Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
Editions ENI
Les stratégies de groupe (GPO) sous Windows Server 2008
et 2008 R2Implémentation, fonctionnalités, dépannage
(2ième édition) CollectionExpert IT
Table des matières
1Table des matières
Chapitre 1Introduction
1. Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.1 Un peu d'histoire…. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.2 … et d'avenir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.3 Qui bénéficie des stratégies de groupe ? . . . . . . . . . . . . . . . . . . . 15
2. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3. Conseils d'utilisation du livre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.1 L'environnement technique du livre . . . . . . . . . . . . . . . . . . . . . . 173.2 L'organisation des informations . . . . . . . . . . . . . . . . . . . . . . . . . 183.3 Le public concerné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4. Les nouvelles fonctionnalités des stratégies de groupe . . . . . . . . . . . 204.1 Nouveautés principales de Windows Server 2008
et 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204.1.1 La GPMC intégrée (GPMC 2.0) . . . . . . . . . . . . . . . . . . . . . 204.1.2 Group Policy devient un service . . . . . . . . . . . . . . . . . . . . 204.1.3 Les GPO Starter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.1.4 Les préférences de stratégie et les extensions côté client . 214.1.5 La détection de liens lents avec NLA
(Network Location Awareness). . . . . . . . . . . . . . . . . . . . . 214.1.6 La gestion des logs via GPDBPA . . . . . . . . . . . . . . . . . . . . 214.1.7 Le format ADMX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.1.8 La délégation de l'installation des pilotes d'imprimantes
aux utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.1.9 La console de gestion avancée des GPO . . . . . . . . . . . . . . 22
Les éléments à télécharger sont disponibles à l'adresse suivante :http://www.editions-eni.fr
Saisissez la référence ENI de l'ouvrage EI208STR dans la zone de recherche et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement.
2sous Windows Server 2008 et 2008 R2
Les stratégies de groupe (GPO)
4.2 Utilisation des différents types de stratégies de groupe. . . . . . . 224.2.1 Les stratégies locales dans un Workgroup. . . . . . . . . . . . . 234.2.2 Les GPO dans un domaine Active Directory . . . . . . . . . . 23
Chapitre 2GPO, AD et les processus d'application
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2. Active Directory, une étape primordiale . . . . . . . . . . . . . . . . . . . . . . . 26
3. Application des stratégies sur les postes de travail. . . . . . . . . . . . . . . 293.1 Niveaux d'application dans Active Directory . . . . . . . . . . . . . . . 293.2 Ordre d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303.3 Hiérarchie d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4. Les GPO dans un environnement multiforêt . . . . . . . . . . . . . . . . . . . 32
5. Active Directory, une organisation faite pour durer . . . . . . . . . . . . . 325.1 Modèle de structure des Unités d'Organisation . . . . . . . . . . . . . 34
6. Création et cycle de vie d'une stratégie de groupe . . . . . . . . . . . . . . . 376.1 Localisation des GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376.2 Permissions et droits d'accès sur les GPO . . . . . . . . . . . . . . . . . . 39
6.2.1 Création de GPO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396.2.2 Consulter et modifier les autorisations. . . . . . . . . . . . . . . 406.2.3 Le conteneur Policies dans Active Directory. . . . . . . . . . . 416.2.4 Le conteneur GPC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426.2.5 Le conteneur GPT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
6.3 Synchronisation des éléments GPC et GPT . . . . . . . . . . . . . . . . 44
7. Processus d'application des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . 457.1 Comprendre comment s'appliquent les GPO . . . . . . . . . . . . . . . 457.2 Principes généraux d'application des GPO . . . . . . . . . . . . . . . . . 46
7.2.1 Processus d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . 477.2.2 Processus d'application initial pour les versions
Windows 2000, Server 2003, Server 2008 et 2008 R2 . . . 48
3Table des matières
7.2.3 Processus d'application initial pour les versions Windows XP et Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
7.2.4 Le Fast Boot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507.3 Appliquer les GPO manuellement . . . . . . . . . . . . . . . . . . . . . . . . 51
7.3.1 Commandes de Windows 2000 . . . . . . . . . . . . . . . . . . . . . 527.3.2 Commandes de Windows XP et des versions suivantes . 52
7.4 Forcer les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537.4.1 Environnement Windows 2000. . . . . . . . . . . . . . . . . . . . . 537.4.2 Environnement Windows XP et supérieur . . . . . . . . . . . . 53
8. Application par connexion distante et liens lents . . . . . . . . . . . . . . . 538.1 Détection de liens lents dans Windows . . . . . . . . . . . . . . . . . . . 54
8.1.1 Windows 2000 et XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548.1.2 Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548.1.3 Paramètres appliqués par liens lents . . . . . . . . . . . . . . . . . 55
9. Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Chapitre 3Gérer les stratégies avec GPMC 2.0
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
2. Administrer et gérer les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
3. Gérer les GPO avec la console de gestion des stratégies de groupe - GPMC 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . 613.1 Implémenter la console GPMC 2.0 . . . . . . . . . . . . . . . . . . . . . . . 61
3.1.1 Installation de la fonctionnalité Gestion des stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
3.2 Fonctionnalités de la console GPMC 2.0. . . . . . . . . . . . . . . . . . . 633.2.1 Création et édition de stratégies de groupe . . . . . . . . . . . 633.2.2 Lier des objets stratégies de groupe . . . . . . . . . . . . . . . . . . 713.2.3 Utiliser l'option Appliqué. . . . . . . . . . . . . . . . . . . . . . . . . . 743.2.4 Gérer la précédence des stratégies . . . . . . . . . . . . . . . . . . . 773.2.5 Gérer les héritages des stratégies . . . . . . . . . . . . . . . . . . . . 793.2.6 Forcer les stratégies dans la GPMC . . . . . . . . . . . . . . . . . . 81
4sous Windows Server 2008 et 2008 R2
Les stratégies de groupe (GPO)
3.2.7 Rechercher des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . 813.3 Configuration des paramètres de stratégies . . . . . . . . . . . . . . . . 85
