit, utiliser des concentrateurs revient crier des informations confidentielles dans une pice pleine de gens en esprant que ceux-ci entendront mais n'couteront pas ce qu'on leur dit. Un programme "Sniffer" install sur une machine QUELCONQUE connecte un concentrateur pourra couter l'ensemble des communications la recherche de donnes prcises (login, password par exemple). Dans le cas d'un rseau commut, ce mme programme sniffer ne pourra entendre que les
communications originaire ou destination de la machine sur laquelle il fonctionne -> une plus grande confidentialit.
Question 3 a) Dans la configuration TCP/IP d'une machine, le masque de sous-rseau dfinit l'ensemble des machines situes dans le mme sous-rseau logique qu'elle. Lorsqu'un message doit tre envoy l'une de ces machines, il l'est directement. Tout message envoy une autre machine sera dans un premier temps envoy l'adresse de la "passerelle par dfaut" o doit se trouver un matriel mme de router ce message vers le vritable destinataire. Un masque de sous rseau est constitu, comme les adresses IP, d'une quadrette d'octets. Ceux-ci ne peuvent pas tre arbitraires car ils dfinissent un masque numrique. En arithmtique binaire, ces 4 octets forment une suite de 32 bits dfinissant une suite gauche de 1 suivie d'une suite droite de 0 (exemple: 11111111.11111111.11111111.10000000). Si, d'une part, le "et binaire" entre une premire adresse IP et le masque et, d'autre part, le "et binaire" entre une deuxime adresse IP et le masque sont gaux alors les deux machines font partie du mme sous-rseau TCP/IP. Il est bien entendu, que les deux machines possdant ces adresses IP devront avoir le mme masque de sous rseau pour que cela fonctionne effectivement. Les masques de sous rseau ne sont pas renseigns en binaire, mais classiquement en dcimal (exemples: 255.255.0.0, 255.255.255.192). b) La plage de 42 d'adresses correspondant l'opration de filtrage demande ne peut pas tre implante au moyen d'un seul filtre car elle est trop complexe (172.20.132.11 et 172.20.132.52) et ne peut tre mappe sur un masque. Le filtre est donc le suivant: Toutes les connexions sont refuses sauf pour les 6 filtres: Groupe de machine ou machine
172.20.128.11 172.20.128.12, ..., 172.20.128.15 172.20.128.16, ..., 172.20.128.31 172.20.128.32, ..., 172.20.128.47 172.20.128.48, ..., 172.20.128.51 172.20.128.52
Taille 1 4 16 16 4 1
Adresse
172.20.128.11 172.20.128.12 172.20.128.16 172.20.128.32 172.20.128.49 172.20.128.52
Masque
255.255.255.252 255.255.255.240 255.255.255.240 255.255.255.252
!************************************************ ! Question 1 Ces trois questions sont en relation avec la configuration des serveurs DNS.
Une zone de recherche directe est un sous-ensemble de la base de donnes hberge sur un serveur DNS. Ce sous ensemble renseigne les informations ncessaires la rsolution nom IP vers adresse IP pour un domaine TCP/IP. Plusieurs zones de recherches directes peuvent tre gres sur le mme serveur DNS. Mais, il n'existe, sur un mme serveur, qu'une seule zone par domaine TCP/IP gr.
Une zone de recherche inverse (ou inverse) est un sous-ensemble de la base de donnes hberge sur un serveur DNS. Ce sous-ensemble renseigne les informations ncessaires la rsolution adresse IP vers nom IP pour une classe d'adresses IP. Plusieurs zones de recherche inverse peuvent tre gres sur le mme serveur DNS. Mais, il n'existe, sur un mme serveur, qu'une seule zone par classe d'adresses IP. Un redirecteur est dsign par une adresse IP. Il dsigne un serveur DNS vers lequel rediriger les requtes de rsolution DNS qui n'auraient pas pu tre rsolues positivement ou ngativement. Plusieurs redirecteurs peuvent tre indiqus sur le mme serveur DNS. Cette liste inclura le ou les serveurs DNS des domaines IP parents des domaines IP grs par ce serveur. Elle peut aussi inclure les serveurs DNS des domaines IP enfants.
Question 2
