Gefi Support Wserver2003

SUPPORT DE COURS -DOCUMENTATION
Centre de formation GEFI

Windows
Server
2003
Semaine 1 et 2

GEFI REPRODUCTION INTERDITE
Rf:WS3MAI003-2S
Volume
19
TABLE DES MATIERES
TABLE DES MATIERES ............................................................................................... 1
OBJECTIFS DU COURS .............................................................................................. 6
LE RLE DU TECHNICIEN MICRO-RSEAU (PREMIER NIVEAU) ............................................ 6
PROGRAMME MCP ...................................................................................................... 7
RLES DE L'ORDINATEUR ...................................................................................... 10
WINDOWS 2003 SERVER .......................................................................................... 12
LES DIFFRENTES VERSIONS ................................................................................ 13
CALENDRIER DE SORTIE ............................................................................................... 14
LA FAMILLE WINDOWS SERVEUR EST COMPOSE DE QUATRE PRODUITS ......................... 14
CONFIGURATION REQUISE............................................................................................ 16
LES APPORTS PAR RAPPORT WINDOWS NT4 .............................................................. 17
LES DIFFRENTS MODES DE LICENSING (VERSION SERVEUR) ....................... 20
LE MODE PAR UTILISATEUR/POSTE............................................................................... 21
LES LICENCES DONT VOUS AUREZ BESOIN ..................................................................... 22
WORKGROUP ET DOMAINE ..................................................................................... 24
WORKGROUP .............................................................................................................. 24
DOMAINE .................................................................................................................... 25
UN DOMAINE OFFRE LES AVANTAGES DCRITS CI-DESSOUS. .......................................... 32
STRUCTURE LOGIQUE DACTIVE DIRECTORY ................................................................. 35
STRUCTURE PHYSIQUE DACTIVE DIRECTORY ............................................................... 42
DISTINCTION ENTRE LE SYSTME DNS ET ACTIVE DIRECTORY ...................................... 46
ENREGISTREMENTS SRV ............................................................................................ 48
PROTOCOLE LDAP ..................................................................................................... 49
SCHMA ACTIVE DIRECTORY ....................................................................................... 53
CATALOGUE GLOBAL ................................................................................................... 54
OPRATIONS PRINCIPALES SIMPLES ............................................................................. 55
QUELQUES DIFFRENCES ENTRE LES NIVEAUX FONCTIONNELS DE FORT ....................... 58
DIFFRENCES ENTRE LES NIVEAUX FONCTIONNELS DE DOMAINE .................................... 59
QUESTIONS/RPONSES (DPLOIEMENT DE WINDOWS 2003) ......................................... 61
INSTALLATION WINDOWS SERVER 2003 .............................................................. 64
CONFIGURATION DE LA CARTE RSEAU AVEC UNE ADRESSE IP STATIQUE ....................... 70
TABLEAU DU PLAN DADRESSAGE DES MACHINES DE LA SALLE DE COURS ....................... 70
DISQUETTES D'INSTALLATION DE SERVER 2003 ............................................................ 71
SERVICES PACKS ..................................................................................................... 72
PLANIFICATION DES MISES JOUR AUTOMATIQUES ....................................................... 73
LA CONSOLE DE RCUPRATION ......................................................................... 74
INSTALLATION DE LA CONSOLE DE RCUPRATION COMME OPTION DE DMARRAGE ........ 74
EXCUTION DE LA CONSOLE DE RCUPRATION PARTIR DU CD-ROM ......................... 74
CRATION ET CONVERTION DUN DISQUE EN NTFS ....................................................... 75
VRIFIER QUE AUTORISER LOUVERTURE DE SESSION DADMINISTRATION AUTOMATIQUE EST
DSACTIVER ............................................................................................................... 75
T A B L E D E S M A T I E R E S
CENTRE DE FORMATION G E F I - CRETEIL
2
TYPES DOUVERTURE DE SESSION ....................................................................... 76
INTGRATION DUNE MACHINE EN WORKGROUP DANS UN DC ........................................ 78
PROTOCOLE DAUTHENTIFICATION ...................................................................... 81
NTLM ........................................................................................................................ 81
NTLM VERSION 1 ....................................................................................................... 82
NTLM VERSION 2 ....................................................................................................... 82
CONNEXION AVEC KERBEROS ............................................................................... 85
AUTHENTIFICATION DE CONNEXION INITIALE .................................................................. 86
RSOLUTION DE NOM DNS DU KDC ............................................................................. 89
ARCHITECTURE DE MULTIPLES SERVICES DAUTHENTIFICATION ...................................... 91
QUESTIONS / RPONSES ............................................................................................. 94
CONFIGURATION DE LA MMOIRE VIRTUELLE ................................................... 95
POUR CONFIGURER LA MMOIRE VIRTUELLE .................................................................. 97
QUESTIONS/RPONSES ............................................................................................... 99
INSTALLER LES OUTILS D'ADMINISTRATION ..................................................... 100
INSTALLER LES OUTILS D'ADMINISTRATION WINDOWS EN LOCAL................................... 100
UTILISATION DU SECOND LOGIN ................................................................... 101
UTILISATION DES OUTILS DADMINISTRATION, ET UTILISATION DE RUNAS ...................... 103
CONFIGURATION DE LHORLOGE WINDOWS ..................................................... 104
POUR ACTIVER/DSACTIVER LE SERVICE HORLOGE WINDOWS ..................................... 107
SYNCHRONISER LHORLOGE DE SON ORDINATEUR ....................................................... 109
GESTION DU SYSTME WINDOWS ....................................................................... 111
CONNEXION DES DOSSIERS PARTAGS ........................................................ 112
COMMENT RENDRE UN PARTAGE INVISIBLE ? ............................................................... 113
UTILISATION DES DOSSIERS PARTAGS D'ADMINISTRATION .......................................... 113
AFFICHAGE DE SESSIONS DUTILISATEURS ET ORDINATEURS. ....................................... 115
POUR AFFICHER LES CONNEXIONS AUX RESSOURCES PARTAGES ............................... 116
CRER UNE CONSOLE MMC PERSONNALISE POUR GRER ET ANALYSER LES DOSSIERS
PARTAGS SUR PLUSIEURS SERVEURS ........................................................................ 117
CRATION DUN LECTEUR RSEAU, ET SE CONNECTER UNE RESSOURCE PARTAGE ... 118
UTILISATION DE LA COMMANDE NET SHARE ............................................................. 120
UTILISATION DE LA COMMANDE NET USE .................................................................. 121
EXERCICE SUR LA COMMANDE NET USE ................................................................... 122
UTILISATION DE LA COMMANDE NET VIEW ................................................................. 123
EXERCICE SUR LA COMMANDE NET VIEW .................................................................. 123
NET START ............................................................................................................ 124
NET STOP .............................................................................................................. 124
UTILISATION DE LA COMMANDE NET SEND, NET STOP, NET START ...................... 125
NOTION DES GROUPES .......................................................................................... 126
GROUPES DANS UN DOMAINE ..................................................................................... 128
TYPE DE GROUPE ...................................................................................................... 128
PORTE DES GROUPES (TENDUE DE GROUPE) ........................................................... 129
DES DIFFRENCES NOTABLES SELON LES SITUATIONS ET ENCORE DE GROSSES VOLUTIONS PAR
RAPPORT WINDOWS NT 4.0. ................................................................................... 140
CRATION DE GROUPE ............................................................................................... 140
QUESTIONS/RPONSES ............................................................................................. 145
DANS CET EXERCICE, VOUS ALLEZ CRER UN GROUPE GLOBAL, LUI AJOUTER UN COMPTE
D'UTILISATEUR, PUIS AJOUTER LE GROUPE GLOBAL UN GROUPE DE DOMAINE LOCAL INTGR.
................................................................................................................................ 147
PRSENTATION DES COMPTES D'UTILISATEURS ............................................. 148
COMPTE DUTILISATEUR ............................................................................................. 149
GROUPES ET IDENTITS IMPLICITES ............................................................................ 149

3
RESPECTEZ LES INSTRUCTIONS CI-DESSOUS CONCERNANT LES CONVENTIONS DE DNOMINATION.
................................................................................................................................ 151
PRSENTATION DES NOMS D'OUVERTURE DE SESSION D'UTILISATEUR .......................... 152
LES COMPTES D'ORDINATEUR .................................................................................... 162
TCHES ADMINISTRATIVES COURANTES ...................................................................... 164
LOCALISATION DES COMPTES D'UTILISATEUR .............................................................. 164
DANS CET EXERCICE, VOUS ALLEZ CRER DEUX COMPTES D'UTILISATEUR LOCAUX. ....... 166
ADMINISTRATION DES COMPTES D'UTILISATEURS ......................................................... 167
PROFILS D'UTILISATEURS ..................................................................................... 169
CONFIGURATION DU PROFIL UTILISATEUR ................................................................... 171
LOGON SCRIPT ........................................................................................................ 175
POUR ASSIGNER UN SCRIPT DE DMARRAGE OU DARRT SYSTME ............................. 180
LE RPERTOIRE DE BASE ..................................................................................... 184
POUR AJOUTER UN RPERTOIRE DE BASE UN PROFIL (DC) ........................................ 184
GESTION DACCS AUX RESSOURCES (RAPPEL) ............................................ 189
CONTRLE DACCS .................................................................................................. 189
AUTORISATIONS ........................................................................................................ 190
CRATION DE GROUPES ET PERMISSIONS NTFS ......................................................... 193
LA COMMANDE CACLS .......................................................................................... 196
UTILISATION DE LA COMMANDE CACLS ...................................................................... 198
APPLICATION DUN SCRIPT EN LOCAL (RAPPEL) ........................................................... 202
STRATGIES DE GROUPES ................................................................................... 203
RSOLUTION DES CONFLITS ....................................................................................... 206
LA MICROSOFT MANAGEMENT CONSOLE .................................................................... 217
LE SERVICE PLANNING .......................................................................................... 228
PLANIFICATION DE TCHES EN LIGNE DE COMMANDE ................................................... 230
ARCHITECTURE RSEAU DE WINDOWS SERVER 2003 .................................... 231
NDIS ........................................................................................................................ 232
TDI .......................................................................................................................... 233
RSOLUTION DE NOMS ......................................................................................... 235
PROCESSUS DE RSOLUTION DE NOMS D'HTE ........................................................... 236
QUE SONT LES NOMS NETBIOS ? .............................................................................. 242
PROCESSUS DE RSOLUTION DE NOMS NETBIOS ....................................................... 246
TYPES DE NUDS NETBIOS ................................................................................ 252
SERVICES RSEAUX WINDOWS .................................................................................. 262
SMB ........................................................................................................................ 269
LORGANIGRAMME DE LA RSOLUTION DE NOMS NETBIOS (PREMIRE PARTIE) .............. 277
LORGANIGRAMME DE LA RSOLUTION DE NOMS NETBIOS (DEUXIME PARTIE) .............. 278
SERVICE EXPLORATEUR D'ORDINATEURS ........................................................ 283
PRSENTATION ......................................................................................................... 283
INSTALLATION ........................................................................................................... 284
RLE DES EXPLORATEURS ......................................................................................... 285
FONCTIONNEMENT .................................................................................................... 287
LE REGISTRE ........................................................................................................... 297
LE REGISTRE EST DIVIS EN CINQ ARBORESCENCES PRINCIPALES ............................... 298
OUTILS DE GESTION DU REGISTRE ............................................................................. 309
EXPORTATION ET IMPORTATION ................................................................................. 313
4
SAUVEGARDER UNE RUCHE ....................................................................................... 317
UTILISATION DE "SYSTEM RESTORE" OU RESTAURATION DU SYSTME ......................... 321
SAUVEGARDER LE REGISTRE RGULIREMENT ........................................................... 326
OPTIONS DE MENU AVANC ....................................................................................... 329
CONSOLE DE RCUPRATION .................................................................................... 330
AUTOMATED SYSTEM RECOVERY ............................................................................... 331
RENOMMEZ UNE ICNE .............................................................................................. 333
PERSONNALISER LES ICNES ..................................................................................... 333
ADDITION D'ICNES AU BUREAU ................................................................................. 333
DISSIMULATION D'ICNES DU BUREAU ........................................................................ 335
PERSONNALISATION D'ASSOCIATIONS DE FICHIER ....................................................... 335
DMARRER L'EXPLORATEUR DE WINDOWS DANS UN DOSSIER PARTICULIER ................. 337
CONFIGURATION DU CONTENU DU MENU DE DMARRAGE ............................................. 337
PARAMTRER LA LISTE DES PROGRAMMES FRQUEMMENT EMPLOYE ........................ 338
EFFACER LA LISTE D'HISTORIQUE ............................................................................... 340
QUELLES APPLICATIONS SEXCUTENT AU DMARRAGE DE WINDOWS ? ....................... 340
"LOGGING" AUTOMATIQUEMENT ................................................................................. 341
CHANGEMENT D'INFORMATION D'UTILISATEUR ............................................................ 342
AUTOPLAY ................................................................................................................ 342
PANNEAU DE CONFIGURATION .................................................................................... 342
AFFICHAGE DE VOS FAVORIS ...................................................................................... 343
MENUSHOWDELAY .................................................................................................... 343
VERROUILER LE PAV NUMRIQUE (INITIALKEYBOARDINDICATORS) ............................. 343
FILENAME COMPLETION ............................................................................................. 343
LAMEBUTTONENABLED .............................................................................................. 344
INSERTMODE ............................................................................................................ 344
CACHEDLOGONSCOUNT ............................................................................................ 344


5

Support pour la premire semaine
Windows Server 2003

Systme d'exploitation pour Machine Serveur.

EDOUARD DOS SANTOS
O B J E C T I F S D U C O U R S
6
OBJECTIFS DU COURS
Le rle du technicien micro-rseau (premier niveau)
Le technicien dassistance en informatique installe et dpanne des
matriels informatiques et des logiciels. Il assiste les utilisateurs ou les
clients pour assurer la continuit du service rendu par les outils
informatiques et bureautiques. Il peut intervenir sur le site mme ou
distance (le plus souvent par tlphone), et doit respecter des
procdures et des contrats de services. En entreprise, son rle
consiste assurer la mise en relation physique des ordinateurs en
interne (gestion du serveur interne) et avec les rseaux extrieurs
(configuration des accs internet et extranet).

Appliquer les normes de scurit et d'assurance qualit en assistance informatique
Planifier et grer les interventions en assistance informatique
Rechercher des informations techniques et des outils
Assembler un quipement micro-informatique
Installer ou changer un sous-ensemble matriel micro-informatique
Installer et configurer le logiciel d'un poste de travail informatique
Diagnostiquer un dysfonctionnement matriel ou logiciel en micro-infomatique
Assurer les volutions et la continuit de service d'un poste de travail informatique
Scuriser un poste de travail informatique et ses donnes
Raccorder un poste de travail un rseau informatique
Assister les utilisateurs bureautiques
Dployer les postes clients d'un rseau d'entreprise
Communiquer au tlphone en assistance informatique
Rsoudre un problme distance en assistance informatique
Utiliser l'anglais dans son activit professionnelle en informatique (un plus)
Gestion du stockage. Inclut le contrle du stockage des donnes, la rcupration
des donnes, la sauvegarde des donnes automatises et l'archivage des donnes.
Gestion des vnements. Inclut la collecte, le regroupement et la surveillance des
informations sur les journaux et sur l'tat

P R O G R A M M E M C P

7
PROGRAMME MCP
Microsoft Formations et Certifications propose diverses certifications pour les
dveloppeurs et les professionnels de l'informatique. Le programme MCP (Microsoft
Certified Professional) est un programme de certification renomm qui valide votre
exprience et vos connaissances pour assurer votre comptitivit sur un march de
l'emploi en pleine volution.

Le programme MCP comprend les certifications ci-dessous :
MCSA sur Microsoft Windows Server 2003
La certification MCSA (Microsoft Certified Systems Administrator) est destine aux
professionnels qui implmentent, grent et dpannent des environnements rseau et
systme fonds sur les plates-formes Microsoft Windows 2000, dont la famille Windows
Server 2003. Leurs tches d'implmentation comprennent l'installation et la
configuration d'au moins une partie de ces systmes. En matire de gestion, leurs
responsabilits englobent l'administration et le support technique de ces systmes.
MCSE sur Microsoft Windows Server 2003
La certification MCSE (Microsoft Certified Systems Engineer) est la principale
certification pour les professionnels dont le rle consiste analyser les besoins des
entreprises, pour ensuite concevoir et implmenter des infrastructures de solutions
d'entreprise partir de la plate-forme Microsoft Windows 2000 et des logiciels serveurs
de Microsoft, dont la famille Windows Server 2003. Leurs tches d'implmentation
comprennent l'installation, la configuration et le dpannage des systmes rseau.
MCAD
La certification MCAD (Microsoft Certified Application Developer) pour Microsoft .NET
est destine aux professionnels qui emploient les technologies Microsoft pour
dvelopper et administrer des applications au niveau de leur dpartement, des
composants, des clients Web ou de bureau, ou encore des services de donnes back-
end, ainsi qu' ceux qui travaillent dans des quipes de dveloppement d'applications
d'entreprise. Cette certification englobe des tches allant du dveloppement et du
dploiement jusqu' la maintenance de ces solutions.
MCSD
La certification MCSD (Microsoft Certified Solution Developer) est la principale
certification pour les professionnels qui conoivent et dveloppent des solutions
d'entreprise de pointe l'aide d'outils de dveloppement, de technologies, de plates-
formes Microsoft et de l'architecture Microsoft Windows DNA. Parmi les types
d'applications que les titulaires d'une certification MCSD sont susceptibles de
dvelopper, citons les applications de bureau et multi-utilisateurs, les applications Web,
les applications multiniveaux et les applications transactionnelles. Les tches qu'ils
assument vont de l'analyse des besoins de l'entreprise jusqu la maintenance des
solutions mises en .uvre.
MCDBA sur Microsoft SQL Server. 2000
La certification MCDBA (Microsoft Certified Database Administrator) est la principale
certification destine aux professionnels chargs de l'implmentation et de
8
l'administration de bases de donnes Microsoft SQL Server. Cette certification valide les
comptences dans les domaines suivants : mise jour d'anciens modles de bases de
donnes physiques, dveloppement de modles de donnes logiques, cration de
bases de donnes physiques, cration de services de donnes au moyen de Transact-
SQL, gestion et maintenance des bases de donnes, configuration et gestion de la
scurit, surveillance et optimisation des bases
de donnes, et installation et configuration de SQL Server.
MCP
La certification MCP valide les comptences dans le domaine de l'implmentation d'un
produit ou d'une technologie Microsoft intgrs une solution d'entreprise au sein d'une
organisation. Il est ncessaire de bnficier d'une exprience pratique du produit pour
obtenir cette certification.
MCT
La certification MCT (Microsoft Certified Trainers) valide les comptences pdagogiques
et techniques des personnes qui dispensent des cours MOC dans des centres de
formation technique agrs Microsoft CTEC (Certified Technical Education Center).
Pour plus d'informations, consultez le site Web Microsoft Formations et Certifications
l'adresse http://www.microsoft.com/france/formation/

MCSE sur Windows Server 2003 : les conditions d'obtention
Selon votre profil, vous devez obtenir 7 examens :

4 examens dans la catgorie Rseaux,
+
1 examen dans la catgorie Systme d'exploitation client,
+
1 examen dans la catgorie Architecture,
+
1 examen choisir dans la liste des Examens complmentaires.

Les examens passer

Rseaux
Vous devez passer 4 examens :
70-290 - Administration et maintenance d'un environnement Windows Server 2003
70-291 - Mise en oeuvre, administration et maintenance d'une infrastructure rseau
Windows Server 2003
70-293 - Planification et maintenance d'une infrastructure rseau Windows Server 2003
70-294 - Planification, mise en oeuvre et maintenance d'une infrastructure Active
Directory Windows Server 2003
+
Systme d'exploitation client
Vous devez passez 1 examen au choix :
70-270 - Installation, configuration et administration de Microsoft Windows XP
Professionnel
70-210 - Installation, configuration et administration de Microsoft Windows 2000
Professionnel *
* Les candidats qui dtiennent l'examen 70-240 en reoivent le crdit pour l'examen 70-
210.
+
Architecture
70-297 - Conception d'une infrastructure rseau et Active Directory avec Windows
Server 2003
70-298 - Conception de la scurit pour un rseau Windows Server 2003

9
+
Examens complmentaires
70-086 - Implmentation et support technique de Microsoft Systems Management
Server 2.0
70-227 - Installation, configuration et administration de Microsoft Internet Security and
Acceleration Server 2000
70-228 - Installation, configuration et administration de Microsoft SQL Server 2000
dition Entreprise
70-229 - Conception et implmentation de bases de donnes avec Microsoft SQL
Server 2000 dition Entreprise
70-232 - Implmentation et maintenance de solutions Web haute disponibilit avec les
technologies de Microsoft Windows 2000 Server et Microsoft Application Center 2000
70-281 - Planification, dploiement et administration d'une solution de gestion de projet
en entreprise
70-282 - Conception, dploiement et administration d'une solution rseau pour PME
70-284 - Implmentation et gestion de Microsoft Exchange Server 2003
70-285 - Conception d'une infrastructure de messagerie avec Microsoft Exchange
Server 2003
70-297 - Conception d'une infrastructure rseau et Active Directory avec Microsoft
Windows Server 2003
70-298 - Conception de la scurit pour un rseau Microsoft Windows Server 2003
70-299 - Implmentation et administration de la scurit dans un rseau Microsoft
Windows Server 2003

Autres examens complmentaires alternatifs - Les certifications suivantes peuvent se
substituer un examen complmentaire :
MCSA sur Microsoft Windows 2000,
MCSE sur Microsoft Windows 2000,
MCSE sur Microsoft Windows NT 4.0 (ce cursus n'est plus disponible dans les centres
de tests),
CompTIA Security+ (en anglais),
Unisys UN0-101 : Implementing and Supporting Microsoft Windows Server 2003
Solutions in the Data Center (en anglais).

A noter
Les examens de mise niveau 70-292 - Administration et maintenance d'un
environnement Microsoft Windows Server 2003 pour une personne certifie MCSA sur
Windows 2000 et 70-296 - Planification, mise en oeuvre et maintenance d'un
environnement Microsoft Windows Server 2003 pour une personne certifie MCSE sur
Windows 2000 sont proposs aux candidats possdant dj la certification MCSE pour
Windows 2000.
R L E S D E L ' O R D I N A T E U R
10
RLES DE L'ORDINATEUR
Les serveurs jouent de nombreux rles dans l'environnement rseau client/serveur.
Certains serveurs sont configurs pour l'authentification et d'autres pour excuter des
applications. Certains fournissent des services rseau qui permettent aux utilisateurs de
communiquer ou de trouver d'autres serveurs et ressources sur le rseau. En tant
qu'administrateur systme, vous devez connatre les principaux types de serveurs et les
fonctions qu'ils excutent sur le rseau.

Voici quelques rles pouvant tre implments au sein dune infrastructure rseau par
Windows 2003 Serveur :

Contrleur de domaine (Active Directory)
Les contrleurs de domaine stockent les donnes d'annuaire et grent les
communications entre les utilisateurs et les domaines, y compris les processus
d'ouverture de session utilisateur, d'authentification et de recherche dans l'annuaire.

Serveur de fichiers
Un serveur de fichiers fournit, sur le rseau, un emplacement central pour stocker les
fichiers et les partager avec les autres utilisateurs du rseau. Lorsque les utilisateurs
ont besoin d'un fichier important tel qu'un plan de projet, ils peuvent accder au fichier
sur le serveur de fichiers au lieu de le transfrer entre leurs ordinateurs.

Serveur d'impression
Un serveur d'impression fournit, sur le rseau, un emplacement central dans lequel les
utilisateurs peuvent imprimer. Il fournit aux clients des mises jour des pilotes
d'imprimantes et gre l'ensemble de la mise en file d'attente d'impression et la scurit.

Serveur DNS
Le service DNS (Domain Name System) est un service de noms Internet et TCP/IP
standard. Il permet aux ordinateurs clients du rseau d'enregistrer et de rsoudre des
noms de domaines DNS. Un ordinateur configur pour fournir des services DNS dans
un rseau est un serveur DNS. Ce serveur est ncessaire pour implmenter Active
Directory.
R L E S D E L ' O R D I N A T E U R

11

Serveur Terminal Server
Un serveur Terminal Server permet d'installer une application dans un seul point et sur
un serveur unique. Plusieurs utilisateurs peuvent alors accder l'application sans avoir
l'installer sur leurs ordinateurs. Ils peuvent excuter les programmes, enregistrer des
fichiers et utiliser les ressources rseau partir d'un emplacement distant, comme si
ces ressources taient installes sur leur propre ordinateur. (encore dautres rles sont
disponibles comme : Serveur DHCP, WINS, Radius, dAccs distant , de Certificats
etc.

L'outil Grer votre serveur
Lorsque Windows Server 2003 est install et qu'un utilisateur ouvre une session pour la
premire fois, l'outil Grer votre serveur dmarre automatiquement. Cet outil permet
d'ajouter ou de supprimer des rles de serveur.

W I N D O W S 2 0 0 3 S E R V E R
12
WINDOWS 2003 SERVER
Windows XP (NT 5.1) (pour eXPerienced) (stations de travail) et Windows 2000
Serveurs (NT 5.0) est l'aboutissement du dsir d'unification des plates-formes Windows
entre les mondes personnel et professionnel. En particulier, l'utilisateur grand public va
pouvoir enfin bnficier de la technologie "NT" (Systme d'exploitation 32 bits
totalement premptif), ainsi quune gneration de systme Windows Server 2003 64 bits
pour la nouvelle gneraltion de processeur 64 bits de chez INTEL (Itanium..).
Microsoft dcide de modifier le nom de la prochaine famille des serveurs Windows en
Windows Server 2003 (NT 5.2 ou WNS2K3) (ancinnement .NET Server).
En effet, jusqu'alors, il existait 2 grandes familles du systme d'exploitation de Windows,
bases sur des noyaux radicalement diffrents :

L E S D I F F R E N T E S V E R S I O N S

13
LES DIFFRENTES VERSIONS

Il y a 2 familles de versions, toutes bases sur le mme noyau, lui-mme issu de celui
de Windows 2000 :
Stations de travail : Windows XP
2 variantes :
Home (Familial)
Successeur de Windows 9x et ME
Mono-processeur, et ne peut pas intgrer un domaine Active
Directory.
(C'est la grande nouveaut)
Professional (Professionnel)
Successeur de Windows 2000 Pro
Bi-processeur
Serveurs : Windows Server 2003 (appel pendant quelque temps Windows 2002 ou
.NET Server)
4 variantes :
Windows 2003 Web Server
Windows 2003 Standard Server
Windows 2003 Entreprise Server
Windows 2003 DataCenter Server
14
Calendrier de sortie
Windows 2000 est commercialis depuis le 17 fvrier 2000 pour les versions
Professionnal, Server et Advanced Server. et depuis le 11 aot 2000 pour la version
Data Center Server
Windows XP : 25 octobre 2001
Windows Server 2003 : 24 avril 2003
La famille Windows serveur est compose de quatre
produits
Version Caractristiques

Nouveau produit dans la famille serveur Windows, Windows 2003 Web
Server est optimis pour les fonctions de serveur et d'hbergement
Web.

Windows 2003 Web Server :
Est facile dployer et grer.
Fournit une plate-forme destine au dveloppement et au dploiement rapide de
services et d'applications Web qui utilisent la technologie Microsoft ASPServer 2003,
pice essentielle de la structure Server 2003.
Peut tre gr l'aide d'une interface base sur un navigateur partir d'une station
de travail distante. Prend en charge 2 processeurs maxi, et supporte jusqu 2 GB de
mmoire physique. Contient un firewall (bloquant certaines applications), les
connexions SMB sont limites 10 maxi, ne peut tre DC, le Services Terminal ne
permet que le mode administration, installation. Ne supporte pas les Services
Certificats.

Windows Server 2003 Standard Server constitue le systme
d'exploitation rseau fiable qui permet d'obtenir rapidement et
aisment des solutions professionnelles. Ce serveur flexible reprsente
le choix idal pour les besoins quotidiens d'entreprises de toute taille.

Windows 2003 Standard Server :
Prend en charge le partage de fichier et d'imprimante.
Offre une connectivit Internet scurise.
Permet un dploiement d'application de bureau centralise.
Permet une collaboration performante entre les employs, les partenaires et les
clients.
Prend en charge le traitement multiple symtrique bidirectionnel (4 CPU) et jusqu' 4
giga-octets (Go) de mmoire. Prend en charge AD, les stratgies de groupes, le DNS
dynamique, les applications serveur (DHCP, WINS, Impression etc.. ), prise en main
du bureau distance ainsi que lquilibrage de charge (clusters de 2 noeuds).

Conu pour les moyennes et grandes entreprises, Windows 2003
Enterprise Server propose les fonctionnalits requises pour une
infrastructure d'entreprise, des applications professionnelles et des
transactions de commerce lectronique. Les Windows Server 2003,
Entreprise dition seront disponibles pour des plates-formes 32 bits et
64 bits.

Windows 2003 Enterprise Server :
Est un systme d'exploitation comprenant toutes les fonctions et qui prend en charge
jusqu' huit processeurs SMP.
Fournit des fonctionnalits de niveau professionnel, telles que le service de clusters
huit nuds.
Est disponible pour les ordinateurs bass sur Intel Itanium.
32 gigabytes (GB) de RAM pour ldition 32-bits et 64 GB de RAM pour la version 64-
bits. Cluster de 8 nuds et jusqu 8 CPU.

Conu pour les solutions critiques d'entreprise qui ncessitent les
bases de donnes les plus dimensionnables et un traitement de
transaction de grand volume, Windows 2003 Datacenter Server
constitue galement une plate-forme idale pour la consolidation de
serveur. Les Windows Server 2003, Datacenter dition seront
disponibles pour des plateformes 32 bits et 64 bits.


15
Windows 2003 Datacenter Server :
Reprsente le systme d'exploitation de serveur le plus puissant et fonctionnel que
Microsoft n'a jamais conu.
Il prend en charge jusqu' 32 (8 minimum) traitements multiples symtriques.
Huit nud en cluster
64 gigabytes (GB) de RAM pour ldition 32-bits et 128 GB de RAM pour la version
64-bits

16
Configuration requise

Configuration requise pour la version Bta 3.
Configuration
requise
Serveur Web Serveur
standard
Serveur
d'entreprise
Datacenter
Server
Vitesse minimale
du processeur

133 MHz 133 MHz 133 MHz pour les
ordinateurs bass
sur x86
733 MHz pour les
ordinateurs bass
sur Itanium
400 MHz pour les
ordinateurs bass
sur x86
733 MHz pour les
ordinateurs bass
sur Itanium
Vitesse de
processeur
recommande

550 MHz 550 MHz 733 MHz 733 MHz
Quantit de
mmoire RAM
minimale

128 Mo 128 Mo 128 Mo 512 Mo
Quantit
minimale de
mmoire RAM
recommande

256 Mo 256 Mo 256 Mo 1 Go
Quantit de
mmoire RAM
maximale

2 Go 4 Go 32 Go pour les
ordinateurs bass
sur x86
64 Go pour les
ordinateurs bass
sur Itanium
64 Go pour les
ordinateurs bass
sur x86
128 Go pour les
ordinateurs bass
sur Itanium
Prise en charge
de multi-
processeurs

1 ou 2

1 ou 4 Jusqu' 8 Minimum de 8
requis.
Maximum de 32
pour les ordinateurs
bass sur x86
Maximum de 64
pour les ordinateurs
bass sur Itanium
Espace disque
pour
l'installation
1,5 Go 1,5 Go 1,5 Go pour les
ordinateurs bass
sur x86
2,0 Go pour les
1,5 Go pour les
ordinateurs bass
sur x86
2,0 Go pour les

17
ordinateurs bass
sur Itanium
ordinateurs bass
sur Itanium
Service de
cluster
Non Non Oui Oui
ICS (Internet
Connection
Sharing)
Oui Oui Oui Non
Ajout de
mmoire chaud
Non Non Oui, version 32
bits uniquement
Oui, version 32
bits uniquement

Pour les ordinateurs x86, un lecteur de disquette haute densit. Pour les ordinateurs RISC,
un lecteur de CD-ROM SCSI (12X), non requis si installation rseau.
Carte graphique (VGA, 800x600) ou meilleur dfinition si possible.