3.3.1 Configuration du nœud ordinateur. . . . . . . . . . . . . . . . . . 873.3.2 Configuration du nœud utilisateur . . . . . . . . . . . . . . . . . . 893.3.3 Génération de rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
3.4 Sécurité et délégation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 923.5 Sauvegarde et restauration des stratégies . . . . . . . . . . . . . . . . . . 96
3.5.1 Sauvegarder une stratégie . . . . . . . . . . . . . . . . . . . . . . . . . 973.5.2 Restaurer une stratégie. . . . . . . . . . . . . . . . . . . . . . . . . . . 1003.5.3 Importer des paramètres . . . . . . . . . . . . . . . . . . . . . . . . . 104
4. Nouvelles fonctionnalités de la GPMC 2.0 . . . . . . . . . . . . . . . . . . . . 1114.1 Les démarreurs de GPO (GPO Starter) . . . . . . . . . . . . . . . . . . . 111
4.1.1 Créer le dossier Starter GPO . . . . . . . . . . . . . . . . . . . . . . 1124.1.2 Créer un objet GPO Starter . . . . . . . . . . . . . . . . . . . . . . . 1134.1.3 Démarrer une stratégie à partir d'une GPO Starter . . . . 1164.1.4 Échanger les GPO Starter . . . . . . . . . . . . . . . . . . . . . . . . . 118
4.2 Les nouvelles fonctionnalités des filtres . . . . . . . . . . . . . . . . . . 1184.2.1 Utiliser les filtres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
4.3 L'utilisation des outils de commentaires. . . . . . . . . . . . . . . . . . 124
Chapitre 4Les préférences de stratégie de groupe
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
2. Explorer les préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1282.1 Liste des paramètres de préférences. . . . . . . . . . . . . . . . . . . . . . 130
2.1.1 Configuration ordinateur - Paramètres Windows . . . . . 1302.1.2 Configuration utilisateur - Paramètres Windows . . . . . 131
2.2 Création d'un objet de préférence . . . . . . . . . . . . . . . . . . . . . . . 1322.2.1 Configuration d'un objet de préférence . . . . . . . . . . . . . 1322.2.2 Déterminer l'action que la préférence doit effectuer . . . 134
5Table des matières
3. Configuration des objets de préférences . . . . . . . . . . . . . . . . . . . . . . 1353.1 Configuration des préférences du conteneur
Paramètres Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1363.1.1 Paramètres de préférences communs aux ordinateurs
et aux utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1363.1.2 Paramètres de préférences des utilisateurs . . . . . . . . . . . 146
3.2 Configuration des préférences du conteneur Paramètres du panneau de configuration . . . . . . . . . . . . . . . . . 1483.2.1 Paramètres de préférences communs aux ordinateurs
et aux utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1483.2.2 Paramètres de préférences des utilisateurs . . . . . . . . . . . 168
3.3 Les options de l'onglet Commun . . . . . . . . . . . . . . . . . . . . . . . . 1763.4 Les options des objets de préférences existants . . . . . . . . . . . . 178
4. Architecture et fonctionnement des préférences de stratégie . . . . . 1794.1 Administrer les préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1794.2 Appliquer les préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1804.3 Installer les extensions côté client sur les postes . . . . . . . . . . . 180
4.3.1 Windows Server 2008 et 2008 R2 . . . . . . . . . . . . . . . . . . 1814.3.2 Windows Server 2003, Windows XP. . . . . . . . . . . . . . . . 1814.3.3 Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1814.3.4 Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1814.3.5 Installer les CSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
4.4 Gérer les composants de préférences sur les postes d'administration . . . . . . . . . . . . . . . . . . . . . . . . . 1824.4.1 Administrer les préférences de stratégie
depuis un poste Windows Vista ou 7 . . . . . . . . . . . . . . . 1824.4.2 Administrer les préférences de stratégie
depuis un serveur Windows Server 2008 ou 2008 R2 . . 183
5. Liens et téléchargement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
6. Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
6sous Windows Server 2008 et 2008 R2
Les stratégies de groupe (GPO)
Chapitre 5ADMX, ADML et les filtres WMI
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
2. Les fichiers ADM et ADMX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1882.1 Les environnements mixtes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
3. ADMX et ADML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1893.1 Pré-requis à la création de fichiers ADMX . . . . . . . . . . . . . . . . 1923.2 Structure des fichiers ADMX. . . . . . . . . . . . . . . . . . . . . . . . . . . 192
3.2.1 Schéma du fichier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1933.2.2 Structure de base du fichier . . . . . . . . . . . . . . . . . . . . . . . 194
3.3 Structure des fichiers ADML . . . . . . . . . . . . . . . . . . . . . . . . . . . 1943.3.1 Schéma du fichier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1953.3.2 Structure de base du fichier . . . . . . . . . . . . . . . . . . . . . . . 196
3.4 Modèle ADMX de base personnalisé. . . . . . . . . . . . . . . . . . . . . 1963.5 Commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
4. Le magasin central . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1984.1 Créer le magasin central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1984.2 Incrémenter le magasin central . . . . . . . . . . . . . . . . . . . . . . . . . 199
5. Sources externes de modèles d'administration . . . . . . . . . . . . . . . . . 2005.1 Téléchargement de fichiers ADMX de source extérieure. . . . . 2005.2 Modèles d'administration pour Microsoft Office. . . . . . . . . . . 200
6. ADMX Migrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2016.1 Scénario idéal d'utilisation des fichiers ADMX . . . . . . . . . . . . 2016.2 Liens et téléchargements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
7. Cibler les GPO à l'aide des filtres WMI . . . . . . . . . . . . . . . . . . . . . . . 2027.1 La syntaxe des filtres WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
7.1.1 Syntaxe WMI de base. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2047.1.2 Exemple de requête WMI. . . . . . . . . . . . . . . . . . . . . . . . . 204
7.2 Créer un filtre WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2057.3 Lier un filtre WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
7Table des matières
7.4 Importer et exporter les filtres WMI. . . . . . . . . . . . . . . . . . . . . 2097.4.1 Importer un filtre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2097.4.2 Exporter un filtre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
8. Liens et téléchargements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
9. Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Chapitre 6Stratégies de groupe et sécurité