La gestion centralise d'un parc et de comptes d'utilisateurs implique la cration d'un domaine Windows 2000. Par soucis de prennit des informations lies la gestion du domaine Windows, on prvoira non pas un seul contrleur de domaine, mais au moins deux. L'un pourra tre arrt pendant que l'autre assurera la continuit des services de gestion du domaine. On utilisera toute mthode hardware ou software permettant de prenniser le fonctionnement de ces serveurs (salle machines scurise, clustering, RAID,...). On mettra en place une politique de sauvegarde des systmes sur support amovible. La gestion centralise de l'adressage IP reprend et complte les oprations ncessaires la cration d'un domaine Windows 2000. En effet, la cration d'un domaine Windows 2000 require les services d'un serveur DNS pour grer la rsolution de nom sur le domaine TCP/IP qui sera cr en association au domaine Windows 2000. Si ce serveur existe, il peut tre utilis. S'il n'existe pas, il devra tre cr (gnralement sur le premier contrleur de domaine du domaine Windows). L'intrt de l'hbergement du service DNS sur un contrleur du domaine est que les informations qu'il renseigne pourront tre stockes au sein d'Active Directory, permettant ainsi de rsoudre facilement le problme de la prennisation du service DNS sur l'ensemble du parc. Il suffira d'installer le service DNS sur un contrleur de domaine Windows supplmentaire pour que celui-ci rcupre ses informations de configuration dans AD. Sur les clients DNS, on pourra indiquer les adresses IP des 2 (ou plus) serveurs. Pour complter la gestion centralise de l'adressage IP, on installera le service DHCP sur au moins un et plus probablement au moins deux serveurs de manire que ces machines puissent indiquer des clients ventuels leur jeu de paramtres TCP/IP. Il est possible de configurer DHCP pour qu'il maintienne les serveurs DNS jour si on utilise un DHCP dynamique. Le service de partage de fichiers pourra tre implant soit sur un contrleur de domaine, soit sur un serveur indpendant membre du domaine Windows, mais non contrleur et n'ayant donc pas supporter la charge de travail d'administration du domaine Windows. Pour choisir entre les deux solutions, on devra valuer le cot des deux solutions en termes de financement, de risque, de charge de travail pour le rseau et les serveurs, de charge de travail pour le ou les administrateurs,... Le problme est exactement le mme en ce qui concerne le service d'impression.
Question 3 Toutes les adresses sont interdites sauf celles autorises correspondant au ou aux filtres placs.
Le groupe d'adresses de 172.20.128.133 172.20.128.171 ne peut tre dcrit au moyen d'un seul filtre. En effet, ces 39 adresses conscutives ne peuvent pas tre regroupes au sein d'une classe correspondant un masque unique tel que ces adresses possdent n les mmes premiers o n est le nombres de bits 1 conscutifs trouvs dans le masque (de gauche droite). 6 filtres sont ncessaires. Le premier est un filtre pour machine unique. Les 5 suivants sont des filtres pour groupe de machines (avec masque). Groupe de machine ou machine
172.20.128.133 172.20.128.134, ..., 172.20.128.135 172.20.128.136, ..., 172.20.128.143 172.20.128.144, ..., 172.20.128.159 172.20.128.160, ..., 172.20.128.167 172.20.128.168, ..., 172.20.128.171
Taille 1 2 8 16 8 4
Adresse
172.20.128.133 172.20.128.134 172.20.128.136 172.20.128.144 172.20.128.160 172.20.128.168
Masque
255.255.255.254 255.255.255.248 255.255.255.240 255.255.255.248 255.255.255.252
