1.

Introduction ladministration des comptes et des ressources

1.1. Lenvironnement de Windows 2003 Server
1.1.1. Rles des serveurs
De plus en plus dentreprises implmentent de multiples technologies afin d'amliorer l'environnement de travail de leurs employs. Ainsi il n'est pas rare de voir une seule machine configure avec Active Directory, le serveur DNS, le serveur DHCP, le partage de connexion Internet, un serveur VPN et excutant aussi les services de partages de fichiers et dimpression. On distingue ainsi un certain nombre de rles : - Les contrleurs de domaines : Ce sont des serveurs sur lesquels on a install Active Directory et qui soccupent de lauthentification des utilisateurs dans un domaine. - Les serveurs de fichiers : Ce sont des serveurs qui permettent de crer un espace de stockage partag sur le rseau. Ils mettent ainsi une partie de leur espace disque disponible sur le rseau. - Les serveurs dimpression : Ils permettent de partager une imprimante sur un rseau et de grer la file dattente dimpression de celle-ci. - Les serveurs dapplications : Ils permettent une application dutiliser le systme dexploitation comme support afin den utiliser les composants de gestion (ex : serveur de messagerie, de base de donnes, ). Lensemble de ces rles peuvent tre grs laide de loutil Assistant Configurer votre serveur sous Windows 2003 Server.

1.1.3. Prsentation du service dannuaire (Active Directory)

Le service Active Directory (Active Directory) permet une gestion centralise. Cela vous donne la possibilit dajouter, de retirer et de localiser les ressources facilement. Ainsi, nous avons : - Une administration simplifie : Active Directory offre une administration de toutes les ressources du rseau dun point unique. Un administrateur peut se connecter sur nimporte quel ordinateur pour grer les ressources de tout ordinateur du rseau. - Une mise lchelle : Active Directory permet de grer des millions dobjets rpartis sur plusieurs sites si cela est ncessaire. - Un support standard ouvert : Active Directory utilise DNS pour nommer et localiser des ressources, ainsi les noms de domaine Windows 2003 sont aussi des noms de domaine DNS. Active Directory fonctionne avec des services de clients diffrents tels que NDS de Novell. Cela signifie quil peut chercher les ressources au travers dune fentre dun navigateur web. De plus, le support de Kerberos 5 apporte la compatibilit avec les autres produits qui utilisent le mme mcanisme dauthentification.

1.1.4. Structure dActive Directory

La structure dActive Directory est hirarchique, elle se dcompose comme suit : - Objet : reprsente une ressource du rseau qui peut-tre par exemple un ordinateur ou un compte utilisateur. - Classe : description structurelle dobjets tels les comptes dutilisateurs, ordinateurs, domaines, ou units organisationnelles. - Unit organisationnelle (OU) : conteneur utilis pour organiser les objets dun domaine lintrieur de groupes administratifs logiques tels les ordinateurs, les imprimantes, les comptes dutilisateurs, les fichiers partags, les applications et mme dautres units organisationnelles. - Domaine : chacun des objets dun rseau existe dans un domaine et chaque domaine contient les informations des objets quil contient. Un domaine est scuris, cest dire que laccs aux objets est limit par des ACL (Access Control List). Les ACL contiennent les permissions, associes aux objets, qui dterminent quels utilisateurs ou quels types dutilisateurs peuvent y accder. Dans Windows 2003, toutes les stratgies de scurit et les configurations (telles les droits administratifs) ne se transmettent pas dun domaine lautre. Ladministrateur de domaine peut dterminer les stratgies uniquement lintrieur de son propre domaine. - Arbre : cest un groupement ou un arrangement hirarchique dun ou plusieurs domaines Windows 2003 qui partagent des

espaces de noms contigus (par exemple : administration.supinfo.com, comptabilit.supinfo.com, et training.supinfo.com). Tous les domaines dun mme arbre partagent le mme schma commun (la dfinition formelle de tous les objets qui peuvent tre enregistrs dans une architecture dActive Directory) et partagent un catalogue commun. - Fort : cest un groupement ou un arrangement hirarchique dun ou plusieurs arbres qui ont des noms disjoints (par exemple : laboratoire-microsoft.org et supinfo.com). Tous les arbres dune fort partagent le mme schma commun et le mme catalogue, mais ont des structures de noms diffrentes. Les domaines dune fort fonctionnent indpendamment les uns des autres, mais les forts permettent la communication dun domaine lautre. - Sites : combinaison dune ou plusieurs IP de sous-rseaux connects par des liens hauts dbits. Ils ne font pas partie dun espace de nommage dActive Directory, et ils contiennent seulement les ordinateurs, les objets et les connexions ncessaires pour configurer la rplication entre sites. Ils permettent dintgrer la topologie physique du rseau dans Active Directory.

1.2. Installation et configuration des outils dadministration

1.2.1. Installation des outils dadministration
Les outils dadministration permettent la gestion des serveurs distance. Ils peuvent tre installs sur nimporte quelle machine sous Windows 2003 par lintermdiaire de adminpak.msi qui se trouve dans le dossier i386 du CD ROM dinstallation du systme. Les outils dadministration sont installs par dfaut sur le contrleur de domaine. Il peut tre utile, pour des raisons de scurit, dutiliser les outils dadministration en ayant ouvert une session avec votre compte de domaine basique et en utilisant la commande Excuter en tant que pour lancer les outils dadministration.

1.2.2. Prsentation et configuration dune MMC

Windows 2003 (toutes versions) intgre un modle d'outils d'administration nomm MMC (Microsoft.Managment Console) qui donne la possibilit aux administrateurs de crer eux-mmes leur propre console d'administration. Il suffit pour cela d'intgrer les composants logiciels enfichables (snap-in) couramment utiliss. Cela permet aussi de mettre disposition des administrateurs subalternes des outils d'administration personnaliss. Ainsi un administrateur ayant pour unique fonction la maintenance des comptes du domaine ne pourra supprimer un utilisateur ou un groupe par erreur puisque l'option de suppression n'apparatra pas dans sa console. Afin de pouvoir crer une MMC personnalise, il vous suffit de suivre la procdure suivante : Allez dans le menu Dmarrer / Excuter (_-R). Tapez MMC, puis Entrer. Dans le menu console, slectionnez Ajouter/Supprimer un composant logiciel enfichable. Cliquez ensuite sur Ajouter et slectionnez le composant que vous souhaitez ajouter votre console (Notez que linterface de cette fentre est trompeuse: si vous double-cliquez sur un composant ou si vous cliquez sur Ajouter, le composant est ajout la liste sans aucune confirmation).

1.2.3. Rsolution des problmes lors de linstallation des outils dadministration

Si des problmes surviennent lors de linstallation des outils dadministration, deux raisons principales peuvent en tre la cause : - Permissions insuffisantes : Seul les utilisateurs membres du groupe Administrateurs ont les privilges suffisants pour pouvoir installer les outils dadministration. - Systme dexploitation non support : Seul Windows XP et Windows 2003 supportent linstallation des outils dadministration. Si des problmes de liens morts dans laide surgissent : Lors de linstallation des outils dadministration sur Windows XP, laide peut faire rfrence aux fichiers daide de Windows 2003 Server et ainsi gnrer des erreurs. Pour rsoudre ce problme, il suffit de copier

le fichier daide de Windows 2003 Server sur la station Windows XP.

1.3. Prsentation et configuration des units dorganisations

1.3.1. Prsentation des units dorganisations
Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que dautres units dorganisation. Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire (ex : reprsentation physique des objets ou reprsentation logique). Les units dorganisation permettent aussi de faciliter la dlgation de pouvoir selon lorganisation des objets.

1.3.2. Modle hirarchique des units dorganisation

Afin de pouvoir utiliser les proprits de gestion associes aux units dorganisation, il est ncessaire de construire un modle hirarchique dimbrication des units dorganisation.

1.3.3. Dnomination des units dorganisation

Plusieurs mthodes de dnomination permettent de pointer sur une unit dorganisation : - Les noms uniques : le nom unique identifie le domaine dans lequel est situ lobjet, ainsi que son chemin daccs complet (ex : OU=Recherche, DC=labo-microsoft, DC=lan) - Les noms uniques relatifs : partie du nom unique qui permet didentifier lobjet dans son conteneur (ex : Recherche). - Le nom canonique : apportant autant dinformations que les noms uniques, il est utilis dans certains outils dadministration (ex : labo-microsoft.lan/Recherche).

1.3.4. Cration dune unit dorganisation

Deux possibilits soffrent vous pour crer une unit dorganisation : - Interface graphique : dans loutil dadministration Utilisateurs et ordinateurs Active Directory. - Ligne de commande : avec loutil dsadd ou OrganizationalUnitDomainName [-desc Description] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]

1.4. Dplacement des objets du domaine

Dans certaines conditions, il est utile de modifier lemplacement dun objet (utilisateur, ordinateur, ) dune unit dorganisation une autre dans le cadre dun changement de poste par exemple. Cette manipulation se fait dans loutil dadministration Utilisateurs et ordinateurs Active Directory.