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
2. Création du domaine et stratégies par défaut. . . . . . . . . . . . . . . . . . 2162.1 La stratégie Default Domain Policy. . . . . . . . . . . . . . . . . . . . . . 217
2.1.1 Les paramètres de stratégie du domaine . . . . . . . . . . . . . 2172.1.2 Modifier la Default Domain Policy
ou en créer une nouvelle. . . . . . . . . . . . . . . . . . . . . . . . . . 2182.2 Stratégie Default Domain Controllers Policy . . . . . . . . . . . . . . 2192.3 Réparer les stratégies par défaut (Default Domain Policy
et Default Domain Controllers Policy) . . . . . . . . . . . . . . . . . . . 219
3. Configurer la Default Domain Policy . . . . . . . . . . . . . . . . . . . . . . . . 2203.1 Configuration de la Stratégie de mot de passe . . . . . . . . . . . . . 2243.2 Configuration de la Stratégie de verrouillage du compte. . . . . 2253.3 Configuration de la Stratégie Kerberos . . . . . . . . . . . . . . . . . . . 225
4. Sécurité et mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2274.1 Préparer l'implémentation de FGPP. . . . . . . . . . . . . . . . . . . . . . 228
4.1.1 Créer un PSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2294.1.2 Assigner un PSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2374.1.3 PSO et Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . 242
4.2 Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . 2434.2.1 Utiliser Specops . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
5. Élever le niveau de sécurité avec les outils d'audit . . . . . . . . . . . . . . 2455.1 Utiliser les stratégies de groupe pour auditer . . . . . . . . . . . . . . 245
5.1.1 Les différents paramètres d'audit. . . . . . . . . . . . . . . . . . . 246
8sous Windows Server 2008 et 2008 R2
Les stratégies de groupe (GPO)
5.1.2 Auditer les stratégies de groupe avec une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . 248
5.1.3 Auditer les modifications d'objets . . . . . . . . . . . . . . . . . . 2485.1.4 Directory service changes. . . . . . . . . . . . . . . . . . . . . . . . . 2535.1.5 Activer Directory service changes . . . . . . . . . . . . . . . . . . 2545.1.6 Auditer un objet spécifique . . . . . . . . . . . . . . . . . . . . . . . 2545.1.7 Auditer les accès aux fichiers réseau . . . . . . . . . . . . . . . . 257
5.2 Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
6. Stratégie de restriction logicielle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2586.1 Créer une stratégie avec une règle supplémentaire . . . . . . . . . 2646.2 Comment et quand appliquer les GPO de restriction ? . . . . . . 2666.3 Dépanner les stratégies de restriction . . . . . . . . . . . . . . . . . . . . 267
6.3.1 Vérifier manuellement le registre . . . . . . . . . . . . . . . . . . 2676.3.2 Créer un journal d'événements . . . . . . . . . . . . . . . . . . . . 267
7. Stratégie de sécurité avec Internet Explorer . . . . . . . . . . . . . . . . . . . 2687.1 Paramètres de stratégie d'Internet Explorer . . . . . . . . . . . . . . . 269
7.1.1 Configurer le navigateur Internet Explorer . . . . . . . . . . 2697.2 Maintenance d'Internet Explorer. . . . . . . . . . . . . . . . . . . . . . . . 272
7.2.1 Personnalisation du navigateur . . . . . . . . . . . . . . . . . . . . 2727.2.2 Configurer les paramètres de connexion. . . . . . . . . . . . . 2737.2.3 Gérer les URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2747.2.4 Sécurité d'Internet Explorer . . . . . . . . . . . . . . . . . . . . . . . 2747.2.5 Paramètres de programmes . . . . . . . . . . . . . . . . . . . . . . . 274
8. Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Chapitre 7Dépanner les stratégies de groupe
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
2. Méthodologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2782.1 Éléments de recherche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
2.1.1 Les exigences liées à l'infrastructure . . . . . . . . . . . . . . . . 279
9Table des matières
2.1.2 Les environnements mixtes . . . . . . . . . . . . . . . . . . . . . . . 2792.1.3 Les autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2802.1.4 Le domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . 2802.1.5 La connectivité réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . 2802.1.6 Les stratégies appliquées par liens lents . . . . . . . . . . . . . 2812.1.7 Les serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2812.1.8 Le partage SYSVOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2822.1.9 La réplication Active Directory et FRS . . . . . . . . . . . . . . 2822.1.10Les stratégies par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . 2822.1.11Dans la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
2.2 Organiser les permissions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
3. Les outils de diagnostic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2843.1 GPOTool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
3.1.1 Préparer l'utilisation de GPOTool . . . . . . . . . . . . . . . . . . 2853.1.2 Utiliser GPOTool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2853.1.3 Isoler les erreurs de réplication. . . . . . . . . . . . . . . . . . . . . 287
3.2 Déterminer un jeu de stratégie résultant RsOP . . . . . . . . . . . . 2883.2.1 Résultats de stratégie de groupe . . . . . . . . . . . . . . . . . . . 2893.2.2 Modélisation de stratégie de groupe . . . . . . . . . . . . . . . . 2983.2.3 GPResult . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
3.3 GPDBPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3083.3.1 Conditions d'utilisation de GPDBPA. . . . . . . . . . . . . . . . 3093.3.2 Utiliser GPDBPA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
3.4 Dcgpofix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3093.5 Gpupdate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3103.6 Replmon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
4. Les journaux d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3104.1 L'observateur d'événements de Windows Vista . . . . . . . . . . . . 311
4.1.1 Observateur d'événements en mode classique . . . . . . . . 3114.1.2 Observateur d'événements en mode avancé . . . . . . . . . . 3154.1.3 L'observateur d'événements sur les contrôleurs
de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
5. Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
10sous Windows Server 2008 et 2008 R2
Les stratégies de groupe (GPO)
Chapitre 8Étude de cas
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
2. Cas pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3262.1 Stratégies de la Configuration ordinateur. . . . . . . . . . . . . . . . . 327
