Reseau Windows 2000 2003

8/14/2019 Reseau Windows 2000 2003

1/43

Rseau avec Windows 2000 et 2003 Page 1 Fvrier 2004 Andr Sayer

Rseau avec

Windows 2000 ou2003 serveur

Ce document fait rfrence Windows 2000. Sauf prcision contraire, tout convient galement pour

Windows 2003.

Utilisation de Windows 2000

Aide

Avec l'aide de Windows 2000 ("Dmarrer", "Aide") vous pouvez, en tapant un ou deux mots, obtenir desexplications pas toujours simples mais souvent pertinentes.Essayez par exemple les mots

"imprimante"partition fat32

Diffrentes versions de Windows

Versions de Windows Type Partitions utilisables3.0, 3.1, 3.11 Client Fat 163.51 Serveur Fat 16 et NTFS95 Client Fat 1695 Osr2, 98, 98SE, ME Client Fat 16 et Fat 32

NT4 WorkStation Client Fat 16 et NTFSNT4 Serveur Serveur Fat 16 et NTFS2000 Pro Client Fat 16, Fat 32, NTFS2000 Serveur Serveur Fat 16, Fat 32, NTFSXP Home dition Fat 16, Fat 32, NTFSXP Pro Client Fat 16, Fat 32, NTFS2003 Serveur Serveur Fat 16, Fat 32, NTFS

8/14/2019 Reseau Windows 2000 2003

2/43


Microsoft Management Console

Lorsque vous appelez les outils d'administration, vous retrouvez toujours une prsentation semblable. Lesoutils d'administration correspondent un fichier ayant pour extension .msc. Ces fichiers sont appels par leprogramme MMC.EXE (Microsoft Management Console).Le programme MMC.EXE et les fichiers msc se trouvent dans \winnt\System32 ou \Windows\System32.

Par exemple "Dmarrer", "Programmes", "Outils d'administration" et "Observateur d'vnements" revient aumme que d'appeler le programme MMC avec comme paramtre c:\winnt\system32\eventvwr.msc. On peutmme se contenter d'un double clic sur eventvwr.msc.

De mme l'outils "Gestion de l'ordinateur" correspond MMC.EXE avec comme paramtre compmgmt.msc.Le "Gestionnaire de priphriques" peut tre appel par "devmgmt.msc".Etc.

Gestionnaire de priphriques

Dans les "Outils d'administration", ouvrez "Gestion de l'ordinateur". Dans les "Outils systme", vous trouvez"Gestionnaire de priphriques".Vous pouvez comme avec Windows 9x, dsinstaller un priphrique, vous pouvez galement le dsactiver,mettre jour les pilotes...Vous pouvez galement obtenir des informations trs compltes sur le systme en allant dans les "Outilssystme" et "Information systme".

Gestion des disques durs

Vous venez d'installer Windows 2000 pro ou serveur dans une partition de quelques Go. Il reste une place

inutilise (non allou) sur le disque dur.Pour profiter ce cette place, il reste dfinir la partition puis la formater.Dans les "Outils d'administration", ouvrez "Gestion de l'ordinateur" et placez-vous sur "Gestion des disques".

Soyez prudent, une mauvaise manipulation sur une partition contenant des donnes risque de faire perdre lapartition et donc les donnes qu'elle contient.

Si une partie du disque n'est pas encore alloue, vous pouvez "Crer une partition". Faites un clic droit sur lapartie non alloue et "Crer une partition". Un assistant dmarre...

8/14/2019 Reseau Windows 2000 2003

3/43


Un disque dur peut contenir de 1 4 (ou 5) partitions principales. A la place d'une partition principale, on

peut crer une partition tendue dans laquelle on pourra crer jusqu' 4 lecteurs logiques.Si par exemple, Windows est install sur une partition de 4 ou 6 Go, on pourra crer une partition principaleavec le reste du disque dur.

8/14/2019 Reseau Windows 2000 2003

4/43


Il reste alors formater la partition.

Windows 2000 permet de crer une partition sans lui attribuer de lettre. Une telle partition peut tre "monte"dans un rpertoire d'une autre partition. Si vous connaissez linux, vous tes dj familiaris avec cette notion.

Si on a cr une partition sans lui attribuer une lettre, on pourra par exemple crer un rpertoire videC:\UnRep, et monter cette partition dans C:\UnRep.

Lorsque vous accdez au rpertoire C:\UnRep, vous accdez en ralit la partition. Une recherche dans lesrpertoires et sous-rpertoires de C:\ fera automatiquement une recherche galement dans la partition monte.

Le systme de fichiers utiliser peut tre FAT (c'est dire Fat16) ou FAT32 ou NTFS. Windows NT neconnat pas la FAT32.On choisira en gnral NTFS car ce systme de fichiers permet d'ajouter une fonctionnalit trs importante :les autorisations de scurit sur les rpertoires et les fichiers.

8/14/2019 Reseau Windows 2000 2003

5/43


Que veut dire Activer une partition ?

En vous plaant sur une partition, vous serez peut-tre tent de choisir "Activer" pensant qu'il s'agit de larendre oprationnelle. En fait la partition "Active" est la partition qui est utilise pour le dmarrage. Engnral, il s'agit de la partition C.Une seule partition par disque dur peut tre active.

Si vous avez activ une mauvaise partition, vous n'aurez un problme qu'au prochain dmarrage

de l'ordinateur.

Certains administrateurs ont "vcu heureux" pendant plusieurs mois aprs avoir activ une mauvaise partition.La mauvaise surprise n'arrive que lorsque le serveur pour une raison ou une autre a besoin d'tre redmarr !

Au dmarrage l'ordinateur cherche le systme d'exploitation sur le disque slectionn au niveau du Bios et,sur ce disque, utilise la partition active. Si cette partition ne contient pas de systme d'exploitationl'ordinateur ne peut pas dmarrer. Un message vous indique qu'il n'y a pas de systme d'exploitation.

Que faire ?Si vous avez activ une mauvaise partition mais que vous n'avez pas encore redmarr l'ordinateur, vouspouvez simplement activer la bonne partition l'aide du gestionnaire de disques.

Si vous avez redmarr l'ordinateur et obtenu le message indiquant qu'il manque le systme d'exploitation, ilvous reste utiliser une disquette Dos (Par exemple une disquette de dmarrage obtenue avec Windows 98)et utiliser FDisk pour activer la bonne partition.

Disques en miroir

Appel galement RAID-1.Il s'agit de deux disques durs, qui sont vus comme un seul disque dur. Les donnes sont enregistres sur lesdeux disques en mme temps et au mme endroit. Deux disques de 20 Go ne vous donnent donc qu'unecapacit de 20 Go.Si un disque tombe en panne, l'autre permet de continuer. Bien sr si un fichier est effac, il l'est sur les deuxdisques, si un virus s'installe ou dtruit des donnes, les deux disques sont modifis.

Disques en RAID-5

Il s'agit de plusieurs disques durs (au moins 3) branches sur une carte contrleur spciale. Les donnes sontrparties sur les disques et un contrle de parit permet de ne pas perdre les donnes lorsqu'un disque est enpanne. Il est mme en gnral possible de remplacer le disque sans arrter l'ordinateur.Les accs disques sont acclrs car l'criture se fait sur plusieurs disques en mme temps.

Agrgat de partitions

Il est possible de regrouper plusieurs partitions appartenant au mme disque ou plusieurs disques.L'ensemble de ces partitions est vu comme une partition unique. Lorsqu'une partition est pleine, la partition

suivante est automatiquement utilise.C'est une solution qui permet d'obtenir une grande capacit mais les risques de panne sont augments. Eneffet, si pour une raison quelconque l'une des partitions n'est plus utilisable la totalit de l'agrgat est perdu.Il est possible d'tendre un agrgat en ajoutant une ou plusieurs partitions sans perdre les donnes.

Disques en RAID 0

Il est possible de regrouper deux disques de mme taille afin de rpartir les enregistrements sur les deuxdisques. Si l'un des disques est plus gros, seule une partie de la mme taille que le petit sera utilise.L'criture se fait par blocs en gnral de 64 ko sur les deux disques.Cette solution est souvent propose avec les disques SATA.Par exemple deux disques de 60 Go donnent une unit de 120 Go et comme l'criture se rpartie sur les deuxdisques les accs sont acclrs.Attention, la panne d'un des disques fait perdre toute l'unit.

?

8/14/2019 Reseau Windows 2000 2003

6/43


Changer la lettre attribue au lecteur

Windows NT ou 2000 accepte que vous changiez la lettre attribue un lecteur. Si ce lecteur n'a pas encoret utilis, le changement n'aura aucune mauvaise consquence. Si le lecteur a dj t utilis, et que vouschangez sa lettre, il y a de grandes chances pour que des programmes aient retenu l'ancienne lettre dans desfichiers de configuration ou dans la base de registre et que votre changement cause des erreurs lors del'utilisation de ces programmes.

Windows accepte que l'on change la lettre du lecteur sur lequel il est install. Ne le faites pas ! En effet cechangement vous donnerait de nombreux dysfonctionnements.

Le fichier Boot.ini

Exemple de fichier Boot.ini :

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINNT

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Server" /fastdetect

On y trouve le chemin utilis pour indiquer l'emplacement des fichiers du systme.multi ou scsi permet de dfinir le type de carte contrleurmulti(0) veut dire la premire carte contrleur IDE.partition permet de dfinir le numro de la partition utiliser (commence 1).

