Embed Size (px)
Citation preview
ADMINISTRATION DE
WINDOWS SERVER
2003:
LE SERVEUR T.S.E
1) PRINCIPE DE BASE
Tout d’abord, à quoi sert un T.S.E ? Un Terminal Serveur fournit à des utilisateurs au travers de clients, un accès à des applications Windows qui tournent seulement sur le serveur. Il peut prendre en charge plusieurs sessions client sur le serveur.Le serveur gère les ressources informatiques pour chaque client connecté au serveur et fournit à chaque utilisateur connecté un environnement spécifique.Le serveur reçoit et traite tous les clics de la souris ainsi que les frappes sur le clavier transmises par le client distant. Il envoie également vers le client approprié les données affichées par le système d'exploitation et les applications.Le serveur gère également les connexions des clients distants. Après avoir ouvert une session, les utilisateurs peuvent accéder à toutes les ressources autorisées et exécuter les applications qui sont à leur disposition sur le serveur.Microsoft Windows 2003 Serveur est un environnement multisession dans lequel des clients distants ont un accès complet à des applications Windows installées sur le serveur.
2) INSTALLATION DES RÔLES DU SERVEUR
A) PRESENTATION GENERALE
Plus un système est fermé, moins il y a de chance d'y pénétrer. Partant de cette logique, on comprend pourquoi dans cette livrée "Server" presque aucune fonctionnalité apte à ouvrir un accès au système n'est installée, question de sécurité ! En effet seul l'administrateur du système aura la responsabilité d'installer tel ou tel composant nécessaire à son réseau. Lors du premier lancement de WINDOWS Server 2003 un assitant vous invite à « Gérer votre serveur ». Pour cela, il suffit de choisir dans la liste les composants à installer.
Cet écran est également disponible dans le Panneau de configuration/Outils d'Administration puis Gérer votre Serveur.
B) INSTALLATION DU CONTROLLEUR DE DOMAINE
Dans la fenêtre d'ouverture Gérer votre serveur (ou Démarrer/Outils d'administration/Gérer votre serveur) et la rubrique Ajout de rôles dans votre serveur, cliquez sur le lien Ajouter ou supprimer un rôle puis sur le bouton Suivant.
Dans la boîte de dialogue Assistant Configurer votre serveur, cliquez sur la case Configuration personnalisée puis sur Suivant.
Sélectionnez Contrôleur de domaine (Active Directory) puis cliquez deux fois sur le bouton Suivant.
Dans la boîte de dialogue Assistant installation de Active Directory, cliquez deux fois sur le bouton Suivant. Cochez la case Contrôleur de domaine pour un nouveau domaine puis Suivant.Sélectionnez l'option Domaine dans une nouvelle forêt puis Suivant.
Cochez la case Non, je veux installer et configurer le service DNS sur cet ordinateur puis Suivant. Entrez un nom DNS complet pour le nouveau domaine puis Suivant. Le DNS (Domaine Name System), system de noms de domaine sert à identifier et transcrire des adresses IP en nom (et vice-versa). L'adresse en clair facilite naturellement la mémorisation et réduit d'autant les erreurs facilement causées avec une adresse numérique.
Dans notre exemple nous avons pris « test.serveur.mrim.com » : cliquez simplement sur Suivant. Idem pour le dossier de la base de données, du journal et l'emplacement du dossier.
Cochez la case Autorisations compatibles uniquement avec les systèmes d'exploitation serveurs Windows 2000 ou Windows Server 2003 puis Suivant.Le nom de Domaine est très important, il permettra ensuite de renseigner les postes clients sur le nom de ce domaine pour qu’ils fassent partie de celui-ci.Ici, on entre le netBIOS. NETBIOS n'est pas un protocole en lui-même, c'est une interface logicielle et un système de nommage. L'interface netBIOS est très utilisée sur les réseaux Microsoft NETBIOS permet par exemple de partager des ressources en réseau. Ces ressources peuvent être des imprimantes, processus ou des espaces disques. Un pirate peut essayer d'accéder à ces ressources en s'y connectant et tester différents couples utilisateur/mot de passe. NETBIOS n'est pas une interface très sécurisée.Entrez le mot de passe de restauration, confirmez-le puis cliquez deux fois sur Suivant. Il est demandé ensuite d'insérer le CD-ROM Windows Server 2003.
L’assistant met en place la configuration de Active Directory, (nom de domaine, configuration réseau, les compatibilités…)La boîte de dialogue Fin de l'installation d'Active Directory apparaît.
Cliquez sur le bouton terminer puis Redémarrer maintenant. Le système va rebooter pour appliquer les modifications et créer le Domaine.
C) INSTALLATION DU SERVEUR DNS ET TSE
Procédez de la même façon pour installer le serveur DNS. (ajoutez un rôle)
L’assistant nous guide très bien dans l’installation des rôles du serveur.Continuez ainsi pour installer le Terminal Serveur, jusqu'à que cette fenêtre apparaisse.
Nous avons à présent terminé l’installation des rôles du serveur, nous pouvons passer à la partie comptes.
3) CREATION DES COMPTES
A) CREER UNE UNITE D’ORGANISATIONTout d’abord, il faut créer une Unité d’Organisation. Elle va permettre de gérer et organiser les utilisateurs et les groupes d’utilisateurs.Cliquez sur le domaine et créez une nouvelle Unité d’Organisation. On l’appellera ONYX.L’avantage de créer une U.O c’est qu’elle va permettre par la suite de placer les utilisateurs et de soumettre ces derniers à la stratégie spécifique à l’U.O. par exemple dans cette Unité (ONYX) nous pouvons créer une autre U.O et ne pa donner les mêmes droits (pour exemple une secrétaire n’aura pas les mêmes droits et accès qu’un technicien de maintenance).