2.1.1 Cas 1 - Configurer le Pare-feu Windows grâce aux stratégies de groupe . . . . . . . . . . . . . . . . . . . . . 327
2.1.2 Cas 2 - Configurer les stratégies de réseau sans fil de façon centralisée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
2.1.3 Cas 3 - Mettre en place une stratégie de clé publique . . 3432.1.4 Cas 4 - Déployer les applications
avec les stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . 3652.2 Stratégies de la Configuration utilisateur . . . . . . . . . . . . . . . . . 369
2.2.1 Cas 5 - Configurer le bureau idéal pour vos utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
2.2.2 Cas 6 - Restreindre l'accès au panneau de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
2.3 Stratégies de préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3742.3.1 Cas 7 - Gérer les utilisateurs et groupes locaux
des postes de travail depuis la GPMC . . . . . . . . . . . . . . . 3752.3.2 Cas 8 - Connecter les lecteurs réseau
grâce aux préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3772.3.3 Cas 9 - Faciliter l'accès aux applications
des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3792.3.4 Cas 10 - Permettre à votre entreprise de faire
des économies d'énergie . . . . . . . . . . . . . . . . . . . . . . . . . . 379
3. Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
11Table des matières
Chapitre 9GPO, Cloud computing et clients légers
1. Cloud privé et Cloud public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
2. Les architectures basées sur des clients légers . . . . . . . . . . . . . . . . . . 3832.1 Un modèle de structure Active Directory pour RDS . . . . . . . . 3832.2 Sécuriser et stabiliser les profils de Bureaux à distance
des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
3. GPO et Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4023.1 GPO, postes de travail Windows et serveurs hébergés
en Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4033.2 GPO, stations RDS et serveurs de Bureaux à distance
hébergés en Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
4. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Chapitre 10Conclusion
1. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
2. Les sites Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
3. Les forums . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Editions ENI
Windows Server 2008 R2 Administration avancée
(2ième édition)
CollectionExpert IT
Table des matières
Les éléments à télécharger sont disponibles à l’adresse suivante :
http://www.editions-eni.fr
Saisissez la référence ENI de l’ouvrage EI208R2WINS dans la zone de recherche
et validez. Cliquez sur le titre du livre puis sur le lien de téléchargement.
Avant-propos
Chapitre 1
Introduction
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2. Les différentes éditions de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . 12
3. Les grands axes de Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . 12
3.1 Un meilleur contrôle de l’information . . . . . . . . . . . . . . . . . . . . . . . . 12
3.2 Une meilleure protection du système d’information . . . . . . . . . . . . . 13
3.3 Une plate-forme évolutive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Chapitre 2
Domaine Active Directory
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2. Présentation du service d’annuaire Microsoft :
Active Directory Domain Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.1 Définition d’un domaine Active Directory . . . . . . . . . . . . . . . . . . . . 18
2.2 Fonctionnalités de l’Active Directory sous Windows Server 2008 R2. 19
2.2.1 Installation d’un annuaire Active Directory . . . . . . . . . . . . . . 19
2.2.2 Présentation de l’audit lié au service d’annuaire. . . . . . . . . . . . 31
2.2.3 Contrôleur de domaine en lecture seule. . . . . . . . . . . . . . . . . . 37
2.2.4 Stratégies de mot de passe et de verrouillage
de compte granulaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
2.2.5 Active Directory en tant que service Windows . . . . . . . . . . . . 51
2.2.6 Cliché instantané de l’Active Directory . . . . . . . . . . . . . . . . . . 53
2.2.7 Les comptes de service géré . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
2.2.8 La corbeille Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 64
2.2.9 Autres spécificités de Windows Server 2008 R2. . . . . . . . . . . . 69
3. Les stratégies de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
3.1 Détection des liens lents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
3.2 Le format ADMX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
3.3 Journaux d'évènements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
3.4 Des stratégies de groupe très utiles . . . . . . . . . . . . . . . . . . . . . . . . . . 76
3.5 La console Gestion des stratégies de groupe. . . . . . . . . . . . . . . . . . . . 77
3.6 Les objets GPO Starter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
4. Les autres composants Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.1 Active Directory Lightweight Directory Services (ou AD LDS) . . . . . 87
4.2 Active Directory Federation Services (ou AD FS) . . . . . . . . . . . . . . . 88
4.3 Active Directory Rights Management Services (ou AD RMS) . . . . . . 88
4.4 Active Directory Certificate Services (ou AD CS) . . . . . . . . . . . . . . . 89
Chapitre 3
Architecture distribuée d'accès aux ressources
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
2. Description de DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
3. L’installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
3.1 Le module d’espace de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
3.2 Le module de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
3.3 La console d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
3.4 Le cas des contrôleurs de domaine. . . . . . . . . . . . . . . . . . . . . . . . . . . 97
3.5 La cohabitation avec DFS 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
3.6 La procédure d’installation graphique . . . . . . . . . . . . . . . . . . . . . . . . 97
4. La configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
4.1 Les différents types de racines distribuées . . . . . . . . . . . . . . . . . . . . 105
4.1.1 Les racines autonomes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
4.1.2 Les racines de noms de domaine . . . . . . . . . . . . . . . . . . . . . . 112
4.2 La création des liaisons DFS et cibles DFS . . . . . . . . . . . . . . . . . . . . 117
4.3 La réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
4.3.1 Les filtres de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
4.3.2 La mise en place graphique de la réplication . . . . . . . . . . . . . 119
4.3.3 La topologie de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . 131