Remplacer partition(1) par partition(2) voudrait dire que les fichiers systmes sont sur la deuxime partition.Si ce n'est pas le cas, Windows ne dmarre pas.Le fichier Boot.ini est un fichier texte cach et en lecture seule.Il est situ sur la partition active (partition systme).

Service Pack

Microsoft fournit des correctifs sous forme de service pack.Actuellement, le dernier service pack de NT est le 6a et le dernier service pack de 2000 est le Sp4.

Tout service pack contient les correctifs des prcdents.

Lorsque vous avez effectu des modifications qui ont ncessit de mettre le CD de Windows, il est conseillde "repasser" le service pack.

NT4 sans au moins le service pack 4 n'est pas capable d'utiliser des disques durs de plus de 8 Go.

Les services

Windows NT, 2000, XP et 2003 permettent l'utilisation de services.Un service est un programme qui n'a pas besoin qu'une session soit ouverte pour tre excut.Par exemple, il n'est pas ncessaire qu'une session soit ouverte sur le serveur pour qu'il joue pleinement sonrle de serveur.

Exercice 1 :

Ouvrez une fentre dos et tapez

NET SEND * "Hello !"

8/14/2019 Reseau Windows 2000 2003

7/43


Ceci envoie le message 'Hello !" tous les ordinateurs de votre domaine. Seuls les ordinateurs NT, 2000,2003 ou XP recevront ce message.Votre ordinateur faisant partie du domaine, reoit galement le message.

Remarques :- la place de l'toile vous pouvez mettre le nom d'un ordinateur ou d'un utilisateur.- Avec Windows 9x, excutez Winpopup pour envoyer ou recevoir les messages.

Allez dans les "Outils d'administrations" et ouvrez "Services".Faites un clic droit sur le service "Affichage des messages" et choisissez "Arrter".Recommencez l'envoi du message.

Vous ne recevez plus le message parce que le service qui traite l'arrive des messages ne fonctionne plus.

Comme le service "Affichage des messages" dmarre automatiquement lorsque Windows dmarre, pourredmarrer le service, il serait possible de redmarrer l'ordinateur mais on peut se contenter de redmarrerseulement le service. Dans Services faites nouveau un clic droit sur le service "Affichage des messages" etchoisissez "Dmarrer".

Exercice 2 :

Certains services dpendent d'autres services. L'arrt d'un service peut donc entraner l'arrt d'autres services.Placez-vous sur un service et dans les proprits, regardez le volet "Dpendances".

Arrtez le service Serveur. Vous tes inform que d'autres services vont tre arrts comme par exemples"Explorateur d'ordinateurs", "Ouverture de session rseau", "Systme de fichiers distribus".Vrifiez qu'il est maintenant impossible aux autres ordinateurs d'accder votre ordinateur (par exemple enfaisant rechercher ordinateur).

Redmarrez le service Serveur puis les services qui dpendent de Serveur.Vrifiez qu'il est possible nouveau aux autres ordinateurs d'accder votre ordinateur.

8/14/2019 Reseau Windows 2000 2003

8/43


Windows 2000 serveur

Domaines et Active Directory

Windows 2000 gre un domaine grce Active Directory

Avec NT4 serveur, l'installation de la partie grant le domaine est "mlange" avec l'installation deWindows.Depuis Windows 2000 Serveur, L'installation d'Active Directory est bien spare de l'installation deWindows 2000. Il est par exemple possible de supprimer Active Directory et de le rinstaller sans avoir rinstaller Windows 2000.

Choix des noms de domaines

Windows 2000 serveur est conu pour fonctionner dans des environnements comportant un grand nombre de

serveurs.Ces serveurs sont regroups en domaines.

Un serveur ne peut pas grer plusieurs domaines.Un domaine peut tre gr par un seul serveur ou par plusieurs serveurs.Dans un domaine, un et un seul serveur joue le rle de "Matre d'oprations" afin de coordonner leschangements.

Si Active Directory est install et que votre domaine contient plusieurs serveurs, vous pouvez voir ou changerles matres d'oprations en ouvrant "Utilisateurs et Ordinateurs Active Directory", en faisant un clic droit surla ligne "Utilisateurs et Ordinateurs Active Directory" et en choisissant "Matres d'oprations..."Pour plus de dtails voir la partie "Rles des serveurs d'un domaine" plus loin.

Avec Windows NT serveur tous les domaines taient au mme niveau. Avec Windows 2000 serveur, il estpossible d'avoir une arborescence de domaines.Par exempleDomaine le plus haut : lycee.privUn domaine enfant : tertiaire.lycee.privUn autre domaine enfant de mme niveau : info.lycee.priv

A partir d'un serveur du domaine tertiaire.lycee.priv, il est possible d'accder en lecture aux proprits desutilisateurs de lycee.priv.A partir d'un serveur du domaine lycee.priv, il est possible d'accder avec tous les droits aux proprits desutilisateurs de tertiaire.lycee.priv ou info.lycee.priv.

En pratique dans un tablissement scolaire, on n'utilisera pas les domaines enfants. On utilisera par exempleles domaines tertiaire.priv et info.priv. On pourra ensuite si on le souhaite tablir des relations d'approbationentre ces deux domaines.

Trois rles possibles

Lorsque vous installez Active Directory, vous devez choisir entre :- Contrleur de domaine pour un nouveau domaine.- Contrleur de domaine supplmentaire pour un domaine existant.

Vous pouvez galement ne pas installer Active Directory, votre serveur sera alors un simple serveurautonome et si vous l'inscrivez dans un domaine (comme une simple station), il sera serveur membre.

Contrleurs de domaineDans chaque domaine, un serveur au moins doit tre contrleur de domaine.

8/14/2019 Reseau Windows 2000 2003

9/43


Lorsque vous voulez ajouter un serveur un domaine existant, vous devez le faire en tant connect auserveur existant et choisir "Contrleur de domaine supplmentaire pour un domaine existant" Lors del'installation d'Active Directory, ce serveur rcupre des informations indispensables partir du serveurexistant comme par exemple les identificateurs de scurit (SID).

Attention, il arrive que des commerants pensant bien faire, installent dans leurs ateliers, un serveur en luidonnant le mme nom de domaine que celui que vous utilisez dj sur votre serveur existant afin de vous

permettre d'avoir un deuxime serveur pour votre domaine. Lorsque ce nouveau serveur est branch dansvotre rseau, il n'est pas capable de s'intgrer correctement votre domaine. Il y a mme des conflits quicausent des lenteurs et des erreurs. La solution consiste isoler le nouvel ordinateur et dsinstaller ActiveDirectory. Il vous reste alors mettre ce nouvel ordinateur dans votre rseau et rinstaller Active Directoryen prsence du premier serveur.

Installation d'Active Directory et de DNS

Voir les documents "Installation de Windows 2000 Serveur" et "Installation de Windows 2003 Serveur" quidcrivent, avec copies d'cran, une faon d'installer Active Directory et DNS dans le cas d'un domainecompos d'un seul serveur.

Les comptes utilisateurs

Il est possible que vous ayez cr des utilisateurs ou des groupes avant dinstaller Active Directory. Dans cecas, il sagissait dutilisateurs ou de groupes de lordinateur. Vous avez pu faire cela en allant dans "Gestionde lordinateur" et en vous plaant sur "Utilisateurs et groupes locaux" puis sur Users.

Depuis que Active Directory est install, ces anciens utilisateurs ou groupes ont t supprims. Dailleurs enallant dans "Gestion de lordinateur" vous constatez que Users est reprsent par une croix rouge indiquantque la gestion des utilisateurs de lordinateur est dsactive.

Les utilisateurs et les groupes que lon va crer vont appartenir au domaine. Pour les crer on utilise"Utilisateurs et ordinateurs Active Directory".

Des serveurs contrleurs d'un mme domaine, possdent la mme base de donnes de l'annuaire (liste desutilisateurs). La modification d'un utilisateur sur l'un des serveurs, se rpercute automatiquement sur lesautres (la synchronisation peut se faire avec un retard de quelques minutes).

Utilisateurs et groupes du domaine

Cration dun nouvel utilisateur.

Dans les outils dadministration, ouvrez "Utilisateurs et ordinateurs Active Directory", placez-vous sur

"Users".

8/14/2019 Reseau Windows 2000 2003

10/43


Crez de la mme faon quelques autres utilisateurs (Durand, Dubois, Duchemin, Dujardin...).

Il est important de remarquer que l'utilisateur cr n'a pas le droit de venir travailler sur le serveur. Il n'est pasautoris ouvrir une session sur le serveur.L'utilisateur pourra cependant ouvrir une session sur un autre ordinateur et accder par le rseau certainesressources situes sur le serveur (rpertoires, fichiers, imprimantes...).

Il est toutefois possible de donner des droits diffrents un utilisateur. Par exemple il suffit de mettre unutilisateur dans le groupe Administrateurs ou Admin du domaine pour que celui-ci obtienne le droit d'ouvrirune session sur le serveur ainsi que les droits d'administration au mme titre que le compte Administrateur.

Cration dun groupe

Vous pouvez de la mme faon crer un groupe.

Groupes globaux et groupes locaux

Groupe global : Il sagit dun groupe conu pour regrouper des utilisateurs du domaine.Groupe local : Il sagit dun groupe conu pour attribuer des droits.

Un groupe global peut contenir :- des utilisateurs du domaine

Un groupe local peut contenir :

- des utilisateurs du domaine- des utilisateurs dautres domaines- des groupes globaux du domaine- des groupes globaux dautres domaines.