2. Gestion des comptes dutilisateur et dordinateur

2.1. Cration des comptes utilisateur
2.1.1. Prsentation des comptes dutilisateurs
Les Comptes dutilisateurs permettent aux utilisateurs daccder aux ressources du rseau. Ils sont associs un mot de passe et fonctionnent dans un environnement dfini (machine locale ou domaine). Un utilisateur disposant dun compte de domaine pourra sauthentifier sur toutes les machines du domaine (sauf restriction explicite de ladministrateur). Un utilisateur disposant dun compte local ne pourra sauthentifier que sur la machine o est dclar le compte. Compte local : Les informations de Comptes dutilisateurs sont stockes localement sur les machines hbergeant les ressources rseau. Si une modification doit tre apporte un compte, celle-ci devra tre rpercute manuellement sur toutes les machines o le compte existe. Compte de domaine : Les informations de comptes sont centralises sur un serveur, dans lannuaire des objets du rseau. Si une modification doit tre apporte un compte, elle doit tre effectue uniquement sur le serveur qui la diffusera lensemble du domaine.

2.1.2. Convention de nom des comptes utilisateurs

On distingue quatre mthodes pour nommer un compte utilisateur : - Le nom douverture de session (login) : thoboi_l - Le nom douverture de session pr-windows : ESI\thoboi_l - Le nom dutilisateur principal : thoboi_l@esi-supinfo.lan - Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan Un login ne peut dpasser les 20 caractres, il est sensible la casse et ne peut pas contenir de caractres spciaux comme : " / \ [ ] : ; | = , + * ? < >.

2.1.3. Nomenclature de cration de compte utilisateur

Un login doit obligatoirement tre unique dans son domaine. Ainsi il est ncessaire dans une grosse entreprise de crer une nomenclature de cration de login prenant en compte des particularits de noms comme les membres dune mme famille travaillant dans lentreprise par exemple. Il peut tre intressant aussi didentifier rapidement le login des employs temporaires (ex : T_thoboi_l). Une fois le compte cr, il suffit de le placer dans lunit dorganisation correspondant au dpartement de lutilisateur.

2.1.4. Mot de passe utilisateur

A la cration dun utilisateur, il est possible de spcifier un certain nombre de proprits concernant la gestion des mots de passe : - Lutilisateur doit changer de mot de passe la prochaine ouverture de session : cette option permet de dfinir un mot de passe temporaire lors de la cration dun compte ou de la rinitialisation du mot de passe et dobliger ensuite lutilisateur le modifier. - Lutilisateur ne peut pas changer de mot de passe : cette option permet de bloquer la fonctionnalit de modification de mot de passe. - Le mot de passe nexpire jamais : particulirement utile pour les comptes de service, cette option permet de sassurer que le compte en question ne soit pas assujetti aux rgles de stratgie de compte. - Le compte est dsactiv : Permet de dsactiver un compte sans le supprimer.

2.1.5. Cration de compte dutilisateur

La cration dun utilisateur se fait via loutil graphique dadministration Utilisateurs et ordinateurs Active Directory ou laide de loutil en ligne de commande dsadd user (dsadd user UserDomainName [-samid SAMName] [-upn UPN] [-fn FirstName] [-ln LastName] [-display DisplayName] [-pwd {Password|*}).

2.2. Cration de comptes dordinateur

2.2.1. Prsentation des comptes dordinateurs
Un compte dordinateur nexiste que dans un environnement de domaine, il permet didentifier chaque ordinateur qui a accs la base de comptes Active Directory notamment pour lauthentification des utilisateurs. Les comptes dordinateur sont particulirement utiles pour la scurit et la gestion centralise : ainsi on va pouvoir utiliser ces comptes pour configurer des audits, IPSec, le dploiement de logiciels, les stratgies de scurit,.

2.2.2. Cration de compte dordinateur

La cration dun compte dordinateur se fait via loutil graphique dadministration Utilisateurs et ordinateurs Active Directory ou laide de loutil en ligne de commande dsadd computer (dsadd computer ComputerDomainName [-samid SAMName] [-desc Description] [-loc Location] [-memberof GroupDomainName ..] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | uci}]). Une autre possibilit soffre vous pour crer un compte dordinateur est de le crer partir du client lorsque celui-ci se joint au domaine. Dans ce cas, le compte dordinateur est cr dans le conteneur Computer.

2.3. Modification des proprits des comptes dutilisateur et dordinateur

Une fois le compte cr, il est possible den modifier les proprits. La premire utilit est den mettre jour les informations, la seconde est daccder des proprits qui ne sont pas disponibles lors de la

procdure de cration de compte. Les diffrentes modifications qui vont tre apportes aux comptes peuvent avoir plusieurs utilits : - Faciliter la recherche : le dpartement, le bureau, - Permettre de centraliser des informations lies au compte : le tlphone, lemail, Afin de modifier ces proprits, il vous suffit dutiliser loutil graphique dadministration Utilisateurs et ordinateurs Active Directory et dafficher les proprits de lobjet en double-cliquant dessus. Il est noter que dans ce mode graphique il est possible de slectionner plusieurs utilisateurs afin de raliser des modifications en "masse". Une autre solution consiste utiliser loutil en ligne de commande dsmod [user | computer] : dsmod user UserDN ... [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [empid EmployeeID] [-pwd (Password | *)] [-desc Description] [-office Office] [-tel PhoneNumber] [-email E-mailAddress] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}] dsmod computer ComputerDN ... [-desc Description] [-loc Location] [-disabled {yes | no}] [-reset] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]

2.4. Cration de modles de comptes utilisateur

2.4.1. Prsentation dun modle de compte utilisateur
Un modle de compte est un compte utilisateur gnrique contenant les informations communes tous les comptes ayant le mme rle dans lentreprise. Une fois ce modle de compte cr (en utilisant la mme procdure que nimporte quel compte utilisateur), il suffira de le dupliquer chaque cration dun nouveau compte correspondant au rle. Ainsi le nouveau compte cr, hritera des proprits du modle. Pour des raisons de scurit il est ncessaire de dsactiver lensemble des modles de compte afin quils ne soient pas utiliss pour entrer dans le systme. De plus il est conseill didentifier les modles de compte par une lettre significative en dbut de nom (ex : M_<nom_du_modele>).

2.4.2. Proprits maintenues lors de la copie du

Lorsquun modle de compte est dupliqu, toutes les proprits ne sont pas copies. La liste qui suit vous informe des proprits qui le sont : - Onglet Adresse : Les informations sont copies, lexception de la proprit Adresse. - Onglet Compte : Les informations sont copies, lexception de la proprit Nom douverture de session de lutilisateur qui est rcupr de lassistant de duplication de compte. - Onglet Profil : Les informations sont copies, lexception des proprits Chemin du profil et Dossier de base qui sont modifies pour reflter le changement de nom douverture de session. - Onglet Organisation : Les informations sont copies, lexception de la proprit Titre. - Membre de : Les informations sont copies.

2.5. Activation et dsactivation dun compte utilisateur

Chaque compte utilisateur bnficie dun identifiant unique interne, Active Directory ou la base SAM, qui permet de lidentifier. Cet identifiant appel SID est utilis notamment par le systme de scurit de Windows 2003. Lorsque lon supprime un compte et que lon recre ce compte, mme avec des informations strictement identiques, celui-ci se voit affecter un nouveau SID. Il perd ainsi lensemble de son contexte de scurit. Afin dviter davoir reconfigurer lensemble des droits et autorisations du compte utilisateur, il est conseill de toujours dsactiver les comptes utilisateur (lutilisateur ne pourra plus lutiliser) dans un premier temps. Aprs vrification, si la suppression peut se faire dans de bonnes conditions, vous pouvez la raliser. Lactivation et la dsactivation se fait via loutil graphique dadministration Utilisateurs et ordinateurs Active Directory ou laide de loutil en ligne de commande dsmod user UserDN -disabled {yes|no}.

2.6. Recherche dans Active Directory

2.6.1. Recherche standard

Une fois les comptes dutilisateurs et dordinateurs crs, des outils sont mis votre disposition pour pouvoir effectuer des recherches dans lannuaire. Ces recherches peuvent tre dfinies selon divers critres comme le type dobjet, les valeurs des proprits de ces objets. Pour lancer loutil de recherche, il suffit de lancer loutil de recherche graphique Utilisateurs et Ordinateurs Active Directory. Vous pouvez aussi utiliser loutil en ligne de commande dsquery user ou dsquery computer : dsquery user [{StartNode | forestroot | domainroot}] [-o {dn | rdn | upn | samid}] [-scope {subtree | onelevel | base}] [-name Name] [-desc Description] [-upn UPN] [-samid SAMName] [-inactive NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}] dsquery computer [{StartNode | forestroot | domainroot}] [-o {dn | rdn | samid}] [-scope {subtree | onelevel | base}] [-name Name] [-desc Description] [-samid SAMName] [-inactive NumberOfWeeks] [stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]

2.6.2. Recherche personnalise

Il vous est possible aussi de raliser des requtes personnalises directement en LDAP. Pour cela, il vous suffit de slectionner loption Recherche personnalise dans loption Recherche :.