Souris ou autre dispositif de pointage.

Les apports par rapport Windows NT4
(liste incomplte!)
Matriel
port USB
port IEEE 1394
port Infra-rouge (IRDA)
Gestion de l'alimentation (pour les portables essentiellement) ACPI = Advanced
Cofniguration and Power Interface)
Plug and Play TOTAL!
Prise en charge I20 : (Intelligent Input/Output permet damliorer les performances
dentre/sortie (E/S) sur vos serveurs en transfrant certaines oprations dE/S sur un
processeur secondaire.
Dconnexion / reconnexion EN MARCHE de priphriques (et pas seulement
USB), sans avoir besoin de redmarrer Cartes puce (SmartCard,...)

18
Logiciel
Dmarrage en mode sans chec : permet de dmmarer le sytme dexploitation
avec un nombre minimal de pilotes et de services.
Console de rcupration : permet de dmarrer une console ligne de commande sur
un systme prsentant un problme logiciel qui empche le systme de dmarrer
Protection des fichiers systmes : sexcute en arrire plan et empche les autres
programmes de modifier les fichiers ncessaires au SE (sys, .dll, .ocx, .ttf, .fon, .exe)
Rcupration automatique du systme : ASR vous permet de rcuprer votre
systme en cas de dfaillance du disque dur ou dendommagement grave du systme.
Mode compatibilit : assure une compatibilit standard pour les nombreuses
applications couirantes (Windows 95, 98, NT4.0 ou Windows 2000).
Conformit au standard (TCP/IP v4 et TCP/IP v6)
abandon de NetBEUI, WINS, .. (mais on peut toujours les ajouter si on le dsire)
Tout est bas sur les protocoles et services TCP/IP (DNS, LDAP,..)
Systme de fichiers NTFS5 (quotas + chiffrement)
Dfragmenteur de disque intgr ("DisKeeper")
Possibilit de dmarrer le systme en mode sans chec (comme sous Win9x, mais
avec la scurit NT)
Mise en veille prolonge du systme (lie ACPI)
Restauration automatique des EXE et DLL vitaux
Configuration rseau dynamique (sans redmarrage)
Gestion centralise du PC l'aide de MMC (Microsoft Management Console)
Scurit accrue, p.ex. par l'authentification Kerbros (systme de cls asymtriques,
publique et prive), remplaant l'antique systme NTLM (NT LanManager) qui
prsentait des failles de scurit. P.ex. le mot de passe ne circule plus sur le rseau.
DFS (Distributed File System), permettant de "fusionner" en une seule ressource
plusieurs units de disques rseau
ADS (Active Directory Service) La nouveaut MAJEURE de Windows 2000/2003
!!! Remplace les "domaines NT". bas sur un annuaire LDAP, avec une arborescence
illimite
Outil de migration Active Directory : ADMT peut vous aidez migrer les comptes
dutilisateurs, les groupes ainsi que les comptes dordinateurs des domaines
Windows NT4.0 vers les domaines Active Directory.
Personnalisation totale des comptes utilisateurs
Trs grande stabilit du systme
Service dinstallation distance : vous pouvez crez des images dinstallation des
systmes dexploitation ou des configurations compltes dordinateurs et mettre la
disposition des utilisateurs sur les ordinateurs clients (les cartes rseaux doivent
prendre en charge la ROM PXE (Pre-Boot eXecution).
DirectX7
"Windows Installer" natif. Permet une installation trs labore des applications,
avec possibilit de "rollback" au cours de l'installation, et dsinstallation
"intelligente" (gestion des DLL partages par plusieurs applications)
Les versions serveur offrent d'origine les fonctionnalits multi-utilisateur apparues
avec Windows Terminal Server.
Rpartition de charge rseau (Network balancing) pour la version Advanced
Server.
Nouveau protocole L2TP (Layer 2 Tunneling Protocol) pour raliser des rseaux
virtuels privs (VPN = Virtual Private Network), remplaant PPTP (meilleure
scurit)
Certification des excutables et bibliothques (EXE et DLL).
Serveur DNS dynamique (versions serveurs)

19
Partage de connexions Internet (ICS).
Planificateur de paquets QoS : permet un contrle du trfic rseau (dfinition des
priorits).
Authentification IEEE 802.1x : carte puce, EAP, MD5 etc
Et Windows 2000/2003 permet TOUJOURS de faire tourner des applications DOS
(mme graphiques) et Windows 16 bits, du moment qu'elles ne fassent pas appel
directement au matriel.
Qualit de service : Dans Windows 2000, le QoS est un ensemble de conditions que
le rseau doit satisfaire afin d'offrir un niveau de service appropri pour la
transmission des donnes. Ce service vous permet de contrler l'allocation de bande
passante rseau aux applications. Il assure galement un systme de remise des
informations de bout en bout, fiable et rapide, sur le rseau.
Mise en cluster : Windows 2000/2003 permet de regrouper plusieurs ordinateurs
pour leur faire excuter un ensemble d'applications communes. Ce regroupement
apparat comme un systme unique au client et l'application. Ce procd est appel
la mise en cluster ou utilisation de clusters, et les groupes d'ordinateurs sont
appels des clusters . Cette organisation vite d'avoir un point unique de
dfaillance. Si un ordinateur est dfaillant, tout autre ordinateur du cluster peut
assurer les mmes services sa place.
Multi-tche : La fonction multi-tche permet aux utilisateurs d'excuter
simultanment plusieurs applications sur un mme systme. Le nombre
d'applications qu'un utilisateur peut excuter simultanment et les performances
associes du systme dpendent de la quantit de mmoire disponible.
volutivit SMP : Le multi-traitement symtrique (SMP, Symmetric
MultiProcessing) est une technologie qui permet un systme d'exploitation d'utiliser
simultanment plusieurs processeurs afin d'amliorer les performances du systme en
rduisant le temps d'excution des transactions. Cette fonction SMP prend en charge
jusqu' 32 processeurs (ce nombre varie selon l'dition de Windows Server 2003).
Services Terminal Serveur permettent de faire fonctionner des applications
Windows sur des stations qui, sinon, ne pourraient pas excuter ces applications. Le
traitement et le stockage des dones se font sur le serveur, la station cliente a
seulement besoin dexcuter un client leger, ce qui demande que de mmoire et
despace disque.
Etc .

L E S D I F F R E N T S M O D E S D E L I C E N S I N G ( V E R S I O N
S E R V E U R )
20
LES DIFFRENTS MODES DE LICENSING
(VERSION SERVEUR)
Comment fonctionne le systme de licence de Windows 2003 Server
Trois modalits d'achat de licences
Avant tout, il convient de rappeler les trois modalits d'acquisition des produits
Microsoft.
Premire possibilit: l'achat des licences en mme temps que le PC. Dans ce cas, les
licences sont incluses dans le prix du PC sur lequel les outils correspondants sont
installs suite un accord OEM (Original Equipment Manufacturer) avec le
fabricant.
La seconde option consiste acheter au dtail les licences en mme temps que les
kits d'installation dans un point de vente quelconque. Ces deux cas concernent en
gnral les particuliers ou les trs petites entreprises.
La dernire option, elle, s'adresse aux PME/PMI ou aux grandes entreprises. Il
s'agit de l'acquisition de licences en volume Open et OSL (Open Souscription).
La licence Open est une formule dacquisition souple et conomique,
destine toutes les entreprises qui souhaitentacqurir des logiciels Microsoft
en plusieurs exemplaires. La licence Open propose des tarifs avantageux,
partir de 5 logiciels, et un niveau de prix garanti pendant 2 ans. Tous les
logiciels Microsoft sont disponibles au tarif Open et peuvent tre acquis au
fur et mesure du budget disponible.

La licence OSL est une formule dabonnement simple et avantageuse qui
sadresse aux entreprises qui possdent 10 micro-ordinateurs minimum (pas
de seuil maximum) et qui souhaitent standardiser tout leur parc informatique.
OSL propose un abonnement "Tout Compris" aux 3 logiciels majeurs de
Microsoft (mise jour Windows, Office et Core Cal : Windows 2000 Server,
Exchange 2000 Server, Share Point Portal Server, SMS Server).
De plus, les clients peuvent souscrire pour des produits additionnels en
Serveurs et Applications.
Le paiement est tal sur 3 ans et inclut lenvoi systmatique de toutes les
mises jour, ainsi quun support technique de la part de Microsoft.

Le mode de licence de Windows Server 2003 se base sur l'ide que vous achetez une
version et une licence Server 2003 pour pouvoir l'installer sur une machine, toutefois
vous ne pouvez utiliser le systme que si vous disposez d'une licence client. Une
licence est juste un morceau de papier (pas de code ou mot de passe) spcifiant que
vous pouvez utiliser un client. Une licence client cote environ 47,04 (pas loin de
308 francs), ce qui veut dire que vous devez acheter Windows 2003 Server + 5
licences clients (1229 =7208,96743 F ) et ensuite le nombre suffisant de licences
client (x 308 francs); ajoutez cela, il y a le cot des logiciels clients et de leurs
propres licences !
S E R V E U R )

21

Le mode par Utilisateur/Poste
- Une licence serveur par serveur install avec le logiciel
- Des licences daccs client = CAL par poste/utilisateur connect aux
serveurs.
CAL (Client Access Licence ou CAL) permet daccder tous les serveurs de mme
type dans lentreprise. Le prix de la CAL Utilisateur = prix de la CAL Priphrique
Cette utilisation des logiciels du groupe Serveurs s'opre selon trois modes
distincts :
Chaque ordinateur client, quel que soit le systme d'exploitation s'excutant sur cet
ordinateur, ncessite une licence d'accs client si le client accde au serveur pour l'un
des services rseau de base suivants :
Services de fichiers Partage et gestion de fichiers ou d'espace disque.
Impression de services.Partage et gestion d'imprimantes.
Connectivit Macintosh. Partage de fichiers et impression de services.
Services de fichiers et d'impression pour la connectivit NetWare.
Partage de fichiers et services d'impression pour les clients NetWare.
Services d'accs distant Accs au serveur depuis un ordinateur distant via un
lien de communication.
Le nombre de connexions client n'est pas toujours gal au nombre d'utilisateurs. Par
exemple, lorsque le mme utilisateur se connecte de manire concomitante depuis
deux stations de travail, puis se connecte simultanment un serveur partir de ces
deux stations de travail, on considre qu'il y a deux connexions. Inversement, lorsque
deux utilisateurs se connectent au rseau successivement sur la mme station de
travail, puis se connectent un serveur, ils peuvent tre couverts par une seule
licence d'accs client.
Le mode de licence "par Sige"
Chaque poste de travail a sa propre CAL pour accder au logiciel Serveur
correspondant. Il est ncessaire d'avoir autant de CAL que de postes de travail
utilisant les fonctions du logiciel Serveur.
La licence d'accs client (Client Access Licence ou CAL) qui permet un poste de
travail daccder aux services fournis par un seul logiciel Serveur.
S E R V E U R )
22
Exemple: 2 serveurs Windows et 650 postes connects. Ncessit de 2 licences
Windows Server et de 650 CAL
Licence daccs client Utilisateur (User Cal)
Permet un utilisateur daccder un serveur Microsoft partir de plusieurs
priphriques.
Le mode de licence "par Serveur"
Dans ce mode, qui n'est plus utilis que par Windows 2003 Serveur, l'ensemble des
postes au sein d'un rseau ont la possibilit d'utiliser les fonctions du logiciel
Serveur. Le nombre de CAL sera alors dfini au niveau du serveur, et lorsque ce
nombre sera atteint, il ne sera plus possible d'utiliser ses services

Exemple: 2 serveurs Windows avec 50 accs simultans sur chacun. Ncessit de 2
licences Windows Serveurs et 50 CAL lies au serveur 1 et 50 CAL lies serveur 2.

Mode de licence et ordinateurs
LAC
ncessaires
Option Par serveur
Nombre de connexions simultanes ncessaires sur le serveur 1
Nombre de connexions simultanes ncessaires sur le serveur 2
Nombre de connexions simultanes ncessaires sur le serveur N
Nombre de LAC ncessaires = serveur 1 + serveur 2 + +
serveur N
A
Option Par sige
Nombre d'ordinateurs accdant tout serveur B
Ajoutez le nombre maximum de connexions attendues pour chaque serveur pour
calculer la valeur A, nombre de LAC ncessaires pour la licence Par serveur.
Comptez le nombre d'ordinateurs clients qui accdent tout serveur pour obtenir la
valeur B, nombre de LAC pour la licence Par sige. Utilisez ensuite le critre suivant
pour dcider de l'utilisation de l'option Par serveur ou Par sige.
Si A est infrieur B, utilisez la licence Par serveur.
Si B est infrieur A, utilisez la licence Par sige.
Les licences dont vous aurez besoin
-Une licence pour chaque Serveur excutant Windows Serveur 2003
-Une licence pour chaque station de travail excutant Windows XP
ou 2000 Pro
-Une licence daccs client pour chaque connexion dauthentification au
serveur

a Il est possible de convertir (une seul fois) le mode de licence par serveur en par
sige.

S E R V E U R )

23
Windows Server 2003 Standard Edition + 5 Licences Acces Client cote environ
1229 soit 7208,96 FRF.
Windows Server 2003 Entreprise Edition + 5 Licences Acces Client cote environ
4564,42 soit 27740,42 FRF.

Remarque : En gnral lorsque vous achetez une version Windows Server 2003
Entreprise Edition ou une version Windows Server 2003 Standard Edition la plupart
du temps celle-ci comprend une licence pour le serveur et cinq licences pour les
clients.
W O R K G R O U P E T D O M A I N E
24
WORKGROUP ET DOMAINE
Les groupes de travail (Workgroups) et les domaines (Domains) sont des environnements
rseau ; en revanche, ils prsentent de nombreuses diffrences dans la manire dont les
comptes d'utilisateur, l'authentification et la scurit sont traites. Pour configurer
Microsoft Windows XP Pro/2000/Server 2003 pour qu'il fonctionne dans un groupe
de travail ou un domaine, vous devez crer et configurer correctement des comptes
d'utilisateur, et configurer la scurit du rseau.
Workgroup
Sur un rseau point point, il n'existe aucun serveur ddi, ni aucune hirarchie des
ordinateurs. Tous sont gaux et sont par consquent considrs comme
homologues . Chaque ordinateur fonctionne la fois comme client et comme
serveur et aucun administrateur n'est gnralement charg de la gestion du rseau.
La scurit est assure par la base de donnes locale du service d'annuaire sur
chaque ordinateur. Ce sont les utilisateurs qui dfinissent sur chaque ordinateur les
donnes partager sur le rseau.
Les groupes de travail sont des regroupements informels dordinateurs ou chaque
machine est administre sparment.
_ Les utilisateurs sont au nombre de dix au maximum.
_ Les utilisateurs partagent des ressources et des imprimantes, sans serveur ddi.
_ La scurit n'est pas une priorit.
_ Dans un futur proche, la croissance de l'entreprise et du rseau sera limite.
Chaque ordinateur possde sa propre base de donnes locale pour le Gestionnaire de
comptes de scurit (SAM : Security Account Manager), les utilisateurs doivent disposer
dun compte dutilisateur sur tous les ordinateurs auxquels ils ont besoin daccder

Les ordinateurs excutant des logiciels serveur dans un groupe de travail sont
nomms serveurs autonomes.
Bien que les groupes de travail puissent tre trs utiles, ils deviennent peu maniables
si le rseau comprend plus de dix ordinateurs.

25
Chaque utilisateur doit disposer d'un compte d'utilisateur local sur chacun des
ordinateurs auxquels il souhaite accder. Ainsi, si cinq employs disposent de cinq
ordinateurs appartenant un groupe de travail et qu'ils ont tous besoin d'accder aux
ressources des uns et des autres, le groupe de travail contiendra 25 comptes
d'utilisateur, soit un compte d'utilisateur local par employ sur chaque ordinateur.

Physiquement, la base de donnes fait partie du registre et est stock dans le
rpertoire %SystemRoot%\System32\CONFIG. Les informations lintrieur de
ces fichiers sont stockes sous une forme hautement chiffre afin de prvenir les
attaques (normalement !!! ).

Sam

Registry key HKEY_LOCAL_MACHINE\SAM
Ici, sont stockes les informations concernant les comptes utilisateurs et les
groupes crypts .
Security Registry key HKEY_LOCAL_MACHINE\SECURITY
Les droits et les permissions des utilisateurs de la machine locale.
Software Registry key HKEY_LOCAL_MACHINE\SOFTWARE
Contient les informations relatives la configuration logicielle de l'ordinateur
local
System Registry key HKEY_LOCAL_MACHINE\SYSTEM
Donnes de configuration pour contrler le systme (le nom de l'ordinateur dans
le rseau, ...). Les pilotes, les priphriques. Le jeu de configuration utilis lors
du dernier dmarrage du systme (lastknowgood). Les diffrents profils
matriels

Attention une copie de ces fichiers se trouve aussi dans le rpertoire
windows\repair , pour une utilisation avec la disquette de rcupration Systme
Automatique (ASR), voir plus cours XP PRO..
Domaine
Un domaine (Domain) reprsente un groupement logique dordinateurs sur un rseau
avec une base de donnes de scurit centrale servant stocker les informations de
scurit.
Un domaine est une configuration en rseau avec une unit centrale, ou serveur, pour
laquelle les aspects administration, ressources et scurit sont centraliss sur le
serveur. L'environnement d'utilisation du rseau est beaucoup plus rigide et
scurisant et les ressources partages sont gres en fonction de droits d'accs. La
centralisation de ladministration et de la scurit savre fort importante pour les
ordinateurs dun domaine parce quelle permet un administrateur de facilement
grer les ordinateurs gographiquement loigns lun de lautre.

26
Le fait d'intgrer un domaine permet aux utilisateurs disposant de comptes
d'utilisateur de domaine d'accder aux ressources contenues dans ce domaine. Le fait
d'intgrer un ordinateur un domaine soumet galement l'ordinateur et les
utilisateurs la stratgie de groupe, aux stratgies de compte et aux paramtres de
scurit configurs pour le domaine.

Les lments ci-dessous sont ncessaires pour intgrer un domaine.
_ Un nom de domaine.
Vous devez connatre le nom exact du domaine auquel vous voulez intgrer l'ordinateur.
_ Un compte d'ordinateur.
Avant de pouvoir tre intgr un domaine, un ordinateur doit disposer d'un compte dans
le domaine. Un administrateur de domaine peut crer le compte en utilisant le nom unique
de l'ordinateur ou vous pouvez crer le compte pendant l'installation si vous disposez des
privilges appropris. Si vous crez le compte pendant l'installation, le programme
d'installation vous demande de spcifier le nom et le mot de passe d'un compte
d'utilisateur qui dispose des droits ncessaires pour ajouter des comptes d'ordinateur de
domaine.
_ Un serveur DNS (Domain Name System), qui soit un contrleur de domaine
disponible et un serveur excutant le service Serveur DNS.
Au moins un contrleur de domaine du domaine auquel vous intgrez un ordinateur et un serveur
DNS doit tre en ligne quand vous installez l'ordinateur dans le domaine.

Aprs avoir intgr un domaine, l'utilisateur, le groupe et les stratgies de compte
configures pour le domaine seront toujours prioritaires sur les stratgies configures
sur l'ordinateur local.
Contrleur du domaine
Le contrleur du domaine n'est l que pour faire la gestion du rseau. C'est lui qui
possde chaque compte utilisateur, leur environnement de travail, leurs privilges.
C'est lui galement qui s'occupera de la gestion gnrale du rseau entier l'aide de
ses diffrents outils (audit, gestion des imprimantes,). Et c'est lui qui centralisera
toute la scurit des diffrents serveurs et stations de travail. Ce serveur n'est pas
utilis pour garder les programmes rseaux ni les diffrents fichiers sur son disque
dur. Cette tche est ralise par un serveur de fichier ou un serveur d'applications,
Nanmoins, il arrive frquemment que le serveur de fichier ou le serveur
d'application fasse office de contrleur du domaine. Cette station ne possde pas
forcment un gros disque dur mais, en revanche, en fonction de sa tche
administrative, le processeur ainsi que sa mmoire vive peuvent tre sollicits. On
veillera donc disposer d'un processeur assez rapide et d'une mmoire relativement
importante.
Chaque domaine et chaque ordinateur du domaine porte un nom unique.
Tous comptes dutilisateur du domaine sont stocks dans une base de donnes
dannuaire, cette base de donnes est utilise par le service Active directory. Les
utilisateurs nont besoin que dun seul compte dutilisateur de domaine dans Active
Directory pour accder aux ressources rseau partages du domaine.

27
Prend facilement en charge un petit groupe dordinateurs jusqu plusieurs milliers
dordinateurs
Le fait d'intgrer un domaine permet aux utilisateurs disposant de comptes d'utilisateur de
domaine d'accder aux ressources contenues dans ce domaine.
Le fait d'intgrer un ordinateur un domaine soumet galement l'ordinateur et les
utilisateurs la stratgie de groupe, aux stratgies de compte et aux paramtres de scurit
configurs pour le domaine.

Les utilisateurs ont le choix entre ouvrir une session sur l'ordinateur local et ouvrir
une session sur un domaine dont l'ordinateur est membre. En raison de ce choix,
l'cran de bienvenue affich dans un groupe de travail n'est pas disponible dans un
domaine.

Quand les utilisateurs ouvrent une session sur un domaine Windows Server
2000/2003, leurs informations d'identification sont contrles par rapport au sous-
systme de scurit du domaine, savoir la base de donnes Active Directory.

Quand des utilisateurs disposant de comptes d'utilisateur de domaine ouvrent une
session sur un ordinateur, une copie de leurs informations d'identification est mise en
cache dans une zone scurise du Registre de l'ordinateur local.

Ces informations d'identification mises en cache sont utilises pour permettre
l'utilisateur d'ouvrir une session sur l'ordinateur si Active Directory n'est pas
disponible pour authentifier l'utilisateur. Active Directory risque de ne pas tre
disponible quand le contrleur de domaine est hors connexion, d'autres problmes se
produisent au niveau du rseau ou l'ordinateur n'est pas connect au rseau, par
exemple, quand les utilisateurs itinrants sont en dplacement.

Chaque fois qu'un ordinateur ou un compte d'utilisateur est cr dans un domaine ou
sur un ordinateur local, un identificateur de scurit (SID, Security IDentifier)
unique lui est attribu. Sur les rseaux excutant Windows XP Professionnel et
Windows 2000, les processus internes du systme d'exploitation se rfrent
l'identificateur de scurit d'un compte plutt qu'au nom d'utilisateur ou de groupe du
compte.

28
Chaque objet, ou ressource de l'annuaire est protg par des entres de contrle
d'accs (ACE, Access Control Entry) qui identifient les utilisateurs ou les groupes
autoriss accder cet objet.
Il est possible qu'un utilisateur dispose d'un compte d'utilisateur local et d'un compte
d'utilisateur de domaine ayant les mmes noms d'utilisateur et mots de passe.
Cependant, tant donn qu'un identificateur de scurit est cr pour chaque compte,
les identificateurs de scurit des deux comptes seront diffrents.

Pour avoir accs une ressource quelconque sur le rseau, un utilisateur doit disposer
d'un jeton d'accs. Un jeton d'accs est cre pour l'utilisateur durant le processus
d'ouverture de session, et contient des attributs qui tablissent les informations
d'identification de scurit de cet utilisateur sur l'ordinateur local.

Le SID est l'identificateur de scurit pour l'utilisateur qui a ouvert une session.
Un identificateur de scurit permet au systme d'exploitation d'identifier, de faon
unique, chaque compte d'utilisateur et de groupe, mme si ce compte est renomm ou
possde le mme nom qu'un autre compte.
L'identificateur de groupe est une liste de groupes auxquels l'utilisateur appartient.
Les droits d'utilisateur sont les privilges de l'utilisateur.

Security Identifier (SID): S-1-5- y1-y2-y3- y4 - y5
z.B. Administrateur S-1-5-21-118078878-12354432-1234578765-500
S-1-5 = (1=SID Version)
y1-y2-y3 = identifiant de Domaine
y4-y5 = identifiant du User Account
y5 = user Type
500 (administrateur)
501 (guest)
1001 (1. User), 1002 (2. User), ...
Active directory
Active Directory est avant toute chose un annuaire, comme le sont galement NDS,
de Novell, ou iPlanet, de Sun.
Microsoft nest en rien un pionnier. En effet, bien avant lui, Novell proposait son
annuaire, NDS, et le concept mme dannuaire avait t formalis par une norme,
X.500, qui dfinit prcisment la faon daccder un service dannuaire.
La norme X.500 tant un peu lourde et sadaptant assez mal aux besoins existant, une
version allge de X.500, appele LDAP fut normalise par la suite.
Security Access Token

User SID
Group SIDs
Specific Rights

29

Un service d'annuaire est un service rseau qui identifie toutes les ressources d'un rseau
et met ces informations la disposition des utilisateurs ainsi que des applications. Les
services d'annuaires sont importants, car ils fournissent un moyen cohrent de nommer,
dcrire, localiser, administrer et scuriser les informations relatives ces ressources et d'y
accder. Active Directory est le service d'annuaire de la famille Windows Server 2003.
Cest un service dannuaire tolrance de panne, volutif et facile administrer,
obligatoire sur les contrleurs de domaine Windows 2000 et Windows Server 2003 et
recommand sur les serveurs DNS. Cela vous donne la possibilit dajouter, de retirer et
de localiser les ressources facilement.
Ainsi, nous avons :
- Une administration simplifie : Active Directory offre une administration de toutes les
ressources du rseau dun point unique. Un administrateur peut se loguer sur nimporte
quel ordinateur pour grer les ressources de tout ordinateur du rseau.
- Une mise lchelle : Active Directory permet de grer des millions dobjet rparti sur
plusieurs sites si cela est ncessaire.
- Un support standard ouvert : Active Directory utilise DNS pour nommer et de localiser
des ressources, ainsi les noms de domaine Windows 2003 sont aussi des noms de
domaine DNS.
Active Directory fonctionne avec des services de clients diffrents tels que NDS de
Novell. Cela signifie quil peut chercher les ressources au travers dune fentre dun
browser web. De plus, le support de Kerberos 5 apporte la compatibilit avec les autres
produits qui utilisent le mme mcanisme dauthentification.
Active directory, linstar du service dannuaire de Windows NT, utilise le domaine
comme unit fondamentale de structure logique. Permettent de dfinir une structure de
rseau qui reflte la structure, politique ou gographique, de lentreprise. Chaque domaine
exige n contrleur de domaine au moins pour contenir les donnes du domaine, chaque
contrleur tant un matre du domaine.

Le service d'annuaire est l'un des lments les plus importants d'un systme
informatique tendu. Il arrive frquemment que les utilisateurs et les administrateurs
ne connaissent pas le nom exact des objets qui les intressent. Ils peuvent connatre
un ou plusieurs des attributs des objets et interroger l'annuaire pour obtenir une liste
des objets possdant ces attributs, en formulant par exemple une requte du type :
" Trouver toutes les imprimantes recto-verso du btiment 26". Un service
d'annuaire permet l'utilisateur de trouver n'importe quel objet partir de l'un de ses
attributs.

30
Active Directory est le service d'annuaire de Windows Standard Server, Windows
Enterprise Server et Windows Datacenter Server (il ne s'excute pas sur Windows Web
Server, mais peut en revanche administrer les ordinateurs Windows Web Server).

31

Les donnes de l'annuaire sont stockes dans le fichier Ntds.dit (Directory
Information Tree, ou arborescence dinformations de lannuaire) sur le contrleur de
domaine. Il est recommand de stocker ce fichier sur une partition NTFS. Certaines
donnes sont stockes dans le fichier de base de donnes de l'annuaire, tandis que
d'autres sont conserves dans un systme de fichiers rpliqu, tel que des scripts
d'ouverture de session et des stratgies de groupe.
Le fichier ntds.dit, qui se trouve dans le dossier %systemroot%\ntds est
l'quivalent Windows NT 4.0 du fichier SAM. C'est lui qui stocke la plupart des
donnes de l'annuaire.
En gnral, le DIT est plus grand que la SAM car Active Directory contient plus
d'informations et de types d'objets que le service d'annuaire de NT 4.0. Dans un
domaine, le contenu du fichier ntds.dit se duplique dans tous les contrleurs de
domaines.

Infos : Elle peut stocker plusieurs millions dobjets, et atteindre une taille maximale
thorique de 70To. En comparaison, la base utilise pour stocker les utilisateurs de
Windows NT 4.0 pouvait au maximum contenir 40 000 entres.

Sous Windows 2000 et Windows 2003 Server, les types de rles de serveur diffrent
lgrement de ceux qui existent sous Windows NT. Un serveur Windows NT4.0 peut
jouer lun des quatres rles suivants : contrleur principal de domaine (PDC),
contrleur secondaire (BDC), serveur membre, serveur autonome.
Un domaine Windows NT sarticule autour dun modle matre unique.
Les domaines Windows 2000 ou Windows Server 2003 sont bass sur un modle
matres multiples, dans lequel tous les contrleurs de domaine sont mutuellement
quivalents.

Nimporte quel contrleur peut faire des modifications sur le domaine sa guise.
Toutes les donnes du domaine sont stockes dans Active Directory (AD), qui gre
les rplications entre tous les contrleurs de domaine. Lincovnient est quil ne peut
y avoir de contrleurs de domaine Windows 2000 ou Windows Server 2003 sur un
domaine Windows NT tant que le PDC du domaine na pas t mis niveau vers
Windows 2000 ou Windows Server 2003.
Vous pouvez promouvoir un serveur membre ou autonome Windows 2000 ou
Windows Server 2003 au rang de contrleur de domaine, et inversement vous pouvez
rtrograder un contrleur de domaine pour en faire un serveur membre ou autonome,
sans tre obliger de rinstaller le systme dexploitation (voir plus loin la commande
DCPROMO.EXE.).
Evitez toutefois au maximum les modifications de rle.
Les domaines qui utilisent les services Active Directory sont nomms domaines
Active Directory (ou Windows Server 2003). Si les domaines Active Directory ne
peuvent fonctionner quavec un contrleur de domaine (DC), il convient de
configurer plusieurs autres contrleurs pour le domaine. Si un contrleur tombe en
panne, les autres peuvent alors prendre le relais pour grer lauthentification et
dautres tches critiques.
32

Un domaine offre les avantages dcrits ci-dessous.
Organisation des objets
Lorsque vous crez un objet, les proprits, ou attributs, de cet objet contiennent des
informations qui le dcrivent. Les utilisateurs peuvent localiser des objets dans Active
Directory en recherchant des attributs spcifiques. Par exemple, un utilisateur peut
rechercher une imprimante dans un btiment donn en recherchant lattribut
Emplacement de la classe dobjet des imprimantes.

Objets et OU : Les objets d'un domaine peuvent tre organiss en units. Une unit
d'organisation est un ensemble d'objets d'un domaine. Les objets sont des reprsentations
des composants physiques rels qui se trouvent sur le rseau d'une entreprise. Ils sont
associs un ou plusieurs domaines : utilisateurs, groupes spcifiques d'utilisateurs,
ordinateurs, applications, services, fichiers ou listes de distribution.

Classe : Description structurelle dobjet tels les comptes dutilisateurs, ordinateurs,
domaines, ou units organisationnelles.
Prenez l'exemple d'un domaine dans le rseau d'une entreprise. Pour simplifier la gestion
de l'ensemble des ressources sur ce rseau, les ressources de chaque dpartement de
l'entreprise peuvent tre organises en units. Chacune de ces units d'organisation peut
tre gre par un employ du dpartement correspondant.