Prenons un exemple.Vous avez quelques utilisateurs crs (Dupond..).Vous crez un groupe global "terminale_a" et vous mettez les utilisateurs comme membres du groupe"terminale_a" (Dupond est membre de terminale_a).Vous crez un groupe local "impr_couleur". Vous mettez "terminal_a" comme membre de "impr_couleur".Vous donnez au groupe "impr_couleur" le droit dutiliser limprimante couleur (par dfaut Tout le monde ale droit d'imprimer, vous enlevez Tout le monde et vous mettez "impr_couleur" a le droit d'imprimer).

Un utilisateur du groupe "terminale_a" aura alors le droit dimprimer sur limprimante couleur.

8/14/2019 Reseau Windows 2000 2003

11/43


En pratique :Comme il est possible de donner des droits un groupe global, on aura souvent tendance ne pas beaucouputiliser les groupes locaux dans un rseau dtablissement scolaire.

Utilisateurs et groupes d'origine

Lors de l'installation d'Active Directory, un certain nombre d'utilisateurs et de groupes sont crs

automatiquement.Utilisateurs :Ouvrez "Utilisateurs et ordinateurs Active Directory" et placez-vous sur "Users". On y trouveessentiellement :

- Administrateur- Invit

Invit est un compte dsactiv.

Groupes locaux :Ouvrez "Utilisateurs et ordinateurs Active Directory" et placez-vous sur "Builtin". On y trouveessentiellement (remarquez le pluriel) :

- Administrateurs- Utilisateurs

Groupes globauxOuvrez "Utilisateurs et ordinateurs Active Directory" et placez-vous sur "Users". On y trouveessentiellement (remarquez le pluriel) :

- Admins du domaine- Utilisa. du domaine- Ordinateurs du domaine

"Ordinateurs du domaine" ne concerne pas les utilisateurs, nous verrons ce groupe plus tard.

Il existe galement un groupe particulier nomm "Tout le monde".

Questions :- Lequel des deux groupes "Administrateurs" et "Admins du domaine" est dans l'autre (est membre de

l'autre) ?

- Administrateur est membre de quels groupes ?

- Lorsque vous crez un utilisateur, il est automatiquement membre d'un groupe, lequel ?

Ordinateurs du domaine

Les versions professionnelles (NT4 Workstation, 2000 Pro, XP pro) des stations peuvent tre inscrites dansun domaine. Elles apparaissent alors dans l'entre "Computers" de Active Directory.

8/14/2019 Reseau Windows 2000 2003

12/43


Stations dans le rseau

Windows NT Workstation ou 2000 Pro ou XP Pro

Ces ordinateurs ne sont pas capables de grer un domaine.Ils peuvent tre utiliss de faon autonome ou faire partie d'un domaine.Dans la suite il est suppos que vous utilisez Windows 2000 Pro mais Windows NT Workstation et WindowsXP Pro ragissent de faon semblable.Attention : Windows XP dition familiale ne permet pas de fonctionner dans un domaine. On ne choisiradonc pas cette version pour une utilisation dans un tablissement scolaire.

Windows 2000 Pro ou XP Pro utilis de faon autonome

Dans les "Outils d'administration", ouvrez "Gestion de l'ordinateur".Si vous n'avez pas les "Outils d'administration" dans le menu programmes, vous pouvez le trouver dans le

panneau de configuration.

Ouvrez "Utilisateurs et groupes locaux".Vous pouvez galement utiliser "Utilisateurs et mot de passe" dans le panneau de configuration.

Crez un utilisateur. Il sera automatiquement membre du groupe "Utilisateurs" et ce titre aura le droitd'ouvrir une session sur la station.Cet utilisateur ne bnficie pas des mmes droits qu'un administrateur. Il ne peut pas par exemple crer desutilisateurs ou modifier les utilisateurs existants. Certains rpertoires ne peuvent pas tre modifis. Il ne peutpas changer la scurit sur les rpertoires...

Windows 2000 Pro ou XP Pro utilis dans un domaine

Lorsqu'une station est jointe un domaine, il est possible d'ouvrir une session avec un compte utilisateurlocal ou avec un compte utilisateur du domaine.Le choix se fait dans la fentre d'ouverture de session en choisissant dans la liste ct de "Se connecter ".Cette liste est forme du nom de la station et du nom du domaine.

Si vous ne voyez que deux zones dans la fentre d'ouverture de session, utilisez le bouton "Options>>".

Accs un Windows 2000 Pro ou XP Pro partir d'autres ordinateurs

Il est possible de crer des comptes utilisateurs locaux sur Windows 2000 Pro et d'utiliser ces comptes pourouvrir des sessions sur d'autres ordinateurs mais Windows 2000 Pro est limit volontairement par Microsoft 10 connexions simultanes.Cela signifie que si 10 personnes ont ouvert une session sur des Windows 98 et que ces 10 personnesaccdent des rpertoires partags sur l'ordinateur Windows 2000 Pro, il est impossible une onzimepersonne d'y accder.

Ajout d'une station dans un domaine

Les ordinateurs qui excutent Windows 95 ou 98 ou ME n'ont pas besoin d'tre dclars dans le domaine.Dans les proprits rseau de la station, on choisira "Client pour les rseau Microsoft" et il suffira alorsd'ouvrir une session avec un nom d'utilisateur du domaine pour accder au domaine.

Pour avoir le droit d'ouvrir une session avec un compte utilisateur du domaine sur une station NTWorkstation ou 2000 pro ou XP pro il est ncessaire de commencer par joindre la station au domaine. Cetravail n'est faire qu'une fois sur chaque station.

8/14/2019 Reseau Windows 2000 2003

13/43

8/14/2019 Reseau Windows 2000 2003

14/43


XP : Pour faire appartenir la station un domaine, ouvrez la session en tant qu'administrateur local, dans le"Panneau de configuration", et "Performance et maintenance", ouvrez "Systme", dans le volet "Nom del'ordinateur" cliquez sur "Modifier". Indiquez le nom du domaine. Il vous sera demand "le nom et le mot depasse d'un compte autoris joindre le domaine", donnez le nom dfini prcdemment et le mot de passecorrespondant (le compte Chef).

Lorsque la station est ajoute au domaine, son nom apparat dans "utilisateurs et ordinateurs Active

Directory" dans la partie "Computers" ainsi que dans la partie "Ordinateurs du domaine" situe dans "Users".Si la station a dj t ajoute puis enleve, il est possible que son nom soit rest dans Active Directory. Dansce cas l'ajout de cette station peut chouer. Allez dans Active Directory sur le serveur, supprimez cette stationet recommencez l'ajout.

Enlever une station d'un domaine

NTWS : Pour enlever la station du domaine, ouvrez la session en tant qu'administrateur local et, dans lesproprits rseau, cliquez sur le bouton "Modifier". Indiquez que la station doit tre membre de Workgroup.

W2KP : Pour enlever la station du domaine, ouvrez la session en tant qu'administrateur local, dans le"Panneau de configuration", ouvrez "Systme", dans le volet "Identification rseau" cliquez sur "Proprits".Choisissez "Membre de" et "Groupe de travail".

XP : Pour enlever la station du domaine, ouvrez la session en tant qu'administrateur local, dans le "Panneaude configuration", et "Performance et maintenance", ouvrez "Systme", dans le volet "Nom de l'ordinateur"cliquez sur "Modifier". Choisissez "Membre de" et "Groupe de travail".

Il arrive que la station ne soit pas enleve automatiquement dans Active Directory sur le serveur. Allez sur leserveur et si vous constatez que la station est encore prsente, vous pouvez l'enlever.

Il est alors fort probable que l'adresse IP indique comme DNS dans le paramtrage TCP/IP ait besoin d'trechange.

Un compte du domaine avec des droits locaux

Il sera pratique d'avoir un compte utilisateur du domaine avec des droits d'administrateur local. Ce comptepermettra d'ouvrir une session sur les stations en ayant tous les droits sur les stations et d'avoir des accs aurseau. Voici comment procder :Je suppose que nous allons utiliser le compte "Chef" cr prcdemment sur le serveur.Ouvrez une session sur une station en utilisant un compte d'administrateur local (En gnral ce sera

"Administrateur" avec son mot de passe et le nom de la station dans la zone du domaine).Allez dans "Gestion de l'ordinateur", dans "Utilisateurs et groupes", "Groupes" et Affichez les proprits dugroupe "Administrateurs". Utilisez "Ajouter" dans "Regarder dans" slectionnez le nom du domaine etajoutez "Chef".Validez.

Vous pouvez maintenant ouvrir une session sur la station avec le compte Chef et le nom de votre domainecomme domaine et avoir les droits d'administrateur de la station.

8/14/2019 Reseau Windows 2000 2003

15/43


Autorisations de partages et de scurit

Partage d'un rpertoire

Un rpertoire peut tre partag afin d'tre accessible partir des autres ordinateurs du rseau.

Dans les proprits du partage, le bouton"Autorisations" permet de dcider qui aura le droitd'accder ce rpertoire partir des autres ordinateursdu rseau.

Autorisations de partage :Par dfaut le groupe "Tout le monde" a un "Contrletotal" (NT et 2000) ou "Lecture" (2003). Vous pouvezmodifier ces autorisations en fonction de vos besoins.

Exercice :Dans les autorisations de partage du rpertoire :Supprimez la ligne "Tout le monde".Ajoutez Dupond et DurandDonnez le droit "Modifier" Dupond.Donnez le droit "Lecture" Durand.