5. La configuration avancée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
5.1 Les méthodes de classement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
5.1.1 La configuration au niveau des racines DFS. . . . . . . . . . . . . . 131
5.1.2 La configuration au niveau des liaisons DFS . . . . . . . . . . . . . 133
5.1.3 La configuration au niveau des cibles DFS. . . . . . . . . . . . . . . 133
5.2 La délégation d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Windows Server 2008 R2Administration avancée
2
6. Les apports de Windows 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
7. Les outils. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
7.1 DFSCMD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
7.2 DFSRADMIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
7.3 DFSRDIAG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
7.4 DFSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
7.5 DFSRMIG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
8. L’utilisation de DFS et les bons usages . . . . . . . . . . . . . . . . . . . . . . . . . . 137
9. Les améliorations de DFS avec Windows Server 2008 R2. . . . . . . . . . . . . 138
9.1 Le mode ABE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
9.2 Le mode « lecture uniquement » de la réplication DFS
sur Windows 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
9.3 Des compteurs de performances spécifiques pour DFS
sur Windows 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
9.4 Les performances améliorées
pour les grosses infrastructures DFS . . . . . . . . . . . . . . . . . . . . . . . . 142
9.5 De nouvelles options pour DFSFRDIAG . . . . . . . . . . . . . . . . . . . . . 143
10. Les éléments ajoutés à la gestion des imprimantes sur Windows 2008 R2 143
10.1 L’amélioration de l’assistant de migration . . . . . . . . . . . . . . . . . . . . 143
10.2 L’isolement des pilotes d’impression . . . . . . . . . . . . . . . . . . . . . . . . 143
10.3 Location-aware printing (impression dépendante du site) . . . . . . . . 144
10.4 Le serveur de numérisation distribuée . . . . . . . . . . . . . . . . . . . . . . . 144
10.4.1 L’installation du service de rôle Serveur
de numérisation distribuée . . . . . . . . . . . . . . . . . . . . . . . . . . 145
10.4.2 La définition d’un processus de numérisation . . . . . . . . . . . . 150
11. Le BranchCache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
11.1 L’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
11.2 La configuration des partages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
11.3 La configuration des clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Chapitre 4
Haute disponibilité
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
2. Les choix d’architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
2.1 Les différentes architectures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
2.2 La haute disponibilité, nirvana de votre infrastructure ? . . . . . . . . . 168
Table des matières 3
3. La répartition de charge (Cluster NLB) . . . . . . . . . . . . . . . . . . . . . . . . . . 170
3.1 Créer une ferme NLB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
3.2 Configurer la ferme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
3.3 Exemple : ferme Web IIS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
4. Le cluster à basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
4.1 Migration de Windows Server 2003 à 2008 R2 . . . . . . . . . . . . . . . . 180
4.2 Validation de votre cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
4.3 Mise en œuvre du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Chapitre 5
Mise en place des services réseaux d'entreprise
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
2. L’implémentation d'un système d'adressage IP. . . . . . . . . . . . . . . . . . . . . 201
2.1 Le choix de l'architecture réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . 202
2.1.1 La zone DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
2.1.2 La classe réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
2.2 L’installation d’un serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . 203
2.2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
2.2.2 L’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
2.2.3 La configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
2.2.4 Les réservations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
3. La mise en place des systèmes de résolutions de nom . . . . . . . . . . . . . . . 210
3.1 La résolution DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
3.1.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
3.1.2 L’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
3.1.3 Les différents types de zones . . . . . . . . . . . . . . . . . . . . . . . . . 211
3.1.4 Les différents types de réplications . . . . . . . . . . . . . . . . . . . . 212
3.1.5 Les zones de recherche inversée . . . . . . . . . . . . . . . . . . . . . . . 214
3.1.6 Les tests et vérifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
3.1.7 Les différents types d’enregistrement . . . . . . . . . . . . . . . . . . 216
3.1.8 Les bons usages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
3.1.9 DNSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
3.2 La résolution WINS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
3.2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
3.2.2 L’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Windows Server 2008 R2Administration avancée
4
3.2.3 La configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
3.2.4 La réplication entre serveurs WINS . . . . . . . . . . . . . . . . . . . . 226
3.2.5 Quand et pourquoi utiliser WINS ? . . . . . . . . . . . . . . . . . . . . 226
4. La mise en place de la quarantaine réseau . . . . . . . . . . . . . . . . . . . . . . . . 227
4.1 La préparation de l’environnement commun
aux différents types de quarantaine. . . . . . . . . . . . . . . . . . . . . . . . . 227
4.2 La mise en place de NAP via DHCP . . . . . . . . . . . . . . . . . . . . . . . . 236
4.3 La mise en place de NAP via IPSec . . . . . . . . . . . . . . . . . . . . . . . . . 239
4.3.1 Installation du service Autorité HRA . . . . . . . . . . . . . . . . . . 239
4.3.2 Configuration du système de validation (HRA). . . . . . . . . . . 244
4.3.3 Définition des règles de sécurité de connexion. . . . . . . . . . . . 245
4.4 La mise en place de NAP sur 802.1x . . . . . . . . . . . . . . . . . . . . . . . . 246
4.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Chapitre 6
Déploiement des serveurs et postes de travail
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
2. Préparer son déploiement en choisissant bien sa stratégie . . . . . . . . . . . . 253