2.6.3. Sauvegarde des requtes

Un nouveau rpertoire fait son apparition dans loutil Utilisateurs et ordinateurs Active Directory. Il permet de crer, organiser et sauvegarder des requtes LDAP. Cela permet deffectuer les recherches courantes plus rapidement. Une fonctionnalit dexport au format XML est aussi disponible pour chacune des requtes sauvegardes.

4. Gestion daccs aux ressources

4.1. Contrle daccs
Le systme de contrle daccs dans Windows 2003 est bas sur trois composants qui permettent la dfinition du contexte de scurit des lments du systme. Ces trois lments sont : Les entits de scurit Le SID DACL Discretionary Access Control List

4.1.1. Les entits de scurit

Les entits de scurit peuvent tre un compte utilisateur, dordinateur ou un groupe. Ils permettent daffecter laccs un objet en le reprsentant dans le systme informatique.

4.1.2. Le SID
Toutes les entits de scurit sont identifies dans le systme par un numro unique appel SID. Ce SID est li la vie de lobjet, ainsi si lon supprime un groupe et quon le recre ce mme groupe juste aprs (mme nom, mmes proprits), celui-ci se verra attribuer un nouveau SID. Lensemble des dfinitions de scurit tant bas sur ce SID, les accs donns au groupe supprim ne seront pas transfrs au nouveau groupe.

4.1.3. DACL - Discretionary Access Control List

Les DACL sont associes chaque objet sur lequel on va dfinir un contrle daccs. Les DACL sont composes dACE (Access Control Entry) qui dfinissent les accs lobjet. Les ACE se composent de la faon suivante : Le SID de lentit qui lon va donner ou refuser un accs. Les informations sur laccs (ex : Lecture, Ecriture, ) Les informations dhritage. Lindicateur de type dACE (Autoriser ou refuser). A chaque tentative daccs une ressource, cette liste sera parcourue afin de dterminer si laction voulue peut tre ralise.

4.2. Autorisations
4.2.1. Autorisations standards
Les autorisations permettent de fixer le niveau daccs quont les entits de scurit (pour un compte

utilisateur, groupe dutilisateurs ou ordinateur) sur une ressource. Les ressources utilisant ce systme dautorisations pour rguler leurs accs sont multiples (Registre, Fichiers, Imprimantes, Active Directory, )

4.2.2. Autorisations spciales

Les autorisations standards sont limites aux actions de base sur un objet (ex : Lecture, Modifier, Contrle Total, ). Aussi pour pouvoir granuler de faon plus prcise les autorisations, vous avez accs via le bouton Avanc une liste tendue dautorisations.

4.3. Administration des accs aux dossiers partags

4.3.1. Description des dossiers partags
Le partage dun dossier permet de rendre disponible lensemble de son contenu via le rseau. Par dfaut, lors de la cration dun partage, le groupe Tout le monde bnficie de lautorisation Lecture . Il est possible de cacher le partage dun dossier en ajoutant le caractre $ la fin du nom. Pour pouvoir y accder, il sera obligatoire de spcifier le chemin UNC complet (\\nom_du_serveur\nom_du_partage$).

4.3.2. Partages administratifs

Windows 2003 cre automatiquement des partages administratifs. Les noms de ces partages se terminent avec un caractre $ qui permet de cacher le partage lors de l'exploration par le rseau. Le dossier systme (Admin$), la localisation des pilotes d'impression (Print$) ainsi que la racine de chaque volume (c$, d$, ) constituent autant de partages administratifs. Seuls les membres du groupe Administrateurs peuvent accder ces partages en accs Contrle Total. Le partage IPC$ permet laffichage des ressources partages (dossiers partags, imprimantes partages).

4.3.3. Cration de dossiers partags

Sur des machines Windows 2003 Server en mode autonome ou serveur membre, seuls les membres des groupes Administrateurs et Utilisateurs avec pouvoirs peuvent crer des dossiers partags. Sur des machines contrleurs de domaine Windows 2003 Server, seuls les membres des groupes Administrateurs et Oprateurs de serveurs peuvent crer des dossiers partags. Pour pouvoir crer un partage vous avez trois possibilits : Loutil dadministration Gestion de lordinateur laide du composant logiciel enfichable Dossiers partags . Lexplorateur par le biais du menu contextuel de tous les dossiers de larborescence. La commande NET SHARE (net share NomDossierPartag=Unit:Chemin).

4.3.4. Publication des dossiers partags

Grce Active Directory, il est possible aux utilisateurs de retrouver un partage du domaine en faisant une recherche sur des mots cls. Pour mettre en place cette fonctionnalit, il suffit de crer un objet Dossier partag laide de la console Utilisateurs et ordinateurs Active Directory et de spcifier lors de sa cration, le chemin UNC permettant daccder physiquement ce partage (lobjet Active Directory ntant quun raccourci vers la ressource physique). Il est aussi possible dautomatiser cette tche en cochant loption Publier ce partage dans Active Directory laide de loutil dadministration Gestion de lordinateur et du composant enfichable Dossiers Partags directement sur le serveur qui hberge la ressource. Suite la publication, rien ne vous empche si le serveur hbergeant le partage de fichier tombe en panne de modifier le raccourci de lobjet Active Directory pour le faire pointer vers un nouveau serveur accueillant le partage temporairement. Les utilisateurs ne perdent donc pas la trace de leurs ressources.

4.3.5. Autorisations sur les dossiers partags

Chaque dossier partag peut tre protg par une ACL qui va restreindre son accs spcifiquement aux utilisateurs, groupes ou ordinateurs qui y accdent via le rseau. Il existe trois niveaux dautorisations affectables : Lecture : Permet dafficher les donnes et dexcuter les logiciels. Modifier : Comprend toutes les proprits de lautorisation lecture avec la possibilit de crer des fichiers et dossiers, modifier leurs contenus et supprimer leurs contenus. Contrle total : Comprend toutes les proprits de lautorisation Modifier avec la possibilit de modifier aux travers le rseau les autorisations NTFS des fichiers et dossiers. Les trois niveaux dautorisations sont disponibles en Autoriser ou en Refuser en sachant que les autorisations de refus sont prioritaires. Pour affecter des autorisations de partage, vous avez deux solutions : A laide de loutil dadministration Gestion de lordinateur et du composant enfichable

 Dossiers Partags . A laide de lexplorateur dans les proprits du dossier partag.

4.3.6. Connexion un dossier partag

Afin quun client puisse accder un dossier partag, plusieurs moyens sont disponibles : Favoris rseau : Permet de crer des raccourcis vers les partages dsirs. Lecteur rseau : Permet dajouter le dossier partag directement dans le poste de travail en lui attribuant une lettre. Excuter : Permet daccder ponctuellement la ressource en spcifiant simplement le chemin UNC daccs la ressource.

4.4. Administration des accs aux fichiers et dossiers NTFS

4.4.1. Prsentation de NTFS
NTFS est un systme de fichiers qui offre les avantages suivants : Fiabilit : NTFS est un systme de fichiers journalis. En cas de problme, ce journal sera utilis pour analyser les parties du disque qui ont pos problme (cela vite le scandisk de lintgralit du disque que lon avait sous Windows 98). Scurit : Le systme NTFS prend en charge le cryptage de fichiers avec EFS. EFS permet dviter des problmes comme lespionnage industriel en empchant lexploitation des donnes mme si le disque dur est vol. NTFS permet aussi lutilisation dautorisations NTFS qui permettent de restreindre laccs aux donnes de la partition. Gestion du stockage : NTFS permet la compression de donnes transparente pour tous les fichiers stocks sur la partition. Il permet aussi limplmentation de la gestion de quotas pour restreindre de faon logique lespace dont peut bnficier un utilisateur sur une partition. Lutilisation de systmes de fichiers comme FAT et FAT32 est recommande uniquement pour faire du dual boot entre des systmes Windows 2003 et dautres systmes dexploitation tels que DOS 6.22, Win 3.1 ou Win 95/98. _ Utilisez convert.exe pour convertir les partitions FAT ou FAT32 vers NTFS. Les partitions NTFS ne peuvent pas tre converties vers FAT ou FAT32, la partition doit alors tre efface et recre en tant que FAT ou FAT32.

4.4.2. Autorisations sur les fichiers et dossiers NTFS

Les autorisations NTFS permettent de dfinir les actions que vont pouvoir effectuer les utilisateurs, groupes ou ordinateurs sur les fichiers.