Pour viter les problmes de droits d'ouverture de session, la suite de l'exercice pourra tre faite sur un clientWindows 9X.

Ouvrez une session sur un autre ordinateur du rseau en tant que Dupond et essayez d'accder par levoisinage rseau au rpertoire partag du serveur.

8/14/2019 Reseau Windows 2000 2003

16/43


Ouvrez une session sur un autre ordinateur du rseau en tant que Durand et essayez de mme d'accder aurpertoire partag du serveur.Ouvrez une session sur un autre ordinateur du rseau en tant que Duchemin. Avez-vous le droit d'accder aurpertoire partag du serveur ?

Rle des coches dans la colonne "Refuser".Si un compte utilisateur ou un groupe est la fois dans "Autoriser" et dans "Refuser", la ressource lui sera

refuse car "Refuser" l'emporte sur "Autoriser".

Il peut tre pratique d'utiliser "Refuser" pour un ou deux utilisateurs appartenant un groupe alors que legroupe est autoris. Cela reviendrait au mme mais serait plus fastidieux d'autoriser un par un presque tousles membres du groupe.

Cas o un utilisateur a plusieurs autorisationsImaginons que Dupond a un droit "Lecture" alors qu'un groupe auquel appartient Dupond a un droit"Modifier". Dans ce cas Dupond obtient le droit de modifier.

On peut rsumer ceci en disant que les autorisations s'ajoutent.

Attention si vous refusez un droit une personne alors que cette personne appartient un groupe qui a ledroit, c'est le refus qui l'emporte.

Scurit sur un rpertoire ou un fichier

Faites un clic droit sur un rpertoire et allez dans "Proprits". Vous retrouvez le volet "Partage" mais si lapartition est NTFS, vous avez galement un volet "Scurit".

Dans le volet "Scurit", vous retrouvez un bouton "Autorisations".

Alors que les autorisations de partage ne concernent que les personnes accdant au rpertoire partir des autres ordinateurs du rseau, les autorisations de scurit s'appliquent tous (que l'on

soit sur l'ordinateur ou sur un autre ordinateur du rseau).?

8/14/2019 Reseau Windows 2000 2003

17/43


Vous pouvez constater que la coche est mise dans la case "Permettre aux autorisations pouvant tre hritesdu parent d'tre propages cet objet".Cela signifie que les autorisations du rpertoire pre (le rpertoire contenant ce rpertoire) sontautomatiquement appliques ce rpertoire.

Pour supprimer un droit hrit, vous devez commencer par supprimer la coche de l'hritage (si vous oubliez,un message vous demandera confirmation pour la supprimer).

Attention : Ne changez pas la scurit sur les rpertoires crs par Windows sans savoirparfaitement ce que vous faites.

Une erreur par exemple consisterait se placer sur C: et modifier les autorisations de scurit. Si en plusvous utilisez le bouton "Avanc" pour cocher "Rinitialiser les autorisations sur tous les objets enfants..."vous dtruisez toutes les scurits d'origine sur les diffrents rpertoires de la partition Windows.

Retenez, cette rgle simple : Ne modifiez les autorisations de scurit que sur les rpertoires ou fichiers quevous avez crs.

Autorisations relles

Lorsqu'un utilisateur accde partir d'une station un rpertoire partag du serveur, il doit "traverser" lesautorisations de partage et s'il y arrive, doit encore "traverser" les autorisations de scurit. L'autorisationrelle applique est donc l'intersection (au sens mathmatique) des deux autorisations.

Lorsqu'un utilisateur accde un rpertoire situ sur son ordinateur, il n'a que les autorisations de scurit "traverser".

Exercice :

Supposons qu'un rpertoire E:\Documents\Public est partag sous le nom Public.Supposons que Dupond appartient au groupe terminale_a.Indiquez dans chaque cas (pour chaque ligne du tableau), les droits rels de Dupond

Autorisations de partage Autorisations de scuritDroit rel de Dupond

lorsqu'il est sur unautre ordinateur.

Droit rel de Dupondlorsqu'il est sur cet

ordinateur (en supposantqu'il a le droit d'ouvrir

une session).Dupond : "Modifier"terminale_a : "lecture"

Tout le monde : "Modifer".

terminale_a : "Lecture" Dupond : "Modifier"

terminale_a : "Modifier" terminale_a : "Lecture"

Dupond: "Modifer" Tout le monde : "Lecture"

Tout le monde :"Contrle total"Dupond : "Lecture"

Dupond : "Lecture"terminale_a : "Modifier"

Tout le monde :"Contrle total"

terminale_a : "Modifier"

terminal_a : "Lecture" Tout le monde : "Contrletotal"

?

8/14/2019 Reseau Windows 2000 2003

18/43

8/14/2019 Reseau Windows 2000 2003

19/43


Que veut dire "Dsactiver" ?La stratgie sera supprime. Si elle est prsente sur la station, elle sera supprime, si elle ne l'est pas rienn'est fait.

Que veut dire "Non configur" ?La stratgie redeviendra comme si elle n'avait pas t active.Plus exactement, si une autre stratgie moins prioritaire existe, cette autre stratgie s'appliquera.

Que se passe-t-il s'il existe des stratgies contradictoires ?Chaque stratgie s'applique dans un certain ordre. La dernire applique est donc celle qui l'emporte.

Les stratgies locales de la station s'appliquent en premier.Les stratgies du domaine s'appliquent ensuite.Les stratgies des OU s'appliquent enfin dans l'ordre d'imbrication.

O sont retenues les stratgies ?Lorsqu'une station subit une stratgie, elle effectue une modification dans sa base de registre.Si la stratgie concerne l'ordinateur, la modification est souvent faite dans la clHKEY_LOCAL_MACHINE.

Si la stratgie concerne l'utilisateur, la modification est souvent faite dans la cl HKEY_CURRENT_USER.Or cette dernire cl est retenue dans le profil de l'utilisateur (NTUSER.DAT). Chaque utilisateur qui aouvert une session et qui a subit la stratgie a donc son NTUSER.DAT modifi.

8/14/2019 Reseau Windows 2000 2003

20/43


Profils utilisateurs

Windows 9x ou ME peut fonctionner avec ou sans les profils utilisateurs.NT Workstation, 2000 Pro ou XP pro ne fonctionne qu'avec les profils utilisateurs activs.

Profils locaux

Le profil de l'utilisateur est stock sur la station dans un rpertoire souvent au nom de l'utilisateur que voustrouverez dans le rpertoire \Documents and Setting.On y trouve un certain nombre de fichiers et rpertoires et en particulier le fichier cach ntuser.dat.

Il est de temps en temps ncessaire de supprimer les profils qui ne servent plus. Cette suppression se fera surchaque station en tant qu'administrateur et en utilisant "Panneau de configuration", "Systme" et "Profilsutilisateurs" (pour XP : "Panneau de configuration", "Systme", "Avanc" et dans "Profils utilisateurs"utilisez "Paramtres").

L'utilitaire DelProf.exe (tlchargeable sur le site de Microsoft) permet de supprimer plusieurs profilsitinrants en une seule opration.

Si le nombre d'utilisateurs est important et si les stations du domaine se ressemblent, on pourra prfrer lasolution des profils utilisateurs itinrants obligatoires.

Profils utilisateurs itinrants

Principe

Dans les proprits d'un utilisateur, en mettant dans le volet "Profil", un chemin de profil, l'utilisateurretrouvera son profil partir de toutes les stations du rseau.Cette solution a ses avantages et ses inconvnients.Avantages : L'utilisateur conserve ses paramtres. Il retrouve son bureau, son menu dmarrer, son rpertoireMes documents, ses cookies, ses fichiers temporaires Internet...Inconvnients : Si les stations ne sont pas identiques, certains raccourcis ne seront pas oprationnels,certains programmes ne fonctionneront pas. Les stations seront longues au dmarrage (recopie en local durpertoire profil situ sur le serveur), et longues l'arrt (recopie du profil local vers le rpertoire du profilsur le serveur). Le rpertoire du serveur contenant les profils grossira vite !

Exercice

Vous devez commencer par crer un rpertoire sur le serveur et le partager.Crez par exemple le rpertoire D:\Profils et partagez ce rpertoire avec Profils comme nom de partage.Mettez comme autorisations de partage :

8/14/2019 Reseau Windows 2000 2003

21/43


Tout le monde : ModifierVrifiez que les permissions de scurit possdent au moins :

Administrateurs : Contrle totalSystem : Contrle totalTout le monde : Modifier.

Dans le volet profil d'un utilisateur (par exemple de Dupond), mettez le chemin du profil :

\\ (nom du serveur) \Profils\%USERNAME%Vous mettrez bien entendu le nom rel de votre serveur.Vous taperez %username% sans oublier les % ou, ce qui revient au mme, vous taperez le nom de l'utilisateursans les %.

Ouvrez une session sur une station 2000 ou XP avec ce compte utilisateur (Dupond). Lorsque vous fermerezla session, le rpertoire Dupond du serveur sera cr et recevra une copie de votre profil.

Ouvrez une session sur une autre station 2000 ou XP avec ce mme compte utilisateur (Dupond) et vousretrouverez votre profil car le rpertoire profil du serveur a t recopi en local dans votre rpertoire profil.