Ainsi, chaque dpartement au sein de l'entreprise constitue une unit d'organisation et
l'administrateur rseau peut grer des groupes d'units plutt que des ressources
individuelles.
Localisation simple des donnes
Publier une ressource signifie placer celle-ci dans la liste des objets du domaine, ce qui
permet de la localiser et de l'utiliser facilement.


33

Par exemple, si une imprimante installe dans un domaine est publie, les utilisateurs
peuvent la localiser et la slectionner dans la liste des objets du domaine. Si elle n'est pas
publie, ils peuvent toujours accder cette imprimante, mais ils doivent au pralable en
connatre l'emplacement.
Accs simple aux ressources
L'application d'une stratgie un domaine permet de dfinir le mode d'accs des
utilisateurs aux ressources du domaine, ainsi que la manire dont celles-ci peuvent tre
configures et utilises. Ceci permet de renforcer la gestion des ressources et de la
scurit.

Une stratgie s'applique uniquement l'intrieur d'un domaine et non l'ensemble des
domaines.
Active Directory fournit galement un contrle daccs centralis aux ressources
rseau en permettant aux utilisateurs daccder lensemble de ces ressources en
ouvrant une seule session.

34

Technologie Fonctions Document de
rfrence
Protocole DHCP (Dynamic Gestion des adresses de RFC 2131
Host Configuration Protocol) rseau

Protocole de mise jour Gestion des noms RFC 2052 et 2163
dynamique DNS d'hte

Protocole SNTP (Simple Service de gestion du RFC 1769
Network Time Protocol) temps distribu

Protocole LDAP (Lightweight Accs au rpertoire RFC 2251
Directory Access Protocol) client
version 3

Protocole LDAP L' API d'annuaire RFC 1823

Format LDIF (LDAP Data Synchronisation
Interchange Format) d'annuaires

Projet IETF (Internet Protocole LDAP Schma RFC 2247, 2252 et
2256
Engineering Task Force) d'annuaire

Kerberos V5 Mthodes RFC 1510
d'authentification

Certificats X.509 version 3 Mthodes ISO (International
d'authentification Organization for
Standardization)
X.509

Protocole TCP/IP Transport rseau RFC 791 et 793
(Transmission Control
Protocol/Internet Protocol)
Les objets Active Directory reprsentent les ressources rseau telles que les utilisateurs,
groupes, ordinateurs et imprimantes. En outre, tous les serveurs, domaines et sites du
rseau apparaissent galement en tant quobjets.
Dlgation de l'autorit
Les domaines permettent de dlguer un administrateur la gestion des objets de
l'ensemble d'un domaine ou d'une ou plusieurs units d'organisation du domaine. Ds lors,
il n'est plus ncessaire de disposer de plusieurs administrateurs aux droits tendus et aux
responsabilits qui se chevauchent.


35
Chaque domaine est gr par un contrleur de domaine. Pour simplifier la gestion de
plusieurs domaines, ceux-ci sont regroups dans des structures appeles
arborescences ou forts .
Structure logique dActive Directory
La structure logique dActive Directory est souple et offre une mthode pour concevoir
une hirarchie au sein dActive Directory, comprhensible aussi bien par les utilisateurs
que par les administrateurs.

Les composants logiques de la structure dActive Directory sont les suivants:

les domaines;
les units dorganisation;
les arborescences et les forts;
le catalogue global.

Il est important de comprendre le rle et la fonction des composants logiques de la
structure dActive Directory pour raliser diffrentes tches telles que linstallation,
la configuration, ladministration et le dpannage dActive Directory.
Une unit dorganisation
Une unit dorganisation (OU) est un objet conteneur utilis pour organiser les
objets dun domaine. Une unit dorganisation contient des objets tels que des
comptes dutilisateur, des groupes, des ordinateurs, des imprimantes, ainsi que
dautres units dorganisation.

36

Remarque : Les units d'organisation (UO) permettent aux administrateurs de crer
des limites administratives au sein d'un domaine. Grce aux UO, les administrateurs
peuvent dlguer des tches administratives d'autres administrateurs subordonns
sans leur accorder de privilges administratifs tendus sur l'ensemble du domaine.
Et si votre organisation a besoin d'units d'organisation au sein d'units d'organisation?
Est-il possible d'imbriquer des UO ? La rponse cette question est Oui, mais il existe
certaines limites dues la perte de performances. Vous pouvez imbriquer des UO, mais
vous rencontrerez des problmes de performances si vous les imbriquez sur plus de 15
niveaux.
Hirarchie des units dorganisation
Vous pouvez utiliser les units dorganisation pour regrouper des objets en une
hirarchie logique rpondant aux besoins de votre entreprise. Par exemple, vous
pouvez crer une hirarchie dunits dorganisation pour reprsenter les lments
dune entreprise dcrits ci-dessous.

Un modle dadministration de rseau reposant sur des responsabilits
administratives. Par exemple, une socit peut charger un administrateur donn de
lensemble des comptes dutilisateur et un autre de lensemble des ordinateurs. Dans
ce cas, vous crerez une unit dorganisation pour les utilisateurs et une autre pour
les ordinateurs.
Une structure organisationnelle reposant sur des services ou des limites
gographiques.


37
La hirarchie des units dorganisation au sein dun domaine donn est indpendante
de la structure hirarchique des units dorganisation dans dautres domaines ;
chaque domaine peut implmenter sa propre hirarchie dunits dorganisations.

Contrle dadministration des units dorganisation
Vous pouvez dlguer le contrle dadministration sur les objets prsents dans une unit
dorganisation. Pour ce faire, vous accordez des autorisations spcifiques pour lunit
dorganisation et les objets quelle contient un ou plusieurs utilisateurs et groupes.

Pour une unit dorganisation, vous pouvez accorder un contrle dadministration
complet (par exemple, un contrle total sur tous les objets prsents dans lunit

38
dorganisation) ou limit (par exemple, la capacit de modifier des informations de
courrier lectronique sur des objets utilisateur prsents dans lunit dorganisation).
Contrleur de domaine (DC)
Un ordinateur excutant Windows 2000/2003 Server gre chaque domaine. Cet
ordinateur est appel contrleur de domaine . Un contrleur de domaine gre en
termes de scurit toutes les interactions entre les utilisateurs et le domaine.
Arborescences
Une arborescence est une organisation hirarchique de domaines Windows 2000 ou
suprieur partageant un espace de noms contigu.

Lorsque vous ajoutez un domaine une arborescence, le nouveau domaine est un
domaine enfant dun domaine parent existant. Le nom dun domaine enfant est
combin au nom de son domaine parent pour former son nom DNS. Chaque domaine
enfant une relation dapprobation transitive bidirectionnelle avec son domaine
parent.

Voici quelques raisons justifiant la cration de plusieurs domaines :
_ Des contraintes diffrentes en matire de mots de passe, selon les organisations ;
_ Un grand nombre d'objets ;
_ Des noms de domaine Internet diffrents ;
_ Un meilleur contrle de la duplication ;
_ L'administration dcentralise du rseau.
Forts
Une fort comprend une ou plusieurs arborescences. Le premier domaine cr dans
la fort est le domaine racine. De ce domaine dpendent ladministration de la fort
et lajout de nouveaux domaines.
Les arborescences de domaine lintrieur dune fort ne forment pas un espace de
noms contigu. En revanche, les arborescences dune fort partagent un schma et un
catalogue global commun.
Une arborescence unique, qui nest associe aucune autre arborescence, forme une
fort dune seule arborescence. Ainsi, chaque domaine racine dune arborescence a
une relation dapprobation transitive avec le domaine racine de la fort. Le nom du
domaine racine de la fort est utilis pour dsigner une fort donne.


39
Dans une fort, tous les domaines ont pour anctre commun le domaine racine.

Chaque arborescence dune fort dispose dun espace de noms uniques qui lui est
propre. Par exemple, Contoso, Ltd. cre une socit distincte nomme Northwind
Traders. Contoso, Ltd. dcide de lui affecter un nouveau nom de domaine Active
Directory, Nwtraders.msft. Les deux socits ne partagent aucun espace de noms
commun ; pourtant, en ajoutant un nouveau domaine Active Directory en tant que
nouvelle arborescence dune fort existante, les deux socits sont en mesure de
partager des ressources et des fonctions administratives.

Le premier contrleur de domaine du domaine racine de la fort est configur pour
enregistrer les informations relatives aux catalogues globaux. Le domaine racine de
la fort contient les informations de configuration et de schma relatives la fort.
Le domaine racine de la fort contient deux groupes prdfinis l'chelle de la fort,
Administrateurs de l'entreprise et Administrateurs du schma. Ces groupes n'existent
que dans le domaine racine d'une fort Active Directory.
Vous ajoutez des utilisateurs qui excutent des tches administratives pour la fort de
ces groupes. Lorsqu'un domaine passe du mode mixte au mode natif, ces deux
groupes globaux prdfinis sont transforms automatiquement en groupes universels.
Le rle de ces groupes est le mme en mode mixte et en mode natif, seule l'tendue
du groupe change.

Tous les arbres d'une fort donne s'accordent une confiance mutuelle par
l'intermdiaire de relations d'approbation Kerberos transitives et hirarchiques

40
Approbations transitives bidirectionnelles
Les approbations sont des mcanismes qui permettent un utilisateur authentifi
dans son propre domaine daccder aux ressources de tous les domaines approuvs.
Dans Windows Server 2003, il existe deux types dapprobations : transitives et non
transitives.

Les relations dapprobations transitives bidirectionnelles, sont les relations par dfaut
entre les domaines Windows 2000 et suprieur. Une approbation transitive
bidirectionnelle est la combinaison dune approbation transitive et dune approbation
bidirectionnelle.

Approbations transitives/non transitives
Dans une approbation transitive, la relation dapprobation tendue un domaine est
automatiquement tendue tous les autres domaines qui approuvent ce domaine. Par
exemple, le domaine D approuve directement le domaine E, qui approuve
directement le domaine F. Etant donn que les deux approbations sont transitives, le
domaine D approuve indirectement le domaine F et inversement.
Les approbations transitives sont automatiques. Une approbation parent/enfant est un
bon exemple dapprobation. Les approbations non transitives ne sont pas
automatiques et peuvent tre configures. Par exemple, une approbation non
transitive peut tre externe, comme lapprobation entre deux domaines de deux forts
distinctes.

Direction de lapprobation
Dans Windows Server 2003, il existe trois directions dapprobation : unidirectionnel
entrant, unidirectionnel sortant et bidirectionnelle. Si, dans un domaine B, vous avez
configur une approbation unidirectionnelle entrante entre le domaine B et le
domaine Q, les utilisateurs du domaine B peuvent tre authentifis dans le domaine
Q. Si vous avez configur une approbation unidirectionnelle sortante entre le
domaine B et le domaine Q, les utilisateurs du domaine Q peuvent tre authentifis
dans le domaine B. Dans une approbation bidirectionnelle, les deux domaines
peuvent authentifier les utilisateurs de lautre domaine.


41
Les approbations raccourcies
Les approbations raccourcies sont partiellement transitives car la transitivit de
lapprobation est uniquement tendue vers le bas de la hirarchie partir du domaine
approuv, et non vers le haut de la hirarchie. Par exemple, sil existe une
approbation raccourcie entre le domaine E et le domaine A, Active Directory tend
lapprobation vers le domaine enfant (le domaine C), mais pas vers le haut de la
hirarchie vers le domaine racine de la fort. Les utilisateurs du domaine E ne
peuvent accder quaux ressources du domaine racine de la fort par lintermdiaire
de lapprobation parent/enfant avec le domaine D et de lapprobation
arborescence/racine que le domaine D entretient avec le domaine racine de la fort.

Les approbations de fort
Les approbations de fort ne sont galement que partiellement transitives car elles
peuvent uniquement tre cres entre deux forts et ne peuvent pas tre implicitement
tendues une troisime fort. Par exemple, si la fort 1 approuve la fort 2, et que la
fort 2 approuve la fort 3, les domaines des forts 1 et 2 approuvent respectivement de
manire transitive les domaines des forts 2 et 3.
Toutefois, la fort 1 napprouve pas de manire transitive la fort 3.
Un domaine Windows 2000/2003 et un domaine de scurit du protocole de scurit
Kerberos V5.
Dans Windows NT 4.0 et les versions antrieures de ce systme d'exploitation, les
relations d'approbation sont unidirectionnelles et l'approbation est limite aux deux
domaines entre lesquels elle est tablie (elle n'est pas transitive).

Windows Server 2003 prend en charge les types dapprobation suivants, dans les
catgories transitives et non transitives.
42

Structure physique dActive Directory
Dans Active Directory, la structure logique est spare de la structure physique.
Vous utilisez la structure logique pour organiser vos ressources rseau, tandis que
vous utilisez la structure physique pour configurer et grer votre trafic rseau. Ce
sont les contrleurs de domaine et les sites qui forment la structure physique
dActive Directory.

La structure physique dActive Directory dfinit le lieu et le moment o est gnr le
trafic li la duplication et aux ouvertures de session. Pour tre en mesure
doptimiser le trafic rseau et le processus douverture de session, il est essentiel de
comprendre les composants physiques dActive Directory. En outre, une bonne
connaissance de la structure physique aide rsoudre les problmes de duplication et
douverture de session.

43
Sites
Pour amliorer l'efficacit de la rplication, Active Directory s'appuie sur des sites.

Le bon fonctionnement dActive Directory dpend de la rplication des donnes
entre tous les contrleurs de domaine. En effet Active Directory fonctionne suivant le
principe de la rplication multi-matre, et chaque contrleur de domaine peut tre
utilis pour modifier les objets du domaine (cration dutilisateurs, modification de
stratgie, etc). Il importe donc que les donnes soient bien synchronises entre les
contrleurs. Cependant, il importe galement que le trafic utilis par la rplication ne
devienne pas trop important.

Les sites sont donc des groupes d'ordinateurs correctement connects qui dterminent
la manire dont les donnes d'annuaire sont rpliques. Active Directory rplique des
informations de l'annuaire dans un site prcis plus rgulirement qu' travers
plusieurs sites. De cette manire, les contrleurs de domaine les mieux connects,
c'est--dire ceux qui sont les plus susceptibles d'avoir besoin d'informations prcises
sur l'annuaire, reoivent en premier les mises jour rpliques. Les contrleurs de
domaine des autres sites reoivent galement les modifications, mais moins
frquemment, ce qui rduit la consommation de bande passante du rseau.
Ils ne font pas partie dun espace de nommage dActive Directory, et ils contiennent
seulement les ordinateurs, les objets et les connexions ncessaires pour configurer la
rplication entre sites.
Ils permettent dintgrer la topologie physique du rseau dans Active Directory.

Deux raisons fondamentales justifient la cration de sites:

Optimiser le trafic li la duplication;
Permettre aux utilisateurs douvrir une session sur un contrleur de domaine en
utilisant une connexion rapide fiable.

Afin d'optimiser la bande passante du rseau lors de la duplication, vous devez
prendre en considration les facteurs qui influencent cette duplication. Les trois
facteurs dterminants lors de la duplication sont dtaills ci-dessous.
_ Latence de la duplication.Temps ncessaire un contrleur de domaine pour
recevoir une modification apporte un autre contrleur de domaine.
44
_ Efficacit de la duplication. Capacit traiter l'ensemble des modifications
envoyes avec chaque mise jour.
_ Cot de la duplication. Quantit de bande passante ncessaire pour dupliquer des
modifications entre divers contrleurs de domaine.

Les sites facilitent diverses activits au sein de Active Directory telles que :
Rplication, Authentification, Services Active Directory
Rplication intra-site
La rplication est automatiquement prise en charge, et dans un site unique les
informations mises jours sont transfres toutes les 5 minutes aux autres
contrleurs. Pour viter toute dsynchronisation, lensemble des donnes est rpliqu
toutes les 24h.
Certaines donnes trs urgentes sont cependant rpliques immdiatement
(modification de mots de passe). Cette rplication immdiate dpend du bon
fonctionnement de lmulateur de PDC.
Rplication inter-sites
La rplication Active Directory fonctionne diffremment lorsquil est question de
liaisons WAN plus lentes, et donc de sites multiples. Il est important de dclarer des
sous-rseaux IP diffrents pour chaque site, et de dclarer chaque site (et les DC quil
contient) dans la console MMC Sites et Services. Les clients sauthentifieront sur les
DC les plus proches (les DC de leur site) grce ces diffrences de sous-rseaux IP.

Vous devez vous assurer que chaque site contient un ou plusieurs GC.
Un processus appel KCC (Knowledge Consistency Checker) est lanc intervalles
rguliers sur chaque DC (par dfaut toutes les 15 minutes), et prend en charge
ltablissement de liaisons virtuelles entre les DC, en vue de la rplication.
=> Attention, il ne sagit pas ici des liens inter-sites, mais plutt du routage virtuel
des informations de rplication. Les liens inter-sites doivent exister pour que le KCC
fonctionne ; ils sont abords plus loin.
Pour chaque site, le KCC dclare automatiquement un DC en tant que serveur tte
de pont . Celui-ci assurera lui seul pour ce site la communication vers les
contrleurs des autres sites. En cas de modification de la topologie rseau ou en cas
de panne, le KCC modifiera en consquence cette attribution. Vous pouvez
cependant forcer un serveur tte de pont dans le cas par exemple o un firewall serait
configur pour ne laisser sortir du site quun seul DC bien prcis.
Liens inter-sites
Vous crerez les liens dans la console MMC Sites et Services. Aprs avoir cre des
liens, vous devez les utiliser pour relier vos sites. Si les sites ne sont par relis par ces
liens, ils ne pourront pas communiquer.
Deux types de liens existent : les liens IP (le cas gnral) et les liens SMTP.
Les liens IP ncessite une liaison fiable, ils peuvent relier nimporte quels sites quel
que soient le ou les domaines qui y sont prsents.

45
Les liens SMTP (Simple Mail Transfert Protocol) ne doivent tre utiliss que dans le
cas o la liaison est peu fiable, et uniquement entre domaines diffrents. Ils font
appel la transmission par e-mail.
Les liens intra-sites sont crypts. Les liens inter-sites sont crypts et compresss.
Un DC ne peut appartenir qu un seul site.
Pour les architectures les plus complexes, il est noter quun mme domaine peut
tre rparti (prsence de contrleurs et/ou de clients) sur plusieurs sites de la fort ;
au moins un GC par domaine et par site est prvoir.

46
Distinction entre le systme DNS et Active Directory
Active Directory peut comporter un ou plusieurs domaines. Vous les identifiez
l'aide des noms DNS que vous leur affectez.
Bien que le domaine Active Directory et le domaine DNS correspondant aient le
mme nom, chacun joue un rle diffrent. Ces deux domaines stockent des
informations diffrentes et grent des objets diffrents.

Les serveurs DNS stockent et grent des enregistrements de ressources dans un
fichier de base de donnes de zone. Un fichier de base de donnes de zone DNS
contient tous les enregistrements de ressources concernant un seul domaine DNS ou
une partie isole d'une arborescence de domaines DNS.

Active Directory stocke et gre des objets de domaine. Les objets du service Active
Directory peuvent tre des utilisateurs, des ordinateurs, des imprimantes, des
serveurs, des stations de travail, des services et des partages. Tous les objets sont
stocks dans Active Directory et grs l'aide de scripts ou d'outils dans la console
MMC (Microsoft Management Console).
Comme les noms de domaine Active Directory et DNS sont identiques et que le
systme DNS correspond au mcanisme utilis pour la rsolution de noms, chaque
domaine Active Directory doit correspondre un domaine DNS. l'inverse, chaque
domaine DNS ne requiert pas de domaine Active Directory correspondant.

Le systme DNS fournit les principales fonctions ci-dessous sur un rseau excutant
Active Directory.
_ Rsolution de noms. Le systme DNS propose la rsolution de noms en
transposant les noms d'ordinateur en adresses IP (Internet Protocol) afin que les
ordinateurs puissent se reprer.
_ Convention de dnomination pour les domaines Windows 2000. Active Directory
utilise les conventions de dnomination du systme DNS pour nommer les domaines
Windows 2003. Dans un rseau Windows 2003, les noms des domaines DNS et
Active Directory partagent une mme structure de dnomination hirarchique.
_ Localisation des composants physiques d'Active Directory. Le systme DNS
identifie les contrleurs de domaine par rapport aux services spcifiques qu'ils

47
proposent, comme l'authentification d'une demande de connexion ou la recherche
d'informations dans Active Directory.

Comme Active Directory est troitement intgr au systme DNS, vous devez
respecter les standards DNS lorsque vous planifiez la stratgie de dnomination pour
Active Directory. Lorsque vous dfinissez le modle Active Directory, vous devez
effectuer les tches suivantes :
_ dterminer l'tendue d'Active Directory dans votre entreprise ;
_ crer un nom DNS hirarchique ;
_ utiliser une stratgie de dnomination pour choisir les noms de domaine
Active Directory.
Reprsentation de toute l'entreprise par le nom DNS
tant donn qu'Active Directory ne prend en charge qu'un seul nom racine DNS, vous
devez choisir un nom qui reprsente toute l'entreprise. Tous les utilisateurs de l'entreprise
pourront ainsi accder l'ensemble de ses informations et ressources.
Il se peut cependant que l'entreprise ait besoin de plusieurs noms racines. Par exemple, si
l'entreprise a acquis une socit qui disposait dj d'une identit connue sur Internet, vous
souhaiterez peut-tre conserver le nom DNS de cette socit nouvellement acquise.
Possibilit d'utiliser le nom Active Directory comme nom Internet
Active Directory peut exister dans l'tendue de la structure DNS Internet. Le cas chant,
vous devez inscrire le nom racine DNS auprs de l'ICANN (Internet Corporation for
Assigned Names and Numbers). Cette inscription garantit l'unicit de tous les noms DNS.
Vous disposerez de l'autorit ncessaire pour grer votre hirarchie de domaines enfants,
de zones et d'htes dans le domaine racine.

Le premier domaine cr dans Active Directory constitue le point de dpart, ou la racine,
d'Active Directory. Tous les autres domaines sont drivs du domaine racine. Un seul
nom peut tre utilis pour le domaine racine. Si vous prvoyez d'utiliser ce nom racine sur
Internet, vous devez vous assurer qu'il est unique sur Internet.
Si Active Directory comporte plusieurs domaines, une hirarchie de dnomination est
constitue. Par exemple, un rseau comportant un seul domaine peut porter le nom de ce
domaine unique contoso.msft. Si, pour des raisons professionnelles, vous devez diviser le
48
rseau en trois domaines, Namerica, Europe et Africa, les noms de domaine peuvent
tre namerica.contoso.msft, europe.contoso.msft et africa.contoso.msft. Chaque nom
de domaine est distinct, mais appartient la mme arborescence Active Directory.

Les contrleurs de domaine sont identifis par un nom de domaine complet dans le
systme DNS, par un nom complet d'ordinateur dans Windows 2000/2003 ainsi que
par les services particuliers qu'ils offrent. Windows 2000/2003 utilise le systme
DNS pour dterminer l'emplacement des contrleurs de domaine en rsolvant un
nom de domaine ou d'ordinateur en adresse IP. Cela est possible grce aux
enregistrements de ressource SRV (Service Resource Record), qui mappent un
service particulier sur le contrleur de domaine offrant ce service.
Le format d'un enregistrement SRV contient ces informations, ainsi que des donnes
propres au protocole TCP/IP (Transmission Control Protocol/Internet Protocol).
Lorsqu'un contrleur de domaine dmarre, le service Netlogon qui s'excute sur ce
contrleur utilise la fonctionnalit de mise jour dynamique DNS pour inscrire avec
la base de donnes DNS les enregistrements SRV pour tous les services lis Active
Directory offerts par le contrleur de domaine. Un ordinateur excutant Windows
2000/2003 peut ainsi consulter un serveur DNS lorsqu'il a besoin de contacter un
contrleur de domaine.

Les enregistrements SRV permettent aux ordinateurs clients de localiser des serveurs
offrant des services Active Directory particuliers.
Les enregistrements SRV lient le nom d'un service au nom de l'ordinateur DNS du
contrleur de domaine qui offre ce service.
Les enregistrements SRV contiennent galement des informations permettant un
serveur DNS de dterminer l'emplacement des lments suivants :
_ Un contrleur de domaine localis dans un domaine ou une fort Windows
2000/2003 spcifique ;
_ Un contrleur de domaine localis sur le mme site que l'ordinateur client
_ Un contrleur de domaine configur en tant que serveur de catalogue global
_ Un ordinateur excutant le service KDC (Key Distribution Center) Kerberos.
Enregistrements SRV
Lorsqu'un contrleur de domaine dmarre, il consigne des enregistrements SRV
contenant des informations relatives aux services qu'il offre, ainsi qu'un enregistrement de
ressource A contenant son nom d'ordinateur DNS et son adresse IP. Un serveur DNS
utilise ensuite ces informations combines pour rsoudre les requtes DNS et renvoyer
l'adresse IP d'un contrleur de domaine afin que l'ordinateur client puisse localiser ce
dernier.
Format d'enregistrement SRV
Par exemple, l'enregistrement SRV suivant :
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.

Serait enregistr par un ordinateur qui :
_ offre le service LDAP ;
_ offre le service LDAP en utilisant le protocole de transport TCP ;
_ effectue l'enregistrement SRV dans le domaine DNS contoso.msft ;
_ possde le nom de domaine complet london.contoso.msft.


49
Les contrleurs de domaine excutant Windows 2003 inscrivent galement des
enregistrements SRV dans le format suivant :
_Service._Protocole.Type_CD._msdcs.Domaine_DNS ou Fort_DNS
Le composant _msdcs de ces enregistrements SRV fait rfrence un sous-domaine
dans l'espace de noms DNS propre Microsoft. Celui-ci permet aux ordinateurs de
dterminer l'emplacement des contrleurs de domaine exerant des fonctions propres
Windows 2000/2003 au sein du domaine ou de la fort.
Les valeurs possibles pour le composant Type_CD, qui est un prfixe pour le sous-
domaine _msdcs, spcifient les types de rles de serveur suivants :
_ dc pour un contrleur de domaine ;
_ gc pour un serveur de catalogue global.

La prsence du sous domaine _msdcs signifie que les contrleurs de domaine
excutant Windows 2000/2003 inscrivent galement les enregistrements SRV
suivants :
_ldap._tcp.dc._msdcs.Domaine_DNS.
_ldap._tcp.Site._sites.dc._msdcs.Domaine_DNS.
_ldap._tcp.gc._msdcs.Fort_DNS.
_ldap._tcp.Site._sites.gc._msdcs.Fort_DNS.
_kerberos._tcp.dc._msdcs.Domaine_DNS.
_kerberos._tcp.Site._sites.dc._msdcs.Domaine_DNS.
Protocole LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole du service
dannuaire utilis pour interroger et mettre jour Active Directory.
Conformment aux critres du protocole LDAP, un objet Active Directory doit tre
reprsent par une srie de composants de domaine, units dorganisation et noms
usuels qui constituent un chemin daccs LDAP au sein dActive Directory.

L'utilisation du service Active Directory (tant sur Windows 2000 que sur Windows
2003) exige une bonne comprhension du protocole LDAP puisque ce protocole est
utilis partout pour avoir accs l'information de la base. Se familiariser avec LDAP
est aussi ncessaire pour travailler avec beaucoup d'outils et les utilitaires, comme
Active Directory Administrative Tool (Ldp.exe), ADSI Edit , chercher des scripts
.vbs , LDIF Directory Exchange (LDIFDE.exe) et d'autres sont aussi ncessaires
pour le scripting.

Chaque objet possde un nom complet LDAP (par exemple, mailAddress et
machinePasswordChangeInterval) et un nom commun (SMTP-Mail-Address et
Machine-Password-Change-Interval pour les deux exemples ci-dessus) et un
Identificateur d'objet (OID) unique attribu par l'ISO.
Les chemins daccs LDAP servent accder aux objets Active Directory et
comprennent les lments suivants:

les noms uniques (distinguished name : DN);
les noms uniques relatifs (relative distinguished name : RDN).

50
Nom unique (DN)
Chaque objet Active Directory porte un nom unique. Le nom unique identifie le
domaine dans lequel est situ lobjet, ainsi que son chemin daccs complet
(compos du nom de l'objet et de tous ses objets parents jusqu' la racine du
domaine).

Chaque nom RDN est stock dans la base de donnes Active Directory et contient
une rfrence son parent. Au cours d'une opration LDAP, le nom unique est
construit entirement en suivant les rfrences la racine.

Dans un nom unique LDAP complet, le nom RDN de l'objet identifier commence
sur la gauche avec le nom de la feuille et se termine sur la droite avec le nom de la
racine, comme le montre l'exemple suivant :

(CN pour Common Name, OU pour Organizational Unit, et DC pour Domain
Component):

=> cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dc=NomOrg.dc=com

Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand, celui de Widget
(l'objet parent de MDurand) est ou=Widgets, etc.
Nom unique relatif (RDN)
Le nom unique relatif LDAP est la partie du nom unique LDAP qui permet didentifier
lobjet dans son conteneur (OU).
Sa composition varie en fonction de ltendue du contexte de recherche existant tabli par
le client. Le contexte de recherche peut aller du composant de domaine au nom usuel.
Dans lexemple prcdent, le nom unique relatif de lobjet utilisateur David Dubois est
David Dubois:
Le tableau suivant donne des exemples de nom unique, le contexte de recherche et les
noms uniques relatifs

Nom unique
OU=Sales, DC=contoso, DC=msft
=> CN=David Dubois, OU=Sales, DC=contoso, DC=msft

Nom unique relatif
OU=Sales
CN=David Dubois

51

Noms d'URL LDAP
Active Directory prend en charge l'accs de tous les clients LDAP l'aide du
protocole LDAP. Une telle URL est compose du prfixe LDAP, du nom du
serveur contenant les services Active Directory, suivi du nom attribu l'objet (le
nom unique).

Par exemple :

LDAP://serveur1.France.NomOrg.com/cn=MDurand,
ou=Widgets,ou=Fabrication, dc=France,dcNomOrg,dc=com
Noms canoniques LDAP dActive Directory
Par dfaut, les outils d'administration de Active Directory affichent les noms des
objets au format de nom canonique, qui rpertorie les noms RDN partir de la
racine, sans les descripteurs d'attribut d'affectation de nom

Bourges.eds/Staff/John Smith
Fully Qualified Domain Name (FQDN)
Fully Qualified Domain Name (FQDN) est aussi connu comme le nom informatique
complet; c'est une concatnation du nom d'hte (le nom NetBIOS) et le suffixe de
DNS primaire, par exemple :

netdc2.subdom.bourges.eds
Noms UPN
Dans Active Directory, chaque compte d'utilisateur possde un nom UPN (nom
utilisateur principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom
UPN est un nom convivial assign par un administrateur. Il est plus court que le nom
unique LDAP utilis par le systme et plus facile mmoriser.
Les noms UPN se composent de trois parties : le prfixe UPN (nom d'ouverture de
session de l'utilisateur), le caractre @ et le suffixe UPN (en gnral, un nom de
52
domaine). Le suffixe UPN par dfaut d'un compte d'utilisateur est le nom DNS du
domaine Active Directory dans lequel se trouve le compte. Par exemple, le nom UPN
de l'utilisateur Marc Durand, qui possde un compte d'utilisateur dans le domaine
NomOrg.com (si NomOrg.com est le seul domaine de l'arborescence), est

MDurand@NomOrg.com.
SAM (Pre-Windows 2000) Account Names
SAM (Pre-Windows 2000) Account Names. Les noms de comptes SAM sont exigs
pour la compatibilit avec des clients anciens. Un nom SAM doit tre unique dans un
domaine.

NomDuDomaine\NomUtilisateur

Des nouveaux outils LDAP, comme DsQuery.exe, DsAdd.exe, DsMod.exe, etc,
permettent aux administrateurs d'optimiser des routines et ainsi que des squences
Batch avec les objets de la base Active Directory.