Question 4 a) Il existe au moins 3 techniques pour discriminer des sites (Web, FTP, ...) hbergs sur un mme serveur. Ces techniques sont compatibles entre elles. 1) Associer le site un port TCP/IP particulier. Les ports TCP/IP standards sont le 21 pour le FTP et le port 80 pour le Web. On pourra "installer" le site virtuel sur n'importe quel port de valeur suprieur 1024. L'URL utilise par le client devra alors spcifier explicitement le port utiliser. 2) Associer le site une ou plusieurs adresses IP. Si l'URL du client rfre cette ou une de ces adresses soit directement soit aprs une rsolution de nom DNS (ou hosts), c'est ce site qui sera utilis l'exclusion de tout autre. Cette solution correspond au cas o plusieurs cartes rseau sont installes dans le serveur. Chacune d'elles possde de manire exclusive une adresse IP. Une consquence est que les requtes correspondant un site virtuel arriveront sur la ou les cartes rseau possdant ces adresses IP et non sur les autres. 3) Associer le site un ou des noms d'entte. Dans ce cas le tlchargement est orient vers le site associ au nom. Cette solution est indique lorsqu'une seule carte est installe dans le serveur mais que celui-ci possde plusieurs noms d'htes ou alias sur le ou les serveurs DNS dont il dpend. b) Une premire solution consiste utiliser le filtrage IP, permettant de contrler quelles sont les machines et donc les utilisateurs qui accdent un service. Une deuxime solution consiste supprimer l'accs anonymous aux ressources publies et donc rendre obligatoire l'authentification. Celle-ci pourra tre ralise de diverses manires suivant le service accd (login et mot de passe par dialogue interactif au clavier pour le FTP, login et mot de passe dans l'URL pour l'accs un site Web, ouverture automatique d'une fentre d'authentification pour login et mot de passe, ...). Les droits utilisables sur le site accd sont ceux de l'utilisateur authentifi.
Une troisime solution consiste utiliser des certificats numriques permettant de s'assurer de l'identit du client. Toutes ces solutions sont compatibles.
!*********************************************************************! RIS : Remote Installation Service RIS permet l'installation distance de machines Windows 2000 Professionnel. C'est un moyen ddi l'installation de parcs d'ordinateurs. DFS : Distributed File System DFS permet la construction d'un systme de fichiers partag lui-mme constitu de rpertoires partags. EFS : Encrypted File System EFS propose l'encryptage la vol des fichiers. Seuls les propritaires auront accs au contenu du fichier. Celui-ci restera encrypt mme aprs une copie. FRS : File Replication System FRS est le systme de rplication de fichiers de Windows 2000 Server. Il permet de grer automatiquement un rpertoire rpliqu sur plusieurs htes. TSS : Terminal Server Service TSS est le service Windows 2000 Server permettant de configurer un ordinateur en serveur de terminal Windows (i.e. les postes clients excutent un programme de connexion sur le serveur en mode terminal).
Le processus de synchro par dfaut est le suivant: Un client Windows 2000 contacte 3 fois toutes les 45 minutes sa source de temps. Si la synchronisation horaire seffectue correctement, la priode de synchronisation passe 8h. Si un chec de synchronisation est rencontr, on revient une priode de 45 min 3 fois de suite, etc. Ce comportement est dfini par la valeur de registre [HKLM\System\CurrentControlSet\Services\W32time\Config] Period=SpecialSkew. Les rajustements dhoraire suivent les rgles suivantes :
Si l'heure locale est en retard sur l'heure du serveur de temps, le client modifie immdiatement celle-ci en appliquant l'heure de ce serveur, Si l'heure locale est en avance sur l'heure du serveur de synchronisation de plus de 3 minutes, l'heure locale sest immdiatement synchronise Si le client est en avance sur lheure du serveur de temps mais de moins de 3 minutes. Dans ce dernier cas, l'horloge locale est ralentie jusqu' ce que les deux heures concident. En ce qui concerne les clients Windows XP/2003, lintervalle de synchronisation est variable et gr par lOS ; pour chaque synchronisation, il dpend du rsultat de synchronisation prcdent. Ce comportement est paramtr par les valeurs de registre : [HKLM\System\CurrentControlSet\Services\W32time\Config] MaxPollInterval/MinPollInterval/PollAdjustFactor Pour ce qui est du comportement dajustement de lhorloge, il est le mme que pour un client Windows 2000.