Profils utilisateurs itinrants obligatoires

Principe

Il est possible d'imposer un profil certains utilisateurs. Lorsqu'un utilisateur a utilis au moins une fois soncompte itinrant, le rpertoire profil son nom sur le serveur contient son profil.En renommant le fichier ntuser.dat situ dans ce rpertoire en ntuser.man, la station comprendra qu'il s'agitd'un profil obligatoire. Le profil sera alors copi du serveur vers la station lors de l'ouverture de session maisne sera pas copi de la station vers le serveur lors de la fermeture de session.

Exercice

Sur le serveur, recherchez dans le rpertoire D:\Profils\Dupond le fichier ntuser.dat et renommez-le enntuser.man (ntuser.dat ne doit plus exister).

Ne confondez pas avec le fichier texte ntuser.dat.txt ou ntuser.dat.log qui peut ventuellement exister et qu'il estinutile de renommer.

Ouvrez une session sur une station Windows 2000 ou XP pro en tant que Dupond. Faites des modifications,fermez la session et ouvrez une session sur une autre station. Est-ce que vous retrouvez les modifications quevous venez de faire sur la premire station ?

Enregistrez un document dans "Mes documents". Est-ce que vous retrouvez votre document aprs fermetureet ouverture de session sur cette station ? En ouvrant une session sur une autre station ?

Profil obligatoire commun plusieurs utilisateurs

Lorsque le nombre d'utilisateurs est important, il devient intressant de ne stocker qu'un ou quelques profilssur le serveur et d'imposer un profil aux utilisateurs.

Il serait en effet fastidieux de rendre obligatoire les profils de nombreux utilisateurs. On peut utiliser lemme rpertoire profil pour dfinir le profil de plusieurs utilisateurs.

Ouvrir une session sur une station 2000 ou XP avec un compte de prfrence du domaine, ayant les droitsd'administrateur sur la station, et n'ayant pas un profil itinrant. Utilisez tous les programmes au moins unefois afin que leur paramtrage utilisateur soit retenu.

8/14/2019 Reseau Windows 2000 2003

22/43


Ouvrez une session sur cette station avec le compte Administrateur du domaine (depuis l'arrive des XP, ilest prfrable d'utiliser ce compte car le rpertoire qui va tre cr sur le serveur doit avoir Administrateurscomme propritaire).Dans le "Panneau de configuration" et "System" utilisez le volet profil utilisateurs. Placez-vous sur le profildu compte utilis prcdemment et faites "Copier dans...". Indiquez comme chemin\\ (nom du serveur) \Profils\communAvant de valider, on peut constater que ce rpertoire sera autoris seulement vous or nous voulons qu'il soit

utilis galement par d'autres. Utilisez le bouton "Modifier..." pour donner l'autorisation au groupe "Tout lemonde".Si le rpertoire commun n'existe pas, il sera automatiquement cr.Lorsque vous validez, le rpertoire commun est cr et le profil est copi dans commun. De plus lesautorisations de scurit permettront tout le monde d'accder ce rpertoire.

Cette mthode prsente cependant un dfaut. En effet nous venons de donner "Tout le monde" le droit demodifier le contenu de ce rpertoire. En modifiant les autorisations de partage du rpertoire "Profils" avecAdministrateurs en Contrle total et Tout le monde en Lecture, ce problme n'existe plus.

Oublier les profils itinrants sur la station

Il est possible de faire en sorte que le profil itinrant de l'utilisateur soit supprim sur la station lorsque celui-ci ferme la session. Pour cela il suffit d'ajouter une valeur dans la base de registre de la station.

Crez un fichier de type texte avec comme extension .reg et mettez ceci dans ce fichier :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"DeleteRoamingCache"=dword:00000001

Excutez ce fichier sur la station.Seuls les profils itinrants sont concerns par ce paramtrage, les autres profils ne sont pas supprims.On utilisera en gnral cette solution avec les profils itinrants obligatoires.

Comment ne plus rendre obligatoire un profil

Sur le serveur, avec "Utilisateurs et ordinateurs Active Directory", supprimez le chemin du profil pour cetutilisateur.Sur les stations o cet utilisateur a ouvert une session, vous remarquerez certainement que le profil resteobligatoire. Ceci est d au fait que le fichier ntuser.man a t copi dans le rpertoire du profil de cetutilisateur sur les stations.Vous pouvez alors ouvrir la station avec un compte d'administrateur pour supprimer le profil ou encoreseulement supprimer le fichier ntuser.man dans le rpertoire du profil de cet utilisateur.

Profils itinrants obligatoires et OULes stratgies de groupe des OU ne s'appliquent pas avec un profil itinrant obligatoire.

8/14/2019 Reseau Windows 2000 2003

23/43


Relations d'approbation

A quoi a sert ?

Lorsque deux serveurs appartiennent au mme domaine, il est possible d'accder aux comptes utilisateursindiffremment partir de chaque serveur. On ne parle pas de relation d'approbation puisqu'en fait, chaqueserveur agit sur la mme base de donnes de l'annuaire.

On ne peut parler de relation d'approbation qu'entre deux domaines.

Lorsqu'une relation d'approbation est tablie entre deux domaines, il est possible d'accder aux comptesutilisateurs d'un domaine partir de l'autre.

Certaines relations d'approbations sont automatiques. C'est le cas des domaines enfants (info.lycee.priv etlycee.priv).

Lorsque les domaines sont indpendants (comme info.priv et tertiaire.priv), et qu'aucune relationd'approbation n'a t tablie entre les deux, un utilisateur d'un domaine n'a pas d'accs l'autre domaine. Enparticulier, un administrateur d'un domaine n'a pas accs aux comptes de l'autre domaine. Les stations 2000ou XP d'un domaine ne permettent pas utilisateur d'un autre domaine d'ouvrir une session.

Les stations 9x permettent de taper le nom du domaine alors que les stations 2000 ou XP ne permettent que lechoix dans une liste. Dans ce cas, la liste est limite au nom de la station et au nom du domaine dans lequel lastation est inscrite.

En tablissant une relation d'approbation entre deux domaines on permet :?? Aux utilisateurs d'un domaine d'ouvrir une session sur les stations appartenant l'autre domaine.?? Aux utilisateurs d'un domaine d'avoir des droits sur les ressources de l'autre domaine.??

Aux administrateurs d'un domaine d'avoir accs aux comptes de l'autre domaine.Attention : Si vous donnez le mme mot de passe au compte Administrateur de deux domaines, vous pourrezconstater qu' partir d'un domaine vous aurez certains droits sur l'autre domaine.

Vocabulaire :

DomX approuve DomY signifie que DomX accepte que les utilisateurs de DomY utilisent les ressources desserveurs de DomX.

On pourrait dire aussi que DomX fait confiance aux utilisateurs de DomY.

Le but est d'arriver ceci :

8/14/2019 Reseau Windows 2000 2003

24/43


Sur un serveur du domaineDomA :

Sur un serveur du domaineDomB :

Sur un serveur du domaineDomC :

Avant de commencer

Avant de pouvoir tablir des relations d'approbation, il est ncessaire que les serveurs soient la mme heureet de paramtrer le serveur DNS de chaque serveur afin qu'il connaisse l'autre domaine.

Synchroniser l'heure. Si les deux serveurs utilisent la mme base de temps alors ils sont dj la mmeheure. Pour les mettre la mme base de temps des serveurs 2000 ou 2003 vous pouvez taper sur les deuxserveursnet time /setsntp:ntp.unice.frou encorenet time /setsntp:time.windows.com

L'effet n'tant pas immdiat, si vous voulez le rendre effectif immdiatement, arrtez le service W32time etredmarrez-le :net stop w32timenet start w32timeSi vous ne voulez plus de cette synchronisation avec un serveur de temps tapez :net time /setsntp:

Si votre serveur est un 2003, vous pouvez faire la mme chose en allant dans le volet "Temps Internet" quevous trouverez dans les Proprits de "Date et heure".

Sans utiliser un serveur de temps, on peut seulement vrifier qu' quelques secondes prs les deux serveursont la mme heure.

Modifier les serveurs DNS. Sur l'un des serveurs par exemple SERVA1, allez dans DNS, dans la zone derecherche directe et allez dans les proprits de votre zone (clic droit sur doma.priv et proprits).Dans le volet "Transfert de zone" autorisez le transfert de zone.Sur l'autre serveur (SERVB1) faites un clic droit sur "Zone de recherche directe" et crez une nouvelle zonesecondaire. Donnez comme nom le domaine du premier serveur (doma.priv) et indiquez l'adresse IP dupremier serveur.La recopie de la zone doma.priv dans la zone secondaire du serveur DNS de SERVB1 peut prendre quelquesminutes faites actualiser ou encore demandez le "Transfert partir du matre".

Faites le mme travail dans l'autre sens. De cette faon chaque serveur DNS possde une copie de la zone derecherche directe de l'autre serveur DNS.

8/14/2019 Reseau Windows 2000 2003

25/43


Etablir les relations d'approbation

Sur Windows 2000 Serveur, ouvrez "domaines et approbations Active Directory". Faites un clic droit survotre domaine et choisissez "Proprits". Dans le volet "Approbations". Ajoutez DomB dans la liste des"Domaines autoriss approuver" ou "Domaines qui approuvent ce domaine" (la partie du bas). Donnez unmot de passe quelconque et confirmez-le.

Donnez l'administrateur du domaine DomB le mot de passe que vous venez de taper lorsque vous avezajout DomB.Cet administrateur peut ajouter DomA dans la liste des "Domaines approuvs" (la partie du haut) et doit pourcela taper le mot de passe que vous venez de lui donner.