2.1 Définir le périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
2.2 Gestion des licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
2.3 Choix de l’édition et du type d’installation . . . . . . . . . . . . . . . . . . . 257
3. Créer et déployer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
3.1 Microsoft Deployment Toolkit (MDT 2010). . . . . . . . . . . . . . . . . . 258
3.2 Lite Touch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
3.3 WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
4. Aller plus loin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
4.1 Microsoft Application Compatibility Toolkit . . . . . . . . . . . . . . . . . 278
4.2 Environnement à la demande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
4.3 ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
4.4 DISM (Deployment Image Servicing and Management) . . . . . . . . . 280
4.5 Zero touch avec SCCM 2007 SP2 . . . . . . . . . . . . . . . . . . . . . . . . . . 281
4.6 Joindre le domaine sans réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
4.7 En cas de problème . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Table des matières 5
Chapitre 7
Bureau à distance (Terminal Services)
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
2. Mise en œuvre des Services Bureau à distance . . . . . . . . . . . . . . . . . . . . . 286
2.1 Administration à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
2.2 Le rôle Hôte de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
2.2.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
2.2.2 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
2.2.3 Configuration de l’accès Web . . . . . . . . . . . . . . . . . . . . . . . . 295
2.2.4 Configuration de la passerelle Bureau à distance . . . . . . . . . . 299
2.2.5 Configuration du RemoteApp . . . . . . . . . . . . . . . . . . . . . . . . 305
2.2.6 Configuration du gestionnaire de licences Bureau à distance . 308
2.2.7 Installer un logiciel sur un serveur RDS. . . . . . . . . . . . . . . . . 312
3. Configurations avancées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
3.1 Configuration du Session Broker . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
3.2 Gestion des impressions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
3.3 Optimiser la bande passante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
3.4 Maintenances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
4. Améliorations avec Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . 317
4.1 Remote Desktop Client 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
4.2 Gérer les profils itinérants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
4.3 Intégration VDI/Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
4.4 RemoteFX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
4.4.1 RemoteFX pour un hôte de virtualisation
des services Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . 321
4.4.2 RemoteFX pour un hôte de session bureau à distance . . . . . . 323
4.4.3 RemoteFX utilisé pour la redirection USB . . . . . . . . . . . . . . . 324
Chapitre 8
Accès distant
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
2. Principe de l’accès distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
2.1 Accès par téléphone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
2.1.1 Généralités sur les connexions Dial-Up . . . . . . . . . . . . . . . . . 328
2.1.2 Avantages et inconvénients des connexions Dial-Up . . . . . . . 328
Windows Server 2008 R2Administration avancée
6
2.2 Accès via Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
2.2.1 Généralités sur les VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
2.2.2 Les différents types de VPN proposés
sous Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . 331
2.2.3 Avantages et inconvénients du VPN . . . . . . . . . . . . . . . . . . . 332
2.2.4 Direct Access, le "VPN-Killer" . . . . . . . . . . . . . . . . . . . . . . . . 333
3. Mettre en place un accès sécurisé à travers Internet . . . . . . . . . . . . . . . . 334
3.1 Mise en place d'une liaison VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
3.1.1 Installation du rôle Services de stratégie et d’accès réseau . . . 336
3.1.2 Configuration des fonctionnalités VPN . . . . . . . . . . . . . . . . . 339
3.2 Gestion de la sécurité des accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
3.3 Gestion de l'authentification (IAS/RADIUS) . . . . . . . . . . . . . . . . . . 354
3.4 Implémentation de Direct Access . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Chapitre 9
Application Internet
1. Mettre en place un serveur Intranet/Internet . . . . . . . . . . . . . . . . . . . . . 369
1.1 Présentation d’IIS 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
1.1.1 Présentation générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
1.1.2 Nouvelle architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
1.1.3 Nouvelle administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
1.1.4 Nouveautés incluses avec IIS 7.5
dans Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . 372
1.2 Installation du rôle Serveur Web (IIS) en mode console. . . . . . . . . . 373
1.2.1 Installation par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
1.2.2 Installation complète. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
1.3 Installation du rôle Serveur Web (IIS) en mode graphique. . . . . . . . 374
2. Monter un site Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
2.1 Création et configuration d’un site . . . . . . . . . . . . . . . . . . . . . . . . . 381
2.2 Mise à jour du domaine DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
2.3 Mise en place d’une DMZ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
3. Monter un site FTP avec isolation des utilisateurs. . . . . . . . . . . . . . . . . . 389
4. Monter un site Intranet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Table des matières 7
Chapitre 10
Limiter les possibilités d'attaque avec Server Core
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
2. Principes du serveur Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
2.1 Restrictions liées à une installation Core . . . . . . . . . . . . . . . . . . . . . 403
2.2 Installation minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
3. Configurer localement un Serveur Core. . . . . . . . . . . . . . . . . . . . . . . . . . 405
3.1 Sconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
3.2 Configurer le temps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
3.3 Paramètres régionaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
3.4 Résolution de l’écran . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
3.5 Économiseur d’écran . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