4.4.2.1. Autorisations sur les fichiers

Contrle total : Dispose de toutes les autorisations de Modification avec la prise de possession et la possibilit de modifier les autorisations du fichier. Modification : Permet de modifier, supprimer, lire et crire les fichiers. Lecture et excutions : Permet de lire les fichiers et dexcuter les applications. Ecriture : Permet dcraser le fichier, de changer ses attributs et dafficher le propritaire. Lecture : Permet de lire le fichier, dafficher ses attributs, son propritaire et ses autorisations.

4.4.2.2. Autorisations sur les dossiers

Contrle total : Dispose de toutes les autorisations de Modification avec la prise de possession et la possibilit de modifier les autorisations du dossier. Modification : Dispose de toutes les autorisations de Ecriture avec la possibilit de supprimer le dossier. Lecture et excutions : Permet dafficher le contenu du dossier et dexcuter les applications. Ecriture : Permet de crer des fichiers et sous-dossiers, de modifier ses attributs et dafficher le propritaire. Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propritaire et autorisations du dossier. Affichage du contenu des dossiers : Affichage seul du contenu direct du dossier.

4.4.3. Impact de la copie et du dplacement sur les autorisations NTFS

Toutes les oprations de copie hritent des autorisations du dossier cible. Seul le dplacement vers la mme partition permet le maintien des autorisations. Les fichiers dplacs depuis une partition NTFS vers une partition FAT perdent leurs attributs et leurs descripteurs de scurit. Les attributs de fichiers pendant la copie/dplacement dun fichier lintrieur dune partition ou entre deux partitions sont grs ainsi:

Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

Copier lintrieur dune partition : Cre un nouveau fichier identique au fichier original. Il hrite des permissions du rpertoire de destination. Dplacer lintrieur dune partition : Ne cre pas un nouveau fichier. Il y a seulement une mise jour des pointeurs du dossier. Garde les permissions appliques lorigine au fichier. Dplacer vers une autre partition : Cre un nouveau fichier identique loriginal et dtruit le fichier original. Le nouveau fichier hrite des permissions du rpertoire de destination.

4.4.4. Prsentation de lhritage NTFS

Sur le systme de fichiers NTFS de Windows 2003, les autorisations que vous accordez un dossier parent sont hrites et propages tous les sous-dossiers, et les fichiers quil contient. Tous les nouveaux fichiers et dossiers crs dans ce dossier hriteront aussi de ces permissions. Par dfaut, toutes les autorisations NTFS dun dossier cr seront hrites par les dossiers et fichiers quil contiendra. Il est possible de bloquer cet hritage (pour des raisons de scurit) afin que les permissions ne soient pas propages aux dossiers et aux fichiers contenus dans le dossier parent. Pour bloquer lhritage des permissions, afficher les proprits du dossier, allez dans longlet Scurit, puis cliquez sur le bouton Paramtres avancs dsactiver la case cocher Permettre aux autorisations hrites du parent de se propager cet objet et aux objets enfants. Cela inclut les objets dont les entres sont spcifiquement dfinies ici.. Dans la nouvelle fentre, cliquez sur Copier si vous souhaitez garder les autorisations prcdemment hrites sur cet objet, ou alors cliquez sur Supprimer afin de supprimer les autorisations hrites et ne conserver que les autorisations explicitement spcifies.

4.4.5. Identification des autorisations effectives

Lorsque vous accordez des autorisations un utilisateur, un groupe ou un utilisateur, il est parfois difficile de sy retrouver avec par exemple les groupes auxquels un utilisateur peut appartenir et les autorisations hrites. Lorsque lon dfinit des autorisations, il est possible quun mme utilisateur obtienne plusieurs autorisations diffrentes car il est membre de diffrents groupes. Dans ce cas, les autorisations se cumulent et il en rsulte lautorisations la plus forte (ex : lecture + contrle total _ contrle total). Lorsquun utilisateur ne se trouve pas dans la DACL de lobjet, il na aucune autorisation dessus. Cest une autorisation Refuser implicite. Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers. Les autorisations Refuser sont prioritaires sur les autres autorisations et ceci dans TOUS les cas (ex : contrle total + refuser lecture _ La lecture sera bien refuse). Le propritaire la possibilit daffecter les autorisations quil dsire sur tous les fichiers dont il est le propritaire mme si il na pas dautorisations contrle total dessus. _ Un administrateur qui doit modifier les autorisations sur un fichier NTFS doit tout dabord se lapproprier. Il est possible de vrifier les permissions effectives dun utilisateur laide de longlet Autorisations effectives de la fentre de paramtres de scurit avanc.

4.4.6. Cumul des autorisations NTFS et des autorisations de partage

Lorsqu un utilisateur est sujet aussi bien aux autorisations NTFS quaux autorisations de partage, ses permissions effectives sobtiennent en combinant le niveau maximum dautorisations indpendamment pour les autorisations NTFS et pour les autorisations de partage (ex : Lecture pour les autorisations de partage et modification pour les autorisations NTFS). Une fois les deux autorisations dfinies, il suffit de prendre la plus restrictive des deux. Exemple : Partage lecture + NTFS contrle total _ lecture et inversement Partage contrle total + NTFS lecture _ lecture

4.5. Mise en place des fichiers hors connexion

4.5.1. Prsentation des fichiers hors connexion
Les fichiers Hors Connexion remplacent le Porte-Documents et fonctionnent de manire similaire loption Visualiser Hors-Connexion dInternet Explorer. Ainsi il est possible pour les utilisateurs itinrants de continuer accder leurs ressources rseau alors quils sont dconnects de celui-ci. Pour activer la fonction de mise hors-connexion ct serveur, il suffit de partager un dossier et dactiver son cache afin de le rendre disponible hors connexion. Trois modes de mise en cache sont alors

disponibles : - Cache manuel pour les documents : rglage par dfaut. Les utilisateurs doivent spcifier quels documents ils souhaitent rendre disponibles hors connexion. - Cache automatique pour les documents : tous les fichiers ouverts par un utilisateur sont mis en cache sur son disque dur pour une utilisation hors connexion les versions anciennes du document sur le disque sont automatiquement remplaces par des versions plus rcentes du partage quand elles existent. - Cache automatique pour les programmes : cette mise en cache est unidirectionnelle et ne concerne que les fichiers dont les modifications des utilisateurs doivent tre ignores (ex : tarifs, applications, ). Elle permet notamment un gain de performance car les fichiers sont alors consults en local et non pas sur le rseau. Elle est active via loption Optimis pour les performances . _ La mise en cache peut tre aussi active par la commande NET SHARE et le commutateur /cache. Lutilitaire de Synchronisation, vous permet de spcifier les fichiers qui seront synchroniss, le type de connexion employe pour cette synchronisation (pour empcher par exemple une synchronisation lorsque lon est connect au rseau distance via un modem) et le moment o cette synchronisation est effectue (lors dune connexion, dune dconnexion, lorsque lordinateur est en veille,). Lorsque vous synchronisez, si vous avez dit un fichier hors connexion et quun autre utilisateur a fait de mme, alors, il vous sera demand si vous souhaitez : Garder et renommer votre exemplaire craser votre exemplaire avec la version disponible sur le rseau craser la version disponible sur le rseau et perdre les modifications de lautre utilisateur

11. Prparation de l'administration d'un serveur

11.1. Prparation de l'administration d'un serveur
11.1.1. Utilisation des appartenances de groupe pour administrer un serveur
Nous pouvons distinguer 5 groupes locaux de domaines intgrs sous Windows 2003, ces groupes vont permettre de dfinir automatiquement des droits administratifs aux utilisateurs qui vont en devenirs membres. Administrateurs Possde tous les droits ncssaires pour excuter lensemble des taches administratives. Oprateurs de sauvegarde Possde tous les droits ncssaires pour effectuer des sauvegardes et restauration sur le serveur. Oprateurs de comptes Possde tous les droits ncssaires pour crer, modifier, supprimer les comptes utilisateurs ou les groupes, lexception des groupes Administrateurs et Oprateurs de sauvegarde. Oprateurs de serveur Possde tous les droits ncssaires pour assurer la sauvegarde et la restauration des fichiers. Oprateurs dimpression Possde les permissions requises pour grer et configurer les imprimantes rseau.

11.1.2. Qu'est-ce que la commande Excuter en tant que ?

Cette commande permet de lancer un programme en utilisant un autre compte utilisateur que celui utilis pour la session en cours. Par exemple, si ladministrateur veut effectuer une tche administrative sur un serveur Windows 2003, et quune session Invit est dj ouverte sur ce serveur, il na pas besoin de fermer la session en cours pour le faire. Pour effectuer cette tche il peut utiliser la commande Excuter en tant que disponible en faisant un clic droit avec la touche Shift appuye sur lexcutable que lon veut lancer et de slectionner loption Excuter en tant que

On peut galement utiliser la commande runas en ligne de commande : runas /user:nom_domaine\nom_utilisateur nom_programme Il est galement possible de crer des raccourcis qui utilisent directement la commande runas. _ Il sera peut tre ncessaire dutiliser la touche MAJ+Click droit pour accder loption excuter en tant que dans le menu contextuel.