A partir de maintenant, un utilisateur de DomA est approuv par le domaine DomB (l'utilisateur peut doncavoir le droit d'accder aux ressources des serveurs de DomB). Cela signifie, qu'il peut ouvrir une session surun ordinateur appartenant au domaine DomB en utilisant son nom, son mot de passe et en choisissant DomAcomme nom de domaine.Cet utilisateur a donc des droits sur des ressources de DomA et de DomB.Un utilisateur appartenant au domaine DomB ne peut pas pour l'instant, ouvrir une session sur un ordinateur

appartenant au domaine DomA.

Demandez l'administrateur de DomB d'ajouter DomA dans la liste de ses "Domaines autoriss approuver"ou "Domaines qui approuvent ce domaine" (la partie du bas) et demandez-lui quel mot de passe il a utilis.Ajoutez alors DomB dans votre liste des "Domaines approuvs" (la partie du haut).

La relation d'approbation est maintenant bidirectionnelle.

Recommencez avec DomA et DomCRecommencez avec DomB et DomCMaintenant tout utilisateur peut venir sur n'importe quelle station appartenant l'un des trois domaines.

Si vous ajoutez un domaine dans la liste des "Domaines qui approuvent ce domaine", ne cherchez pas vrifierla relation d'approbation tout de suite, vous devez faire la partie correspondante dans l'autre domaine avant de

pouvoir effectuer cette vrification.

8/14/2019 Reseau Windows 2000 2003

26/43


Service terminal server

En installant ce service sur le serveur, vous pourrez partir d'un station mme loigne, prendre le contrlede votre serveur.Il est donc capital d'avoir pris conscience que les mots de passe doivent tre suffisamment compliqus pourne pas tre devins !

Un logiciel comme Winvnc permet galement de prendre le contrle d'un ordinateur distant. Winvnc n'est paslimit Windows 2000 serveur mais Winvnc est beaucoup plus lent que le service terminal server.

Installation sur le serveur

Dans "Ajout/Suppression de programmes" et "Ajouter/Supprimer des composants Windows", cochez lecomposant "Services Terminal Server".Choisissez "Mode Administration distance". la fin de l'installation, vous serez inform qu'il fautredmarrer le serveur.

Cration des disquettes client

Si votre serveur est un 2000 :Sur le serveur o le Service Terminal Server est install, allez dans les "Outils d'administrations" puis"Crateur de client Terminal Server". Choisissez "Client Terminal Server pour Windows x86 32 bits".Vous obtenez ainsi deux disquettes.Pour installer le client (par exemple sur un Windows 98), excutez le programme Setup de la premiredisquette.

Si votre serveur est un 2003

Copiez les fichiers mstsc.exe et mstscax.dll qui sont dans le rpertoire System32 du serveur 2003 o leService Terminal Server est install et mettez-les dans un rpertoire quelconque de l'ordinateur client.

Utilisation

Sur le client 98, excutez "Client Terminal Server".Si vous tes en rseau local, tapez le nom de votre serveur ou son adresseIP.

Vous serez amen ouvrir une session sur votre serveur. Vous devrez

donc utiliser un compte ayant le droit d'ouvrir une session (Administrateurpar exemple).

ATTENTION : Il est trs important de donner des mots de passe srieux tous les comptes utilisateurs ayant le droit d'ouvrir une session sur leserveur, spcialement si vous donnez la possibilit d'accder votreserveur partir d'Internet.

Passer un routeur

Le client Terminal Server utilise le port 3389 pour atteindre le serveur. Si votre serveur est derrire unrouteur, vous devrez paramtrer votre routeur pour ouvrir le port 3389 et le diriger vers votre serveur.

8/14/2019 Reseau Windows 2000 2003

27/43


Internet Information Serveur

Principe

Pour pouvoir utiliser cette fonctionnalit, IIS (Internet Information Serveur) doit tre install sur le serveur.Si IIS n'est pas install, vous pouvez l'installer (il est sur le CD de Windows) :Avec Windows NT4 Serveur, allez dans les proprits du rseau, et ajouter le service "Internet InformationServeur".

Attention, l'installation de IIS partir du CD de Windows NT4 dtruit des fichiers ncessaires pour ODBC. Ilsera certainement ncessaire de rinstaller ODBC aprs l'installation de IIS.Si IIS n'a pas t install en mme temps que NT4, on prfrera certainement l'installation de IIS4 disponiblesur le site de Microsoft sous le nom de NTOptionPackSetupFiles.

Avec Windows 2000 Serveur, allez dans "Ajout/Suppression de programmes", "Ajouter/Supprimer descomposants Windows" et "Service Internet IIS"

Avec Windows 2003 Serveur, allez dans "Grer votre serveur" et ajoutez le rle IIS.

Rappel : Lorsque vous venez d'installer un composant partir du CD de Windows NT ou 2000, pensez appliquer nouveau le service pack pour que les fichiers installs partir du CD soient remplacs par lesversions rcentes.

IIS permet dutiliser votre serveur en serveur WEB. Par dfaut, un seul site est prvu mais il est possible denajouter.Si votre serveur sappelle serveur, le site principal est accessible partir des navigateurs des stations ladresse http://serveur

Site par dfaut

Le site par dfaut est situ (sauf choix diffrent lors de l'installation) dans le rpertoire C:\Inetpub\wwwroot

Dans ce rpertoire, mettez un fichier Default.htm correspondant la page principale de votre site Web.

A partir du serveur ou d'une station, utilisez votre navigateur et tapez l'adresse http://serveurVous remplacerez serveur par le nom rel de votre serveur.Vous pouvez galement utiliser le domaine http://serveur.dom.priv si votre serveur DNS est oprationnel.

Sous-sites

Crez un rpertoire qui contiendra votre sous-site. Il est recommand de crer ce rpertoire dans InetPubmais ce n'est pas obligatoire. Soit C:\Inetpub\RepPourEssai ce rpertoire.

Dans les "Outils d'administration", choisissez "Gestionnaire des services Internet".Placez-vous sur "Site Web par dfaut" et faites "Action", "Nouveau", "Rpertoire virtuel". Un assistantdmarre...

Mettez un alias. Il s'agit du nom qui sera utilis pour accder ce sous-site. Ceci peut tre compar au nomde partage d'un rpertoire. Soir Essai cet alias.Indiquez le rpertoire de votre sous-site (C:\Inetpub\RepPourEssai).

8/14/2019 Reseau Windows 2000 2003

28/43


Placez au moins un fichier Default.htm dans C:\Inetpub\RepPourEssai.

Vrifiez le bon fonctionnement de votre sous-site partir d'un navigateur en tapanthttp://serveur/essai

FTPPar dfaut le serveur FTP est oprationnel et permet l'accs anonyme en lecture seule.Le rpertoire pour le FTP (sauf choix diffrent lors de l'installation) est le rpertoire C:\Inetpub\ftproot

Placez un fichier dans C:\Inetpub\ftproot et partir d'un autre ordinateur, tapez dans votre navigateur :ftp://serveur

Remplacez serveur par le nom rel de votre serveur.

Conseils

Evitez les espaces et les caractres particuliers (accents, cdilles...) dans les noms de rpertoires et de fichiersdans vos rpertoires Web ou ftp.

Prenez l'habitude de respecter les majuscules et minuscules mme si Windows 2000 ne fait pas la diffrence.En effet si vous voulez placer vos pages sur un autre serveur sur Internet, il est possible que cet autre serveurfasse la diffrence (serveur Linux par exemple).

En installant PHP.EXE sur votre serveur, vous pourrez profiter de la puissance du langage PHP dans lacration de vos pages Web. Vous pouvez trouver la version win32 de PHP sur le site http://www.php.net

Liens divers

Ces liens sont actuellement oprationnels mais ils risquent de ne plus l'tre dans l'avenir.Gestion des disques :http://raphaello.univ-fcomte.fr/W2K/06-Administration/OutilsDisque.htm

Historique des diffrentes versions de Windowshttp://www.ac-nancy-metz.fr/services/tec/les_os.htm

8/14/2019 Reseau Windows 2000 2003

29/43


Rles des serveurs d'un domaine

Cinq rles

Chacun des deux rles suivants doit tre jou par un et un seul serveur de la fort :- Contrleur de schma- Matre d'attribution de noms de domaine

Chacun des trois rles suivants doit tre jou par un et un seul serveur du domaine :- Matre RID- mulateur PDC (contrleur principal de domaine)- Matre d'infrastructure.

Contrleur de schmaCe serveur a une vue d'ensemble sur les domaines de la fort. Il permet des ajouts, des dplacements et dessuppressions de domaines au sein de la fort.

Matre d'attribution de noms de domaineCe serveur vrifie que le nom du domaine n'est pas dj utilis dans la fort.

Matre RIDUn serveur de domaine dispose d'un ensemble de SID pouvant tre utiliss par exemple pour la cration d'unnouvel utilisateur. Lorsqu'il a puis tous ses SID, il demande au matre RID un nouvel ensemble de SID.

mulateur PDC (contrleur principal de domaine)Ce serveur traite les modifications de mot de passe et rplique les mises jour sur les autres serveurs dudomaine.

Matre d'infrastructureCe serveur traite les modifications des groupes et des utilisateurs et rplique les changements sur les autresserveurs du domaine.

Suppression d'un serveur d'un domaine

Si vous avez l'intention de supprimer le serveur qui joue ces rles, il faudra commencer par donner ces rles un autre serveur du domaine. Les rles seront donc dplacs.