En rsum on distingue quatre mthodes pour nommer un compte utilisateur :
- Le nom douverture de session (login) : thoboi_l
- Le nom douverture de session pr-windows : ESI\thoboi_l
- Le nom dutilisateur principal : thoboi_l@esi-supinfo.lan
- Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan
Un login ne peut dpasser les 20 caractres, il prend en compte la casse et ne peut
contenir de caractre spciaux comme : " / \ [ ] : ; | = , + * ? < >.


53
Schma Active Directory
Comme dans une base de donnes, chaque objet est associ des proprits.
Lensemble des proprits possibles pour nimporte quel objet, et la dfinition de
tous les objets pouvant exister forment le schma de la fort.
Le schma dActive Directory contient les dfinitions de tous les objets, tels que les
ordinateurs, les utilisateurs et les imprimantes, stocks dans Active Directory.

Dans Windows 2000/2003, il ny a quun seul schma pour lensemble de la
fort, de sorte que tous les objets crs dans Active Directory se conforment aux
mmes rgles.

Le schma comprend deux types de dfinitions les classes dobjets (description dun
objet en regroupant plusieurs attributs) et les attributs dobjets (description dune
caractristique dun objet).

Les classes dobjets dcrivent les objets de lannuaire quil est possible de crer.
Chaque classe est un regroupement dattributs. Les attributs et les classes sont dfinis
sparment. Chaque attribut est dfini une seule fois et peut tre utilis dans
plusieurs classes. Par exemple, lattribut Description est utilis dans de nombreuses
classes, mais il nest dfini quune seule fois dans le schma, afin den garantir la
cohrence.

Le schma est stock dans la base de donnes dActive Directory. Ce stockage dans
une base de donnes signifie que le schma:

Est dynamiquement disponible pour toutes les applications utilisateur (cela signifie
que ces dernires peuvent lire le schma pour connatre les objets et proprits
utilisables);
Peut tre mis jour dynamiquement, ce qui permet une application denrichir le
schma avec de nouveaux attributs et classes dobjets, puis dutiliser immdiatement
ces nouveaux lments. Seuls les membres du groupe Administrateurs du schma
peuvent modifier celui-ci, par le biais de la console MMC (Microsoft Management
Console) dAdministration du Schma. Cette console nest pas installe par dfaut,
vous pouvez linstaller partir du package adminpak.msi situ sur le CD Windows
2000 Server.

54
Catalogue global
Le catalogue global (ou GC Global Catalog) est un rfrentiel dinformations qui
contient un sous-ensemble dattributs relatifs tous les objets Active Directory. Par
dfaut, les attributs stocks dans le catalogue global sont les plus frquemment
utiliss dans les requtes (par exemple, le prnom, le nom et le nom douverture de
session dun utilisateur). Le catalogue global contient les informations ncessaires
pour dterminer lemplacement de tout objet figurant dans lannuaire. Ces catalogues
contiennent non seulement les donnes de leur propre domaine mais galement
certaines informations des autres domaines de la fort. Ils permettent dacclrer les
recherches dobjets dans la fort.

Le catalogue global permet aux utilisateurs deffectuer deux tches importantes:

_ (Authentification des noms d'utilisateur principaux)Il permet un utilisateur
d'ouvrir une session sur le rseau en fournissant un contrleur de domaine des
informations sur l'adhsion un groupe universel lorsqu'un processus d'ouverture de
session est lanc.
_ (Recherche d'objets)Il permet un utilisateur de trouver des informations
d'annuaire dans la fort entire, quel que soit l'emplacement des donnes.

Vous pouvez configurer d'autres contrleurs de domaine comme serveurs de
catalogue global pour rpartir le trafic li l'authentification des ouvertures de
session et aux requtes.

Lorsqu'un utilisateur ouvre une session sur un domaine en mode natif, le serveur de
catalogue global fournit, au contrleur de domaine qui traite les informations sur
l'ouverture de session de l'utilisateur, des informations sur l'adhsion un groupe
universel correspondant au compte de l'utilisateur. Si aucun serveur de catalogue
global n'est disponible lorsqu'un utilisateur engage le processus d'ouverture de
session rseau et que l'utilisateur a prcdemment ouvert une session sur le domaine.

Par dfaut, un catalogue global est cr automatiquement sur le contrleur de
domaine initial de la fort Windows 2000/2003 et chaque fort doit en possder au
moins un. En mode Natif, il est important de noter quun contrleur de catalogue
global doit tre disponible dans le site pour que les utilisateurs puissent se connecter
dans le domaine : en effet ces contrleurs permettent de vrifier lappartenance des
utilisateurs des groupes universels.

En cas de panne de ces contrleurs, seuls les administrateurs du domaine peuvent se
loguer. Vous aurez donc besoin de placer suffisamment de GC pour assurer une
redondance en cas de panne. Vous devez cependant noter que la rplication de leurs
informations est plus volumineuse en donnes sur le rseau que pour les autres
contrleurs.


55
Oprations principales simples
Afin d'viter des conflits, certaines oprations sont ralises en mode matre unique
(c'est--dire qu'elles ne peuvent pas avoir lieu plusieurs endroits du rseau
simultanment) avec l'aide d'un contrleur de domaine responsable de l'opration. De
telles oprations sont regroupes dans des rles prcis au sein de la fort ou d'un domaine.
Ces rles sont appels rles de matre d'oprations.
Un contrleur de domaine peut apporter des modifications d'annuaire uniquement au rle
de matre d'oprations qu'il contient. Le contrleur de domaine responsable d'un rle
donn est appel matre d'oprations de ce rle.
Active Directory stocke des informations indiquant les rles que contiennent les
contrleurs de domaine.
Tout contrleur de domaine peut tre matre d'oprations.
Il est possible de dplacer un rle de matre d'oprations sur d'autres contrleurs de
domaine.
Un matre d'oprations est un contrleur de domaine auquel ont t affects un ou
plusieurs rles d'oprations principales simples dans un domaine ou une fort Active
Directory. Les contrleurs de

Chaque fort Active Directory doit disposer de contrleurs de domaine qui remplissent
deux des cinq rles d'oprations principales simples. Les rles l'chelle de la fort sont
les suivants :

_ Matre de schma ;
_ Matre de dnomination de domaine.
Chaque domaine Active Directory doit disposer de contrleurs de domaine qui
remplissent trois des cinq rles d'oprations principales simples. Les rles l'chelle du
domaine sont les suivants :

_ Matre d'identificateur relatif (RID, Relative Identifier) ;
_ Emulateur de contrleur principal de domaine ;
_ Matre d'infrastructure.

Matre de schma. Le contrleur de domaine qui tient le rle de contrleur de
schma contrle toutes les mises jour et les modifications appliques au schma. Le
schma dfinit chaque objet (et ses attributs) qui peuvent tre enregistr dans
l'annuaire. Pour mettre jour le schma d'une fort, vous devez avoir accs au
contrleur de schma.
Matre de dnomination de domaine Le contrleur de domaine qui tient le rle de
matre d'affectation de nom de domaine contrle l'ajout et la suppression de domaines
dans la fort. Lors de la cration d'un domaine enfant, l'Assistant Installation de Active
Directory contacte le matre d'attribution de nom de domaine et demande l'ajout ou la
suppression d'un domaine. Le matre d'attribution de nom de domaine est responsable de
l'unicit des noms de domaine. Notez que si le matre d'attribution de nom de domaine
n'est pas disponible, vous ne pouvez pas ajouter de domaine, ni en supprimer.
56
Le contrleur de domaine qui contient le rle de matre d'attribution de nom de domaine
doit galement tre serveur de catalogue global. En effet, lorsque le matre d'attribution de
nom de domaine cre un objet qui reprsente un nouveau domaine, il interroge le serveur
de catalogue global pour s'assurer qu'aucun autre objet, y compris les objets de domaine,
ne porte le mme nom que ce nouvel objet.
Les trois rles suivants doivent tre uniques au niveau de chaque domaine. Seul un rle
peut tre tenu par domaine dans la fort :
Matre RID (Relative ID). Le matre RID alloue des squences d'identificateurs relatifs
(RID) chaque contrleur de son domaine. Chaque fois qu'un contrleur de domaine cre
un objet Utilisateur, Groupe ou Ordinateur, il attribue l'objet un identificateur unique de
scurit (SID). Cet identificateur est compos d'un identificateur de scurit de domaine
(identique pour tous les SID crs dans le domaine) et d'un identificateur relatif (unique
pour chaque SID cr dans le domaine). Lorsque le contrleur de domaine a puis son
pool de RID, il en demande un autre au matre RID.
mulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le logiciel
client Windows 2000 ou des contrleurs de domaine secondaires Windows NT,
l'mulateur PDC (Primary Domain Controller) agit comme un contrleur de domaine
principal Windows NT.
_ Il joue le rle d'un contrleur CPD pour les contrleurs CSD existants.
_ Il gre les changements de mots de passe des ordinateurs qui excutent Windows NT,
Windows 95 ou Windows 98, changements qui doivent tre inscrits dans l'annuaire.
_ Il rduit le dlai de duplication en cas de modification des mots de passe.
_ Il synchronise l'heure de tous les contrleurs de domaine en fonction de sa propre
horloge.
_ Il limine les risques d'crasement des objets Stratgie de groupe (GPO, Group Policy
Object).
Il traite les changements de mots de passe client et rplique les mises jour vers les
contrleurs BDC. L'mulateur PDC reoit la rplication prfrentielle des changements
de mots de passe effectus par d'autres contrleurs du domaine.
En cas d'chec d'authentification d'ouverture de session au niveau d'un autre contrleur de
domaine en raison d'un mot de passe incorrect, le contrleur transmet la demande
d'authentification l'mulateur PDC avant de rejeter la tentative d'ouverture de session.
Matre d'infrastructure. Le matre d'infrastructure est responsable de la mise jour de
toutes les rfrences croises des domaines lors du dplacement d'un objet rfrenc par
un autre. Par exemple, chaque fois que des membres de groupes sont renomms ou
modifis, le matre d'infrastructure met jour les rfrences des groupes aux utilisateurs.
Lorsque vous renommez ou dplacez un membre d'un groupe (et que ce membre rside
dans un autre domaine que le groupe), le groupe risque de ne pas contenir ce membre
temporairement. Le matre d'infrastructure du domaine du groupe en question est
responsable de la mise jour du groupe, qui connat ainsi le nouveau nom ou le nouvel
emplacement du membre (n'existe pas dans le cas d'un serveur unique).

57
Il existe donc 5 types de matres, qui sont les seuls pouvoir remplir leur fonction dans
leur fort ou dans leur domaine :

Matre Existence Rle
Contrleur de schma 1 par fort Permet de modifier le schma de la fort (par les
membres du groupe Administrateurs du Schma).
Contrleur dattribution
de nom de domaine
1 par fort - Permet dajouter des domaines la fort.

- Est galement contrleur de catalogue global.
Emulateur de PDC 1 par domaine - Mode Natif : Synchronise les heures des DC ; bnficie
dune rplication immdiate des mots de passe modifis
pour permettre aux autres DC de vrifier quil ne vient
pas dtre chang avant de rejeter une tentative de login.

- Mode Mixte : Gre galement la rplication des
informations de domaine vers les BDC sous NT4.
Matre RID
(didentificateur relatif)
1 par domaine Distribue des plages de numros aux DC pour viter les
doublons lors de lattribution des SID (identificateurs
uniques) aux objets.
Matre dinfrastructure 1 par domaine - Met jour les rfrences vers les objets dautres
domaines.

- Ne doit pas tre contrleur de catalogue global (sauf
contrleur unique).
En cas de perte du contrleur de domaine hbergeant un ou plusieurs rles, ou
simplement si le besoin de transfrer un rle apparat, vous avez la possibilit de
transfrer ou de saisir ce ou ces rles sur un autre contrleur.

Vous pouvez effectuer cette procdure dans deux situations.
Sil sagit dun transfert entre serveurs en activit, vous pourrez utiliser linterface
graphique (Consoles Sites et Services pour les trois matres de domaine, console
Schma dune part et console Domaines et approbations dautre part pour les deux
matres de fort). Vous pouvez aussi avoir recours loutil en mode texte ntdsutil
(fonction transfer ).
Sil sagit de saisir un rle perdu en raison dun matre dfinitivement hors-ligne,
seul ntdsutil (fonction seize pour saisir le rle) est utilisable.
Pour traiter le problme du mode de domaine du Windows 2003 Serveur une fois
pour toutes, Microsoft a prsent le concept de niveaux fonctionnels . C'est juste un
autre nom de gestion pour ladministration systme de diffrentes versions dOS actuelles
et futures portatives. Les niveaux fonctionnels de Windows 2003 Serveur s'appliquent
non seulement auc DCs et domaines, mais ils sont aussi applicables aux forts. Ils
permettent aux niveaux fonctionnels de domaine et de fort d'tre augments quand tout
les DCs dans le domaine ou la fort a atteint le niveau appropri.
Vous pouvez migrer vers Windows Server 2003, Standard Edition, partir des systmes
dexploitation Windows 2000 Server;Windows NT 4 Server avec le Service Pack 5 ou
ultrieur et Windows NT 4 Terminal Services avec le Service Pack 5 ou ultrieur.
58
Quelques diffrences entre les niveaux fonctionnels
de fort
Active Directory possde de nombreux niveaux fonctionnels qui dictent les
fonctionnalits disponibles et les versions de Windows qui peuvent faire office de
contrleur de domaine. Une fort qui contient un contrleur de domaine Windows Server
2003 possde trois niveaux fonctionnels de fort et quatre niveaux fonctionnels de
domaine. Cela est bien suprieur au seul niveau fonctionnel de fort et aux deux niveaux
fonctionnels de domaine disponibles avec Windows 2000.

Fonctionnalit Windows 2000 Windows 2003
Server version
prliminaire
Windows 200 3 Server
natif
Contrleurs de
domaines pris en
compte
Windows 2003
Server, Windows
2000, BDC
Windows NT 4.0
Windows NT 4.0,
Windows 2003
Server
Windows 2003 Server
Changement de nom
dun domaine
NON NON OUI
* voir (Rendom.exe)
Rplication Active
Directory amliore
NON NON OUI
Rplication partielle des
appartenances aux
groupes
NON OUI OUI
Approbations de forts
transitives
NON NON OUI
Rplication de catalogue
global amliore
Lorsque les deux
contrleurs de
domaines sont des
serveurs Windows
2003 Server
OUI OUI
Nombre maximum de
membres dans un
groupe
5000 Plus de 5000 Plus de 5000

59
Diffrences entre les niveaux fonctionnels de domaine
Fonctionnalit Windows
2000 mixte
Windows
2000 natif
Windows
2003 version
prliminaire
Windows
2003 Server
Contrleurs de
domaine pris en
charge
Windows
2003 Server,
Windows
2000 et BDC
Windows NT
4.0
Windows 2003
Server et
Windows 2000
Windows
Server 2003 et
Windows NT
4.0
Windows
Server 2003
Nombre dobjets
par domaine
Infrieur
40000 (20000
comtes
utilisateurs)
recommand
1 million 1 million 1 million
Rplication
multimatre
OUI OUI OUI OUI
Types de groupe Global, Local Universel,
Domaine
Global,
Domaine Local
Global, Local Universel,
Domaine
Global,
Domaine Local
Groupes
imbriqus
NON OUI NON OUI
Administration
interdomaine
Limite Complte Limite Complte
Filtres de mots
de passe
Installs
manuellement
sur chaque
contrleur de
domaine
Installs
automatiquem
ent sur tous les
contrleurs de
domaine
Installs
manuellement
sur chaque
contrleur de
domaine
Installs
automatiquem
ent sur tous les
contrleurs de
domaine
Requtes utilisant
Destop
Change/Configura
tion Management
Uniquement
pour les
contrleurs de
domaine
Windows 2000
OUI Uniquement
pour les
contrleurs de
domaine
Windows
Server 2003
OUI
Protocoles
dauthentification
NTLM,
Kerberos
Kerberos NTLM,
Kerberos
Kerberos
Rplication des
appartenances aux
groupes
Liste entire
des
appartenances
aux groupes
Liste entire des
appartenances
aux groupes
Uniquement les
modifications
dappartenances
Uniquement les
modifications
dappartenances
Nombre maximal
de sites par
domaine
300 300 300 3000
SIDHistory NON OUI NON OUI
Attribut
lastLogonTimesta
mp user /
computer
NON NON NON OUI
Mot de passe
utilisateur
inetOrgPerson
NON NON NON OUI

60
Attention :
Le basculement en mode natif est irrversible. Aprs le basculement dans le mode
Windows 2000/2003 natif, vous ne pouvez plus utiliser les contrleurs de domaine
Windows NT dans le domaine.
Aprs le basculement dans le mode Windows Server 2003, vous ne pouvez plus
utiliser les contrleurs de domaines Windows 2000 ou Windows NT 4 dans votre
domaine.

Vous pouvez migrer le niveau fonctionnel dune fort si tous les domaines quelle
contient fonctionnent en mode natif. Aprs la migration dune fort, vous ne pouvez
ajouter que des domaines qui fonctionnent dans un domaine identique ou suprieur.
Lajout dun domaine avec un niveau fonctionnel infrieur ncessite la cration
dune nouvelle fort.
Bascul ement de ni veaux f onct i onnel s
=======================================================================================
=======================================================================================
Cliquez sur Dmarrer, slectionnez Outils dadministration, puis Domaines et approbations Active Directory.
Slectionnez le domaine (bourges.eds) ou la fort (Domaines et approbations Active Directory) qui change de
niveau fonctionnel et appelez la commande Augmenter le niveau fonctionnel du domaine (ou Augmenter le
niveau fonctionnel de le fort) du menu Action.
Slectionnez le niveau fonctionnel, puis cliquez sur Augmenter.
Lorsque Windows vous demande de vrifier la slection, cliquez sur OK. Cliquez sur OK dans la boite de dialogue
suivante.
=======================================================================================
=======================================================================================


61
Questions/Rponses (Dploiement de Windows 2003)
1. Quels sont les minimums requis pour installer Windows Server 2003 Entreprise ?
HDD : 1,5 Go
CPU : De 1 8
Frquence CPU : 133 MHz pour les ordinateurs bass sur x86, 733 MHz pour les ordinateurs bass sur
Itanium
RAM : 128 Mo
VIDEO : VGA (16 couleurs)

2. Quelle commande utiliser pour convertir un disque C : de FAT32 en NTFS ?
Convert C : /FS : NTFS

3. Quelle est la diffrence principale entre un groupe de travail et un domaine ?
La diffrence principale entre un groupe de travail et un domaine est o rside l'information pour
l'authentification de connection de l'utilisateur
Pour un groupe de travail, l'information sur l'utilisateur rside dans la base de donnes de scurit locale
sur chaque ordinateur du groupe de travail (sur un rseau, ou vous voulez tre sr que l'administrateur
pourra le grer en dployant un minimum d'efforts. = Rseau point point).
Pour le domaine, l'information sur l'utilisateur rside dans la base de donnes d'Active Directory (un plus
grand loignement entre les ordinateurs et l'augmentation du trafic ont entran une extension de votre
rseau.= Rseau client-serveur)
4. Expliquez ce qui arrive quand un utilisateur se connecte un domaine ?
Windows XP envoie l'information de connection un contrleur de domaine, qui le compare
l'information de l'utilisateur dans la liste d'adresses (AD). Si les les informations "match", le contrleur de
domaine authentifie l'utilisateur et publie un jeton d'accs pour l'utilisateur.

5. Quel est le but d'Active Directory ?
Active Directory est un service de renseignements inclus Windows Serveur 2003. Il stocke l'information
sur des objets sur un rseau et rend cette information disponible aux administrateurs de rseau et aux
utilisateurs. Active Directory donne l'accs aux utilisateurs en rseau aux ressources permises n'importe o
sur le rseau employant un simple processus de connexion . Il fournit aux administrateurs rseau une vue
intuitive et hirarchique du rseau et un simple point d'administration pour tous les objets de rseau.

6. Quels sont les difrents types de serveurs 2003 ?
Windows Server 2003 Standard ; Windows Server 2003 Entreprise ; Windows Server 2003 Web; Windows
2003 Server Data Center.

7. Quelles sont les versions Serveur prvues en 64 bits ?
Windows 2003 Server Entreprise; Windows 2003 Server Data Center.

8. Quels sont les difrents rles que peut avoir un Windows Serveur 2003 au sein dun rseau ?
Lorsque vous installez Windows Server 2003 sur un nouveau systme, vous pouvez configurer le serveur en
tant que Serveur membre, contrleur de domaine ou Serveur autonome.

9. Dans un groupe de travail, o sont stocks les comptes d'utilisateur ?
Dans la base de donnes de scurit de l'ordinateur local (SAM : Security Account Manager).

10. Quels avantages prsente l'utilisation de domaines (AD) dans Windows 2000/2003 ?
Organisation des objets de domaine.
Recherche simple des informations relatives aux objets de domaine.
Accs simplifi aux objets de domaine.
Dlgation de l'autorit.

11. quels besoins des entreprises rpond Active Directory ?
Rduction du cot total de possession.
Administration simplifie.
Administration souple.
volutivit.

12. Quels services le systme DNS fournit-il Active Directory ?
Le systme DNS fournit la rsolution de noms, la capacit de mapper les noms d'ordinateur avec les
adresses IP correspondantes ainsi qu'une dfinition d'espaces de noms. Le systme DNS permet aux clients
de localiser les serveurs disposant des services dont ils ont besoin, tels le catalogue global et
l'authentification.

62
13. Un utilisateur, qui dispose d'un compte d'utilisateur de domaine, n'est pas satisfait car bien qu'il ait ouvert une
session, chaque fois qu'il tente d'accder une ressource sur un serveur, il est invit spcifier son nom
d'utilisateur et son mot de passe. Quelle est la cause probable de son problme et pourquoi le problme se produit-
il ?
Il est possible qu'il ait ouvert une session sur l'ordinateur local, plutt que sur le domaine. Ceci est
probable si ses comptes d'utilisateur local et de domaine ont les mmes noms d'utilisateur et mots de passe.
Bien que les noms d'utilisateur et les mots de passe soient les mmes, les comptes ont des identificateurs de
scurit diffrents.

14 . Avec un systme Windows Serveur 2003 Server grant un domaine AD, combien il y atil de niveaux
fonctionnels de fort et de domaine ?
Une fort qui contient un contrleur de domaine Windows Server 2003 possde trois niveaux fonctionnels
de fort et quatre niveaux fonctionnels de domaine.

15. Donnez une dfinition des sites et des domaines et indiquez en quoi ils diffrent ?.
Un site est une combinaison d'un ou de plusieurs sous-rseaux IP connects par une liaison haute vitesse.
Un domaine est un regroupement logique de serveurs et d'autres ressources rseau sous un nom de
domaine unique. Un site est un composant de la structure physique d'Active Directory, et un domaine un
composant de sa structure logique.

16. Le service dannuaire AD fournit aux composants rseau les structures la fois logiques et
physiques, lesquels ?
Les structures logiques sont :
Units dorganisation (sous-groupe de domaines refltant souvent la structure
professionnelle ou fonctionnelle de la socit).
Domaines (groupes dordinateurs partageant une base de donnes dannuaire commune).
Arborescences de domaines (un ou plusieurs domaines partageant un espace de nom
contigu).
Forts de domaines (une ou plusieurs arborescences de domaine partageant des
informations communes de lannuaire).
Les structures physiques sont :
Sous-rseaux (groupe de rseaux, chaque rseau possdant un masque de rseau et une plage
dadresses IP spcifiques).
Sites (un ou plusieurs sous-rseaux qui servent configurer la rplication et laccs
lannuaire).

17. Les fonctions dun domaine sont limites et contrles par le niveau fonctionnel du domaine,
lesquels ?
a) Mode mixte Windows 2000 (prend en charge les contrleurs de domaine fonctionnant sous
Windows NT, 2000 et Server 2003).
b) Mode natif Windows 2000 (prend en charge les contrleurs de domaine fonctionnant sous
Windows 2000 et Server 2003).
c) Mode Windows Server 2003 version intermdiaire (prend en charge les contrleurs de domaine
fonctionnant sous Windows NT 4.0 et Server 2003).
d) Windows Server 2003 (prend en charge les contrleurs de domaine fonctionnant sous Windows
Server 2003).

18. Les fonctions dune fort sont limites et contrles par le niveau fonctionnel de la fort,
lesquels ?
Mode Windows 2000
Mode Windows Server 2003 version intermdiaire
Windows Server 2003

19. Que sont les arborescences et les forts et en quoi sont-ils diffrents ?
Qu'ont-ils en commun ?
Une arborescence est un groupe d'un ou plusieurs domaines, chacun partageant un espace de
noms DNS contigu. Une fort est un ensemble d'une ou plusieurs arborescences. Les
arborescences d'une fort forment un espace de noms DNS non contigu. Dans les arborescences
et les forts, tous les domaines partagent des relations d'approbation transitives, un schma
commun et un catalogue global commun.

20. Quelles sont les fonctions offertes par un systme DNS sur un rseau excutant Active Directory ?
La rsolution de noms, une convention de dnomination standard et un service de localisation.


63
21. Quelles sont les diffrences entre les espaces de noms du systme DNS et d'Active Directory ?
L'espace de noms du systme DNS consiste en enregistrements de ressource stocks dans des
zones. L'espace de noms d'Active Directory consiste en objets stocks dans des domaines.

22. quoi servent les enregistrements de ressource SRV utiliss dans un domaine Active Directory ?
Les enregistrements de ressource SRV sont utiliss pour dterminer l'emplacement des serveurs
offrant un service dont a besoin le client. Par exemple, si le client effectue une requte dans un
serveur de catalogue global, un enregistrement de ressource SRV contiendra les informations
dont a besoin le client pour localiser un serveur fonctionnant en tant que serveur de catalogue
global.

23. Quels sont les deux raisons principales qui motivent l'implmentation d'une structure d'unit
d'organisation au sein d'un domaine ?
Amliorer le contrle d'administration.
Contrler l'application de la stratgie de groupe.

24. Pourquoi crez-vous des approbations raccourcies ?
Les approbations raccourcies permettent de rduire le chemin d'approbation utilis pour
l'authentification des ressources.

25. Quel est le rle du catalogue global au sein dun domaine active directory ?
Par dfaut, les attributs stocks dans le catalogue global sont les plus frquemment utiliss dans
les requtes (par exemple, le prnom, le nom et le nom douverture de session dun utilisateur).
Le catalogue global contient les informations ncessaires pour dterminer lemplacement de
tout objet figurant dans lannuaire.

26. Vous souhaitez limiter le trafic de duplication entre deux contrleurs de domaine connects par
une liaison tendue. Vous souhaitez galement que ce lien soit uniquement employ pour la
duplication de nuit. Que devez-vous faire ?
Placez les contrleurs de domaine dans des sites distincts, et creez un lien de site entre eux avec
un duplcation planifie de sorte quelle ne se produise que la nuit

I N S T A L L A T I O N W I N D O W S S E R V E R 2 0 0 3
64
INSTALLATION WINDOWS SERVER 2003

1). Vrifier la squence de dmarrage au niveau du Setup de votre machine.
Vrifiez que le CD-ROM dans la squence de boot est en premier, Insrer le CD-ROM de Windows
Server 2003 Entreprise FR, et linstall Commence.
Ecran Installation de Windows Server 2003, Entreprise
Edition , appuyez sur Entrer pour continuer.
A ce niveau, lInstall charge les drivers ncessaires pour
poursuivre lInstall.

Lcran "time limited" apparat avec comme option Continuer
Install ou Quitter.
Presser ENTER pour Continuer lInstall ou F3 pour
Quitter et rebouter le systme.
Lcran "Bienvenue !!!" apparat avec comme option
Continuer Install, Rparer une Installation, ou Quitter.
Presser ENTER pour continuer lInstall, R pour Rparer,
ou F3 pour Quitter et rebouter le systme
Lcran "Contrat de Licence Windows", connu sous le nom
"EULA", affiche le copyright.
Presser la touche F8 valider le contrat, ESC si vous ntes
pas daccord PAGE UP ou PAGE DOWN pour faire
dfiler lcran.
Note: Si vous ntes pas daccord avec les termes de licence,
lInstall sarrte et reboute le system.
Le partitionnement du disque est maintenant affich, cela
variera en fonction de chaque configuration matrielle.
Supprimer toute partition dj existante.
Appuyez sur C pour crez une nouvelle partition
(indiquez sa taille = 3500 pour 3,5 Go), puis
ENTRER pour Crer.
Slectionner le disque C :, puis ENTRER pour
lInstallation
Slectionner Formater la partition en

65
slectionnant le systme de fichier NTFS
puis ENTRER pour continuer.

Remarque :
D pour supprimer la partition slectionne, ou F3 pour
Quitter et rebouter le systme.

Copie des fichiers vers votre disque dur.
LInstall cre plusieurs fichiers dinformations requis pour
continuer lInstall.

Premier Dmarrage.
Si vous tes impatient, pressez la touche Entrer avant
que les 15 secs soient expires

Mode Graphique : Install de Windows.
66
Si vous avez dj install Windows, ce type dcran vous sera
familier
Chaque systme Windows ou version dOS nous sort la mme
revendication. Plus rapide et mieux . Il est permit de
dbattre si vraiment il pourrait devenir "un peu plus mauvais."

Ecran : Installation de Windows

Options rgionales et Linguistiques : Choisir ou
ajouter selon le cas comme Pays la France ( bouton
Personnalise, onglet Options
rgionales) ainsi que le clavier Franais (
bouton Details onglet Paramtres), appuyez
ensuite sur Suivant pour continuer.
Personnalisez votre logiciel : dans Name mettre votre
Prnom , dans Organization mettre Gefi ,
appuyez sur Suivant pour continuer.
Votre Cl du Produit : QHRFD-DXKC3-
T93Y8-7JF6H-PKJH6
Appuyez sur Suivant pour continuer.

Mode de licences : slectionnez Par serveur et
mettre le nombre 24 , appuyez sur Suivant pour
continuer.

67
Nom de lordinateur et mot de passe Administrateur :
Computer Name : (voir tableau page suivante)
Administrator password : P@sswrdXXXX
Confirm password : P@sswrdXXXX

Note : XXXX rprsente un chiffre de votre choix
attention normalement le mot de passe doit faire 6
caractres, ne pas contenir le terme Administrateur ou
Admin , contenir des majuscules, minuscules, chiffres et
caractres non alphanumriques.
Appuyer sur Suivant pour confirmer.
Rglage de la date et de lheure :
Mettre lheure du jour, sur puis sur Fuseau horaire mettre
Madrid, Paris [+01].
Attendez pendant que le Rseau s'installe. Vous pourriez lire
tout le blabla marketing, mais je ne le recommande pas. :)

Paramtres de gestion rseau : Choisir
Paramtres par dfaut,
Cet cran ne va pas vous tes propos, cela dpend
de votre slection antrieure .
Les proprits de TCP/IP contiennent les options
standard. Ajustez-les pour vos besoins particuliers
comme exigs. Pour le moment, gardez les propositions
par dfaut. Normalement, il emploie DHCP pour
configurer TCP/IP.
Choisissez le bouton Avanc pour plus loin
configurer vos options de TCP/IP (plus tard ny toucher
pas pour linstant).
68
Groupe de travail ou Domaine dordinateurs :
Choisir Non, cet ordinateur ne se
trouve pas sur un rseau ou le rseau
na pas de Domaine , mettre comme
nom : GefiNet.

Le systme ramorcera aprs que tous les fichiers aient
t copis sur la partition d'amorage.

Il faut encore attendre :(

Second Dmarrage de Windows
Server 2003 Entreprise
Le moment que nous avons tous attendu, Windows Server
2003 dmarre "pour la premire fois".
Ouvrir une session pour la combinaison de touches
Ctrl+Alt+Suppr ,
User name : Administrateur
Password : P@sswrdXXXX
Attendez s'il vous plat tandis que le compte Administrateur
soit configur "pour la premire fois".