11.1.3. Qu'est-ce que l'outil Gestion de l'ordinateur ?

Il sagit dun ensemble doutil permettant ladministration dun ordinateur local ou distant. Cette console MMC est disponible via le Panneau de configuration, dans les Outils dadministrations ou en faisant un clic droit sur le Poste de travail et en choisissant loption Grer. Voila ci-dessous un descriptif des outils disponible : Catgorie Outil Description Outils systme Observateur dvnements Permet de visualiser le contenu des journaux Applications, Scurits et Systmes. Ces journaux sont dune grande aide pour identifier une rreur sur le sysme. Dossiers partags Permet de visualiser lensemble des partages en cours sur le serveur, les sessions ouverte (utilisateurs authentifi sur la machine) ainsi que les fichiers ouverts sur le serveur. Utilisateurs et groupes locaux Permet de crer et grer les utilisateurs et les groupes de la base de compte local (base SAM). Journaux et alertes de performances Permet danalyser et de collecter les donnes relatives aux performances de l'ordinateur. Gestionnaire de priphriques Permet de grer les priphriques et les pilotes installs sur le serveur. Stockage Stockage amovible Permet de grer les supports de stockage amovibles. Dfragmenteur de disque Permet de dfragmenter le contenu dun disque afin den augmenter les performances daccs aux donnes. Gestion des disques Permet de grer les disques durs en crant des partitions ou volume, leurs affectant des lettres dans le poste de travail et en les formatant si necessaires. Services et applications Services Permet de dfinir les options de dmarrage des services du serveur. Contrles WMI Permet de configurer et grer le service de gestion Windows. Service dindexation Permet de grer, crer et configurer l'indexation des catalogues supplmentaires pour stocker les informations d'index. _ Pour administrer un serveur distance, il suffit de lancer la console Gestion de lordinateur sur un ordinateur quelconque, faire un click droit sur Gestion de lordinateur (local), et de cliquer sur Se connecter . Ensuite il suffit dentrer le nom ou ladresse IP de lordinateur que lon veut administrer distance.

11.1.4. Rle de la console MMC dans le cadre d'une administration distance

Vous pouvez utiliser Microsoft Management Console (MMC) pour crer, enregistrer et ouvrir des outils d'administration (appels consoles MMC) qui grent les composants matriels, logiciels et rseau de votre systme Windows. MMC n'excute pas de fonctions administratives alors que les outils htes les excutent. Les outils que

vous pouvez ajouter une console sont principalement des composants logiciels enfichables. Vous pouvez
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

galement ajouter des contrles ActiveX, des liens vers des pages Web, des dossiers, des affichages de listes des tches et des tches. Il existe deux faons gnrales d'utiliser MMC : en mode utilisateur, en utilisant des consoles MMC existantes pour administrer un systme, ou en mode auteur, en crant des consoles ou en modifiant des consoles MMC existantes.

11.1.5. Comment crer une MMC pour grer un serveur ?

Il suffit pour cela douvrir une nouvelle console MMC (Dmarrer \ Executer puis taper mmc). Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter. Dans la liste des composants logiciels enfichables, cliquez sur un composant logiciel enfichable, puis sur Ajouter. l'invite, slectionnez l'ordinateur local ou distant que vous souhaitez grer l'aide de ce composant logiciel enfichable, puis cliquez sur Terminer. Cliquez sur Fermer, puis sur OK.

11.2. Configuration de la fonction Bureau distance pour administrer un serveur

11.2.1. Qu'est-ce que l'outil Bureau distance pour administration ?
Le bureau distance permet lutilisateur de se connecter distance un ordinateur et de contrler ce dernier distance. Lutilisateur se retrouve donc dans lenvironnement de la machine laquelle il se connecte (fond dcran, apparences, fichiers locaux, etc...). L'outil Bureau distance pour administration fournit un accs au serveur partir d'un ordinateur situ sur un autre site, l'aide du protocole RDP (Remote Desktop Protocol). Ce protocole transmet l'interface utilisateur la session cliente. De mme, il transmet les manipulations sur le clavier et la souris du client vers le serveur. Vous pouvez crer jusqu' deux connexions distantes simultanes. Chaque session que vous ouvrez est indpendante des autres sessions clientes et de celle de la console du serveur. Lorsque vous utilisez l'outil Bureau distance pour administrer un serveur distant, la connexion est tablie comme s'il s'agissait de l'ouverture d'une session sur le serveur local. Les paramtres relatifs lutilisation du bureau distance sont configurables via les proprits du Poste de travail, dans longlet Utilisations distance. La connexion distance peut seffectuer grce loutil mstsc.exe prsent dans %SystemRoot%\System32\. _ Le compte utilis pour ouvrir une session en utilisant le bureau distance doit obligatoirement avoir un mot de passe, et tre galement membre du groupe Utilisateurs du Bureau distance. Vous devez galement vous assurer que loption bureau distance est active, ce qui nest pas le cas par dfaut sous Windows 2003.

11.2.2. Que sont les prfrences des ordinateurs clients dans le cadre d'une connexion Bureau distance ?
Il est possible de crer des profils de connexions Bureau distance qui lanceront chaque connexion avec des paramtres bien prcis. Par exemple, Il est possible de crer et sauvegarder une connexion Bureau distance qui lancera automatiquement une application louverture de sessions, et changera la rsolution. Pour dfinir ce genre de comportement louverture dune session bureau distance, il faut cliquer sur le bouton Option >>

11.2.3. Bureaux distance

Il existe galement un composant logiciel enfichable MMC qui permet de grer plusieurs sessions Bureau distance simultanment. Il sagit du composant Bureau distance.

11.3. Gestion des connexions au Bureau distance

11.3.1. Que sont les paramtres de dlai des connexions de Bureau distance ?

Il faut savoir que chaque session Bureau distance ouverte sur un Serveur Windows 2003 consomme des ressources. Afin de limiter cette consommation, ladministrateur la possibilit de dfinir des dlais au bout desquelles les sessions seront automatiquement fermes. Il est possible de dfinir un dlai suivant 3 cas de figures : Fin de session dconnect : Dlai au bout duquel une session dconnecte sera ferme. Limite de session active : Dure maximale dune session. Limite de session inactive : Dure maximale dune session inactive, c'est--dire que lutilisateur nutilise ni la souris, ni le clavier ou tout autre priphrique dentre. Ces paramtres peuvent tre dfinit via les outils dadministration dans la console Configuration des services terminal serveur. _ Une session dconnecte est une session Bureau distance qui na pas t ferme. Cela signifie que lutilisateur a lanc la session, puis a ferm la fentre Bureau distance directement. Dans ce cas de figure les processus lancs dans cette session tournent toujours jusqu' fermeture de la session. Lutilisateur pourra rcuprer cette session si il se reconnecte.

11.3.2. Qu'est-ce que le Gestionnaire des services Terminal Server ?

Ce gestionnaire permet de surveiller les sessions en cours via un listing complet des processus sexcutant sur chaque session. Ladministrateur aura ainsi la possibilit de terminer un processus tournant sur une session inactive consommant trop de ressources par exemple. Il aura galement la possibilit de fermer la session dun utilisateur.

12. Prparation de l'analyse des performances du serveur

12.1. Prsentation de l'analyse des performances du serveur
12.1.1. Pourquoi analyser les performances ?
L'analyse des performances est indispensable la maintenance du serveur. Effectue de faon quotidienne, hebdomadaire ou mensuelle, elle permet de dfinir les performances de base du serveur. Grce cette analyse, vous obtenez des donnes sur les performances qui facilitent le diagnostic des problmes du serveur. Les donnes sur les performances permettent : De comprendre les caractristiques de la charge de travail et les effets correspondants sur les ressources du systme. D'observer les modifications et les tendances de ces caractristiques et de l'utilisation des ressources afin de planifier les mises niveau ultrieures. De tester les changements de configuration ou tout autre effort de rglage des performances en analysant les rsultats. De diagnostiquer les problmes et d'identifier les composants ou les processus pour optimiser les performances.

12.2. Analyse en temps rel et programme

12.2.1. Qu'est-ce que l'analyse en temps rel et programme ?
Lanalyseur de performance permet deffectuer deux types danalyse : En temps rel Les compteurs sont affichs en temps rel. On peut utiliser ce type danalyse pour un problme de performance ponctuel, non priodique. Programm Ce type danalyse se dclenche une date et heure prcise (en cas de rplication entre 1h et 2h du matin par exemple), puis sauvegarde lactivit des compteurs dans un journal qui pourra tre consult ultrieurement.