Si le serveur jouant ces rles tombe en panne, il faudra forcer l'attribution de ces rles sur un autre serveur du

domaine.

"Utilisateurs et ordinateurs active directory" permet de changer les rles RID, PDC et Infrastructure. Faire unclic droit la racine de l'arborescence et choisir "Matre d'oprations".

"Domaines et approbation Active Directory" permet de changer le rle "Matre d'opration d'attribution denom de domaine". Faire un clic droit la racine de l'arborescence et choisir "Matre d'oprations".

Si on a "Schma Active Directory" dans les outils d'administration, cela permet de changer le rle "Matred'opration schma Active Directory". Faire un clic droit la racine de l'arborescence et choisir "Matred'oprations". Si on n'a pas on peut utiliser ntdsutil.

8/14/2019 Reseau Windows 2000 2003

30/43


Utilisation de ntdsutil

Utilisation de ntdsutil pour changer le rle "Schma Active Directory" :Dans une fentre dos taper : ntdsutil

A toutes les tapes vous pouvez taper help pour obtenir de l'aide

tapez : rolestapez : connectionstapez : connect to server XXX (o XXX est le nom du serveur)tapez : quittapez : transfer schema mastertapez : quittapez : quit

8/14/2019 Reseau Windows 2000 2003

31/43


DFS, Systme de fichiers distribus

Si vous avez plusieurs serveurs dans votre domaine vous pouvez profiter du systme de fichiers distribus.Il faut au moins un serveur de domaine, les autres serveurs peuvent tre des serveurs de domaine ou desserveurs membres.Dans la suite je suppose que vous avez deux serveurs de domaine dans votre domaine. Je suppose que votre

domaine s'appelle d2003.priv et que vos serveurs sont nomms SERV et SERV2003.

Scnario

Vous avez un rpertoire important et souvent utilis qui doit toujours rester disponible pour les utilisateurs.Ce rpertoire est sur SERV et s'appelle REPA.Vous voulez que le deuxime serveur possde une copie de ce rpertoire et que, en cas d'arrt de SERV, lesutilisateurs puissent accder la copie sans s'en rendre compte.

Principe

Utiliser DFS sur un serveur pour effectuer une rplication de REPA situ sur SERV vers un rpertoirepartag (que l'on peut nommer galement REPA) sur SERV2003.

Toute modification de \\serv\repa sera rpliqu automatiquement dans \\serv2003\repaToute modification de \\serv2003\repa sera rpliqu automatiquement dans \\serv\repaLes modifications sur la scurit des rpertoires ou fichiers de l'un des rpertoires se rpercute galement surl'autre.

Les utilisateurs pourront donc indiffremment accder \\serv\repa ou \\serv2003\repa

Mieux, les utilisateurs pourront accder \\d2003.priv\repa et ce sera le serveur disponible qui seraeffectivement utilis. La rplication vers l'autre serveur tant automatique.

Avantages, inconvnients

AvantagesLes donnes sont disponibles mme si l'un des serveurs est en panne.Le trafic rseau se rpartit automatiquement entre les stations et les deux serveurs.

Inconvnients

Un trafic rseau supplmentaire est gnr entre les deux serveurs pour la rplication des rpertoires.Des lenteurs peuvent se produire si l'un des serveurs n'est pas prsent.

Cration de la racine DFS

Le systme de fichier distribus (DFS) est install par dfaut. Il est accessible par les "Outilsd'administration".

Windows 2000 serveur et Windows 2003 serveur standard dition sont limits une racine DFS.Nous travailleront donc essentiellement au niveau des liens DFS.

8/14/2019 Reseau Windows 2000 2003

32/43

8/14/2019 Reseau Windows 2000 2003

33/43


Choisissez un serveur. Comme lesystme DFS sera publi dans Activedirectory, le choix du serveur n'est pasimportant.

Avant de continuer, crez un nouveau

rpertoire C:\Racine et partagez cerpertoire en donnant les autorisationsqui conviennent.Si vous voulez que les utilisateurspuissent modifier mettez contrle total tout le monde pour les autorisationsde partage, et donnez au moins le droitde modifier aux utilisateurs pour lesautorisations de scurit.

Indiquez le nom de la racine. Ce nomsera visible sur les stations comme unnom de partage du domaine.La copie d'cran montre que la racinea t nomme "racine" (mme nomque le rpertoire cr ci-dessus).

Rsultat obtenu

8/14/2019 Reseau Windows 2000 2003

34/43


Cration des liens

Nous allons crer un lien entre le rpertoire REPA situ sur SERV et le rpertoire REPA situ surSERV2003.Remarques : Il n'est pas ncessaire que les rpertoires soient de mme nom sur les deux serveurs. Avec untroisime serveur, on pourrait crer un lien entre trois rpertoires.

Clic droit sur la racine et "Nouveau lien".Vous pouvez donner le nom que vous voulezau lien. Par exemple "RepA".

Pour viter de confondre le nom du rpertoireet le nom du lien, dans la suite je nommerai lelien "LienRepA" (ce qui sera moins pratiqueque RepA mais plus pdagogique).

Le chemin vers la cible pointe sur le partageRepA de SERV

Rsultat obtenu.

Il est ncessaire d'avoir au moins unedeuxime cible pour ce lien afin de pouvoiractiver la rplication.

Pour crer la deuxime cible, faites un clicdroit sur le lien et "Nouvelle cible".

Choisissez le rpertoire RepA de SERV2003comme cible.

Validez. Il reste maintenant configurer larplication.

8/14/2019 Reseau Windows 2000 2003

35/43


Rplication automatique

La rplication va permettre au systme DFS de rpercuter automatiquement les modifications faites dans unrpertoire vers l'autre rpertoire.

Si l'assistant de configuration de la rplication n'est pas dmarr, faite un clic droit sur le lien et "rplication"

Si vos deux rpertoires RepA ne sont pasvides, il est important de bien choisir ici lerpertoire contenant actuellement les donnes.

Le rpertoire choisi sera automatiquementrecopi (synchronis) vers l'autre rpertoire.Le rpertoire choisi est nomm "matreinitial".

L'cran suivant demande le type de mthode utiliser pour la rplication. Choisissez"Appeler".

Rsultat obtenu.

Vous pouvez maintenant observer lerpertoire RepA situ sur SERV2003, il vad'ici quelques minutes automatiquementdevenir identique au rpertoire RepA deSERV.

8/14/2019 Reseau Windows 2000 2003

36/43


Il est maintenant possible partir d'une station d'accder cette ressource, avec un chemin\\ (nom du domaine) \ (nom de la racine) \ nom du lien DFS \ ...

Pour accder la ressource, vous pouvez donc indiffremment utiliser un des chemins suivants :

\\Serv\Racine\RepA ( condition que Serv soit oprationnel) \\Ser2003\Racine\RepA ( condition que Serv2003 soit oprationnel)

\\d2003\Racine\RepA\\d2003.priv\Racine\RepA

Les deux derniers chemins ont l'avantage d'tre indpendants du serveur.

Publier la racine dans Active Directory

Cette partie n'existe que sur Windows 2003 serveur.

Faites un clic droit sur la racine et dans les"Proprits" choisissez "Publication".Cochez "Publier cette racine dans Active Directory".

8/14/2019 Reseau Windows 2000 2003

37/43


Cration d'un fichier MSI

Principe

Certains programmes sont proposs avec une installation partir d'un fichier ayant comme extension MSI.Ce type de fichier d'installation donne la possibilit de faire des installations automatiques.

Si votre programme ne s'installe pas l'aide d'un fichier MSI, vous pouvez crer pour ce programme votrefichier MSI l'aide du programme WinINSTALL Discover

Il est vivement conseill d'utiliser une station ayant seulement le systme d'exploitation d'install.Ce travail se fait en suivant les tapes suivantes :

1) Sur une station ou Windows est frachement install, installez WinINSTALL Discover et sauvegardez lastation afin de pouvoir faire plus tard d'autres fichiers MSI.2) Dmarrez WinINSTALL Discover et rpondez aux diffrentes questions.

3) WinINSTALL Discover scanne alors votre disque afin de retenir ce qu'il contient.4) WinINSTALL Discover vous demande ensuite d'effectuer l'installation du programme.5) WinINSTALL Discover scanne une deuxime fois votre disque afin de dterminer ce qu'a modifi leprogramme d'installation.6) WinINSTALL Discover fabrique un rpertoire contenant les fichiers ncessaires l'installation et enparticulier le fichier MSI7) Il est possible ensuite d'amliorer le fichier MSI l'aide de "Software console" en supprimant certainesparties inutiles.

Installation de WinINSTALL Discover

Installez SWIADMLE.MSI que vous pouvez trouver sur le CD de Windows 2000 serveur dans le rpertoire\VALUEADD\3RDPARTY\MGMT

Deux raccourcis sont crs :Le programme WinINSTALL Discover permet de crer un fichier MSILe programme WinINSTALL Software Console permet de corriger le fichier MSI.

A ce stade il serait souhaitable de sauvegarder votre station.

Exemple concret

L'installation du programme GIMP (logiciel gratuit de dessin venant du monde linux) suppose que vous avezdj install "gtk+" avant de pouvoir installer "gimp". Je vous propose de crer un fichier msi effectuant cesdeux installations en une seule.

Prparez sur le serveur un rpertoire en lecture seule pour tout le monde mais avec le droit de modification

pour vous.Dans la suite je suppose que le rpertoire est partag sous le nom "logiciels".