69
Un cran d'accueil est inclus avec des outils pour grer le
serveur.
La rsolution d'cran initiale est de 640 x 480. Vous pouvez
cliquer sur le menu contextuel pour augmenter jusqu' 800 x
600 automatiquement (zone de notification en bas droite).
Dans la bote de dialogue Grer votre Serveur choisir
Fermer pour sortir de cet Assistant de configuration
rseau.

70
Configuration de la carte rseau avec une
adresse IP statique
` TP raliser.
======================================================================
======================================================================
1. Bouton Dmarrer , puis Panneau de configuration, Connexions rseau , puis Connexions rseau
local , bouton droit proprits sur Connexion au rseau local.
2. Cochez la case : Afficher une icne dans la zone de notification une fois la connexion tablie
3. Slectionnez le protocole TCP/IP, puis Proprits.
4. Slectionnez Utiliser l@IP suivante :
-IP address : 192.168.x.y
-Subnet mask : 255.255.255.0
-Default gateway : (pas de passerelle par dfaut), puis OK, Fermer pour valider la bote.

Remarque : Un petit ordinateur (votre connexion rseau) apparat dans la zone de notification).
======================================================================
======================================================================
Remarque : Pour les valeurs X et Y de votre @IP voir le tableau de la page
suivante et attendre que le formateur vous affecte votre N
Tableau du plan dadressage des machines de la salle
de cours


71

Numro de
stagiaire
Adresse IP Nom Ordinateur Workgroup FQDN
1 192.168.x.1 Vancouver GefiNet Vancouver.namerica1.bourges.eds
2 192.168.x.2 Denver GefiNet Denver.namerica1. bourges.eds
3 192.168.x.3 Perth GefiNet Perth.spacific1. bourges.eds
4 192.168.x.4 Brisbane GefiNet Brisbane.spacific1. bourges.eds
5 192.168.x.5 Madrid GefiNet Lisbon.europe1. bourges.eds
6 192.168.x.6 Bonn GefiNet Bonn.europe1. bourges.eds
7 192.168.x.7 Lima GefiNet Lima.samerica1. bourges.eds
8 192.168.x.8 Santiago GefiNet Santiago.samerica1. bourges.eds
9 192.168.x.9 Tokio GefiNet Tokio.asia1. bourges.eds
10 192.168.x.10 Manila GefiNet Manila.asia1. bourges.eds
11 192.168.x.11 Karthoum GefiNet Karthoum.africa1. bourges.eds
12 192.168.x.12 Nairobi GefiNet Nairobi.africa1.gefi. eds
200
machine du
formateur
192.168.x .200 Servnet GefiNet
Bourges
Servnet.bourges.eds

Ou x est le numro assign par le formateur pour cette classe !!!!!

Le N X de mon rseau est : __________

Mon adresse IP est : _________

Mon Nom affect par le formateur est : _________
Disquettes d'installation de Server 2003
Disquettes gnralement utilises lorsque le systme ne peut pas amorcer partir du
CDROM Installation.
Sous Windows NT3.x, l'installation du systme se faisait uniquement en dmarrant
l'aide de 3 disquettes d'installation, la 1re tant bootable.
Sous Windows NT4, le CD-ROM est devenu bootable. Dans le cas o l'ordinateur
ne permettait pas de booter sur CD, on pouvait crer ces 3 disquettes l'aide de la
commande winnt /ox (sous DOS) ou winnt32 /ox (sous Windows), ces deux
excutables se trouvant dans le rpertoire \i386 du CDROM.
Sous Windows 2000, le nombre de disquettes est pass 4, et leur cration s'effectue
l'aide de la commande makeboot (sous DOS) ou makebt32 (sous Windows), ces
deux excutables se trouvant dans le rpertoire \bootdisk du CDROM.
Sous Windows XP ou Server 2003, le nombre de disquettes est pass 6, et il n'est
plus possible de les gnrer depuis le CDROM de Server 2003. Elles sont
uniquement tlchargeables depuis le site de Microsoft, sous la forme d'un fichier
compress auto excutable, diffrent suivant les versions de XP ("HOME" ou
"PRO") et Server 2003.
Chaque excutable se compose de 6 fichiers images de disquettes de 1.44Mo
(cdboot1.img cdboot6.img) ainsi que de 2 excutables destins leur cration
(makeboot.exe et makebt32.exe)

S E R V I C E S P A C K S
72
SERVICES PACKS
Dordinaire, les Service Packs regroupent de manire trs pratique les mises jour
dun produit (exemple, le SP1 de Windows Serveur 2003). Outre les dernires mises
jour de Windows Server 2003, SP1 contient de nouvelles fonctionnalits et
amliorations conues pour augmenter la scurit et la fiabilit, et simplifier
ladministration. Windows Server 2003 SP1 complte Windows Server 2003 et
constitue un changement dans le modle de scurit des serveurs. Vous pouvez
installer Windows Server 2003 SP1 sur des serveurs Windows existants ou
nouvellement installs.
Microsoft dite priodiquement des Services Packs pour consolider les mises jour
logicielles et de scurit.

Remarque : Appliquez les derniers Services Packs, si ceux-ci ont t valids par
votre quipe dadministration.
Windows NT 4.0 : SP1, SP2 (jamais), SP3, SP4, SP5, SP6a
Windows 2000 : SP1, SP2, SP3, SP4
Windows XP : SP1, SP2 (firewall activ par dfaut)
Windows 2003 : SP1 en 2005 venire le SP2 en 2006 ?

S'appuyant sur le haut degr de scurit, de fiabilit et de performance de Windows Server
2003 Service Pack 1 (SP1), Windows Server 2003 R2 tend la connectivit et le contrle
aux ressources locales et distantes
Windows Server 2003 R2 Standard Edition
Windows Server 2003 R2 Enterprise Edition
Windows Server 2003 R2 Datacenter Edition
Windows Server 2003 x64 Editions

Le SP3 de Windows XP dbarquera au second semestre 2007
Le SP2 de Windows 2003 dbarquera au second semestre 2006
S E R V I C E S P A C K S

73

Planification des Mises jour automatiques
Dans Windows Server 2003 et Windows XP
Pour configurer une planification de Mises jour automatiques
1. Cliquez sur Dmarrer, sur Panneau de configuration, puis double-cliquez sur Systme.
2. Sous l'onglet Mises jour automatiques, cliquez sur Tlcharger automatiquement les
mises jour, et les installer en fonction de la planification que je spcifie.
3. Slectionnez le jour et l'heure auxquels vous souhaitez tlcharger et installer les mises
jour.

Lorsque des mises jour critiques sont dtectes, la fonctionnalit Mises jour
automatiques les tlcharge automatiquement en arrire-plan pendant que vous tes
connect Internet. Une fois le tlchargement termin, les mises jour ne sont
installes qu'aux dates et heures planifies. ce moment-l, tous les utilisateurs
locaux reoivent le message suivant, accompagn d'un compte rebours de
cinq minutes :
Windows est prt commencer l'installation des mises jour disponibles pour
votre ordinateur.
Voulez-vous que Windows installe les mises jour maintenant ?
(Windows redmarrera si aucune action n'est enregistre dans les 5:00 minutes)
Si vous tes connect en tant qu'administrateur, l'affichage du message, vous
pouvez cliquer sur Oui pour installer les mises jour ou sur Non pour faire en sorte
qu'elles soient installes aux dates et heures planifies suivantes. Si vous n'effectuez
aucune action lors des cinq minutes suivantes, Windows installe automatiquement les
mises jour.

Important Vous devrez peut-tre redmarrer votre ordinateur pour terminer
l'installation des mises jour.

Si vous dsactivez le service AutoUpdate en accdant la page de proprits
AutoUpdate, vous mettez l'ordinateur pour des mises jour manuelles. Cela
provoque l'icne AutoUpdate disparatre de la zone de notification, mais le service
de mise jour automatique excutera toujours.

L A C O N S O L E D E R C U P R A T I O N
74
LA CONSOLE DE RCUPRATION
Installation de la Console de rcupration comme
option de dmarrage
Interface de ligne de commande qui propose un jeu restreint de commandes
dadministration utiles pour rparer un ordinateur.
Si vous voulez installer la Console de rcupration comme option de dmarrage, vous
devez le faire lorsque Windows Server 2003 fonctionne correctement. Pour installer la
Console de rcupration comme option de dmarrage, excutez la procdure ci-dessous.
` TP raliser.
======================================================================
1. Tandis que Windows Server 2003 s'excute, insrez le CD-ROM Windows Server 2003 dans votre lecteur.
2. Cliquez sur Dmarrer, sur Excuter, puis tapez cmd
3. Basculez vers votre lecteur de CD-ROM : lecteur D: (vrifier via lexplorateur de Windows : = + E).
4. Tapez \i386\winnt32.exe /cmdcons si vous utilisez un ordinateur 32 bits, ou \ia64\winnt32.exe /cmdcons si
vous utilisez un ordinateur 64 bits, puis appuyez sur ENTRE.
5. Cliquez sur Oui pour installer la Console de rcupration, puis suivez les instructions l'cran.

Dans la fentre de recherche de mise jour, cocher : Ignorer cette tape et continuer linstallation de
Windows, cliquez sur OK pour terminer linstallation
Comment pouvez-vous vrifier que cette option est maintenant disponible dans le menu de dmarrage de Windows
(boot.ini) ?

======================================================================
Excution de la Console de rcupration partir du
CD-ROM
` Infos.
======================================================================
1. Insrez le CD-ROM Windows Server 2003 dans votre lecteur, puis redmarrez l'ordinateur.
2. Lorsque le message Appuyez sur n'importe qu'elle touche pour dmarrer du CD-ROM s'affiche, appuyez
sur ENTRE.
3. Attendez le chargement de tous les fichiers.
4. Dans l'cran Bienvenue !, tapez r pour la rcupration.
5. Choisissez une installation rparer, puis tapez le mot de passe pour le compte Administrateur.
======================================================================
L A C O N S O L E D E R C U P R A T I O N

75

` TP raliser.
Cration et convertion dun disque en NTFS
======================================================================
1. Bouton dmarrer, Proprits de Poste de travail, puis Grer
2. Choisir Gestion des disques
3. Faites un clic droit sur la partie reprsentant l'espace non allou, et slectionnez Nouvelle partition.

4. Cliquez sur Suivant pour ouvrir l'assistant de cration de partition.
5. Cochez Partition tendue et cliquez sur Suivant.
6. Faites un clic droit sur votre partition tendue et cliquez sur Crer un nouveau lecteur logique.
7. Cliquez sur Suivant.
Rentrez la taille de la partition que vous voulez crer : 1000 pour 1Go.
8. Une fois la taille slectionne, cliquez sur Suivant.
9. Slectionnez la lettre que vous voulez affecter votre nouvelle partition (E dans notre exemple) puis cliquez sur
Suivant.
10. Slectionnez le systme de fichiers FAT32, donnez un nom votre lecteur (ici mettre DATAS) et cliquez sur
Suivant.
11. Cliquez sur Terminer et Windows lancera le formatage de votre nouvelle partition.
12. Ouvrez une invite de commande, puis saisissez : C:\> Convert E : /fs :NTFS, puis O pour valider laction,
affecter lorsque demand comme nom de volume DATAS .
13.. Vrifiez que dans les proprits (explorateur = + E) du disque E: celui-ci est bien en ntfs.
======================================================================
` TP raliser.
Vrifier que Autoriser louverture de session
dadministration automatique est Dsactiver
======================================================================
1. Bouton Dmarrer, puis Excuter, puis saisir mmc , menu Fichier et ajouter/supprimer.., puis Ajouter,
ajoutez le composant logiciel "Editeur de Stratgie de groupes ", puis Terminer, puis Fermer et OK de nouveau.
2. Parcourez dans la console dadministration :
Racine de la console/Stratgie ordinateur local/Configuration ordinateur/Paramtres Windows/Paramtres
de scurit/Stratgies locales/Options de scurit
Double-cliquez sur " autoriser l' ouverture de session d'administration automatique " catgirie : Console de
rcupration et cochez l' option " Activ " ou " Dsactiv " (ici pour des questions de scurit, il vaut mieux laisser
la valeur par dfaut, c'est--dire Dsactiver).
3. Fermer la console sans enregistrer dans console1 comme propos.
======================================================================

T Y P E S D O U V E R T U R E D E S E S S I O N
76
TYPES DOUVERTURE DE SESSION
L'authentification de l'identit des utilisateurs pendant la connexion est la premire
tape pour l'obtention de l'accs au systme. Pour des machines locales ne participant
pas activement un domaine, le protocole Windows NT LAN Manager (NTLM) est
toujours utilis pour vrifier le nom d'un utilisateur et le mot de passe. Cependant,
dans des environnements de domaine Microsoft a coupl des services Active
Directory avec la norme d'industrie naissante pour l'authentification du MIT connu
sous le nom de Kerberos. Une fois que l'on accorde l'accs, des clefs sont changes
qui permettent l'accs spcifique d'autres ressources du systme sur le domaine.
Cela combine la technologie Kerberos sous-jacente avec l'Infrastructure Clef
Publique (PKI).

Les concepts entourant tant Kerberos que PKI sont relativement nouveaux dans des
environnements Microsoft et ils sont des technologies importantes pour des
administrateurs de systme pour comprendre

Interactive : Ouverture de session sur un ordinateur local auquel vous avez des accs
physiques directs (de mme que les ouvertures de sessions distance ou par
Terminal Server).
Rseau : Accs un systme excutant un accs par le rseau, depuis lequel la
session a t ouverte. Dans ce cas la LSA de votre station tentera dtablir votre
identit avec la LSA de lordinateur distant.
Service : Quand un service bas sur WIN32 dmarre, il ouvre une session sur
lordinateur local avec les informations didentification du compte dutilisateur local
ou de domaine.

En utilisant soit :
Compte de domaine : Un utilisateur se connecte au rseau avec un mot de passe ou
une carte puce en utilisant les informations didentification stocke dans lActive
Directory.
Compte dutilisateur local : Un utilisateur ouvre un compte sur un ordinateur local
en utilisant les informations didentification stockes dans la base de donnes SAM.
Processus d'ouverture de session de rseau
Une ouverture de session de rseau se produit lorsqu'un utilisateur tablit une connexion
rseau un ordinateur distant excutant Windows 2000/2003, par exemple lors d'une
connexion un dossier partag. Le processus d'authentification est trs similaire un
processus interactif d'ouverture de session.
L'ordinateur client obtient un ticket de session serveur auprs du service Kerberos
s'excutant sur un contrleur de domaine dans le domaine de l'utilisateur. L'ordinateur
client envoie alors un ticket de session serveur au sous-systme de scurit local sur le

77
serveur qui extrait les informations d'identification de scurit de l'utilisateur et tablit un
jeton d'accs pour l'utilisateur distant. Ce jeton d'accs sert authentifier l'utilisateur
lorsqu'une ressource du serveur est accde.
Processus d'ouverture de session secondaire
L'ouverture de session secondaire donne la possibilit de dmarrer ou d'excuter une
application au moyen d'informations d'identification de scurit d'un autre utilisateur, sans
pour autant terminer la session en cours. Par exemple, vous pouvez excuter les outils
d'administration alors qu'une session est ouverte avec un compte d'utilisateur standard.

78
Intgration dune machine en Workgroup dans un DC
` TP raliser.
a). Travail sur la machine qui fera office de DC,
( machine du formateur) (installer Active Directory + DNS sans le configurer)
attendre que cela soit ralis afin de raliser votre partie.
a1) Installation de Active Directory

==============================================================================
A1) Installation dActive Directory
Bouton Dmarrer , puis Excuter , puis taper DCPROMO .
Dans Assistant Installation de Active directory, cliquez sur Suivant , dans la boite Compatibilit du
systme d'exploitation cocher sur "Suivant" (les machines Windows 95 et NT 4.0 SP3 ne pourront pas se
connecter au Domaine windows 2003), dans le boite Type de contrlleur de domaine, cochez Contrlleur de
domaine pour un nouveau domainepuis sur Suivant.
Dans la boite Crer un nouveau domaine, cocher : Domaine dans une nouvelle fort (premier domaine dans
l'organisation) puis sur Suivant..
Dans la boite Installer ou configurer le service DNS cochez la case "Non, je veux installer et configurer le
service DNS sur cet ordinateur" puis sur "Suivant", dans la boite Nouveau nom de domaine, taper dans Nom
DNS complet pour le nouveau domaine : bourges.eds
Puis sur Suivant, taper comme Nom de domaine NetBIOS : BOURGES
Puis sur Suivant, dans la boite Dossiers de la base de donnes et du journal

- Ou voulez-vous stocker la base de donnes Active Directory : C:\WINDOWS\NTDS
- Ou voulez-vous stocker le journal Active Directory : C:\WINDOWS\NTDS
puis Suivant, Dans la boite Volume systme partag entrer un emplacement pour le volume sysvol :
E:\SYSVOL (attention ce volume doit tre en NTFS).
Cliquez sur Suivant, dans la boite Autorisations, cocher la case Autorisations compatibles uniquement
avec les systmes d'exploitation serveurs Windows 2000 ou Windows Server 2003, puis Suivant.
Dans la boite Mot de passe administrateur de restauration des services d'annuaire Pas de mot de passe pour
la restauration dActive Directory, puis faire Suivant , dans la boite rsum faire Suivant (attendre, cela peut
prendre quelques mn, il faut une @IP statique sur votre Serveur AD et DNS), puis Terminer et Redmarrer
maintenant.

==============================================================================
A2) Cration dun compte utilisateur
Lorsque la machine vous propose, ouvrir une session en tant : Attention ce premier redmarrage est un peu long
Nom : Administrateur
Mot de passe : P@sswrd1
Bouton Dmarrer , puis Outils dadministration , Utilisateurs et ordinateurs Active Directory
Dvelopper bourges.eds, puis bouton droit sur Utilisateur ou Users, puis Nouveau , puis Utilisateur .
Prnom : Marcel
Initiales : aucun
Nom : Dupond
Nom complet : ne rien modifier (Marcel Dupont)
Nom d'ouverture de session utilisateur : Marcel@ bourges.eds
Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000) : BOURGES\ Marcel
Puis Suivant,
Confirmer le mot de passe : P@sswrd1
Dcocher la case : L'utilisateur doit changer le mot de passe la prochaine ouverture de session
Cocher la case : L'utilisateur ne peut pas changer de mot de passe
Cocherla case : Le mot de passe n'expire jamais
Puis sur Suivant, et sur Terminer.

Remarque : Normalement il ne faut pas dclarer de station de travail comme sous NT4.0 cela sera
automatique lors de la jonction au domaine de la station de travail.
Voir dans : "Dmarrer" puis "Outils d'administration" puis " Stratgie de scurit du domaine",
"Paramtres Windows", "Paramtres de scurit", "Stratgies locales", "Attribution des droits
utilisateurs", double click sur Ajouter des stations de travail au domaine, cocher la case
"Dfinir ces paramtres de stratgies", bouton "Ajouter un utilisateur ou un groupe", Parcourir
Avanc, Rechercher et vrifier que vous avez Utilisateurs authentifis (sinon ajouter le), valider
toutes les boites par "OK" et fermer la boite.
==============================================================================

79

b). Sur la station de travail (stagiaires)
Ouvrez une session en tant que :
Mot de passe : P@sswrdXXXX
Domaine : Nom de votre machine (SAM local)
Bouton droit sur Connexion au rseau local , puis Ouvrir les connexions rseau , proprits de
Connexion au rseau local (bouble-click sur ordinateur dans la zone de notification), puis proprits de
TCPIP , bouton Avanc , onglet DNS , cliquez sur Ajouter , mettre l@IP du serveur
DNS :192.168.x.200, puis Ajouter puis OK , OK , OK , puis Fermer la boite.
Ouvrez une ligne de commande et saisir : net time \\Servnet /set /yes (votre machine sera la mme heure que le
DC du domaine bourges.eds), puis fermer linvite de commande.
Bouton Dmarrer , bouton droit Proprits sur Poste de travail , Onglet Nom de lordinateur , bouton
Modifier , puis bouton Autres .
Dans Suffixe DNS principal de cet ordinateur , mettre : bourges.eds
Cliquez sur OK
Slectionnez dans membre de : Domaine et mettre comme nom de domaine Bourges , puis OK.
Lorsque votre machine vous le propose, ouvrez une session entant :
Nom : Marcel
Password : P@sswrd1.
Puis, OK (message = Bienvenu dans le domaine de bourges), puis OK , OK , OK , OK
(redmarrer).

Ouvrez une session en tant quutilisateur du domaine Bourges (faire CTRL+ALT+SUPPR ) :
Eventuellement cliquez sur le bouton Options (voir le champ Domaine)
Utilisateur : Marcel
Se connecter : Bourges,
Puis sur OK (attendre, cela peu prendre plusieurs mn la premire fois).
==============================================================================
Remarque : attention le simple utilisateur ne peut intgrer que 10 stations au niveau du
domaine
Quand des utilisateurs disposant de comptes d'utilisateur de domaine ouvrent une session
sur un ordinateur, une copie de leurs informations d'identification est mise en cache dans
une zone scurise du Registre de l'ordinateur local. Ces informations d'identification
mises en cache sont utilises pour permettre l'utilisateur d'ouvrir une session sur
l'ordinateur si Active Directory n'est pas disponible pour authentifier l'utilisateur. Active
Directory risque de ne pas tre disponible quand le contrleur de domaine est hors
connexion, d'autres problmes se produisent au niveau du rseau ou l'ordinateur n'est pas
connect au rseau, par exemple, quand les utilisateurs itinrants sont en dplacement.
Si un contrleur de domaine est indisponible et que les informations d'ouverture de
session d'un utilisateur se trouvent dans le cache, l'utilisateur reoit une invite avec le
message suivant :
Le contrleur de domaine pour votre domaine n'a pu tre contact. La session a t
ouverte en utilisant les informations caches de votre compte. Les changements
effectus sur votre profil depuis votre dernire session ne sont peut-tre pas disponibles.
Si un contrleur de domaine est indisponible et que les informations d'ouverture de
session d'un utilisateur ne se trouvent pas dans le cache, l'utilisateur reoit une invite avec
le message suivant :
Le systme n'a pas pu ouvrir de session car le domaine <NOM_DOMAINE> n'est pas
disponible.
REMARQUE : Vous devez possder des autorisations administratives pour l'ordinateur
local afin d'installer et d'excuter les Outils d'administration Windows 2000/2003 et des
autorisations administratives de domaine pour le domaine sur lequel vous souhaitez
excuter des tches administratives dans le but d'administrer un serveur distance.
80
Ouverture de session interactive : Nombre d'ouvertures de session prcdentes dans le
cache (au cas o le contrleur de domaine ne serait pas disponible).
Configuration ordinateur\Paramtres Windows\Paramtres de scurit\Stratgies
locales\Options de scurit
Valeur par dfaut : 10. La valeur maximale de ce paramtre est 50.

Af f i chage des membr es d' un r seau
Une fois la session ouverte, vous pouvez afficher la bote de dialogue Proprits systme sur votre ordinateur afin
de dterminer le type de rseau auquel vous appartenez, savoir domaine ou groupe de travail.
_ Pour afficher la bote de dialogue Proprits systme
Cliquez avec le bouton droit sur l'icne Poste de travail du bureau, puis cliquez sur Proprits.
La bote de dialogue Proprits systme comporte cinq onglets. Cliquez sur l'onglet Nom de lordinateur pour
dterminer si votre ordinateur appartient un groupe de travail ou un domaine.
============================================================

P R O T O C O L E D A U T H E N T I F I C A T I O N

81
PROTOCOLE DAUTHENTIFICATION
L'authentification est le processus qui permet de vrifier l'identit d'un utilisateur du
rseau. Lorsqu'un utilisateur est authentifi sur un rseau, celui-ci fournit un compte et un
mot de passe. Lorsque la demande d'authentification est termine, l'accs aux ressources
est autoris sur le rseau, et peut tre soumis aux restrictions d'usage. Windows
2000/Server 2003 prend en charge diffrentes mthodes d'authentification, y compris
l'authentification Kerberos version 5 base sur un certificat et le protocole NTLM, afin de
confirmer l'identit de l'utilisateur du rseau.
Protocole Kerberos V5 : Protocole dauthentification par dfaut pour Windows 2000 et
Windows XP Pro et 2003 Server.
Protocole NTLM : Protocole dauthentification par dfaut pour Windows NT 4.0.
NTLM
Le protocole NTLM authentifie les utilisateurs et les ordinateurs selon un mcanisme de
dfi / rponse. Quand le protocole NTLM est utilis, un serveur de ressources doit
contacter un service dauthentification de domaine sur le contrleur de domaine du
compte utilisateur ou dordinateur du domaine pour vrifier son identit, si un nouveau
jeton daccs est ncessaire.
NTLM est support pour la compatibilit ascendante avec Windows NT mais nest pas
conseill (mode mixte) !
Windows NT 4.0 et les versions antrieures de Windows ne prennent pas en charge les
nouveaux protocoles d'authentification tels que Kerberos version 5. Windows 2000/2003
prend en charge le protocole NTLM et garantit ainsi la compatibilit avec les clients et les
serveurs qui excutent des versions antrieures de Windows. Le protocole NTLM est
galement utilis pour authentifier les demandes d'ouverture de session sur des
ordinateurs autonomes excutant Windows 2000/2003.
Le protocole NTLM est utilis dans les cas dcrits ci-dessous.
_ Un ordinateur Windows 2000/XP est authentifi avec un serveur autonome Windows
2000/2003.
_ Un ordinateur Windows 2000/XP est authentifi avec un serveur Windows NT 4.0.
_ Un ordinateur excutant Microsoft Windows 95, Microsoft Windows 98 ou Windows
NT, et configur avec le logiciel Windows 2000 Directory Services Client (client Active
Directory), est authentifi avec un contrleur de domaine Windows 2000/2003.
82
_ Un client Windows 2000/XP ne peut pas tre authentifi avec un contrleur de domaine
Windows 2000 l'aide de Kerberos. Le client Windows 2000/XP tentera alors de
procder une authentification en utilisant le protocole NTLM.
NTLM Version 1
Forme plus scurise dauthentification dfi / rponse que LM, disponible pour les
ordinateurs qui se connectent aux serveurs de domaine Windows NT ayant au moins un
contrleur de domaine excutant Windows NT 4.0 Service Pack 3 ou prcdent (56 bits).
NTLM Version 2
Forme dauthentification dfi / rponse la mieux scurise prise en charge par Windows,
utilise quand les ordinateurs se connectent aux serveurs dun domaine NT dans lequel
tous les contrleurs de domaines ont volus vers Windows NT 4.0 Service Pack 4 ou
ultrieur.
Le protocole NTLM version 2 est disponible sur les ordinateurs excutant Windows 95 et
Windows 98, une fois le logiciel Windows 2000 Directory Services Client install (128
bits).

Depuis Windows 2000 le chiffrage est activ d'office (Syskey)
Sil n'est pas chiffr, on peut voler le fichier SAM en rebootant le serveur avec une
disquette cre cet effet.
Sil est chiffr, il faut tre administrateur pour pouvoir voler les hashs avec des outils
comme pwdump2
Le crackeur doit d'abord se procurer une copie des hash de mots de passe
Comme il ne peut pas inverser les hashs il va
deviner des mots de passe (dictionnaire)
gnrer les hashs de ces mots (force brute)
comparer avec les hashs vols pour savoir s'il a bien devin
Les programmes de crackage gnrent des hashs partir des mots d'un dictionnaire ou en
numrant toutes les combinaisons de caractres.
Un PC puissant peut gnrer de 200000 2000000 de hashs par seconde suivant le type
de hash.
Utiliser des rseaux Windows 2000 (AD) ou Unix purs (pas de Win9X)
Dsactiver le LanMan hash sous Windows 2000 SP2 ou XP
Scuriser le fichier qui contient les hash
" NT: utiliser syskey (dfaut sous win2k)
" Unix: utiliser fichier /etc/shadow
Utiliser Kerberos dans win2k
Scuriser l'accs physique aux serveurs contenant les hashs
Appliquer les derniers patchs de scurit
Appliquer des outils qui obligent les utilisateurs avoir des bons mots de passe (voir
stratgie de mot de passe).
Auditer les mots de passe rgulirement
Utiliser des mots de passe difficiles (au moins 8 caractres, casse mixte, avec des chiffres
et des caractres spciaux)

83
Mettre les caractres spciaux dans les 7 premiers caractres du mot de passe
Utiliser des mots de passe diffrents pour diffrents systmes.
Changer de mot de passe rgulirement
Ne pas vous fier aux mots de passe stocks sur votre machine Win9X
` TP raliser.
VERIFICATION DE VOTRE POSTE POUR EXIGER NTLM
======================================================================
1. Dmarrer, puis Excuter, puis mmc.
2. Menu Fichier, puis Ajouter/Supprimer, puis Ajouter, puis choisir Editeur dobjets de stratge de groupe.
3. Puis Ajouter, Terminer, Fermer, OK.
4. Vous pouvez inhiber les authentifications utilisant les variantes les plus faibles en paramtrant loption de scurit
rseau, catgorie Scurit rseau Niveau dauthentification Lan Manager dans Stratgie ordinateur
local\Configuration ordinateur\Paramtres Windows\Paramtres de scurit\Stratgies locales\Options de
scurit ou dans le modle de scurit appropri. Double-cliquez sur Niveau dauthentification Lan
Manager puis noter quelle est la mthode ici utilise par dfaut : _____________________________________.
5. Faire OK, Ok Fermer la console sans enregistrer celle-ci.
======================================================================

L'installation du dsclient pour obtenir le support de NTLMV2 est peut-tre la
raison la plus importante installez-le sur les postes clients. Par dfaut, Windows
2000 permet aux clients d'utiliser leurs protocoles d'identification par dfaut (LM
pour Windows 9.x et NTLM pour Windows NT 4.0).
CONFIGURATION DES SERVEURS POUR EXIGER NTLMV2
1. Ouvrir Active Directory Users and Computers.
2. Cliquer avec le bouton droit sur l'Unit d'Organisation du Contrleurs de Domaine et choisir Proprits. Vous
verrez la fentre de Proprits de Contrleurs de Domaine
3. Dans la fentre Proprits du Contrleurs de Domaine, cliquez sur Group Policy.
4. Selectionner le Contrleurs de Domaine par Dfaut et cliquer Edit.
5. Une fois dans la fentre de Group Policy, naviguez Computer Configuration | Windows Settings | Security
Settings | Local Policies | Security Options
6. Dans la partie dtails (a droite), double cliquez sur LAN Manager Authentication (Niveau dauthentification Lan
Manager) Level
7. Choisir le paramtre de la stratgie de Scurit et cliquez sur OK.
8. Fermer la fentre de la stratgie de Groupe et fermer Active Directory and Computers.