12.2.2. Qu'est-ce que le Gestionnaire des tches ?

Le Gestionnaire des tches, accessible en pressant en mme temps les touches CTRL+ALT+SUPPR, puis en cliquant sur Gestionnaire des tches ou en pressant CTRL+SHIFT+ECHAP, permet dobtenir la liste des processus en cours dexcution ainsi que les ressources systmes sollicites pour chacun de ces

processus. Cela permet de dtecter des anomalies comme par exemple un petit processus prenant la quasi-totalit de la mmoire systme et ralentissant ainsi ce dernier de faons importantes. Il est possible via longlet processus de stopper ou de dfinir la priorit de certains processus. Longlet Performance renseigne lutilisateur sur lintensit dutilisation du microprocesseur et du fichier dchange via un graphique. Enfin longlet Mise en rseau renseigne lutilisateur sur lintensit du trafic rseau sur chacune des connexion via un graphique.

12.2.3. Qu'est-ce que la console Performances ?

La console performances est loutil permettant deffectuer des analyses de performances en temps rel ou programm. Pour slectionner les donnes rcuprer, indiquez les objets, les compteurs et les instances d'objets de performances. Un objet de performance est un ensemble logique de compteurs associs une ressource ou un service pouvant tre analyss (ex : le processeur). Un compteur de performance est un lment de donnes associ un objet de performance. Pour chaque compteur slectionn, le Moniteur systme affiche une valeur qui correspond un aspect spcifique des performances dfinit pour l'objet de performance (ex : % dutilisation du processeur). Les instances d'objets de performance sont des ensembles d'un mme type d'objet. Par exemple, si un systme comporte plusieurs processeurs, le type d'objet Processeur dispose de plusieurs instances (ex : chaque processeur correspond une instance).

12.2.4. Pourquoi analyser les serveurs distance ?

Ceci permet de ne pas fausser les rsultats des performances. En effet, lanalyseur de performance consomme galement des ressources. Il convient donc de lancer cette console MMC sur un autre serveur et de crer des compteurs pointant sur le serveur quon veut analyser.

12.3. Configuration et gestion des journaux de compteur

12.3.1. Qu'est-ce qu'un journal de compteur ?
Les journaux de compteur permettent deffectuer des analyses programmes. Dans le processus de cration dun journal de compteurs, les informations suivantes sont requises : Nom du journal Type de fichier, format binaire, SQL, texte, etc Compteurs utiliss pendant lanalyse Type de lancement : planifi ou manuel. _ Il est galement possible de crer un journal en utilisant la commande logman.

12.3.2. Comment planifier un journal de compteur ?

Il est possible de lancer un journal de compteur manuellement ou via une planification. La planification se dfinit dans les proprits du journal, ou pendant le processus de cration du journal.

12.4. Configuration des alertes

12.4.1. Qu'est-ce qu'une alerte ?
Une alerte est une fonction qui dtecte quel moment la valeur dun compteur atteint une valeur appele seuil dalerte. Si le seuil dalerte est atteint, ladministrateur peut planifier une action effectuer. Par exemple, il pourrait tre intressant de dfinir une alerte sur un serveur de fichier si lespace disque libre (objet : disque logique, compteur : espace libre) devient infrieur 10% de lespace total, et de planifier le lancement dun programme qui se chargera de supprimer les fichiers temporaires se trouvant sur ce serveur de fichier.

12.4.2. Comment crer une alerte ?

Suivez la procdure ci-aprs pour crer une alerte. : Pour crer une alerte : Pour ouvrir la console Performances, cliquez sur Dmarrer, Outils d'administration, puis sur Performances. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Alertes. Toutes les alertes existantes apparaissent dans le volet des informations. L'icne verte indique que l'alerte est en cours et l'icne rouge signale l'arrt de l'alerte. Cliquez avec le bouton droit sur une zone vierge du volet des informations, puis cliquez sur Nouveaux paramtres d'alerte. Dans la zone de texte Nom, tapez le nom de l'alerte, puis cliquez sur OK. Sous l'onglet Gnral, vous pouvez ajouter un commentaire pour votre alerte, ainsi que des compteurs, des seuils d'alerte et des intervalles d'chantillonnage. L'onglet Action permet de dfinir les actions raliser lorsque des donnes de compteur gnrent une alerte.

12.5. Conseil doptimisation dun serveur

Voila ci-dessous un tableau refltant les valeurs des compteurs dun serveur Windows 2003 performant : Objet Compteur Place moyenne acceptable Valeur dsire Mmoire Page/s 0 20 Basse Octets disponibles Au moins 5% de la mmoire totale Haute Octets valids Moins que la mmoire RAM physique Basse Octets de rserve non pagins Reste constante, naugmente pas. Sans objet Dfauts de page/s Infrieure 5 Basse Processeur % Temps processeur Infrieure 85 % Basse Systme : Longueur de la file du processeur Infrieure 10 Basse Files de travail du Infrieure 4 Basse serveur : Longueur de la file Interruptions/s Dpend du processeur Basse Disque dur % Temps du disque Infrieure 50 % Basse Taille de file d'attente du disque actuelle 0 2 Basse Disque, octets/transfert moy. Ligne de base ou suprieure Haute Octets disque/s Ligne de base ou suprieure Haute Interface Rseau Utilisation du rseau (dans Gestionnaire des tches) Inf. 30 %, en gnral Basse Interface rseau : Octets envoys/s Ligne de base ou suprieure Haute Interface rseau : Total des octets/s Ligne de base ou suprieure Haute

Serveur : Octets reus/s Moins de 50 % de la capacit de la bande passante de la carte rseau

13. Maintenance des pilotes de priphriques

13.1. Configuration des options de signature des pilotes de priphriques
13.1.1. Qu'est-ce qu'un priphrique ?
Un priphrique est un quipement matriel qui se branche sur un ordinateur. Il peut sagir dune carte vido, une webcam, une souris, un disque dur, etc Nous pouvons distinguer deux types de priphrique : Plug-and-Play : Le priphrique est automatiquement reconnu par la famille Windows 2003. Non Plug-and-Play : Lutilisation dun pilote est indispensable pour pouvoir utiliser le priphrique sur la famille Windows 2003.

13.1.2. Qu'est-ce qu'un pilote de priphrique ?

Un pilote de priphrique est un logiciel fournis par le constructeur du priphrique permettant un OS de dtecter, configurer, et utiliser le priphrique correspondant ce pilote. Cest un peu comme un manuel dinstruction numrique (donc non exploitable par lutilisateur) pour OS. _ Les priphriques figurant dans la HCL ont leurs pilotes directement intgrs Windows.

13.1.3. Qu'est-ce qu'un pilote de priphrique sign ?

Un pilote de priphrique sign est un pilote qui a t test et approuv par Microsoft dans le WHQL (Windows Hardware Quality Lab). Lutilisation dun pilote sign garanti donc les performances et la stabilit du systme. Leurs utilisation est donc fortement recommande sur les serveurs jouant un rle important dans votre infrastructure rseau. Vous pouvez dfinir le comportement quadoptera Windows 2003 en cas dinstallation de pilote non sign : Les pilotes de priphriques non signs numriquement ne sont pas pris en compte Un message d'avertissement s'affiche lorsqu'un pilote de priphrique non sign est dtect Les utilisateurs ne sont pas autoriss installer des pilotes de priphriques non signs Ces paramtres sont dfinissables via les proprits systmes, dans longlet matriel, puis cliquez sur Signature du pilote. _ Le vrificateur des fichiers systme, sfc, est un outil de ligne de commande qui analyse et vrifie les versions de tous les fichiers systme protgs chaque redmarrage de votre ordinateur. Il remplace les fichiers effacs par des fichiers systmes valides et fournis par Microsoft. Cela fait partie de la fonctionnalit de protection des fichiers Windows de Windows Server 2003.

13.1.4. Qu'est-ce que la console Gestion des stratgies de groupe ?

La console de gestion des stratgies de groupes est un composant dadministration librement tlchargeable sur le site de Microsoft permettant de mieux grer les stratgies de groupes.

13.2. Utilisation de la version prcdente d'un pilote de priphrique

A chaque mise jour dun pilote de priphrique, Windows 2003 sauvegarde les fichiers du pilote en cours dutilisation. En cas de mise jour infructueuse (dysfonctionnement du priphrique), loption Retour la version prcdente permet dutiliser la sauvegarde du prcdant pilote qui fonctionnait correctement.

14. Gestion des disques

14.1. Prparation des disques
14.1.1. Qu'est-ce que l'outil Gestion des disques ?
Cet outil permet de grer les disques connects lordinateur. Il permet aux utilisateurs ayant les permissions adquates de crer, modifier, supprimer des partitions ou volumes sur les disques connects.

Il est galement possible via le composant MMC de transformer des disques de base en disques dynamiques.