?

8/14/2019 Reseau Windows 2000 2003

38/43


\\serveur\logiciels

Excutez VERITAS Discover.

Indiquez le nom que vous voulez pour votrepackage.

Donnez le chemin et le nom du fichier MSI crer. Ce chemin devrait ressembler ceci :

\\serveur\logiciels\gimp\gtk_et_gimp.msi

Le rpertoire gimp sera cr et contiendraentre autres le fichier gtk_et_gimp.msi

Si votre station comporte plusieurs partitions, l'tape suivante consiste choisir la partition ayant le plus deplace libre utiliser en tant qu'espace de travail temporaire pour Discover

Puis Discover vous demande quels disquesdoivent tre scanns. Ajoutez C dans lacolonne "Drives to scan".

L'cran suivant vous permettrait d'ignorer certains fichiers ou rpertoires. Laissez le choix propos ou mieuxajoutez dans la liste d'exclusion le rpertoire C:\Windows\Prefetch.

8/14/2019 Reseau Windows 2000 2003

39/43


Discover est prt.Tout ce que vous faites maintenant seraretenu dans le fichier MSI.

Faites l'installation de GTK puis l'installation de GIMP.On pourra slectionner toutes les extensions proposes pour l'utilisation avec Gimp.Il est conseill de dmarrer au moins une fois Gimp.

Evitez toute manipulation inutile.

Excutez nouveau VERITAS Discover.

Laissez le choix propos "Perform the 'After'snapshot now".Discover va maintenant comparer C: et la base deregistre avec l'tat enregistr afin de dterminer cequi a chang.

Lorsque le fichier MSI est cr, vous pouvez le corriger en utilisant WERITAS Software Console

En particulier tout ce qui a t cr dans "Documents and Setting" et dans "Prefetch" peut tre supprim.

Si vous utilisez des profils itinrants, il sera souhaitable de faire une copie du profil car un rpertoire ".gimp-2.2" a t cr dans le profil et sera utile pour les autres utilisateurs.

Quelques liens :http://www.laboratoire-microsoft.org/articles/network/creation_msi/http://www.ens-lyon.fr/Bibli/TSE/installations/msi.htm

GTK et Gimphttp://sourceforge.net ou en lien direct (sous rserve qu'il existe encore)http://sourceforge.net/project/showfiles.php?group_id=121075

?

8/14/2019 Reseau Windows 2000 2003

40/43

8/14/2019 Reseau Windows 2000 2003

41/43


Le fichier MSI doit se trouver dans un rpertoire partag avec au moins les droits de lecture et excution.

Dmarrez une station faisant partie de l'OU. L'installation devrait se faire mais on pourra remarquer quel'installation ne russit pas toujours au premier dmarrage. Refaites un redmarrage de l'ordinateur si

ncessaire.Une ouverture de session ne suffit pas car l'installation est faite au niveau ordinateur.

Sur la station, juste avant l'ouverture de session, vous verrez successivement"Prparation des connexions rseau""Activation des paramtres de scurit""Installation du logiciel pris en charge gtk_et_gimp"

L'ouverture de session n'tant pas encore faite, le programme d'installation n'est pas capable d'crire dansHKEY_CURRENT_USER ou dans le rpertoire profil de l'utilisateur.Souvent le logiciel effectue ces critures lors de son premier dmarrage.

Dans le cas de gimp, le rpertoire ".gimp 2.2" ne sera pas install pour l'utilisateur. Au premier dmarrage degimp ce rpertoire sera cr. On peut remdier ce problme en faisant en sorte de ce rpertoire soit prsentdans le profil et en utilisant les profils itinrants.

Dsinstallation

Le programme peut au choix tre dsinstall sur chaque station en passant par "Ajout et suppression deprogrammes" ou en supprimant le package dans les stratgies de groupe ou encore en dplaant la stationpour la mettre dans une autre OU o ce package n'est pas install.

8/14/2019 Reseau Windows 2000 2003

42/43


Sauvegardes

Sauvegarder la partition systme du serveur

Plusieurs solutions existent. Personnellement pour sauvegarder la partition systme, j'utilise Ghost (produitde chez Symantec) ou ventuellement NTBackup (inclus dans Windows).La sauvegarde sur lecteur de bandes est une solution assez chre qui, personnellement ne me donne passatisfaction.

Il est possible d'installer Ghost sur le serveur ou seulement utiliser le programme Ghost.exe enenvironnement DOS. C'est cette deuxime solution que j'utilise habituellement.

Vous devez avoir au moins une partition suffisamment grande en plus de la partition systme. Cette partitionpeut tre en Fat ou en NTFS. S'il existe une ou plusieurs partitions FAT, seules celles-ci seront les seulespropose pour stocker le fichier de sauvegarde. Si toutes les partitions sont en NTFS vous pourrez choisir.

Dmarrez le serveur avec une disquette DOS ou un CD bootable en DOS.Appelez le programme Ghost.exe"Local", "Partition", "Vers image".Choisissez le lecteur (donc le disque dur) contenant la partition sauvegarder.Choisissez la partition sauvegarde (en gnral la premire).Choisissez la partition o sera enregistr le fichier de sauvegarde et indiquez le nom du fichier.Pour conomiser la place, vous pouvez choisir une compression leve. La sauvegarde prendra un peu plusde temps.La "Cration de l'image de la partition" peut alors commencer.

Si votre intention est de crer des CD contenant le fichier de sauvegarde, il sera certainement ncessaire defractionner ce fichier.

Personnellement j'utilise un fichier BAT contenant l'une des deux lignes :

ghost -CLONE,mode=PDUMP,src=1:1,dst=C:\SAV -SPLIT=680 -AUTO -Z9

ghost -CLONE,mode=PDUMP,src=1:1,dst=1:2\SAV -SPLIT=680 -AUTO -Z9

src=1:1 signifie qu'il faut sauvegarder la premire partition du premier disque dur.src=2:1 voudrait dire la premire partition du deuxime disque dur.

S'il existe au moins une partition FAT :dst=C:\SAV correspond au nom du fichier qui sera cr. Vous pouvez choisir un autre nom que SAV mais ilest conseill de choisir un nom sans espace et court.dst=SAV si le lecteur courant est celui qui doit tre utilis pour stocker le fichier de sauvegarde.

Si toutes les partitions sont en NTFS :dst=1:2\SAV1:2 signifie deuxime partition du premier disque. et SAV donne le nom du fichier.

-SPLIT=680 permet le dcoupage en fichiers ayant une taille correcte pour tre gravs sur CD

-AUTO la cration des noms de fichiers sera faite automatiquement.SAV.GHO pour le premier, SAV00001.GHS pour le second, SAV00002.GHS pour le troisime. Etc.

-Z9 impose une compression maximum.

8/14/2019 Reseau Windows 2000 2003

43/43

Restaurer le serveur

Dmarrez le serveur avec une disquette DOS ou un CD bootable en DOS.Appelez le programme Ghost.exe"Local", "Partition", "Depuis image".Indiquez le fichier contenant la sauvegarde (le premier fichier si la sauvegarde est morcele).Il vous est alors demand "Slectionnez la partition source depuis le fichier image". Le fichier image ne

contenant qu'une partition, tapez simplement sur entre.A la question "Slectionnez un lecteur de destination local en cliquent sur le numro correspondant"choisissez le disque contenant la partition restaurer.A la question "Slectionner la partition destination sur le lecteur Basique x", ce sera certainement 1 qu'ilfaudra rpondre (si c'est la partition 1 que vous aviez sauvegarde).

Il est possible de restaurer dans une partition de taille diffrente.

Sauvegarde des donnes

La solution propose avec DFS n'est pas une solution suffisante. En effet, si une suppression est effectue surun rpertoire d'un serveur, cette mme suppression est effectue aussitt aprs sur l'autre. De mme un virussur l'un est aussitt copi sur l'autre.

Il est donc ncessaire de faire une copie sur diffrents supports des moments donns.

CopyReps en tche planifie.Le programme CopyReps peut tre tlcharg dans les "Outils divers" sur le site de IACA.Utilisez le bouton "Aide". Si vous souhaitez imprimez l'aide, utilisez la petite icne reprsentant uneimprimante en bas droite de la fentre d'aide.

CopyReps effectue une synchronisation des rpertoires sources et destinations en se basant sur la taille, ladate, le nom et le rpertoire des fichiers afin de ne copier que ce qui est ncessaire.

CopyReps peut tre appel dans une tche planifie.CopyReps ne copie pas les autorisations de scurit des fichiers. La destination peut donc tre un Windows98 par exemple.CopyReps peut envoyer un mail afin d'informer l'administrateur du droulement de la copie.

ExempleTche planifie qui se dclenche tous les Lundis, et Jeudis 23h afin de copier vers un Windows 98 nommPC01.Tche planifie qui se dclenche tous les Mardis, et Vendredis 23h afin de copier vers un Windows 98

nomm PC02.Tche planifie qui se dclenche tous les Mercredis, et Samedis 23h afin de copier vers un Windows 98nomm PC03.

On peut aussi utiliser un seul Windows 98 et choisir des rpertoires diffrents pour chacune des tches.

NTBackupDans les accessoires, et "Outils systme", utilisez "Gestion des sauvegardes".

Choisissez le volet "Sauvegarder". Cochez ce que vous voulez sauvegarder.En utilisant le bouton "Dmarrer", vous avez accs la planification vous permettant de dfinir la tche et les