3.6 Nom du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
3.7 Gestion des pilotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
3.8 Configuration réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
3.9 Activation de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
3.10 Gestion du rapport d’erreurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
3.11 Configurer le PageFile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
3.12 Joindre un domaine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
3.13 Gérer les journaux d’évènements. . . . . . . . . . . . . . . . . . . . . . . . . . . 414
4. Gestion à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
4.1 Activation du bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
4.2 Activation de WinRM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
5. Sécuriser le Serveur Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
5.1 Gestion du pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
5.2 Gestion automatique des mises à jour . . . . . . . . . . . . . . . . . . . . . . . 419
5.3 Sauvegarder le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
5.4 Sécurisation du stockage avec BitLocker . . . . . . . . . . . . . . . . . . . . . 421
6. Mise en place d'un serveur Core et des applications associées . . . . . . . . . 422
6.1 Installation des rôles et des fonctionnalités . . . . . . . . . . . . . . . . . . . 422
6.1.1 Les rôles réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
6.1.2 Le rôle serveur de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
6.1.3 Le rôle serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . 428
6.2 Service d'annuaire (AD). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
6.3 Exécuter des applications 32 bits . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Windows Server 2008 R2Administration avancée
8
Chapitre 11
Consolider vos serveurs
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
2. Pourquoi consolider ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
2.1 Virtuel versus Physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
2.1.1 Optimisation des coûts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
2.1.2 Les limites de la virtualisation . . . . . . . . . . . . . . . . . . . . . . . . 435
2.2 De nouvelles problématiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
2.2.1 Environnement mutualisé . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
2.2.2 Sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
2.3 Préparer son déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
2.3.1 Pré-requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
2.3.2 Méthodologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
2.3.3 Déterminer les serveurs et les applications propices
à la virtualisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
2.3.4 Respect des meilleures pratiques . . . . . . . . . . . . . . . . . . . . . . 443
3. Déployer Hyper-V. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
3.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
3.2 Configuration du rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
3.3 Configuration du stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
3.4 Configuration de la gestion de la mémoire dynamique . . . . . . . . . . 448
3.5 SCVMM 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
3.6 Mises à jour Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
3.7 Live migration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Chapitre 12
Sécuriser votre architecture
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
2. Principe de moindre privilège. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
2.1 Les différents types de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
2.2 Le contrôle d’accès utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
2.3 Gérer vos groupes à l’aide des groupes restreints . . . . . . . . . . . . . . . 469
2.4 Applocker ou le contrôle de l'application . . . . . . . . . . . . . . . . . . . . . 471
Table des matières 9
3. Délégation d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
3.1 Approche de la délégation d’administration. . . . . . . . . . . . . . . . . . . 481
3.2 Délégation de comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 482
4. Sécurisation du réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
4.1 Network Access Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
4.2 Le pare-feu Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
4.3 Le chiffrement IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
Chapitre 13
Cycle de vie de votre infrastructure
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
2. Gestion des sauvegardes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
2.1 Windows Server Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
2.1.1 Installation de Windows Server Backup . . . . . . . . . . . . . . . . 507
2.1.2 Création de la sauvegarde planifiée d’un dossier . . . . . . . . . . 508
2.1.3 Outils associés à WSB et sauvegardes uniques . . . . . . . . . . . . 512
2.2 Restauration de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
2.2.1 Restauration des fichiers et/ou de dossiers . . . . . . . . . . . . . . 515
2.2.2 Restauration de l’état du système . . . . . . . . . . . . . . . . . . . . . 517
2.3 Grappe RAID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
3. Gestion des mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
3.1 Présentation de WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
3.2 Installation de WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
3.2.1 Installation sur Windows Server 2008 R2 . . . . . . . . . . . . . . . 521
3.3 Utilisation de WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Chapitre 14
Se préparer pour le futur
1. Après Windows Server 2008 R2 et Windows 7 . . . . . . . . . . . . . . . . . . . . 531
2. Le calendrier attendu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
Windows Server 2008 R2Administration avancée
10
EI208R2WINS_T.pdfTable des matièresAABEAccès Basé sur l'Enumération, 138lecture uniquement de la réplication DFS, 139
Accès distant, 327Dial-up, 328Direct Access, 333, 360numérotation à la demande, 327VPN, 329VPN Reconnect, 332
Active Directory, 1, 17Active Directory Best Practice Analyzer Tool, 71Active Directory Certificate Services, 89Active Directory Federation Services, 88Active Directory Lightweight Directory Services, 87Active Directory Rights Management Services, 88Active Directory Web Service (ADWS), 70AD CS, 89AD FS, 88AD LDS, 87AD RMS, 88audit, 31cliché instantané, 53contrôleur de domaine en lecture seule, 37corbeille, 64définition, 18niveau fonctionnel, 25, 28nouveautés 2008 R2, 69partition, 18RODC, 37service Active Directory, 51sites, 19stratégie de réplication de mot de passe, 42stratégies de mot de passe, 45verrouillage de compte, 45