14.1.2. Qu'est-ce que l'outil DiskPart ?

Diskpart est un outil ayant exactement les mmes fonctions que le gestionnaire de disque. La seule diffrence vient du fait quil sutilise sous linvite de commande, ou dans la console de rcupration si cette dernire a t installe.

14.1.3. Qu'est-ce qu'une partition ?

Avant de pouvoir crire des informations sur un disque, lutilisateur devra au pralable crer une ou plusieurs partition(s). Il sagit dun espace rserv sur un disque dur, cet espace devra par la suite tre format dans un systme de fichiers reconnus par Windows 2003 (FAT, FAT32, NTFS) avant de pouvoir y stocker la moindre information. Il ne peut y avoir que 4 partitions par disque, une partition va permettre dhberger un systme dexploitation qui sera directement dmarrable par le bios de lordinateur. Nous pouvons distinguer 2 types de partition : Partition principale : Rserve un espace disque dfinit par lutilisateur directement exploitable. Partition tendu : La partition tendue ne peut pas, la diffrence de la partition principale, tre formate avec un systme de fichiers. Ce sont les lecteurs logiques que vous crez dans cette partition qui sont formats selon un systme de fichiers donn. Les lecteurs logiques sont similaires aux partitions principales, l'exception prs que vous pouvez crer jusqu' 24 lecteurs logiques par disque. Vous pouvez formater un lecteur logique et lui affecter une lettre de lecteur. Une fois la partition principale ou le lcteur logique cr, ils sont accessibles via une lettre de lalphabet, C : par exemple pour la partition hbergeant le plus souvent le systme.

14.1.4. Comment convertir les systmes de fichiers ?

Le systme de fichier NTFS est apparu sous Windows NT. Ce systme de fichier permet contrairement au FAT, ou FAT32 de bnficier des avantages suivants : Scurit daccs : Possibilit de dfinir grces aux ACL (Access Control List) la liste des utilisateurs autoriss accder, une ressource stocke sur la partition formate en NTFS. EFS : Possibilit de cryptage. Quota : Restriction despace utilisable pour un utilisateur donn. Compression des donnes la vole. Son principal inconvenniant est quil nest pas support sous les systmes de la famille Windows 9x. Pour convertir sous Windows 2003 une partition formate FAT en NTFS, ladministrateur peut utiliser la commande convert (convert [lecteur :]: /fs:ntfs).

14.2. Gestion des proprits d'un disque

14.2.1. Comment effectuer une nouvelle analyse des proprits dun disque ?
Il peut arriver que Windows ne dtecte pas un disque qui vient dtre connect lordinateur, dans ce cas, il est ncessaire dutiliser la commande Analyser les disques de nouveau. Windows effectuera ainsi une nouvelle analyse des disques connects, et mettra jour les proprits de ce dernier.

14.3. Gestion des lecteurs monts

14.3.1. Qu'est-ce qu'un lecteur mont ?
Un lecteur mont est une partition formate laquelle on accde via un dossier plutt quune lettre daccs. Ce dossier servant de point daccs la partition doit obligatoirement se trouver sur une partition NTFS et tre vide au moment du montage du lecteur.

14.3.2. Quel est l'intrt du lecteur mont ?

Les lecteurs monts NTFS se rvlent pratiques pour ajouter des volumes un ordinateur alors que toutes les lettres de lecteur ont dj t affectes. Vous pouvez galement ajouter de l'espace un volume en y montant d'autres disques en tant que dossiers au lieu d'avoir recrer le volume sur un disque de plus grande capacit.

14.3.3. Comment grer un lecteur mont ?

Pour crer un lecteur monter on peut passer par le gestionnaire de disque en faisant un click droit sur la partition ou le volume que lon dsire monter, puis en slectionnant loption : Modifier la lettre de lecteur et les chemins . On peut galement utiliser diskpart avec loption assign.

14.4. Type de disques

14.4.1. Utilisation des disques de base
Lappellation disque de base reprsente le mode gestion par dfaut des disques. Il permet la cration de deux types de partition : Principale et Etendue. Les partitions principales (qui peuvent tre au nombre maximal de 4 sur un mme disque) sont celles qui sont amorables. Les OS doivent imprativement se trouver sur ce type de partition, faute de quoi ils ne pourront dmarrer. Une partition tendue constitue un espace non allou du disque. Afin de pouvoir exploiter cet espace, il faut au pralable y crer un ou plusieurs lecteur(s) logique(s). Cette partition permet doutrepasser la limite des 4 conteneurs que lon peut crer.

14.4.2. Utilisation des disques dynamiques

Les disques dynamiques offrent de nombreux avantages par rapport aux disques de base. Il va tre par exemple possible dtendre un volume sur plusieurs disques condition quils soient dynamiques afin de crer un volume runissant lespace disponible de ces disques. Tout ceci est de plus ralis de faon entirement logiciel il ny a donc pas ajouter de carte particulire. Il est galement possible de redimensionner les tailles des volumes crs lorigine sur un disque dynamique et cela la vole sans avoir redmarrer lordinateur, ni mme avoir dconnecter les clients travaillant sur le volume. Mais les disques dynamiques prsentent toutefois des contraintes. Il nest pas possible de raliser un double amorage sur des disques dynamiques, et ce, mme si les deux systmes dexploitation reconnaissent ce type de disque. De plus, les disques amovibles, connects en USB ou par interface IEEE ne peuvent tre transforms en disques dynamiques. Cest galement le cas des disques dordinateurs portables. Il faut galement noter quun espace minimum de 1Mo pour la base de donnes des disques dynamiques est requis. Cet espace est automatiquement rserv lorsque lon utilise les outils de Windows 2003 pour partitionner un disque. Enfin, il faut savoir que les disques dynamiques ne sont pas reconnus par les versions antrieures Windows 2000, ni par les systmes Linux ou UNIX. La conversion dun disque de base en disque dynamique est extrmement simple : cela se fait via la console Gestion des disques, ou via lutilitaire diskpart.exe. Il sagit de slectionner le disque convertir, de faire un clic droit dessus, et de choisir loption Convertir en disque dynamique. Lopration inverse requiert que tous les volumes prsents sur le disque dynamique soient supprims avant de procder la conversion. Il est possible de crer 5 types de volumes avec des disques dynamiques sous Windows 2003 Server :
________ ____

14.4.2.1. Volume simple

Un volume simple est lquivalent dune partition principale ou dun volume logique sur un disque dynamique. Lunique diffrence est quil nest pas soumis aux mmes limites que ces derniers notamment par le fait que lon peut en crer autant que lon souhaite. Il est possible dtendre un volume simple en volume fractionn. Cependant, vous ne pouvez tendre que les volumes natifs, c'est--dire, tous les volumes non issus dune mise niveau de disque de base vers disque dynamique.

14.4.2.2. Volume agrg par bande

Avec des volumes agrgs par bandes, le volume est cr sur plusieurs disques dynamiques en utilisant un espace de taille gal sur lensemble de ces disques. Exemple : Si lon possde 2 disques de 20Go et 1 disques de 30 Go, la taille de notre volume compos des trois disques sera au final de 60Go au lieu de 70Go). Les 10Go restant pouront tre utiliss pour un autre volume. Les donnes sont rparties de manire quitable sur chacun des volumes, ce qui a pour avantage damliorer les performances de lecture et dcriture. Cependant, tant donn que les donnes sont rparties sur tous les disques, si lun deux est dfaillant, lintgralit des donnes est perdue. De plus, si lon souhaite ajouter un disque un volume agrg xistant, il est ncessaire de sauvegarder le contenu du volume, puis de supprimer le volume, de le recrer avec le disque supplmentaire et de restaurer la sauvegarde sur le volume. Ce qui signifie que lon ne peut pas directement ajouter un disque dur un volume agrg existant.

14.4.2.3. Volume fractionn

Le systme de volume fractionn, sollicite lui aussi plusieurs disques dynamiques, cependant la mthode de remplissage est diffrente. En effet, les donnes sont dans un premier temps crites sur le premier disque, puis une fois ce dernier rempli, les donnes vont continuer tre stockes sur le suivant et ainsi de suite. Comme le systme de volume agrg par bandes, si lun des disques connais une dfaillance, lintgralit

des donnes est perdue. Lavantage de ce type de volume est de pouvoir tre tendu tant que de lespace est disponible sur lun des disques de la machine.
_ Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

14.4.2.4. Disques trangs

Quand vous dplacez un disque dynamique vers un nouvel ordinateur, ce dernier le traite comme un disque tranger. En effet, la base de donnes du disque dplac ne correspond pas encore la base de donnes des disques dynamiques de lordinateur. Afin de la faire correspondre, il est ncessaire de slectionner loption Importer des disques trangers. Cette option met jour la base de donnes du disque dplac avec la base de donnes des disques existant et permet de vrifier si lensemble des disques composant un volume ont bien t dplacs.