- Send LM & NTLM responses
- Send LM & NTLM - use NTLMv2 session security if negotiated
- Send NTLM response only
- Send NTLMv2 response only
- Send NTLMv2 response only\refuse LM
- Send NTLMv2 response only\refuse LM & NTLM
!!!!!!!!! Ouverture de sessions interractives : Nombres douverture de sessions prcdantes ralises en utilisant le cache
(lorsque aucun DC nest prsent)
CONFIGURATION DES CLIENTS WINDOWS NT 4.0 POUR UTILISER
NTLMV2
1. Ouvrir le registre, comme regedit ou regedt32.
2. Naviguer HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\Lsa.
3. Ajouter la valeur suivante (si la valeur est dj prsente, vrifiez-le) :
Nom : de Valeur LMCompatibilityLevel
Type de Donnes : REG_DWORD
Valeur : 3 (des valeurs possibles sont 0 5)

84

CONFIGURATION DES CLIENTS WINDOWS 9. X POUR UTILISER
NTLMV2
1. Installer Internet Explorer 4.x ou plus s'il n'est pas dj install.
Microsoft recommande de mettre niveau le support 128 bits si la loi d'exportation le permet.
Pour des clients Windows 95, vous avez besoin de la fonction active desktop activee avant de passer a la
prochaine etape.
2. Installer le client de services. Il peut tre trouv sur le CD de Windows 2000 client\Windows9x\dsclient.exe.
3. Ouvrir le registre, comme regedit ou regedt32.
4. Naviguer HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\Lsa.
5. Ajouter la valeur suivante (si la valeur est dj prsente, vrifiez-le) :
Nom : de Valeur LMCompatibilityLevel
Type de Donnes : REG_DWORD
Valeur : 3 (des valeurs Possibles sont 0 5)

C O N N E X I O N A V E C K E R B E R O S

85
CONNEXION AVEC KERBEROS
Deux chercheurs du Xerox Palo Alto Center, Roger Needham et Michael Schroeder,
ont dfini, vers la fin des annes 70, une plateforme scurise permet tant d'authentifier
les utilisateurs. Ils ont mis en place deux protocoles, dont l'un utilisant des cls prives de
cryptage, et qui est la base de Kerberos.
Kerberos a t conu dans le but de proposer un protocole d'authentification multi -
plateforme, disposant d'un systme de demande d'identification unique, et permet tant de
contacter ensuite autant de services que souhait. Il s'agit d'un protocole scuris, dans le
sens o il ne transmet jamais de mot de passe en clair sur le rseau. Il transmet des
messages crypts dure de vie limite.
Le terme single sign- on , dcrit le fait que l'utilisateur final n'a besoin de s'authentifier
qu'une fois pour utiliser toutes les ressources du rseau supportant Kerberos au cours de
sa journe de travail (en ralit, au cours du temps de session spcifi par l'administrateur
: environ vingt heures, en gnral).
Le systme Kerberos repose sur un tiers de confiance (Trusted thirdparty), dans le
sens o il s'appuie sur un serveur d'authentification centralis dans lequel tous les
systmes du rseau ont confiance. Toutes les requtes d'authentification sont ainsi routes
au travers de ce serveur Kerberos centralis.
Le systme d'authentification mutuelle utilis permet non seulement de prouver que
l'utilisateur derrire son clavier est bien qui il prtend tre, mais aussi que le service qu'il
tente d'utiliser correspond galement. De cette manire, la communication instaure
assure la confidentialit des donnes sensibles.
Avec Windows 2000/XP/2003 Server, Microsoft a dcid de ne plus miser sur NTLM
(NT Lan Manager) pour le protocole daccs au rseau (le systme offre toujours le
soutien de NTLM). Kerberos (nom grec du gardien des enfers Cerbres) est un protocole
retenu dauthentification entre une station client et un serveur dauthentification rseau
nomm KDC ( Key Distribution Centrer Centre de distribution de cl).

86
Un grand nombre de nouveaux services distribus dans Windows 2000/2003 utilisent
lauthentification Kerberos dont notamment :
- les mcanismes dauthentification auprs dActive Directory utilisant LDAP
pour les requtes ou la gestion dannuaire ;
- le protocole daccs des fichiers distants CIFS/SMB ;
- la gestion et les rfrences de systme de fichiers distribus ;
- les mises jour dadresses DNS scurises ;
- les services de spouleur dimpression ;
- les mcanismes dauthentification IPsec facultative dhte hte dans
ISAKMP/Oakley ;
- les demandes de rservation pour la qualit de service (QoS) rseau ;
- les mcanismes dauthentification Intranet auprs dInternet Information Server ;
- les mcanismes dauthentification des demandes de certificats de cls publiques
auprs de Microsoft Certificate Server pour des utilisateurs et des ordinateurs du
domaine ;
- les processus de gestion de serveur ou de poste de travail distant utilisant une
connexion RPC authentifie et DCOM.

Remarque : Il faut noter que l'implmentation de ce protocole par Microsoft inclut
des extensions autorises de la norme. Cela signifie que, dans la pratique, cette
implmentation prend en charge tous les clients compatibles avec la RFC 1510, mais
qu'il sera ncessaire d'utiliser cette implmentation semi-propritaire pour une prise
en charge totale des rseaux Windows 2003, au sens ou l'entend Microsoft.
Par dfaut, Windows 2000/2003 utilise le protocole d'authentification par ticket Kerberos
version 5. Le centre de distribution de cls (KDC, Key Distribution Center) de Kerberos
met aux clients des tickets d'accord de tickets (TGT, Ticket-Granting Ticket) et des
tickets de service (ST, Service Tickets) en vue d'une authentification (le client qui
interroge un serveur DNS sur l'enregistrement de ressource SRV Kerberos).
Avec l'apparition d'Active Directory, Kerberos V5 est devenu le principal protocole
d'authentification des rseaux Windows. Il est dsormais possible grce ce nouveau
protocole de mettre en interaction des domaines Windows et des services d'annuaire
de type Linux ou Mac. Concrtement, il s'agira de relier Active Directory avec par
exemple Open LDAP sous Linux ou Open Directory sous Mac Os X
L'utilisation de l'authentification Kerberos version 5 dans Windows 2000/2003 fournit les
fonctions suivantes :
_ ouverture de session unique ;
_ authentification mutuelle ;
_ mise en cache des tickets.
Remarque : La dure de vie maximale des tickets de service et des tickets utilisateur est
dfinie dans la stratgie de groupe d'un domaine. Kerberos ncessite que l'utilisateur et le
service bnficient de cls enregistres auprs du KDC, et requiert la synchronisation des
horloges des clients et des serveurs du rseau.
Authentification de connexion initiale
Le protocole Kerberos est un protocole d'authentification sur un rseau non
scuris, grce auquel il est possible de faire partager des clefs de cryptage entre
un utilisateur et un service.

87
Ce protocole repose sur l'change de blocs de donnes nomms tickets. Un ticket est
un ensemble d'informations, dlivres par une autorit de (KDC), pour un client
donn, destination d'un service donn.
Ceci est un gros avantage car du coup les mots de passes des utilisateurs ne circulent
pas sur le rseau, ou bien dans certains cas particuliers, comme le changement de
mot de passe mais dans ce cas le transport se fait de faon scurise.
Si un pirate arrivait se procurer un ticket et tentait de le dcrypter, cela ne lui
servirai a rien, car Kerberos utilise une notion de premption de ticket ce qui les
rend inutilisable au bout d'une dure fix par l'autorit de confiance. Voici les tapes
de fonctionnement du protocole Kerberos
Lorsqu'un utilisateur ouvre une session pour la premire fois sur le rseau, il doit fournir
des informations d'identification. Comme le montre l'illustration prcdente,
l'authentification de connexion utilisateur initiale Kerberos version 5 suit la procdure ci-
dessous.

======================================================================
1. Au moment de l'ouverture de session, l'utilisateur s'authentifie auprs d'un centre KDC.
2. Le centre KDC fournit l'utilisateur un ticket TGT crypt. Ce ticket TGT contient un dateur
et les informations d'authentification de l'utilisateur.
3. Le client dcrypte le ticket TGT l'aide de la cl prive de l'utilisateur, puis place le ticket
TGT dcrypt localement un emplacement protg. Le ticket TGT contient une cl de
service pour les prochaines transactions avec le centre KDC.
=====================================================================
88

Demande de service
Une demande de service Kerberos version 5 est utilise lorsqu'un utilisateur tente de se
connecter des serveurs d'impression ou d'applications sur le rseau.
Comme le dcrit l'illustration prcdente, les demandes de service fonctionnent comme
suit.
======================================================================
1. L'utilisateur fournit des informations d'identification en envoyant le ticket TGT obtenu
auparavant au centre KDC et demande un ticket de service pour un serveur cible.
2. Le centre KDC vrifie les informations d'identification de l'utilisateur en dcryptant le ticket
TGT et transmet de manire scurise le ticket de service l'ordinateur de l'utilisateur, o il
sera mis en cache localement, dans un emplacement protg.
3. L'utilisateur prsente le ticket de service au serveur cible qui lui accorde l'accs en
fonction des autorisations d'accs demandes et des autorisations qui lui sont attribues.
4. Une session est tablie entre l'ordinateur client et le serveur cible.
=====================================================================
Centre de distribution des cls
KDC sexcute avec Active Directory en tant que processus privilgi.
KDC stocke les informations relatives la scurit, dont les cls secrtes long terme.
KDC gnre et gre les cls de session.
Deux services Windows Server 2003 :
Service dauthentification : Authentication Service
Service doctroi de tickets : Ticket Granting Service


89

Lorsque le client demande laccs au rseau, le client Kerberos prend le mot de passe de
lusager et lui applique un code hach pour crer une cl de chiffrement. Cette cl est
unique lusager et valide pour la seule session en cours.
Outre son seuil de scurit beaucoup plus lev que la simple procdure daccs
traditionnel, le protocole Kerberos revt galement un autre avantage stratgique. Une
fois que le client possde un billet de session, il na qu prsenter ce billet directement
la ressource pour pouvoir lutiliser immdiatement. Le processus, en liminant de passer
chaque fois par un contrleur, est donc plus rapide.
D'un ct le serveur d'authentification ( Authentication Server ) ; de l'autre, le serveur
d'obtention de ticket ( Ticket - Granting Server ). Le serveur d'authentification est
charg de produire les tickets pour le TGS.
Le client fourni un mot de passe, en change duquel le TGS lui donne un ticket ( Ticket -
Granting Ticket ) et la cl de session associe.
Celui-ci est valable en gnral pendant huit heures. Il s'agit de la seule communication
entre le client et le serveur d'authentification. Comme le TGT est le premier ticket obtenu,
il est aussi appel ticket initial . Ensuite, quel que soit le service dont voudra bnficier
le client, il enverra le TGT au TGS afin d'obtenir un ticket ordinaire. Il n'aura donc plus
besoin d'entrer son mot de passe, puisque le KDC et lui- mme partagent la cl de session.
L'utilisateur peut donc simplement adresser un message au TGS, contenant le TGT ainsi
qu'un nouvel authenticator , ce qui l'identifiera immdiatement.
Une cl de session nest valable que pendant la dure de session et est renouvele
chaque nouvelle connexion.

Authentification Kerberos :

Rsolution de nom DNS du KDC
Limplmentation Kerberos de Microsoft utilise la rsolution DNS pour localise le
KDC du domaine (par dfinition, tout contrleur de domaine Windows Server 2003 est
un KDC).
Un KDC Windows Server 2003 est repr par un enregistrement SRV (Service location)
dans le DNS, sous la forme _kerberos._udp.NomDuDomaine.
90
Dans un systme Kerberos diffrent dun domaine Windows Server 2003, chaque
machine Windows Server 2003 stocke le nom du serveur KDC dans son registre puis
retrouve ladresse IP par un enregistrement A (hte) dans le DNS.
Le tableau suivant rcapitule les ports utiliss par le serveur Kerberos, ainsi que la
description du service correspondant.

Le protocole V5 permet de grer les algorithmes de manire modulaire, et intgre par
dfaut Triple- DES (cls de 168 bits, contre 56 bits avec DES), qui est bien plus
scurisant et solide. Cependant, le systme de cryptage DES est gard pour des raisons de
compatibilit avec le protocole V4 de Kerberos.


91

Architecture de multiples services dauthentification

Le protocole SSL
(Secure Sockets Layer) permet de protger diverses applications, notamment celles
servant naviguer sur le Web, aux requtes LDAP (Lightweight Directory Access
Protocol) et la lecture des News. Ce protocole permet galement aux clients de
messagerie d'authentifier et de rcuprer du courrier lectronique. Il assure la
confidentialit des communications, l'authentification et l'intgrit des messages grce
une combinaison de cls publiques et de cryptage symtrique.
Ce protocole est galement destin aux applications Web qui ont besoin d'une liaison
scurise, telles que les applications de commerce lectronique, ou pour contrler l'accs
aux services Web rservs des abonns.
Protocole TLS
Le protocole TLS (Transport Layer Security) ressemble beaucoup au protocole SSL en ce
qu'il assure aussi la confidentialit des communications, l'authentification et l'intgrit des
messages grce une combinaison de cls publiques et de cryptage symtrique. Il
propose une option qui permet, si ncessaire, de revenir la prise en charge de SSL. Il
existe toutefois d'importances diffrences entre ces deux protocoles. Par exemple, le
protocole TLS accepte des algorithmes de cryptage diffrents de ceux de SSL, et il s'agit
d'un projet de standard IETF (Internet Engineering Task Force). Nombreux sont ceux qui
voient en TLS le successeur vraisemblable et long terme de SSL.
Le standard S/MIME
(Secure Multipurpose Internet Mail Extension) est une extension MIME qui permet
de crypter et de signer numriquement les messages lectroniques circulant entre les
clients de messagerie. Il s'agit dun standard IETF conu pour largir le standard
MIME afin d'offrir des fonctions de messagerie scurises. Les extensions MIME
dfinissent une mthode d'insertion de donnes binaires dans un message
lectronique au format texte. Avec le standard S/MIME, vos pouvez signer
numriquement et crypter le courrier confidentiel circulant entre les clients, quelle
que soit la plate-forme et quel que soit le systme d'exploitation. Le processus de
92
cryptage s'effectue sur les ordinateurs clients, et les serveurs de messagerie ne
doivent pas obligatoirement prendre en charge le standard S/MIME.
Comme S/MIME, le protocole PGP
(Pretty Good Privacy) permet de crypter et de signer numriquement le courrier
lectronique circulant entre les clients de messagerie. Ce protocole assure la
confidentialit et l'authentification l'aide de paires de cls prives/publiques. Il est
offert gratuitement ceux qui s'en servent des fins personnelles. Contrairement
S/MIME, le protocole PGP n'est pas contrl par un organisme de standardisation.
Un paquet SMB
(Server Message Block) transporte les donnes d'un fichier entre un client et un
serveur Windows 2000/2003. La signature SMB (ou systme commun de fichiers
Internet [CIFS, Common Internet File System]) assure une authentification
rciproque d'un client et d'un serveur au cours d'une session de communication en
plaant une signature numrique dans chaque bloc SMB. Vous tes ainsi certain que
le client se connecte au serveur appropri et non celui qui tient lieu de serveur
original. La signature SMB permet l'authentification rciproque des ordinateurs
Windows 2000/2003 et Microsoft Windows NT version 4 (Service Pack 3 [SP3] ou
version ultrieure).

La scurit, ce nest pas une technologie, encore moins un
produit, mais un processus sans cesse recommenc.

Quimporte, en effet, la licence de votre logiciel si vous navez pas remplac une
version prsentant des failles ou si vous neffetuez pas rgulirement des
sauvegardes.
La scurit est avant tout affaire de procdures, de comptences et dducation des
utilisateurs.


93

` TP raliser.
=======================================================================================
Ouvrez une session en tant que :
Se connecter : choisir le nom de votre PC (SAM local)
Installer les outils du ressource kit de Windows serveur 2003 (rktools.exe) partir dun partage situ sur la
machine du formateur (lui demander si le partage est ok).
Dmarrer\Excuter : \\ServNet\temp, excuter rktools.exe.
Dmarrer\Excuter : \\ServNet\temp, excuter kerbtray_setup.exe.
Fermer la session et ouvrez de nouveau la session sur le domaine en tant que Marcel, mot de passe P@sswrd1
Menu Dmarrer, puis Excuter, puis Kerbtray.exe (voir icne dans la zone de notification, et le lancer)
Ouvrez une invite de commande et saisissez : klist tickets, puis klist tgt.
Dans la zone de notification faire bouton droit sur le programme kerberos puis list tickets.

Toujours en invite de commande saisissez : setspn L servnet (permet de voir les diffrents spn enregistrs sur le
domaine de bourges (la commande setspn => voir dans CD-ROM dossier Support tools, Suptools.msi).
=======================================================================================

94
Questions / Rponses
1. Quels sont les risques lis aux donnes sur un rseau ?
Ces risques sont la perte ou la destruction de donnes, ainsi que le vol ou l'utilisation non
autorise de donnes. La perte ou l'utilisation non autorise de donnes entranent une
perte de confiance vis--vis de l'entreprise et une perte de prestige.

2. Quels sont les risques lis aux services sur un rseau ?
Les risques lis aux services sont les attaques de type refus de services qui peuvent
entraner une interruption des accs aux services internes et externes. Ces attaques de type
refus de services peuvent se traduire par une perte en termes de chiffre d'affaires et par
consquent nuire l'image et au prestige de l'entreprise.

3. Quels sont les protocoles utiliss par un systme Windows 2003 Serveur pour
lauthentification des utilisateurs pendant la connexion ?
L'authentification de l'identit des utilisateurs pendant la connexion est la premire tape
pour l'obtention de l'accs au systme. Pour des machines locales ne participant pas
activement un domaine, le protocole Windows NT LAN Manager (NTLM) est toujours
utilis pour vrifier le nom d'un utilisateur et le mot de passe. Cependant, dans des
environnements de domaine Microsoft a coupl des services Active Directory avec la norme
d'industrie naissante pour l'authentification du MIT connu sous le nom de Kerberos.

4. Par quel type denregistrement est reconnu un Serveur AD Windows 2003 ?
Un KDC Windows Server 2003 est repr par un enregistrement SRV (Service location)
dans le DNS, sous la forme _kerberos._udp.NomDuDomaine.

5. Citez quelques caractristiques sur Kerberos ?
Kerberos V est le protocole dauthentification rseau dans AD
Kerberos repose sur la notion de tickets
Cryptographie base de cls secrtes (symtriques)
Authentification mutuelle (client serveur)
Authentification limite dans le temps et anti re-jeux
Amliorations par rapport la V.4 : prise en charge de tickets transfrables, renouvelables
et post-datables
Normalisation IETF
Remplace avantageusement, et est plus performant que NTLM
Supporte la dlgation dauthentification
Permet la mise en uvre de relations dapprobation transitives
Protocoles rseaux mentionns ont t modifie pour supporter Kerberos
Authentification des sessions SMB/CIFS
Authentification des sessions LDAP
Authentification des appels MSRPC
Authentification des mises jour dynamiques de DNS

6. Quel type d'informations un jeton d'accs contient-il ?
Un jeton d'accs contient les identificateurs de scurit (SID, Security Identifier) qui
dfinissent les droits et les privilges des utilisateurs.
Outre votre SID unique, les SID des groupes dont vous tes membre sont stocks dans le
jeton d'accs qui contient toutes les informations associes votre identit et au contexte de
scurit au cours d'une session.

C O N F I G U R A T I O N D E L A M M O I R E V I R T U E L L E

95
CONFIGURATION DE LA MMOIRE VIRTUELLE
Avec la mmoire virtuelle, employez lespace disque pour augmenter la quantit de
mmoire disponible pour le systme. Cette fonctionnalit pour effet de copier le contenu
de la mmoire RAM sur un disque selon un processus nomm pagination : segment de la
RAM, 32 Mo par exemple, est crit sur le disque sous la forme dun fichier dchange
(pagefile.sys) ou il restera accessible en cas de besoin.
Microsoft recommande de crer un fichier dchange pour chaque volume physique du
systme, sur la plupart des systmes lexistance de plusieurs fichiers dchange peut
amliorer les performances de la mmoire virtuelle.
Les disques amovibles nont pas besoin de fichiers dchange.
Pour otimiser les performances du systme, donnez la mme valeur la taillle initiale et
la taille maximale.
Afin dviter les dfragmentations, les tailles maximale et minimale de la mmoire
virtuelle seront identiques, soit 384 (1,5x256) Mo pour 256 Mo de mmoire vive et 192
pour 128 Mo de mmoire vive, toutefois pour les volumes de mmoire RAM plus
important (notamment au-del de 2 Go), il est prfrable de suivre les recommandations
du constructeur.
De cette manire la structure du fichier dchange ne sera jamais modifie et il sera
toujours crit sous forme dun fichier dun seul tenant (si lespace disponible sur le
volume le permet).

96
Microsoft recommande de crer un fichier dchange pour chaque volume physique du
systme. Sur la plupart des systmes, lexistence de plusieurs fichiers dchange peut
amliorer les performances de la mmoire virtuelle. Crez plutt plusieurs petits fichiers
dchange, quun unique fichier de grande taille.
Toutefois, vous amliorerez les performances de Windows en plaant le fichier dchange
sur une partition rserve. Si vous disposez de deux disques durs, mieux vaut crer cet
espace sur lunit la plus vloce. Cette partition sera formate en Fat16 et non NTFS.

97
` TP raliser.
Pour configurer la mmoire virtuelle
======================================================================
1. Ouvrez Gestion de l"ordinateur (local). Pour ouvrir Gestion de l"ordinateur, cliquez sur Dmarrer, puis sur
Panneau de configuration. Cliquez sur Performances et maintenance, sur Outils d"administration, puis
double-cliquez sur Gestion de l"ordinateur.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Gestion de l'ordinateur (local), puis
slectionnez Proprits.
3. Sous l'onglet Options avances, cliquez sur Options de performances et, sous Mmoire virtuelle, cliquez sur
Modifier. 4. Dans la liste Lecteur, cliquez sur le lecteur contenant le fichier de pagination ou fichier d'change
modifier.
5. Sous Taille du fichier d'change pour le lecteur slectionn, entrez la nouvelle taille du fichier d'change en
mgaoctets dans la zone Taille initiale (Mo) ou Taille maximale (Mo) et cliquez sur le bouton Fixer la valeur.
6. Pour de meilleurs rsultats, spcifiez une taille initiale suprieure ou gale la taille recommande figurant sous
Taille totale du fichier d'change pour tous les lecteurs. La taille recommande quivaut 1,5 fois la mmoire
vive de votre systme.
======================================================================

Il est gnralement conseill de laisser au fichier d'change sa taille recommande, mais vous pouvez
l'augmenter pour une utilisation frquente d'applications qui ncessitent une grande quantit de
mmoire. Pour supprimer un fichier d'change, attribuez la valeur zro la taille initiale et la taille
maximale. Si vous diminuez la taille minimale ou maximale du fichier d'change, vous devez
redmarrer votre ordinateur pour vous rendre compte des effets de ces modifications. L'augmentation
de la taille ne demande gnralement pas de redmarrage.
======================================================================
Le fichier dchange est galement utilis pour le dbogage en cas derreur STOP dans le
systme. Si la taille du fichier dchange du disque du systme dexploitation est
infrieure au volume minimal ncessaire pour crire les informations de dbogage, cette
fonction sera dsactive.
Pour pouvoir utiliser le dbogage, vous devez dfinir un fichier dchange de taille au
moins gale la RAM du systme.
Remarque : La mmoire virtuelle est aussi employe pour le stockage dinformations et
notamment le stockage temporaire des mots de passe et dautres donnes rputes
confidentielles. Si vous craignez que quelquun accde ces donnes votre insu, vous
pouvez faire en sorte que le systme les supprime chaque fermeture de session.
Pour cela, ouvrez lditeur de registre :
` TP raliser.
======================================================================
1. Bouton Dmarrer, puis Excuter, puis Regedit, puis localiser la cl
HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagment, puis double-cliquez sur
ClearPageFileAtShutdown et lui donner la valeur de 1.
2. Redmarrer votre PC.
======================================================================

98

Et pour viter que Windows nutilise pour lui-mme cette mmoire virtuelle, affectez la
valeur 1 la cl DisablePagingExecutive (HKEY_LOCAL_MACHINE \SYSTEM\
CurrentControlSet\ Control\ Session Manager\ Memory Manangement\). Toujours
laide de lditeur de registre.
Le noyau de Windows XP/2000/2003 reste alors constamment charg en mmoire vive et
ne souffre plus des lenteurs du disque dur. vitez cette manipulation si vous ne disposez
pas de suffisamment de mmoire vive, car le systme risque de devenir instable: 256 Mo
au minimum, 512 Mo idalement.

99
Questions/Rponses
1. Comment sappelle le fichier dchange pour un systme Windows 2000 et 2003 Server ?
PageFile.sys

2. Que devez vous faire afin doptimiser les performances de votre systme, et limiter les accs
au disque dur ?
Pour otimiser les performances du systme, donnez la mme valeur la taillle initiale et la
taille maximale pour le fichier dchange (de 1,5 2,5 fois la RAM) sur votre disque le plus
rapide, ventuellement vous pouvez ddier une partition au fichier dchange (faon
linux !!) ou bien encore crer plusieurs fichiers dchanges sur plusieurs disques

I N S T A L L E R L E S O U T I L S D ' A D M I N I S T R A T I O N
100
INSTALLER LES OUTILS D'ADMINISTRATION
Le fichier Adminpak.msi installe les outils d'administration Active Directory et d'autres outils
d'administration, y compris le Client Terminal Server et l'Administrateur de cluster. Cela
permettra lutilisateur dadministrer un domaine Active Directory, le serveur DNS, DHCP,
WINS, etc, partir de son poste client.

Domaines et approbations Active Directory
Schma Active Directory
Sites et services Active Directory
Utilisateurs et ordinateurs Active Directory
Autorit de certification
Administrateur de cluster
Kit d'administration de Connection Manager
DHCP
Systme de fichiers distribus
DNS
Service d'authentification Internet
Gestionnaire des services Internet
Contrle d'admission QoS
Gnrateur de disquette d'accs distance (faisant partie des services d'installation
distance)
Stockage tendu
Routage et accs distant
Tlphonie
Gestionnaire des services Terminal Server, Gestionnaire de licences et Gestionnaire
de connexion client
WINS
Installer les Outils d'administration Windows en local.
` TP raliser.
======================================================================
1. Ouvrez une session en local :
Nom administrateur
Se connecter : choisir le nom de votre machine (SAM local)
2. Ouvrez le dossier I386 du CD-ROM Windows 2000/2003 Server appropri. La dernire version des Outils
d'administration Windows 2000/2003 se trouve sur le CD-ROM du Service Pack de Windows 2000/2003 le plus
rcent.
2. Double-cliquez sur le fichier Adminpak.msi (14Mo).
3. Cliquez sur Suivant, puis sur Terminer.
4. Vrifier dans le menu Outils dadministration la prsence de nouveaux programmes pour ladministration du
domaine
======================================================================
U T I L I S A T I O N D U S E C O N D L O G I N

101
UTILISATION DU SECOND LOGIN
l'aide de la commande Excuter en tant que, qui correspond l'ouverture d'une
session secondaire, les administrateurs peuvent ouvrir une session avec un compte non
administratif et, sans fermer la session, effectuer des tches en excutant des programmes
approuvs pour la ralisation de tches administratives.

Pour utiliser la commande Excuter en tant que dans le cadre de l'excution de
tches administratives, les administrateurs systme doivent disposer de deux comptes
d'utilisateur : un compte normal disposant des privilges de base et un compte
administratif. Les administrateurs peuvent avoir chacun un compte administratif
diffrent ou partager le mme compte administratif.
Utilisez la commande Excuter en tant que pour la plupart des activits.
L'ouverture d'une session en tant que membre du groupe Administrateurs peut poser
un problme de scurit. Certains lments, tels que l'Explorateur Windows, le
dossier Imprimantes et les lments du Bureau, sont lancs indirectement par
Windows ; ils ne peuvent pas tre activs l'aide de la commande Excuter en tant
que.
Pour effectuer cette action sans fermer la session et en rouvrir une autre, ouvrez une
session avec un compte d'utilisateur normal et utilisez la commande runas pour
excuter les outils qui ncessitent des autorisations plus tendues.
Pour cela :
Clic droit sur le raccourci de lapplication lancer, slectionnez ensuite dans le menu
contextuel Excuter en tant que afin de lancer lapplication avec des privilge
dadministrateur.
User Account
Process
User Account
Process
User Account
Process
Administrative
Account
Process
User Account
Process
User Account
Process
User Account
Process
Administrative
Account
Process
102

Vous pouvez aussi utiliser cette commande en invite de commande :
Bouton Dmarrer , puis Excuter
runas /user: domain_name\administrator_account program name
ex : runas /user:GEFIDOM\administrator mmc
ex : runas /user:GEFIGROUP\administrator eventvwr
(Observateur dvenements), saisir le password pour lAdministrateur.

runas [/profile] [/env] [/netonly] /user:nom_compte_utilisateur
program

Paramtres
/profile
Indique le nom du profil de l'utilisateur, s'il doit tre charg.
/env
Spcifie l'emploi de l'environnement rseau actuel au lieu de l'environnement local de
l'utilisateur.
/netonly
Indique que les informations utilisateur spcifies ne servent qu' l'accs distant.
/user:nom_compte_utilisateur
Indique le nom du compte d'utilisateur sous lequel le programme doit tre excut. Le
compte d'utilisateur doit tre spcifi sous le format utilisateur@domaine ou
domaine\utilisateur.
program
Indique le programme ou la commande excuter l'aide du compte spcifi par /user.

103

Pour gagner du temps, vous pouvez configurer des raccourcis sur le Bureau, associs
la commande Excuter en tant que, vers les outils d'administration que vous
utilisez le plus souvent.
` TP raliser.
========================================================================
Pour configurer un raccourci associ la commande Excuter en tant que vers l'outil Performances :
1. Ouvrez une session ent tant que :
Utilisateur : Administrateur
2. Cliquez avec le bouton droit sur le Bureau, pointez sur Nouveau, puis cliquez sur Raccourci.
3. Sur la page Cration d'un raccourci, tapez runas /user:Bourges\administrateur mmc
%windir%\system32\perfmon.msc dans le champ Entrez l'emplacement de l'lment, puis cliquez sur
Suivant. tapez Performances dans le champ Entrez un nom pour ce raccourci, puis cliquez sur Terminer.
4. Double-cliquez sur le raccourci Performance, puis lorsque vous y tes invit, saisir la mot de passe pour
ladministrateur du domaine Bourges.eds : P@sswrd1.
5. Cela fonctionne til ? _______________________________
6. Supprimer le raccourci Performance de votre bureau.
========================================================================

Gestion de l'ordinateur runas /user:bourges\administrateur mmc %windir%\system32\compmgmt.msc
Gestionnaire de runas /user:bourges\administrateur mmc %windir%\system32\devmgmt.msc
priphriques
Utilisateurs et ordinateurs runas /user:bourges\administrateur mmc %windir%\system32\dsa.msc
Active Directory
MMC runas /user:bourges\administrateur mmc
Invite de commandes runas /user:bourges\administrateur cmd
Gestion des disques runas /user:bourges\administrateur mmc %windir%\system32\diskmgmt.msc

Utilisation des Outils dadministration, et utilisation de
Runas
` TP raliser.
======================================================================
a. Ouvrez une session ent tant que :
b. Essayez de lancer lutilitaire Utilisateurs et ordinateurs Active Directory
c. Y parvenez-vous ?

d. Essayez de nouveau, en faisant bouton droit avec la touche SHIFT sur Utilisateurs et ordinateurs Active
Directory, puis en choisissant Excuter en tant que :
Choisir : Lutilisateur suivant
Utilisateur : BOURGES\Administrateur
e. Y parvenez-vous ?

f. Fermer lapplication Utilisateurs et ordinateurs Active Directory
g. Essayez de nouveau, en faisant, Dmarrer, Excuter,
runas /user:bourges\administrateur mmc /a dsa.msc
(saisir le password pour lAdministrateur de bourges)

Remarque : vrifier que le service Ouverture de session secondaire est bien dmarr si cela ne fonctionne
pas (Outils dadministration, icne Services).
======================================================================
C O N F I G U R A T I O N D E L H O R L O G E W I N D O W S
104
CONFIGURATION DE LHORLOGE WINDOWS
La synchronisation des machines et serveurs est assure par l'utilisation du protocol NTP.
L'une des caractristiques principales d'un rseau NTP est sa structure pyramidale. Des
rfrences de temps (signaux radio, GPS) synchronisent des serveurs NTP qui leur sont
directement raccords. Les serveurs de strate 0, qui sont des horloges atomiques. Ce sont
les serveurs de rfrence. Les serveurs de strate 1. Ils se synchronisent sur les serveurs de
strate 0. Leur drive est de 1 seconde pour 10 000 ans... Les serveurs de strate 2. Ils se
synchronisent sur les serveurs de strate 1. Ce sont gnralement des serveurs publics. Les
serveurs de strate 3. Ils se synchronisent sur les serveurs de strate 2. Ce sont gnralement
les serveurs que l'on installe dans une entreprise pour synchroniser tous les ordinateurs du
rseau Les machines de votre rseau local se synchroniseront sur ce serveur NTP de strate
3.Il est recommand de se synchroniser sur trois serveurs. Si la synchronisation sur un des
serveurs choue, votre serveur NTP en utilisera un autre.