Applocker, 471Après Windows Server 2008 R2, 531Architecture réseaux, 202mise à jour dynamique des DNS, 207PTR, 207zones de recherches inverses, 207
BBranchCache, 154BranchCache pour les fichiers réseaux, 155distribué, 161Hash coding, 157hébergé, 161mise en cache, 159
Bureau à distance, 6, 285accès Web, 288, 295administration à distance, 288bande passante, 315client RDP, 288Easyprint, 314gestionnaire de licences, 288, 308impressions, 314installer un logiciel, 312maintenance, 316mise en œuvre, 286NLA (Network Level Authentication), 289passerelle, 288, 299portail Web, 295RDP-Tcp, 294RemoteApp, 296, 305rôles, 288session Broker, 288, 312
CCluster, 166à basculement, 177CCR, 181CSV (Cluster Shared Volume), 199NLB, 166
CMS, 395Comptes de service géré, 57Comptes utilisateur, 462administrateur, 462invité, 462standard, 462utilisateurs avec pouvoir, 464
Compteurs de performances pour DFS, 140Consolider, 9, 433Active Directory, 444clusters, 455configuration, 446déployer, 445gestion de la mémoire dynamique, 448les limites, 435meilleures pratiques, 443mises à jour, 457Offline Virtual Machine Servicing Tool, 457pourquoi, 433PowerShell, 454préparer, 439sauvegarde, 437SCVMM, 435, 449SQL Server, 444stockage, 446VSS, 438
Contrôle d’accès utilisateur, 464
DDélégation, 481Déploiement, 5, 253Bootstrap.ini, 265CustomSettings.ini, 265, 268ImageX, 279KMS, 255 - 256licences, 255Lite Touch, 267machines virtuelles, 279MDT, 258Microsoft Application Compatibility Toolkit, 278multidiffusion, 277préparer, 253SCCM, 254sysprep, 273TS.xml, 265Unattend.xml, 265USMT, 274WAIK, 259WDS, 267, 274WSUS, 272Zero touch, 281
DFS, 93Access-based enumeration, 134apports de Windows 2008, 134cibles DFS, 117configuration au niveau des cibles DFS, 133DFS 2003, 97FS-DFS, 95la console d'administration, 96RSAT-MGMT-DFS-con, 96Windows Server 2008 mode domain-based namespaces, 134
DHCP, 203configuration, 204DHCPCMD.EXE, 209étendue, 204gérer les serveurs autorisés, 204MAC Address, 209protocole, 203réservations, 208type de nœud, 206
DMZ, 387DNS, 210différents types de réplications, 212différents types d'enregistrements, 216DNS (Domain Name Server), 210enregistrements PTR, 215NsLookup, 216redirecteurs, 212zone de type Principale, 211zone de type Secondaire, 211zone intégrée à Active Directory, 211zones de recherche inversée ARP, 214
DNSSEC, 217DNSKEY, 218KEY, 217KSK, 218MS-DNS SEC, 218MS-DNSSEC, 220Trust Anchors, 221zone signée, 221ZSK, 218
Domaine, 1, 17
EEspace de noms, 96État du système, 517
FFerme, 170ferme Web IIS, 176
Filtres de réplication, 118filtres de fichiers, 118mise en place d'une réplication, 119plannings de réplication, 130réplica des données, 126
GGestion de la numérisation, 143Groupes restreints, 469
HHaute disponibilité, 3, 165Hyper-V, 433
IIIS, 369, 373ASP.NET, 370certificat auto signé, 338en-têtes d'hôte, 385fichiers de configuration, 371FTP, 370, 389, 391
Intranet, 395IPSec, 77, 501mode transport, 502mode tunnel, 502stratégie de groupe, 502stratégies, 502
JJoindre un domainenetdom, 414wevtutil, 414
Jumbo Frames, 440
LLiaisons DFS, 117configuration au niveau des liaisons DFS, 133exclure les cibles en dehors du site du client, 132moindre coût, 132nom d'une liaison, 117ordre aléatoire, 132références, 131
Lite Touch, 258Live migration, 459Location-aware printing, 144
MMDT 2010, 258MIDORI, 531Module de réplication, 96FRS, 97
MSCS, 166Mutualisation, 436
NNAP sur 802.1x, 246802.1X, 247EAP (EAP over Lan), 246EAP-MSCHAP v2, 251IAS, 247serveur NPS, 247Tunnel-Tag, 250
NAP via DHCP, 236napstat.exe, 238stratégie de quarantaine DHCP, 237
NAP via IPSec, 239authentification de l'Agent SHA (System Health), 240authentification des systèmes sains, 241autorité HRA (Health Registration Authority), 239contrainte (Enforcement), 244distribution de clé (PKI), 239stratégie, 245stratégie de clé publique, 242
Network Access Protection, 491NLB, 166NRPT (Name Resolution Policy Table)stratégie de résolution de noms, 223
OOutils, 135DFSCMD, 135DFSRADMIN, 136DFSRDIAG, 136DFSRMIG, 136DFSUTIL, 136
PPare-feu, 77, 491audit, 499avec fonctions avancées de sécurité, 492basique, 491journalisation, 500profils, 493règles, 494stratégies de groupe, 493
Pilotemode Isolé, 143mode Partagé, 143
Principe de moindre privilège, 461PrintBrm, 143Processus de numérisation, 150Profils itinérants, 318ProtocolesL2TP/IPSec, 331PPTP, 331SSTP, 332
QQuarantaine réseau, 227agent de protection d'accès réseau, 235client NAP (Network Access Protection), 227groupe de serveurs de mise à jour, 233module SHA, 227NPS, 227protection d'accès réseau, 232règle de conformité, 229réparation automatique (remediation), 235stratégies de santé, 229système de validation (SHV), 227
Quorum, 178
RRacine de noms de domaine, 109, 112délégation d'administration, 134équilibrage de charge, 116nouvel espace de noms, 113tolérance aux pannes, 116
Racines autonomes, 105Racines distribuées, 105liens de partage, 105
RADIUS, 354RAID, 518 - 519Remote Desktop Client 7.0, 317RemoteFX, 320hôte de virtualisation des services Bureau à distance, 321redirection USB, 324
Répartition de charge (Cluster NLB), 170Réplication, 118compression différentielle, 118DFSR, 136filtre de réplication, 118groupe de réplication, 118NTFRS, 136RDC, 118
SSauvegarde, 505clichés instantanés, 513complète, 505différentielle, 505incrémentielle, 506restauration, 515VSS, 512wbadmin, 512Windows Server Backup, 506
Sconfig, 405SCVMM, 441Server Core, 8, 403activation, 411BitLocker, 421configurer, 405joindre un domaine, 414mises à jour, 419PageFile, 413pare-feu, 418pilotes, 409principes, 403réseau, 410restrictions, 403rôle DHCP Server, 423rôle DNS server, 423rôle IIS, 424sauvegarder, 420serveur de fichiers, 427serveur d'impressions, 428service d'annuaire (AD), 429WinRM, 415
servermanagercmd, 96, 292FS-Replication, 97
Serveur de numérisation distribuée, 143services de documents et d'impressions, 145WSD, 144
Serveur NPS, 345Serveur Web, 370Services critiques, 165Services de fichiers, 98Solution actif/actif, 167Solution actif/passif, 167Stockage, 446Stratégies de groupe, 73ADML, 74ADMX, 74de préférences, 76GPMC, 77GPO Starter, 85journaux d'évènements, 74rechercher, 79
Système d'adressage IP, 201IPv6, 202zone DNS, 202
Systèmes de résolutions de nomping, 215
TTCP Offload, 440Topologie de réplication, 131Hub&Spoke, 131, 137maille pleine, 131méthodes de classement, 131
UUser Account Control (UAC), 464
VVDI, 319Virtuel, 434VMQ, 440
WWAIK, 258Windows Server 2008 mode domain-based namespaces, 134Windows Server Backup, 506Windows SharePoint Services, 395WinRM, 415serveur d'impression, 428
WINS, 225réplication WINS, 226WINS (Windows Internet Naming Service), 226
WSUS, 520
ZZero Touch, 258