14.4.2.5. Ractivation dun disque

Si un disque est dconnect cause d'un endommagement, d'une coupure de courant ou d'une dconnexion, le disque n'est pas accessible. Le cas chant, vous devez rparer les partitions ou les volumes. Pour ce faire, ouvrez l'outil Gestion des disques, cliquez avec le bouton droit sur la partition ou le volume affichant l'tat Manquant ou Dconnect, puis cliquez sur Ractiver le volume. Une fois le disque ractiv, il doit afficher l'tat Connect. Il faut toujours essayer de ractiver le disque si celui-ci est marqu comme manquant, ou dconnect

14.5. Cration de volumes

La cration dun volume simple, comme tout autre type de volume se fait toujours de la mme faon. Il suffit de faire un click droit sur un Espace non allou dans le gestionnaire de disque, de cliquer sur Nouveau nom, et de suivre les instructions de lassistant de cration de volume. Dans le cas de la cration dautre type de volume, un assistant va vous permettre de faciliter vos choix dans le cadre de la cration de volume fractionn et de volume agrg en ralisant tous les calculs pour vous.

15. Gestion du stockage des donnes

15.1. Gestion de la compression des fichiers
15.1.1. Qu'est-ce que la compression des fichiers ?
La compression des donnes est une option qui permet de compresser les donnes de faon transparente pour lutilisateur. Cela va utiliser un algorythme (comme on le fait pour des fichiers zip, rar ou ace) qui va permettre dutiliser moins despace sur un volume au format NTFS. Lutilisation de la compression des donnes affecte tout de mme les performances lors de laccs ces donnes. Il vaut donc mieux envisager cette option que si aucune autre alternative nest possible. Il faut galement noter que les dossiers et les fichiers se compressent indpendamment. Cela signifie quun dossier peut tre compress sans que les fichiers quil contient le soient pour autant, et vice versa (lattribut de compression au niveau des dossiers permettant uniquement de spcifier lattribut dont vont hriter les fichiers qui vont y tre copis). Pour que la compression des dossiers affecte galement les fichiers quil contient, le dossier doit tre compress avant dy placer les fichiers. Enfin, notez quen cas de copie dun fichier compress, ce dernier est dans un premier temps dcompress, puis copi dans le dossier de destination, et enfin compress nouveau. Il faut donc sassurer que le volume de destination possde suffisamment despace libre pour accueillir le fichier dcompress. Ci-dessous, le tableau rcapitulant le traitement de ltat de compression dun fichier ou dun dossier : Mme lecteur Lecteur dorigine et de destination diffrents Copie Les fichiers et dossiers hritent de leur tat de compression Les fichiers et dossiers hritent de leur tat de compression Dplacement Les fichiers et dossiers conservent leur tat de compression Les fichiers et dossiers hritent de leur tat de compression _ Il nest pas possible de compresser un fichier ou un dossier crypt.

15.1.2. Qu'est-ce que la commande compact ?

La commande compact affiche et modifie la compression des fichiers ou des rpertoires dans les partitions NTFS. Utilise sans paramtre, la commande compact affiche l'tat de la compression du rpertoire en cours. Syntaxe

compact [{/c|/u}] [/s[:rp]] [/a] [/i] [/f] [/q] [NomFichier[...]] Paramtres Description /c Compresse le rpertoire ou le fichier indiqu. /u Dcompresse le rpertoire ou le fichier indiqu. /s:rp Indique que l'action demande (compression ou dcompression) doit s'appliquer tous les sous rpertoires du rpertoire indiqu ou du rpertoire en cours si aucun rpertoire n'est spcifi. /a Affiche les fichiers cachs ou les fichiers systme. /i Ne tient pas compte des erreurs. /f Force la compression ou la dcompression du rpertoire ou du fichier indiqu. Ce paramtre est utilis lorsque la compression d'un fichier est interrompue par une panne du systme. Pour forcer la compression du fichier dans sa totalit, utilisez les paramtres /c et /f et spcifiez le fichier compress partiellement. /q Signale uniquement les informations les plus importantes. NomFichier Indique le nom du fichier ou du rpertoire. Vous pouvez utiliser plusieurs noms de fichier ainsi que des caractres gnriques (* et ?). /? Affiche de l'aide l'invite de commandes.

15.2. Configuration du cryptage des fichiers

15.2.1. Qu'est-ce que le cryptage EFS ?
Le cryptage des fichiers est une opration trs utile dans le cadre dune organisation devant tre scurise. En effet, la gestion des autorisations ne permet pas une scurit maximum ; si un utilisateur malveillant russi rcuprer le mdia sur lequel se trouvent les donnes auxquelles il na normalement pas accs sur le rseau, il peut cependant brancher ce disque dur sur un autre OS o il est administrateur et ensuite avoir accs lintgralit des informations. Le cryptage des donnes vite que ce genre de situation puisse se produire. Quand un utilisateur crypte un fichier ou un dossier, le systme stocke le fichier en question sous une forme crypte en utilisant la cl publique de cet utilisateur, et le dcrypte quand lutilisateur veut y accder nouveau en utilisant sa cl prive. Seule la cl priv de lutilisateur ayant crypt le fichier peut dcrypter le fichier. Ceci se fait de faon totalement transparente pour lutilisateur, alors que lutilisateur non autoris se verra laccs refus. Il faut cependant noter que les donnes ne sont pas cryptes quand elles circulent sur le rseau. Il faut donc penser activer IPSec et WebDAV pour permettre un cryptage des donnes lors de leurs transports sur le rseau. Un agent de rcupration doit tre configur afin de pouvoir rcuprer les fichiers crypts dans le cas, par exemple, du dpart d'un employ ou de la perte de sa cl de dcryptage. Cet agent de rcupration doit tre dfinit avant le cryptage des fichiers _ Par dfaut le compte administrateur est utilis comme Agent de rcupration

15.2.2. Comment crypter un fichier ou un dossier ?

Pour crypter un dossier : dans la boite de dialogue Proprits pour le dossier, cliquer sur longlet Gnral, ensuite, cliquer sur le bouton Avanc et slectionner la case cocher Crypter le contenu pour scuriser les donnes . Le dossier nest pas crypt, mais les fichiers qui y seront placs seront crypts. Dcocher la case si vous souhaitez que les fichiers ne soient plus crypts.

15.2.3. Quels sont les effets produits par le dplacement ou la copie de fichiers ou de dossiers crypts ?
Ci-dessous, le tableau rcapitulant le traitement de ltat de cryptage dun fichier ou dun dossier : Action\Destination Destination : Dossier crypt Destination : Dossier non crypt Copie Les fichiers et dossiers deviennent crypts Les fichiers et dossiers conservent leur tat de cryptage Dplacement Les fichiers et dossiers deviennent crypts Les fichiers et dossiers conservent leur tat de cryptage _ Si vous copiez le fichier crypt d'un volume NTFS dans un volume FAT ou FAT32, le fichier devient non crypt. Si vous copiez le fichier d'un volume FAT dans un dossier crypt sur un volume NTFS, le fichier est crypt.

15.3. Implmentation des quotas de disque

15.3.1. Quest-ce qu'un paramtre de quota de disque ?
Un quota est une limite despace disque virtuel pour un utilisateur. En activant un Quota, ladministrateur va pouvoir dfinir lespace maximum que pourront exploiter les utilisateurs locaux, ou du domaine sur le disque sur lequel il a activ le quota et ceci mme si le disque dtient encore de lespace libre.

15.3.2. Comment activer et dsactiver des quotas de disque ?

Il suffit daller dans les proprits du disque sur lequel on dsire activer le quota, cliquer sur longlet Quota, puis cocher la case Activer la gestion de quota.

15.3.3. Comment ajouter et supprimer des entres de quota de disque ?

En activant la gestion de quota, les limites despace exploitable seront par dfaut appliques pour tous les utilisateurs (sauf ladministrateur). Cependant, il peut arriver que pour une raison particulire, ladministrateur veuille autoriser un utilisateur particulier utiliser une plus grande ou plus petite portion despace disque que les autres utilisateurs. Dans ce cas, il faudra crer une entre de quota. Une entre de quota permet de dfinir un quota pour un utilisateur. Cependant il nest pas possible de crer une entre de quota pour un groupe dutilisateur. Il faut galement savoir quune entre de quota est prioritaire sur le quota par dfaut. _ En cas de stockage de fichiers compresss sur un disque sur lequel est activ la gestion de quota, cest la taille du fichier sans compression qui est comptabilis. La gestion de quota est une option accessible que sur les partitions ou volumes formats en NTFS. Ce screenshot montre 2 entrs de quota : Une entre illimite pour ladministrateur cre automatiquement en cas dactivation de la gestion de quota Une entre dfinie manuellement qui limit 100 Mo lespace disque exploitable pour lutilisateur invit. Il est galement possible dimporter et dexporter des entres de quota vers dautre volume afin dallger les tches administratives.
_