Lheure dun systme informatique joue un rle croissant dans linformatique moderne en
raison des mcanismes de cryptage et dauthentification, comme Kerberos qui est utilis
par dfaut dans Windows Server 2003. Avec Kerberos, tous les systmes dun mme
rseau doivent tre rgls sur la mme heure.

105
Si lcart est trop important entre les horloges, les tickets dauthentification seront
invalids ds quils parviendront leur destination.
Lhorloge interne de chaque ordinateur se drgle toujours lgrement avec le temps et
lutilisateur ou une application peut accidentellement la modifier.
Pour rsoudre ce problme, le service Horloge Windows permet de synchroniser
lordinateur sur une horloge de rfrence (cadence par une horloge atomique comme
time.window.com ou encore comme www.time.gov , ntp.unice.fr etc) ; il en
existe plusieurs accessibles par Internet. Ainsi tous les ordinateurs dune entreprise
peuvent tre synchroniss de faon trs prcise sur lheure internationale (GMT). Voir
dans
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Para
meters\NtpServer = time.windows.com,0x1 et Type = NTP.
***Le service Horloge Windows 2000 utilise une version simplifie du protocole NTP
(Network Time Protocol) nomme SNTP (Simple Network Time Protocol), Windows
Serverveur 2003 utilise quand lui le protocol NTP***.
Par dfaut, il interroge le serveur dautorit toutes les quatres heures. Les valeurs
MinPolInterval et MaxPolInterval, places dans le Registre sous
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Confi
g contrlent cette priodicit.
Les paramtres UpdateInterval et FrequencyCorrectRate, placs dans le Registre
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Confi
g contrlent la vitesse du rattrapage.
Valeurs de Registre pour le service W32Time
AvoidTimeSyncOnWan : REG_DWORD (facultatif)
Empche l'ordinateur de se synchroniser avec un ordinateur d'un autre site.
0 = le site de la source de temps est ignor [valeur par dfaut]
1 = l'ordinateur ne se synchronise pas avec une source de temps d'un autre site
GetDcBackoffMaxTimes : REG_DWORD (facultatif)
Nombre maximum de fois que l'intervalle de recul est doubl lorsque plusieurs tentatives successives de
recherche d'un contrleur de domaine chouent. Un vnement est consign chaque attente de dure
maximale.
0 = l'attente entre plusieurs tentatives successives est toujours minimale et aucun vnement n'est
consign.
7 = [valeur par dfaut]
GetDcBackoffMinutes : REG_DWORD (facultatif)
Nombre initial de minutes attendre avant de rechercher un contrleur de domaine en cas d'chec de la
dernire tentative.
15 = [valeur par dfaut]
LocalNTP : REG_DWORD
Permet de dmarrer le serveur SNTP.
0 = ne dmarre pas le serveur SNTP sauf si l'ordinateur est un contrleur de domaine [valeur par dfaut]
1 = dmarre toujours le serveur SNTP
NtpServer : REG_SZ (facultatif)
NtpServer : REG_SZ (facultatif) Permet de configurer manuellement la source de temps. Utilisez le
nom DNS ou l'adresse IP du serveur NTP qui sert de rfrence lors de la synchronisation. Vous pouvez
106
modifier cette valeur partir de la ligne de commande l'aide de la commande net time. La valeur par
dfaut est : time.windows.com.
Period : REG_DWORD ou REG_SZ
Permet de contrler la frquence laquelle le service de temps procde une synchronisation. Si vous
spcifiez une valeur de chane, vous devez utiliser l'une des valeurs rpertories ci-dessous. Si vous
spcifiez la valeur de chane sous forme d'un nombre (65535 par exemple), crez une entre
REG_DWORD. Si vous spcifiez la valeur de chane sous forme d'un mot (Bidaily par exemple), crez
une entre REG_SZ.
0 = une fois par jour
65535, "BiDaily" = une fois tous les 2 jours
65534, "Tridaily" = une fois tous les 3 jours
65533, "Weekly" = une fois par semaine (7 jours)
65532, "SpecialSkew" = une fois toutes les 45 minutes jusqu' obtenir 3 synchronisations, puis une fois
toutes les 8 heures (3 par jour) [valeur par dfaut]
65531, "DailySpecialSkew" = une fois toutes les 45 minutes jusqu' obtenir une synchronisation, puis
une fois par jour
freq = frquence fois par jour
ReliableTimeSource : REG_DWORD (facultatif)
Permet d'indiquer que le temps de cet ordinateur est fiable.
0 = n'indique pas que cet ordinateur est une source de temps fiable [valeur par dfaut]
1 = indique que cet ordinateur est une source de temps fiable (utile sur un contrleur de domaine)
Type : REG_SZ
Permet de contrler la manire dont l'ordinateur se synchronise.
Nt5DS = se synchronise avec la hirarchie du domaine [valeur par dfaut] (machine client du domaine
se synchronise avec le contrleur du domaine)
NTP = se synchronise avec une source configure manuellement (machine non client du domaine),
voir entre NtpServer
NoSync = ne synchronise pas le temps

Le paramtre Nt5DS ne peut pas utiliser une source configure manuellement.
Les valeurs Adj et msSkewPerDay permettent de prserver les informations relatives
l'horloge d'un ordinateur entre chaque redmarrage. Ne modifiez pas ces valeurs
manuellement.
Le protocole SNTP et NTP emploie UDP comme couche transport, sur le port 123.
Si ce port nest pas ouvert sur Internet au niveau du pare-feu, il ne sera pas possible
de synchroniser lordinateur sur une horloge de rfrence sur Internet.

Ici 992, correspond linstance svchost.exe lie au service w32time.
Dans un domaine, un contrleur de domaine est automatiquement slectionn pour
devenir source dautorit de lheure sur le domaine.
Si ce serveur devient indisponible, un autre contrleur de domaine prend le relais. Il nest
pas possible de modifier la configuration de lHorloge Windows. Si vous souhaitez avoir
un meilleur contrle de lheure dans un domaine, vous devez installer des composantes

107
complmentaires, il en existe deux principaux qui sont : Client Windows NTP et
Serveur Windows NTP.
Tout systme Windows Server 2003 peut fonctionner comme client Windows NTP ou
comme serveur Windows NTP, ces deux rles pouvant tre jous simultanment.
Le mme serveur Windows NTP peut tre configur comme client afin quil puisse se
synchroniser sur un serveur de rfrence sur Internet.
Lactivation et la configuration des rles client Windows NTP et serveur Windows NTP
seffectuent via la stratgie de groupe, sous Configuration ordinateur\Modles
dadministration\Systme\Service Horloge Windows.

Ou dans le registre :

Pour activer/dsactiver le service Horloge Windows
======================================================================
1). Double-cliquez sur Date et heure dans le panneau de configuration et slectionnez longlet Temps Intenet.
2). Pour activer le service de synchronisation, cochez la case Synchroniser automatiquement avec un serveur
de temps Internet, et choisissez le serveur que vous souhaitez utiliser. Pour spcifier un serveur, tapez
simplement son nom DNS complet dans le champ Serveur. Vrifiez ensuite dans lutilitaire Services que le
service Horloge Windows fonctionne.
3). Cliquez sur OK
108
Remarque : longlet Temps Internet napparat plus si vous tes en Domaine => il faudra passer
par une stratgie de groupe et la base de registre.
====================================================================

L'mulateur PDC du domaine racine de la fort devrait synchroniser son horloge avec un
serveur de temps externe ou vous pouvez le laisser "tel quel".
Afin de spcifier un serveur de temps externe, utiliser la commande net time
/SETSNTP: liste_serveurs_NTP.
Cette liste peut contenir des adresses IP ou des noms DNS, spars par des espaces. Si
vous utilisez plusieurs serveurs de temps, vous devez entourer la liste de guillemets
Sur les Windows 2003 DCs, vous pouvez utiliser la commande
C:\>w32tm /config /manualpeerlist: timeSrvName /update
Sur des DC Windows 2003, pour mettre hors service la synchronisation avec un serveur
de temps externe, vous pouvez mettre la valeur dans le registre Parameters\Type
Nosync, effacer la valeur Parameters\NtpServer et arrter le Client NTP en mettant la
valeur TimeProviders\NtpClient\Enabled a zro).
Sous Windows, les stratgies correspondantes se retrouvent en parcourant :
- Racine de la console/Stratgie ordinateur local/Configuration ordinateur/Modles
dadministration/Systme/Service de temps Windows
Remarque : Les serveurs DHCP peuvent fournir aux clients DHCP loption NTP
Servers (42).
Qui permet de spcifier en ordre de prference ladresse IP des serveurs Network Time
Protocol (NTP) pour les clients.
Votre pare-feu personnel ou celui du rseau empche la synchronisation de l'horloge. La
plupart des pare-feu d'entreprise ou d'organisation empchent la synchronisation de
l'horloge, de mme que certains pare-feu personnels. Pour les ordinateurs domicile, il
est conseill de lire la documentation du pare-feu pour plus d'informations sur le
dblocage du protocole de temps rseau (NTP). En principe vous devriez tre en mesure
de synchroniser l'horloge si vous basculez vers le pare-feu de connexion Internet
Microsoft.

109
Sur les machines Windows 2000 ou XP :
Par dfaut le "Windows Time Service" est lanc (W32Time)
Il lance en fait la commande : svchost.exe -k netsvcs
Ce service est capable de "causer" le protocole SNTP (simple network time protocol)
Pour configurer un serveur de temps NTP, il faut utiliser la commande (en admin) :
c:\>NET TIME /SETSNTP:"ip_serveur1 ip_serveur2 ...."
Cette command va juste modifier la registry en ajoutant ces serveurs. Vous pouvez mettre
l'ip de votre passerelle comme serveur, puisque le routeur est serveur NTP)
ex: NET TIME /SETSNTP:195.220.226.254 (les " sont ncessaires si vous avez + d'un
serveur)
ensuite, pour lancer une synchro, redmarrez le service :
c:\>NET STOP W32Time
c:\>NET START W32Time
la machine devrait ce synchroniser en quelques secondes si le serveur est accessible.
Vous pouvez lister les serveurs de temps configur avec un :
c:\>NET TIME /QUERYSNTP
Apres ca, il n'y a plus rien a faire et le service ce lancera a chaque dmarrage de la
machine (avec le compte system, donc pas de problme de droit)
Sous XP :
C'est encore plus simple mettre en place, puisque lorsque vous double-cliquez sur
l'horloge, la fentre qui s'ouvre possde un onglet "Temps Internet". Il suffit de mettre son
serveur cet endroit.
Le service "W32Time" est configur par dfaut pour ce re-synchroniser toutes les 45
minutes cela 3 fois de suite.
Si les 3 fois le serveur a rpondu la requte, le service passe une synchro toutes les 8
heures. (si le serveur ne rpond plus, il repasse en "mode" 45 minute).
Synchroniser lhorloge de son ordinateur
` TP raliser.
======================================================================
****Le serveur du domaine Bourges (ServNet) doit avoir au dpart une heure diffrente de votre machine, indiquer
ici lheure : ______________________
Domaine : Bourges (Vous tes donc client du domaine)
Indiquer ici lheure de votre machine : ________________________
b. Ouvrez une ligne de commande, puis saisissez : C:\> net time /domain:bourges /set /y
c. vrifier que votre heure est identique celle du contrleur de domaine Bourges.
****Le serveur du domaine Bourges (ServNet) doit avoir au dpart une heure diffrente de votre machine, indiquer
ici lheure : ______________________
d. Ouvrez une ligne de commande, puis saisissez : C:\> w32tm /config /manualpeerlist: bourges /update
e. C:\> net stop w32time && net start w32time
f. Excutez la commande suivante sur les ordinateurs autres que le contrleur de domaine afin d'ajuster l'heure
des ordinateurs locaux sur celle du serveur de temps : w32tm -s
g. Vrifier que votre heure est identique celle du contrleur de domaine Bourges.
h. Saisir en invite de commande : net time /querysntp, vrifiervotre serveur NTP : __________________
i. Vrifier celle-ci dans le Registre : HKLM\System\CurrentControlSet\Services\W 32Time\Parameters =>
NtpServer=Bourges
110
j. Vrifier dans le Registre : HKLM\System\CurrentControlSet\Services\W 32Time\TimeProviders\NtpClient =>
Enable=0x00000001 (vous tes client sntp)
k. Vrifier dans le Registre : HKLM\System\CurrentControlSet\Services\W 32Time\TimeProviders\NtpServer
=> Enable=0x00000000 (vous ntes pas serveur sntp)

Remarque : Sur le serveur SNTP (machine du formateur), NtpServer => Enable=0x00000001

l. Quaffiche la commande suivante : w32tm /tz _____________________________________________
m. Essayer la commande suivante : w32tm /stripchart /computer :Servnet permet de mesurer le dcalage horaire
entre votre machine et la machine rfrente (ici ServNet). Faire CTRL+C pour arrter la squence.
m. Essayer la commande suivante : w32tm /resync, permet de synchroniser un Client de temps avec un
serveur de temps (uniquement si vous tes client du domaine).

Remarque : La commande w32tm /config /syncfromflags:manual /manualpeerlist:PeerList puis w32tm
/config /update permet de synchroniser le serveur de temps Interne avec un serveur de temps Externe.

======================================================================
G E S T I O N D U S Y S T M E W I N D O W S

111
GESTION DU SYSTME WINDOWS
Souvent lorsque vous tes en train de travailler sur lordinateur dun utilisateur ou un serveur
distant, vous devez examiner quelques informations sur le systme, comme qui est
actuellement connect, lheure systme, localiser certains fichiers etc .
Voici quelques commandes qui pourront vous aider dans votre tche quotidienne.
` TP raliser.
======================================================================
Domaine : Bourges (Vous tes donc client du domaine)
b. Ouvrez une ligne de commande, puis saisissez : C:\> whoami (personne actuellement connect)
c. Saisir ensuite la commande suivante : C:\> where /T /R c:\Windows *.dll (localiser un fichier)
======================================================================
d. Saisir ensuite la ligne de commande : C:\> systeminfo (affiche toutes les infos systmes)
======================================================================
Gestion des processus
e. Saisir la commande suivante : C:\> tasklist (affiche tous les processus en cours dexcution)
f. Saisir la commande suivante : C:\> tasklist /s Nom_Machine_Voisin /u Bourges\administrateur /p P@sswrd1
(affiche tous les processus en cours dexcution sur une machine distante)
g. Saisir la commande suivante : C:\> tasklist /Svc /s Nom_Machine_Voisin /u Bourges\administrateur /p
P@sswrd1 (affiche tous les processus en cours dexcution mis en relation avec les services sur une machine
distante)
h. Saisir la commande suivante : C:\> tasklist /m winspool.drv (affiche tous les processus en cours dexcution
qui utilise ce driver)
i. Saisir la commande suivante : C:\> tasklist /fi Username eq administrateur (affiche tous les processus
lancs par ladministrateur)/
j. Saisir la commande suivante : C:\> tasklist /fi MemUsage gt 2000 (affiche tous les processus lancs qui
utilisent plus de 2000 KB)
k. Saisir la commande suivante : C:\> tasklist /fi CPUTime gt 00:00:20 (affiche tous les processus lancs depuis
plus de 20 sec)
l. Saisir la commande suivante : C:\> tasklist /fi SESSIONNAME Console /fi CPUTime gt 00 :00 :20 (affiche
tous les processus lancs sur la console, et sont lancs depuis plus de 20 sec)
======================================================================
m. Saisir la commande suivante : C:\> start /MIN notepad.exe (dmarre le bloc notes rduit dans la barre de
tches).
n. Saisir la commande suivante : C:\> tasklist /fi Imagename eq notepad.exe (affiche le processus du bloc
notes), indiquer ici son PID : ________________
o. Saisir la commande suivante : C:\>taskkill /f /pid NPID (ex : taskkill /pid 2492, /f force sarrter le processus
spcifi)
Remarque :
C:\> taskkill /im cmd.exe /fi status eq not responding (arrte tous les processus ayant comme nom CMD.EXE
et ne fonctionnant plus)
C:\> taskkill /fi PID gt 4 /fi status eq not responding (arrte tous les processus ayant un PID suprieur 4
et ayant comme tat : ne fonctionnant plus)

p. Saisir la commande suivante : C:\> start /MAX notepad.exe (dmarre le bloc notes agrandi).
q. Saisir la commande suivante : C:\> tasklist /fi Imagename eq notepad.exe (affiche le processus du bloc
notes), indiquer ici son PID : ________________
r. Saisir la commande suivante : C:\>taskkill /t /pid NPID (ex : taskkill /t /pid 2492, /t (arrte le processus spcifi
ainsi que tous les processus parents et dpendances.)
s. Saisir la commande suivante : C:\> taskkill /fi modules eq winspool.drv (arrte tous les processus utilisant la
DLL Winspoll.drv, observer le rsultat )
======================================================================
a. Saisir la commande suivante : C:\> driverquery (affiche la liste des pilotes installs)
b. Saisir la commande suivante : C:\> driverquery /v (affiche la liste des pilotes installs, mode verbose)
c. Saisir la commande suivante : C:\> driverquery /SI (affiche la liste des pilotes installs, signs)
======================================================================
C O N N E X I O N D E S D O S S I E R S P A R T A G S
112
CONNEXION DES DOSSIERS PARTAGS

A). Pour vous connecter un dossier partag en utilisant Favoris rseau,
procdez comme suit :
1. Ouvrez Favoris rseau partir du bouton dmarrer (si pas visible : proprits du bouton dmarrer, puis
personnaliser, puis onglet Avanc, vrifier que Favoris rseau est coch) et double-cliquez sur Ajout d'un Favori
rseau.
2. Dans la page Bienvenue de l'Assistant Ajout d'un Favori rseau, cliquez sur Suivant.
3. Dans la page O voulez-vous crer cet emplacement rseau ?, cliquez sur Choisissez un autre emplacement rseau,
puis sur Suivant.
4. Dans la page Quelle est l'adresse de cet emplacement rseau ?, tapez le chemin UNC du dossier partag ou
cliquez sur Parcourir.
a. Si vous cliquez sur Parcourir, dveloppez Tout le rseau.
b. Dveloppez Rseau Microsoft Windows.
c. Dvelopper le domaine et le serveur auxquels vous voulez vous connecter.
d. Cliquez sur le dossier partag ajouter, puis sur OK.
5. Cliquez sur Suivant.
6. Dans la page Quel nom voulez-vous attribuer cet emplacement ?, tapez le nom de l'emplacement de rseau,
puis cliquez sur Suivant.
7. Dans la page Fin de l'assistant Ajout d'un Favori rseau, cliquez sur Terminer.

B). Pour vous connecter un dossier partag en utilisant Favoris rseau,
procdez comme suit :
1. Cliquez avec le bouton droit sur Favoris rseau, puis cliquez sur Connecter un lecteur de rseau.
2. Dans la zone Lecteur de la bote de dialogue Connecter un lecteur rseau, slectionnez l'unit utiliser.
3. Dans le champ Dossier, tapez le nom du dossier partag auquel vous voulez vous connecter ou cliquez sur
Parcourir.
4. S'il s'agit d'un dossier partag qui sera frquemment utilis, activez la case cocher Se reconnecter l'ouverture
de session pour vous connecter automatiquement au dossier partag ds que vous ouvrez une session.

113

C). Lorsque vous utilisez la commande Excuter du menu Dmarrer pour vous
connecter une ressource du rseau, aucune lettre de lecteur n'est ncessaire.
Ainsi, vous pouvez vous connecter au dossier partag un nombre illimit de fois, indpendamment des lecteurs
disponibles.
1. Cliquez sur Dmarrer, puis sur Excuter.
2. Dans la bote de dialogue Excuter, tapez un chemin UNC (\\Serveur\Partage), puis cliquez sur OK.
Lorsque vous entrez le nom du serveur, la liste des dossiers partags disponibles apparat. Windows Server 2003
vous donne la possibilit de choisir l'une des entres en fonction des dossiers partags disponibles.
Comment rendre un partage invisible ?
Lors de la cration dun partage rajouter la fin du nom de partage le signe $, ex : toto$
De mme pour y accder, ex : bouton Dmarrer , puis Excuter , Tapez un
nom UNC
\\nom d'ordinateur\toto$
Rien ne peut tre cach ladministrateur, quon se le dise. Loutil Gestion de
lordinateur permet dafficher tous les partages, sur nimporte quel ordinateur ayant
adhr au domaine. Cet outil permet aussi den crer ouden supprimer
Utilisation des dossiers partags d'administration
Les dossiers partags d'administration permettent aux administrateurs de raliser des
tches administratives : bouton droit sur la poste de travail, puis grer

Les dossiers partags d'administration sont masqus aux utilisateurs sans droits
administratifs
Par dfaut, les administrateurs disposent de l'autorisation Contrle total.
Windows cre automatiquement des partages spciaux pour les tches administratives et
le systme.
Appels ainsi car rservs aux membres du groupe Administrateurs , ces partages ont
plusieurs rles :
- Certains services sappuient sur ces partages pour changer des donnes. Il est
dconseill de les supprimer.
- Ladministrateur peut sen servir pour atteindre nimporte quel lecteur de
nimporte quel ordinateur. Cest un avantage du point de vue de ce dernier !.
114
- Certaines applications sen servent aussi.
- Ces partages administratifs sont automatiquement recrs sils sont supprims.
Une cl dans le registre permettra de sen affranchir tout en apportant certainement des
problmes futurs cause des utilisations cites ci-dessus.
- Plusieurs partages sont aussi possibles pour les racines des lecteurs.
Lecteur$ (C$, D$...)
Rpertoire racine d'un priphrique de stockage sur l'ordinateur (nom des disques
durs).
Seuls les membres des groupes Administrateurs, Oprateurs de sauvegarde et
Oprateurs de serveur peuvent se connecter ce type de partage.
ADMIN$
Ressource utilise par le systme pendant l'administration distance d'un ordinateur.
Seuls les membres des groupes 'Administrateurs', 'Oprateurs de sauvegarde' et
'Oprateurs de serveur' peuvent se connecter ce partage.Donne accs au rpertoire
%SystemRoot% du systme dexploitation.

IPC$
Ressource partageant les 'Canaux Nomms' essentiels la communication entre les
programmes distants et lexamen de ressources partages.
PRINT$
Ressource qui prend en charge les imprimantes partages en donnant accs aux pilotes
dimpression.
Ce rpertoire correspond \Windows\System32\Spool\Drivers, il contient tous les drivers
dimprmantes installes sur le serveur.
REPL$
Ressource cre par le systme lorsqu'un ordinateur Windows Server 2003 est configur
en tant que serveur d'exportations de duplications.
NETLOGON
Ressource utilise par le 'Service Accs rseaux' sur les 'Contrleurs de Domaine' pour
traiter les demandes de connexion aux domaines (ouverture de session et permet
dmettre des requtes entre machines pour connaitre les rssources disponibles).
Correspond au rpertoire \Windows\Sysvol\Sysvol\Scripts (pour Windows 2000/2003).

115

SYSVOL
Prend en charge Active Directory. Ce partage est utilis pour stocker les donnes et les
objets pour Active Directory. Cest le rpertoire \Windows\Sysvol\Sysvol, qui contient
les strategies de groupes ainsi que les classiques scripts douverture de session (logon
scripts).
FAX$
Prend en charge les tlcopies rseau, ce partage est utiliser par les clients de tlcopies
lors denvoie de tlcopies.

Remarque : Pour dsactiver les partages administratifs de Windows Server 2003,
affectez la valeur 0 au paramtre suivant
Profitons-en pour supprimer les partages "Administratif" par dfaut "C$ et ADMIN$"
Pour un serveur dans HKLM\CurrentControlSet\Services\
LanManServer\Parameters, mettez AutoShareServer 0.
Pour une station de travail mettez AutoShareWks 0.
Si l'entre n'est pas prsente dans la Base de Registres, ajoutez une valeur de type
REG_DWORD.
La valeur 0 dsactive le partage et la valeur 1 (valeur par dfaut) l'active.
Cette entre n'affecte pas les partages dfinis manuellement.
Cependant, ces partages sont l pour que votre machine puisse tre administre par les
serveurs, alors si vous les dtruisez les administrateurs systmes pourraient avoir leur mot
dire !
Affichage de sessions dutilisateurs et ordinateurs.
La console Gestion de lordinateur (bouton droit sur Poste de travail, puis Grer) peut
assurer le suivi de toutes les connexions aux ressources partages sur un systme
Windows Server 2003. Ds quun utilisateur ou un ordinateur se connecte une ressource
partage, la connexion est liste dans le nud Sessions.
116

Pour afficher les connexions aux ressources
partages
======================================================================
1). Dans Gestion de lordinateur, connectez-vous lordinateur sur lequel se trouve le partage.
2). Dans larborescence de la console, dvelopez Outils systme et Dossiers partages, puis slectionnez
Sessions.
3). Vous pouvez voir maintenant les utilisateurs et les ordinateurs connects aux partages.
======================================================================
Le nud Sessions vous donne des infos importantes sur les connexions des utilisateurs et des
ordinateurs. Ces infos sont les suivantes :
Utilisateur. Noms des utilisateurs ou des ordinateurs connects aux ressources
partages. Le noms dordinateurs sont affichs avec un suffixe $ que les diffrencie des
utilisateurs.
Ordinateur. Adresse IP de lordinateur utilis.
Type. Type dordinateur utilis.
Nombre de fichiers ouverts. Nombre de fichiers avec lequel lutilisateur
travaille. Pour en savoir plus, accdez au nud Ouvrir les fichiers.
Dure de connexion. Temps coul depuis la connexion.
Dure dinactivit. Temps coul depuis la dernire utilisation de la connexion.
Invit. Indique si lutilisateur a ouvert une session en tant quinvit.
L'onglet "Partage" n'est pas visible :
Rendez vous dans la configuration des services (SERVICES.MSC) et dmarrez le
service "Serveur"
Pour voir les utilisateurs connects ainsi que les fichiers ouverts :
Dmarrer > Excuter : FSMGMT.MSC
La gestion des sessions et des partages est une tche administrative courante. Av darrter
un serveur ou une application qui sexcute sur un serveur, vous pouvez dconnecter les
utilisateurs des ressources partages. Vous pouvez galement avoir besoin de dconnecter
les utilisateurs pour plusieurs raisons : modifier les autorisations daccs, supprimer
totalement un partage ou mettre fin au verrouillage des fichiers. Vous dconnectez les
utilisateurs des ressources partages en fermant leurs sessions.
Remarque : Noubliez pas que vous dconnectez les utilisateurs des ressources
partages mais pas du domaine. Vous ne pouvez obliger les utilisateurs mettre fin leur
session sur le domaine qu laide des horaires daccs et de la stratgie de groupe. Les
dconnecter ne met donc pas fin leur session sur le rseau, mais les dconnecte
simplement des ressources partages.

117
` TP raliser.
Crer une console MMC personnalise pour grer et
analyser les dossiers partags sur plusieurs serveurs
======================================================================
1. Ouvrez une session sur le domaine : Bourges avec le compte Marcel et le mot de passe P@sswrd1.
2. Dans le menu Dmarrer, cliquez sur Excuter.
3. Dans la bote de dialogue Excuter, tapez mmc et cliquez sur OK.
4. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter,
puis ajoutez un composant logiciel enfichable Gestion de l'ordinateur, puis Ajouter vrifier que loption ordinateur
local est slectionn, puis Terminer.
5. Slectionner de nouveau gestion de lordinateur, puis cliquez de nouveau sur Ajouter, slectionner un autre
ordinateur, cliquez sur Parcourir puis Avanc et Rechercher slectionner servnet, puis OK et OK Terminer puis
Fermer et OK.
6. Dans l'arborescence de l'outil Gestion de l'ordinateur (local), dveloppez Outils systme, dveloppez Dossiers
partags, puis cliquez sur Partages.
7. Dterminez si vous pouvez analyser les dossiers partags de votre ordinateur : _____________________
8. Dans l'arborescence de l'outil Gestion de l'ordinateur (Bourges), dveloppez Outils systme, dveloppez
Dossiers partags, puis cliquez sur Partages.
9. Dterminez si vous pouvez analyser les dossiers partags de l'ordinateur Bourges : _________________
10. Enregistrez la console sur le Bureau sous MMC1.
11. Fermez MMC1.
12. l'aide de la commande Excuter en tant que, ouvrez MMC1 en tant qu'utilisateur suivant :
bourges\administrateur de domaine.
13. Vrifiez que vous pouvez analyser les partages sur l'ordinateur local et sur l'ordinateur Bourges.
14.Fermer MMC1
======================================================================
118
Cration dun lecteur rseau, et se connecter une
ressource partage
` TP raliser.
Dans cet exercice, vous allez travailler avec votre partenaire (dsign par le formateur) afin
de raliser les lments ci-dessous : (exercice raliser par les 2 partenaires)
======================================================================
a. Ouvrez une session en utilisant les informations suivantes :
Mot de passe : P@sswrdXXXX (de votre SAM local)
Domaine : choisir le nom de votre machine
b. Lancer l'Explorateur, puis bouton droit sur le dossier C:\temp (le crer sil nexiste pas), slectionner Partage et
scurit....
c.Onglet Partage, cochez Partager ce dossier, puis mettre comme :
Nom de partage : Temp1
Description : Partage visible sur le rseau
Nombre maximal d'utilisateurs : cochez Nombre d'utilisateurs autoriss, et mettre comme valeur :2.
(ne pas toucher aux autres boutons concernant la scurit NTFS)
c. Faire Appliquer, puis OK
d. Vrifier par l'Explorateur qu'une main est apparue sur le dossier TEMP
e. Toujours via l'Explorateur, dvelopper Favoris rseau, puis Tout le rseau, puis Rseau Microsoft Windows,
slectionner le nom de votre Domaine (Bourges), puis celui de votre nom Machine.
f. Voyez-vous le partage Temp1 qui correspond votre ressource C:\Temp ?
g. Faire de nouveau Proprits de C:\temp, slectionner Partage et scurit....
h. Onglet Partage, puis Nouveau Partage
Nom du partage : Temp2$
Description : Partage invisible sur le rseau
Nombre maximal d'utilisateurs : cochez Nombre d'utilisateurs autoriss, et mettre comme valeur : 2.
i. Puis OK, et OK.

Toujours via l'Explorateur, dvelopper Favoris rseau, puis Tout le rseau, puis Rseau Microsoft Windows,
slectionner le nom de votre Domaine (Bourges), puis celui de votre nom Machine.
Voyez-vous le partage Temp2$ qui correspond votre ressource C:\Temp ? : _______________

Crer un utilisateur Bob sur votre SAM local
J. Bouton dmarrer, puis bouton droit sur Poste de travail, puis Grer, puis dvelopper Utilisateurs et groupes
locaux, puis Utilisateurs, bouton droit, Nouvel utilisateur
Nom dutilisateur : Bob
Dcocher : Lutilisateur doit changer de mot de passe la prochaine ouverture de session puis cliquez sur
Crer, cliquez sur Fermer pour fermer la bote de dialogue Nouvel utilisateur, fermez la console Gestion de
l'ordinateur.
Remarque : Demander votre partenaire si celui-ci a terminer sa partie, si oui vous pouvez continuer
le TP.

j. Toujours via l'Explorateur, bouton droit sur Favoris rseau, puis Connecter un lecteur rseau.
k. Dans Lecteur choisissez une lettre pour le lecteur rseau comme par exemple Z : , dans Dossier
choissez le nom UNC de la ressource distante comme par exemple \\Nom_Machine_Partenaire\Temp1 ,
(attention si vous cochez la case Se reconnecter l'ouverture de session, le lecteur sera de nouveau
disponible au dmarrage du PC aprs authentification par le mot de passe).
l. Slectionner Se connecter sous un nom d'utilisateur diffrent, dans
Nom d'utilisateur mettre : Bob
m. Puis Terminer.
Normalement dans lexploreur vous devez avoir un lecteur qui apparat (Z :) qui pointe sur la ressource distante ?.
n. Bouton Dmarrer, puis Excuter..., puis \\Nom_Machine_Partenaire\Temp2$, puis OK.
o.Identifiez-vous par
** demand : Nom d'utilisateur mettre : Bob
Accdez-vous la ressource cache du partenaire?
======================================================================
Fermeture de sessions Individuelles
1). Dans Gestion de lordinateur, connectez-vous lordinateur sur lequel se trouve le partage.
2). Dans larborescence de la console, developpez Outils systme et Dossiers partags, puis slectionnez
Sessions.
3). Cliquez-droit sur les sessions dutilisateurs auxquelles mettre fin, puis choisissez Fermer la session.
4). Cliquez sur OK pour confirmer lopration.