Introduction

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Introduction

Uploaded by

Copyright:

Available Formats

Introduction Elments d'architecture rseau Internet

Elles pourront tre cres:

-> Facilit de gestion. Il y a deux types de groupe:

Groupes issus le cas chant du domaine:

Crateur/propritaire Systme ...

Contenu prcis dun compte dutilisateur

Menu contextuel associ un domaine TCP/IP en zone de recherche directe

Dclaration d'une nouvelle machine (hte)

Dclaration d'un nouvel alias

Lancement de l'assistant de cration de zone inverse

Intgration de la zone Active Directory

Dfinition de l'ID rseau de cette zone

Fin de l'assistant de cration de zone inverse

DNS avec zone de recherche inverse

Menu contextuel associ une zone de recherche inverse

Cration d'un nouveau pointeur de zone de recherche inverse

Onglet Redirecteurs dans les proprits du serveur DNS HERACLITE

Reconfiguration des paramtres TCP/IP

Zone de recherche directe

Zone de recherche inverse Tests (nslookup)

tests nom IP -> adresse IP pour des noms du domaine

test nom IP -> adresse IP pour un alias du domaine

test nom IP -> adresse IP pour un nom quelconque

tests nom IP -> adresse IP pour des noms complets

tests adresse IP -> nom IP pour des adresses du domaine

test adresse IP -> nom IP pour des adresses quelconques

Une MMC vide

Le menu Console Ajout d'un Composant logiciel enfichable (snap-in)

Bouton Ajouter pour choisir le composant souhait

Choix du type de composant

Choix de la localisation gre par le composant

Nouveau contenu de la MMC

Rsultats dans la MMC Sauvegarde d'une console

cration, destruction, proprits, ...

Groupe crs l'installation

Utilisateurs et groupes d'utilisateurs du domaine

Contrleurs de domaine du domaine Menus contextuels associs aux clefs ADS

Utilisateurs et Ordinateurs Active Directory

Changement du mot de passe d'un utilisateur

Rinitialisation du mot de passe Proprits dun utilisateur

Principales proprits du compte

Numros tlphoniques de l'utilisateur

Implantation hirarchique de l'utilisateur dans son entreprise

Groupes d'appartenance de l'utilisateur

Contrle distance des paramtres Terminal Server

Profil utilisateur en cas d'utilisation de Terminal Server

Paramtres d'accs entrant RAS ou VPN

Dmarrage des services Terminal Server

Time out Terminal Server Cration dun groupe

Proprits gnrales d'un groupe

Proprits d'un groupe: membres

Proprits d'un groupe: groupes dont il est membre

Proprits d'un groupe: utilisateur gestionnaire

Affectation d'un rpertoire de base et d'un profil itinrant

Partage de ce rpertoire et configuration des permission sur le rpertoire et sur le partage

Possibilit d'utiliser la variable d'environnement %USERNAME% pour dsigner un utilisateur

Localisation des scripts dans le rpertoire \WINNT\SYSVOL\domain\scripts

Contenu du script Begin.cmd

Rsultat l'ouverture de session de l'utilisateur

Lapprobation entre domaines

Menu contextuel associ un domaine rfrenc

Approbation d'autres domaines

Zone du bas: Domaines approuvs (indication du mot de passe attribu)

Accs aux utilisateurs de tous les domaines approuvs