B) CREER UN GROUPE D’UTILISATEURS
Cliquez sur Démarrer/Outils d'administration/Utilisateurs et ordinateurs Active Directory. Faites un double-clic sur votre nom de domaine (dans notre exemple, test.serveur.mrim.com) puis sur le dossier Users. Avec le bouton droit de la souris, cliquez sur une partie vide du volet de droite puis choisissez Nouveau Groupe. Dans Nom, entrez le nom du groupe « utilisateur TSE », et entrer comme paramètres « étendu du groupe : globale » et « type de groupe : sécurité ».
Dans ce groupe nous pourrons faire appartenir tous les utilisateurs du service Terminal Serveur. Un groupe d’utilisateur peut contenir plusieurs U.O.
C) CREER DES UTILISATEURSIl nous faut maintenant créer des utilisateurs et de plus déclarer les utilisateurs qui vont se connecter à notre domaine.Un compte d’utilisateur Active Directory permet à un utilisateur de se connecter à des ordinateurs et des domaines avec une identité qui peut être authentifiée et dont l'accès aux ressources du domaine peut être autorisé. Chaque utilisateur qui se connecte au réseau doit avoir ses propres compte d'utilisateur et mot de passe uniques. Les comptes d'utilisateurs peuvent également être utilisés comme des comptes de service pour certaines applications.
Pour créer des utilisateurs il suffit de cliquer sur gérer les utilisateurs et ordinateurs dans Active Directory.
Dans Mot de passe : entrez le mot de passe choisit puis confirmez-le. Cochez éventuellement la case « Le mot de passe n'expire jamais ».Par défaut le mot de passe doit comporter 6 caractères minimum, des majuscules et minuscules et des chiffres. Modifiez la stratégie de groupe qui s’applique à l’U.O et paramétrez la stratégie de mot de passe.
Paramétrez maintenant l’utilisateur crée pour le faire appartenir au groupe « Utilisateurs TSE » pour que le client hérite de toute la stratégie de groupe préalablement établie.
Un clic droit sur le nom de l'utilisateur nouvellement créé permet de peaufiner certains paramètres comme, par exemple, son appartenance à différents groupes. Dans notre exemple nous ne voulons que l’utilisateur « jeremi » fasse partie de l’Unité d’ Organisation ONYX avec la stratégie réseau appliquée à cette UO.
Dans les paramètres de sécurité du domaine il faut également autoriser l’ouverture de session par les services Terminal Serveur et faire appartenir le groupe Utilisateurs TSE.Attention : sans cette option l’ouverture de session TSE sera impossible !!!
D) ADMINISTRER DES DROITS ET ACCES
Modifiez la stratégie de groupe pour l’Unité d’Organisation que l’on a créée pour donner des droits accès ainsi que des restrictions.
Dans notre exemple nous allons simplement expliquer le fonctionnement général pour donner aux utilisateurs un bureau distant avec certaines restrictions.
Pour se faire il faut créer un model d’administration dans l’ « éditeur d’objet de stratégie de groupe » et dans l’onglet bureau dans la partie « configuration utilisateur ». A partir de là il est possible par exemple de supprimer le panneau de configuration, empêcher le changement de papier peint, activer/désactiver l’écran de veille etc.
Il est possible de tout faire à partir de là, même dans les plus petits détails, par exemple il est possible juste d’interdire la configuration avancée de TCP/IP, pour éviter à l’utilisateur de changer son adresse IP, ou encore de supprimer l’accès à l’utilisation de toutes les fonctionnalités de Windows Update.
A partir de là l’administrateur doit être qualifier et bien connaître la structure de stratégie de l’entreprise pour créer les comptes et autoriser certains utilisateur a avoir plus de droits que d’autres. Pour exemple une secrétaire n’a pas besoin de se servir du panneau de configuration, alors qu’un technicien lui en a plus l’utilité.
E) COTE CLIENT (dans cet exemple, Windows XP PRO) :
Cliquez sur Démarrer puis avec le bouton droit de la souris sur Poste de travail. Sélectionnez Propriétés puis l'onglet Nom de l'ordinateur. Cliquez
sur le bouton Modifiez, cochez la case Domaine et entrez votre nom de domaine (dans notre cas c’est test.serveur.mrim.com). Saisissez un nom d'utilisateur et un mot de passe déclaré sur votre serveur puis redémarrez. L'ouverture de session se fera de manière classique (touche Ctrl+Alt+Suppr).
Maintenant, il faut lancer le client bureau à distance (démarrer\ programmes\ accessoires\ communications\ connexion bureau à distance). Renseignez le nom ou l’IP du serveur TSE, puis connexion. Ensuite il suffit tout simplement de rentrer le nom d’ouverture de session « jkontas » mot de passe « mrim » puis connexion.
La connexion au bureau distant apparaît ainsi :
Pour résumer, le TSE permet à chaque membre du réseau d’exécuter des programmes directement sur le serveur plutôt que sur son propre poste, baptisé à l’occasion client léger.En effet, l’utilisateur à l’impression d’utiliser les applications comme si elles étaient sur son poste. En réalité ces applications sont exécutées sur le serveur et affichées sur le poste client par l’intermédiaire d’une fenêtre. Tous les traitements liés à l’application sont effectués sur le serveur. Le poste client se contente d’afficher des images transmises par le serveur. Cet outil présente un intérêt majeur lié à une réduction importante de l’administration. Plus besoin de régler les problèmes sur toutes les machines, il suffit de les régler sur le serveur.