119
Arrt des partages de fichiers ou de dossiers
Pour arrter le partage dun dossier :
1). Dans Gestion de lordinateur, connectez-vous lordinateur sur lequel se trouve le partage et accdez au
nud Partages.
2). Cliquez-droit sur le partage supprimer, puis choisissez Arrter le partage. Cliquez sur OK pour
confirmer lopration.
Si vous prfrez crer un rpertoire partag, en mode texte
Excutez la commande C.-\> net share.
Cette commande affiche tous les partages locaux administratifs (cachs), et non cachs.

Dans l'exemple ci-aprs, le rpertoire Projets accepte 25 connexions simultanes et le
commentaire est lgrement diffrent de celui de l'exemple prcdent :
C :\> net share projets=d:\projets /users:25/remark: Dveloppement Server 2003
Vous pouvez galement modifier les proprits d'un partage l'aide de cette mme
commande. Par exemple, le rpertoire partag projets accepte un nombre illimit de
connexions dans la premire commande, ce qui supprime la limite de 25, alors que le
partage est dsactiv dans la deuxime :
C:\> net share projets /unlimited
(Spcifie un nombre illimit d'utilisateurs autoriss accder simultanment la
ressource partage)
C:\> net share projets /delete
(supprime le partage projets)
C:\> net share liste="c:\liste images"
(Pour partager un rpertoire avec un chemin contenant un espace, placez le lecteur ainsi
que le chemin d'accs du rpertoire entre guillemets)
120
Utilisation de la commande NET SHARE
` TP raliser.
==============================================================================
b. Bouton Dmarrer, puis Excuter..., puis cmd.
c. tapez net share
d. Indiquer les diffrents partages que vous voyez ?

e. Supprimer le partage Temp2$ qui correspond votre ressource C:\Temp ?
par la commande : .
f. recrez de nouveau ce partage en ligne de commande pour 12 utilisateurs maximum, ayant comme
commentaire : ceci est un partage cach.
par la commande : .
==============================================================================


121
UTILISATION DE LA COMMANDE NET USE
Connecte ou dconnecte une ressource partage
Pour tablir une connexion sous un nom d'utilisateur et un mot de passe valides
l'invite de commandes, ajoutez vos noms d'utilisateur et mot de passe sur la ligne de
commande en tapant ce qui suit :
/user: nom_d'utilisateur mot_de_passe
Par exemple, pour utiliser le lecteur G afin de vous connecter sous le nom Annie et le mot
de passe Guimauve au rpertoire \donnees\mesdonn du volume Thor qui se trouve sur un
serveur appel Nw4, tapez ce qui suit :
C: \> net use G: \\nw4\thor\donnees\mesdonn /user:annie guimauve
C: \> net use K: \\pele\kona /user:chavez * /persistent:Yes
Par dfaut, les connexions de lecteur rseau disparaissent d'une session une autre. Avec
l'option /persistent:yes, l'option par dfaut de la commande net use a un caractre
permanent jusqu' ce queue soit explicitement change.
La commande ci-aprs supprime la connexion du partage au lecteur j:
C: \ > net use J: /delete
La commande ci-aprs affiche la liste des ressources partages distantes auxquelles
l'ordinateur local est connect.

122
Exercice sur la commande NET USE
` TP raliser.
==============================================================================
c. tapez net use
d. Indiquer les diffrents lecteurs rseau que vous voyez ?

e. Supprimer le lecteur rseau z : qui correspond votre ressource \\Nom_Machine_Partenaire\Temp1 ,?
par la commande : .
f. recrez de nouveau ce lecteur en ligne de commande ayant comme lettre de lecteur rseau r :, nom de login
Bob, mot de passe : P@sswrdXXXX sur la ressource de votre partenaire.
par la commande : .
==============================================================================

123
Utilisation de la commande NET VIEW
Affiche la liste des machines de votre Workgroup ou Domaine.
Comment visualisez les ressources partages d'une machine distante ?
C:\> net view \\nom de la machine
Evidemment vous ne vrer pas les partages cachs.
Comment gnrer une liste complte des comptes d'ordinateurs du domaine ?
C:\>net view /DOMAIN:nom du domaine >liste.txt
Cette syntaxe vous gnerera un fichier "liste.txt" contenant la liste complte des machines
de votre domaine.
Exercice sur la commande NET VIEW
` TP raliser.
==============================================================================
Domaine : Bourges
c. tapez net view
Que voyez-vous ?

d. Tapez net view \\Nom_VOTRE_MACHINE
Que voyez-vous ?

e. Tapez net view /domain:bourges
Que voyez-vous ?

==============================================================================

124
NET START
Dmarre un service sur le systme.
net start [service]
Tapez net start sans paramtre pour afficher la liste des services en cours.
Service comprend :
alerter, client service for netware, clipbook server, content index, computer browser,
dhcp client, directory replicator, eventlog, ftp publishing service, hypermedia object
manager, logical disk manager, lpdsvc, media services management, messenger, Fax
Service, Microsoft install server, net logon, network dde, network dde dsdm, nt lm
security support provider, ole, plug and play, remote access connection manager,
remote access isnsap service, remote access server, remote procedure call (rpc)
locator, remote procedure call (rpc) service, schedule, server, simple tcp/ip services,
site server ldap service, smartcard resource manager, snmp, spooler, task scheduler,
tcp/ip netbios helper, telephony service, tracking service, tracking (server) service,
ups, Windows time service et workstation.

Les services suivants sont disponibles uniquement sur Windows Server : file service for
macintosh, gateway service for netware, microsoft dhcp service, print service for
macintosh, windows internet name service.
NET STOP
Arrte un service sur le systme.
Tapez net start sans paramtre pour afficher la liste des services en cours.
Graphiquement vous pouvez passer par Administrative Tools , Services ;
slectionner un service puis bouton droit et choisissez soit Stop ou Start (cela est
disponible galement sur la partie gauche du service slectionn).


125
Utilisation de la commande NET SEND, NET STOP,
NET START
` TP raliser.
==============================================================================
Domaine : Bourges
b. Bouton Dmarrer, puis bouton droit sur Poste de travail, puis Grer...
c. Dvelopper Services et applications, puis Services
d. Vrifier que le service Affichage des messages (service Messenger) est dmarr, sinon pour le dmarrer =>
bouton droit sur le service Affichage des messages, puis Dmarrer (Type de dmarrage en Automatique).
(Demander votre partenaire si celui-ci aussi dmarrer le service Affichage des messages)

Remarque : Vrifier aussi que le service Terminal serveur est aussi dmarr car sinon cela pertubra le
fonctionnement de la commande net send.
d. En invite de commande tapez net send Machine_Partenaire texte_a_envoyer
Cela fonctionne t'il ? ?

e. Tapez net send /domain:bourges texte_a_envoyer
Cela fonctionne t'il ? ?

f. Bouton Dmarrer, puis Excuter..., puis cmd
g. Saisir : net stop messenger
h. Tapez net send Machine_Partenaire texte_a_envoyer, (dire votre partenaire de vous envoyer aussi un
message). Cela fonctionne t'il ?

i. Saisir nouveau : net start "Affichage des messages"
Remarque : Vous pouvez aussi recevoir les messages en silence si vous dsactivez le Priphrique Beep =>
valeur Start = 4 (voir la base de registre). Ou utiliser la commande net stop beep.
Vous pouvez utiliser la commande sc l'invite de commandes pour configurer les services et obtenir des
informations sur eux.
j. Tapez C:\> sc query type= service state= all (affiche tous les services configurs dans votre systme de faon
dtaills)
k. Tapez C:\> sc query type= service | find /v x0 (affiche tous les services configurs dans votre systme,
mais uniquement les lignes les plus importantes, c'est--dire sans les lignes contenant les chanes de caractres
x0 )
l. Tapez C:\> sc getkeyname Affichage des messages. (Affiche le nom du service spcifi)
m. Tapez C:\> sc qc Messenger. (Affiche toutes les informations sur le service Messenger)
Remplir les lments suivants :
Service_Name :
Start_Type :
Display_Name :
Dependencies :
n. Tapez C:\> sc stop Messenger. (Arrte le service messagerie)
o. Tapez C:\> sc start Messenger. (Dmarre le service messagerie)
p. Tapez C:\> sc config Messenger start= disabled. (Dsactive le service de messagerie)
q. Tapez C:\> sc qc Messenger, observer la valeur du champ Start_Type : _______________
r. Tapez C:\> sc config Messenger start= auto (positionne ce service en mode automatique)
s. Tapez C:\> sc qc messenger, observer la valeur du champ Start_Type : ________________

==============================================================================

N O T I O N D E S G R O U P E S
126
NOTION DES GROUPES

Lorsque vous affectez des autorisations d'accs des ressources, il est conseill d'affecter
ces autorisations un groupe de scurit plutt qu' des utilisateurs individuels.
Chaque utilisateur qui est ajout un groupe de scurit reoit les autorisations dfinies
pour ce groupe.
Les groupes permettent de contrler les utilisateurs et leurs accs aux ressources. Les
problmes fondamentaux inhrents la gestion de l'accs aux ressources au niveau
utilisateur augmentent de faon significative les cots d'administration.
Les groupes sous Windows Server 2003 sont aussi des objets Active Directory qui
contiennent des utilisateurs, des contacts, des ordinateurs et, potentiellement dautres
groupes. Les groupes fournissent une mthode pour organiser logiquement dautres objets
dans Active Directory.

127
Les administrateurs utilisent les groupes pour :
Grer laccs aux ressources partages telles que les objets Active Directory et leurs
proprits, les partages rseau, les fichiers, les rpertoires, les files dattente
dimprimantes, filtrer la stratgie de groupe, crer des listes de distribution par e-mail.
L'augmentation des cots qui rsulte de la gestion de l'accs aux ressources au niveau
utilisateur vient essentiellement du temps pass dans le suivi de la mise en place des droits
d'accs. Dans un scnario relativement courant mais simple, quand un utilisateur quitte
une entreprise, la premire chose que fait un administrateur est le plus souvent de
dsactiver ou au pire de supprimer son compte. Si une autre personne remplace ce
premier utilisateur, l'administrateur renommera l'ancien compte et le lui affectera. Cette
mthode est acceptable lorsqu'il s'agit de transfrer les droits d'accs au nouvel employ,
mais elle prsente toutefois plusieurs limitations. En particulier, si l'employ dont il est
question change de fonction au sein de la mme entreprise et s'il est remplac par une
personne devant accder aux mmes ressources, la gestion des autorisations devient un
peu plus ardue.
En effet, la suppression des autorisations d'accs de l'ancien employ et l'attribution de
droits d'accs au nouvel embauch sont loin d'tre des oprations rapides si vous devez
procder de la sorte pour chaque objet partag et dterminer si des modifications sont
ncessaires. Le fait de renommer un compte peut conduire des problmes de
confidentialit. Le nouvel employ peut ainsi avoir accs accidentellement aux donnes
personnelles de son prdcesseur, violant ainsi sa vie prive. Lorsque de nouveaux
comptes sont crs pour chaque employ et que les permissions sont gres au travers de
groupes, les employs ont uniquement accs aux ressources explicitement accordes aux
groupes auxquels ils appartiennent. Si vous utilisez des groupes pour dfinir une
procdure gnrale ddie la gestion des contrles d'accs, vous limiterez
considrablement la charge de travail de l'administrateur et vous amliorerez du mme
coup la scurit.

Les groupes fonctionnent diffremment dans un groupe de travail et dans un domaine.
Cette diffrence concerne les emplacements auxquels ils sont crs et auxquels ils
rsident, ainsi que leur mode d'utilisation.
128
Groupes dans un domaine
Les caractristiques des groupes dans un domaine sont prsentes ci-dessous.
_ Ils sont crs uniquement sur des contrleurs de domaine.
_ Ils rsident dans le service d'annuaire Active Directory.
_ Ils permettent d'accorder des autorisations sur des ressources et des droits pour des
tches systme sur n'importe quel ordinateur du domaine.
Type de groupe
Le type de groupe dtermine le type de tche que vous grez avec le groupe. L'tendue de
groupe dtermine si le groupe s'tend sur plusieurs domaines ou s'il est limit un seul.
Chaque type de groupe de domaine est pourvu d'un attribut tendu qui identifie dans
quelle mesure le groupe s'applique au rseau.

Remarque : Groupes locaux
Groupes dfinis sur un ordinateur local sont utiliss uniquement sur lordinateur local.
Vous crez laide de lutilitaire Groupes et utilisateurs locaux (vous ntes pas en
domaine).
Groupes de scurit
Les groupes de scurit sont trs semblables aux groupes dun domaine Windows NT. Le
groupe de scurit est un ensemble d'utilisateurs du domaine utilis par les
administrateurs pour accorder l'accs aux ressources rseau ; il est employ de faon
intensive sur tout le rseau pour contrler l'accs aux ressources. Vous les dfinisez dans
les domaines laide de Utilisateurs et ordinateurs Active Directory.
Listes de distribution
Une liste de distribution est un ensemble d'utilisateurs Active Directory que les
applications peuvent utiliser. L'exemple le plus courant d'une application utilisant des
listes de distribution est Microsoft Exchange Server. Les administrateurs peuvent grer
des listes de distribution pour informer les utilisateurs en cas de problmes. Des listes de
distribution peuvent galement tre utilises pour l'envoi de bulletins d'information
d'entreprise.
Vous les dfinissez dans les domaines laide des Utilisateurs et ordinateurs Active
Directory.

129

Porte des groupes (tendue de groupe)
En dfinissant un groupe, l'administrateur contrle galement sa porte. L'utilisation d'un
groupe peut se limiter au contrleur de domaine local, ou il peut tre mis la disposition
d'autres serveurs du domaine ou de la totalit du rseau. Il existe trois types de groupes :
les groupes locaux du domaine , les groupes globaux et les groupes
universels .

Groupes Locaux prdfinis
Les serveurs membres, les serveurs autonomes et les machines Windows 2000 Server
(Service Pack 3 ou suivant), Windows 2000 Pro (Service Pack 3 ou suivant ou Windows
XP PRO (Service Pack 1 ou suivant) ont des groupes locaux prdfinis permettant de
faire certaines tches sur la machine locale.
C'est un groupe de scurit sur lequel on peut accorder des droits et des permissions
seulement pour des ressources sur l'ordinateur sur lequel le groupe est cr. Des groupes
locaux peuvent avoir n'importe quels comptes d'utilisateur qui sont locaux l'ordinateur
comme membres, aussi bien des utilisateurs, des groupes et des ordinateurs d'un domaine
auquel l'ordinateur appartient.
130

Groupes locaux du domaine prdfinis
Ses membres peuvent provenir de nimporte quel domaine, mais vous ne pouvez lui
accorder des permissions que sur des ressources du domaine dans lequel vous avez
cr le groupe.
Les membres dun groupe local du domaine ont un besoin commun daccder
certaines ressources dun certain domaine.

Un groupe local de domaine peut avoir les membres suivants :
Autres groupes locaux de domaine appartenant au mme domaine
Gorupes globaux de tous les domaines
Groupes universels de tous les domaines
Utilisateurs de tous les domaines
Pour simplifier et raccourcir le temps dintgration dun domaine Active Directory,
Microsoft donne doffice des groupes par dfaut qui sont avec ou sans membres et
avec un certain nombre de droits utilisateurs. Les listes des groupes par dfaut ci-
dessous sont exhaustives (liste complet en annexe, lien ci dessous), vous y trouverez
le nom, le SID par dfaut (identifiant unique), un bref descriptif, les droits par dfaut
et les membres par dfaut.

Les groupes prsents dans BUILTIN possdent des droits utilisateurs seulement sur
les contrleurs de domaine du domaine. Donc ils ne pourront effectuer aucune action
sur les autres ordinateurs (exemple: ne pourront pas ouvrir une session locale sur un
ordinateur). Si l'utilisateur 'Administrateur' possde des droits sur les contrleurs de
domaine et sur le domaine, c'est parce qu'il est membre du groupe 'Administrateurs'
du container BUILTIN et membre du groupe 'Administrateur du domaine' du
container USERS. On peut comparer les groupes du container BUILTIN aux
groupes locaux "classique".
La porte des groupes prsents dans le conteneur USERS sapplique tous les objets
du domaine sauf les contrleurs de domaine. Un certain nombre de groupe
permettent de lister les membres prsent dans le domaine (exemple: groupe
'ordinateur du domaine' liste tous les ordinateurs du domaine). Il existe des groupes
qui sont prsents seulement sur le domaine root (domaine qui ne possde pas de
parents).

131
Un certain nombre de groupes spciaux existe. Ils ne sont pas lists dans Active
Directory. Mais on peut leur attribuer des autorisations ces groupes lors d'un
partage d'une ressource. Les membres de ce groupe sont dynamiques donc on ne peut
les lister.
Nom Descriptif Droit(s) par dfaut
Tout le monde
(ne possde pas de
SID)
Liste tous les utilisateurs actuels du rseau, y
compris les invits, sauf ceux du groupe
Anonymous logon et les utilisateurs des
autres domaines. Toute fois, du fait que le
groupe Session anonyme peut devenir membre
du groupe Tout le monde, il nest pas
recommand dutiliser ce groupe pour accorder
des autorisations suprieures lautorisation
Lecture seule.
Accder cet ordinateur partir
du rseau.
Rseau
(SID : S-1-5-2)
Liste tous les utilisateurs qui accdent des
ressources via le rseau.
Aucun.
Interactif
(SID : S-1-5-4)
Liste tous les utilisateurs qui accdent des
ressources en local.
Aucun.
Anonymous logon
(SID : S-1-5-7)
Liste tous les utilisateurs qui accdent une
ressource sans authentification
Aucun.
Enterprise Domain
Controllers
(SID : S-1-5-9)
Liste tous les contrleurs de domaine de toute
la fort.
du rseau
Utilisateurs
Authentifis
(SID : S-1-5-11)
Liste tous les utilisateurs et ordinateurs
authentifis par les contrleurs de domaine de
la fort.
du rseau, Ajouter des stations
de travail au domaine.
Remote Interactive
Logon
(SID : S-1-5-14)
Liste tous les utilisateurs qui ouvrent une
session via Bureau Distance
Aucun.
System Le systme dexploitation Windows Server
2003 lui-mme possde cette identit. Elle est
employe lorsque le systme doit excuter une
fonction au niveau systme.
Aucun
Session anonyme Le groupe Session anonyme reprsente les
utilisateurs et services qui accdent un
ordinateur et ses ressources via le rseau
sans un nom de compte, un mot de passe ou
un nom de domaine.
Si vous voulez crer un partage de fichier pour
les utilisateurs anonyme, accordez les
autorisations au groupe anonyme.
Aucun
Crateur
Propritaire
Le groupe systme Crateur propritaire inclut
le compte de l'utilisateur qui a cr et pris
possession d'une ressource.
Si un membre du groupe Administrateurs cre
une ressource, ce groupe devient propritaire
de la ressource.

132

Groupes globaux prdfinis
Cest un groupe de scurit ou de distribution qui peut contenir des utilisateurs, des
groupes et des ordinateurs de son propre domaine comme membres. On peut
accorder aux groupes de scurit globaux des droits et des permissions sur des
ressources dans n'importe quel domaine dans sa fort.
Des groupes globaux ne peuvent pas tre crs ou maintenus sur des ordinateurs
excutants Windows XP Pro. Cependant, pour des ordinateurs sous Windows XP Pro
qui participent un domaine, les groupes globaux du domaine peuvent avoir des
permissions et des droits sur ces postes de travail et peut devenir membres de
groupes locaux sur ces postes de travail.
Les groupes globaux intgrs par Windows pendant linstallation nont pas de
privilges intrinsques ; cest ladministrateur daffecter les privilges aux groupes.
En revanche, ces groupes reoivent automatiquement certains membres.


133

Universal group (groupe universel)
C'est un groupe de scurit ou de distribution qui peut contenir des utilisateurs, des
groupes et des ordinateurs de n'importe quel domaine dans sa fort comme membres.
On peut accorder aux groupes de scurit Universels des droits et des permissions sur
des ressources dans n'importe quel domaine dans la fort. Des groupes de scurit
universels sont disponibles seulement dans des domaines mode natifs (Full Active
Directory).

Remarque : Les groupes universels sont trs utiles dans les grandes entreprises
disposant de plusieurs domaines. Si votre rseau est conu correctement, utilisez ces
groupes pour simplifier ladministration du systme. Les membres des groupes
universels ne devraient pas changer frquemment. Chaque fois que vous modifiez
leurs membres, rpliquez ces modifications sur tous les catalogues globaux de
larborescence de domaines ou de la fort. Pour viter ces modifications, assignez
les autres groupes au groupe universel plutt qu des comptes.

134


135
Les proprits des groupes de scurit figurent dans le tableau suivant :

Domaine en mode natif Domaine en mode mixte
Groupe
Universel
Peut contenir
Utilisateurs de nimporte quel
domaine de la fort
Groupes globaux de nimporte
quel domaine de la fort

Reoit des
permissions
Dans nimporte quel domaine
Conversions
possible

Groupe
Global
Peut contenir
Utilisateurs du mme domaine
que ce groupe
Groupes globaux du mme
domaine
Utilisateurs du mme domaine que
ce groupe
Reoit des
permissions
Dans nimporte quel domaine de
la fort
Dans nimporte quel domaine de la
fort
Conversion
possible
Groupe Universel
Groupe de
Domaine
Local
Peut contenir
domaine de la fort
Groupes universels et groupes
globaux de nimporte quel
domaine de la fort, ainsi que des
groupes loacaux du domaine du
mme domaine
domaine de la fort
Groupes globaux de nimporte
quel domaine de la fort
Reoit des
permissions
Uniquement dans le domaine du
groupe
Uniquement sur les contrleurs de
domaine du mme domaine que ce
groupe
Conversion
possible
Groupe Universel

136

La liste ci-dessous donne la liste des groupes prsents dans le conteneur BUILTIN, leur
descriptif, les droits utilisateurs par dfaut ainsi leur membre par dfaut.
Nom Descriptif Droit(s) par dfaut Membre par dfaut
Accs compatible avec
les versions
antrieures Windows
2000
(SID : S-1-5-32-554)
Ce groupe permet une
comptabilit avec les versions
antrieurs Windows 2000. Ils
permettent la consultation en
lecture seul la foret Active
Directory
Accder cet ordinateur partir du rseau,
Ignorer le contrle de parcours.
Utilisateurs authentifis (G).
Administrateurs
(SID : S-1-5-32-544)
Le groupe Administrateurs
possde la majorit des droits
sur les contrleurs de domaine.
A utiliser avec beaucoup de
parcimonie.
Changer les quotas de mmoire d'un
processus, Sauvegarder des fichiers et des
rpertoires, Outrepasser le contrle de
parcours, Modifier l'heure du systme, Crer
un fichier pagin, Dboguer des programmes,
Permettre aux comptes d'ordinateurs et
d'utilisateurs d'tre approuvs pour la
dlgation, Forcer l'arrt partir d'un systme
distant, Augmenter la priorit de planification,
Charger et dcharger les pilotes de
priphrique, Permettre l'ouverture d'une
session locale, Grer le journal d'audit et de
scurit, Modifier les valeurs d'environnement
de microprogrammation, Optimiser un
processus, Optimiser les performances
systme, Retirer un ordinateur d'une station
d'accueil, Restaurer des fichiers et des
rpertoires, Arrter le systme, Prendre
possession des fichiers ou d'autres objets.
Administrateur (U), Administrateur de
lentreprise (G) , Admins du domaine
(G).
Duplicateurs
(SID : S-1-5-32-552)
Ce groupe ne doit possder
aucun utilisateur. Il permet juste
le bon droulement de la
duplication de la fort Active
Directory.
Aucun. Aucun.
Gnrateurs
dapprobation de fort
entrante
(SID : S-1-5-32-557)
Ce groupe permet aux membres
de donner lapprobation
dinsertion dune nouvelle fort
dans la fort existante. Ainsi, les
ressources de la nouvelle fort
seront disponibles dans la fort.
Aucun Aucun.
Groupe daccs
dautorisation
Windows
(SID : S-1-5-32-560)
Les membres de ce groupe
pourront lire lattribut
tokenGroupsGlobalAndUniversal
(TGGAU) sur les objets
utilisateurs, ordinateurs et
groupes. Gnralement utilis
dans les applications
dcisionnelles pour Active
Directory.
Aucun. ENTERPRISE DOMAIN
CONTROLLERS (U).
Invits
(SID : S-1-5-32-546)
Idem que le compte utilisateurs
mais avec encore plus de
restriction.
Aucun. Invit (U), Invits du domaine (G),
IUSER_X (U).
Oprateurs de compte
(SID : S-1-5-32-548)
Ce groupe permet de manager
tous les objets (Ajout,
Modification, Suppression) dans
la fort. Leurs limites se situe
quils ne peuvent accder au
conteneur Domain Controllers
et ne peuvent modifier le groupe
Administrateurs et Admins du
domaine
Permettre l'ouverture d'une session locale,
Arrter le systme.
Aucun.
Oprateurs de
configuration rseau
(SID : S-1-5-32-556)
peuvent configurer toute la
configuration des paramtres
TCP/IP des contrleurs de
domaine
Aucun. Aucun.
Oprateurs de
sauvegarde
(SID : S-1-5-32-551)
peuvent sauvegarder et
restaurer les fichiers des
contrleurs de domaine et ceci
Sauvegarder des fichiers et des rpertoires,
Restaurer des fichiers et des rpertoires,
Arrter le systme.
Aucun.

137
en outrepassant les droits
NTFS.
Oprateurs de serveur
(SID : S-1-5-32-549)
possdent que des droits
simples sur les contrleurs de
domaine. Ouverture de session,
Sauvegarde et Restauration de
fichiers, formatage de disque,
cration et suppression de
ressources partages.
Modifier l'heure du systme, Forcer l'arrt
partir d'un systme distant, Permettre
l'ouverture d'une session locale, Restaurer
des fichiers et des rpertoires, Arrter le
systme.
Aucun.
Oprateurs
d'impression
(SID : S-1-5-32-550)
auront leur charges toute la
gestion des imprimantes sur un
contrleur de domaine
(installation de pilote, cration
de partage imprimantes, gestion
des spool, objet imprimantes
dans le domaine)
Arrter le systme.
Aucun.
Serveurs de licences
des services Terminal
Server
(SID : S-1-5-32-561)
Ce groupe est exclusivement
rserv la gestion des licences
Terminal Server.
Aucun. Aucun.
Utilisateurs
(SID : S-1-5-32-545)
Les membres de ce groupe ne
peuvent effectuer que des
tches simples sur les
contrleurs de domaine.
Aucun. DHCP Viewer (U), INTERACTIF (U),
Utilisa. du domaine (G), Utilisateurs
Authentifis (G)
Utilisateurs de
l'Analyseur de
performances
(SID : S-1-5-32-558)
peuvent surveiller les compteurs
de surveillance des contrleurs
de domaine via la console
Performances.
Aucun. Aucun.
Utilisateurs du Bureau
distance
(SID : S-1-5-32-555)
peuvent ouvrir une session
distance.
Aucun. Aucun.
Utilisateurs du journal
de performances (SID :
S-1-5-32-559)
Idem que le groupe Utilisateurs
de l'Analyseur de performances
avec laccs supplmentaire aux
journaux et aux alarmes de
performances
Aucun. SERVICE RESEAU (SID : S-1-5-20).
x = combinaison de chiffre identifiant le domaine
y = combinaison de chiffre identifiant le domaine source (root domain)
z = nom NETBIOS de la machine
U = Utilisateurs
G = Groupe
138

La liste ci-dessous donne la liste des groupes prsents dans le conteneur USERS, leur
descriptif, les droits utilisateurs par dfaut ainsi leur membre par dfaut.
Nom Descriptif Droit(s) par dfaut Membre par dfaut
Administrateurs de
lentreprise
(SID : S-1-5-y-519)
Les membres de groupe ont
un contrle total sur toute la
fort Active Directory (donc
sur tous les objets de tous
les domaines). Il est
dconseill dajouter un
membre ce groupe. Il vaut
mieux utiliser des groupes
pour la fort avec des droits
plus restreints. Ce groupe
nexiste que sur un
racine.
Changer les quotas de mmoire d'un processus,
Outrepasser le contrle de parcours, Modifier
l'heure du systme, Crer un fichier pagin,
Dboguer des programmes, Permettre aux
comptes d'ordinateurs et d'utilisateurs d'tre
approuvs pour la dlgation, Forcer l'arrt partir
d'un systme distant, Augmenter la priorit de
planification, Charger et dcharger les pilotes de
priphrique, Permettre l'ouverture d'une session
locale, Grer le journal d'audit et de scurit,
Modifier les valeurs d'environnement de
microprogrammation, Optimiser un processus,
Optimiser les performances systme, Retirer un
ordinateur d'une station d'accueil, Restaurer des
fichiers et des rpertoires, Arrter le systme,
Prendre possession des fichiers ou d'autres objets.
Administrateur (U) (SID: S-1-5-x-
500).
Administrateurs DHCP
(SID : S-1-5-x-1004)
pourront administrer les
services DHCP du domaine.
Aucun. Aucun.
Administrateurs du
schma
(SID : S-1-5-y-518)
Ce groupe permet aux
membres de pouvoir utiliser
le logiciel Schma Active
Directory. Il nest utiliser
avec beaucoup de
prcaution et destin
principalement aux
programmeurs. Ce groupe
nexiste que sur un
racine.
Aucun. Administrateur (U) (SID: S-1-5-x-
500).
Admins du domaine
(SID : S-1-5-x-512)
ont un contrle total sur les
ordinateurs, les contrleurs
de domaine et les serveurs
du domaine.
Changer les quotas de mmoire d'un processus,
Outrepasser le contrle de parcours, Modifier
l'heure du systme, Crer un fichier pagin,
Dboguer des programmes, Permettre aux
comptes d'ordinateurs et d'utilisateurs d'tre
approuvs pour la dlgation, Forcer l'arrt partir
d'un systme distant, Augmenter la priorit de
planification, Charger et dcharger les pilotes de
priphrique, Permettre l'ouverture d'une session
locale, Grer le journal d'audit et de scurit,
Modifier les valeurs d'environnement de
microprogrammation, Optimiser un processus,
Optimiser les performances systme, Retirer un
ordinateur d'une station d'accueil, Restaurer des
fichiers et des rpertoires, Arrter le systme,
Prendre possession des fichiers ou d'autres objets.
Administrateur (U) (SID: S-1-5-x-
500).
Contrleurs du domaine
(SID : S-1-5-x-516)
Ce groupe regroupe tous
les contrleurs de domaine
prsent dans le domaine.
Aucun. Liste de tous les contrleurs de
domaine du domaine.
DnsAdmins
(SID : S-1-5-x-1007)
pourront administrer les
services DNS du domaine.
Aucun. Aucun.
DnsUpdateProxy
(SID : S-1-5-x-1108)
peuvent effectuer des mises
jour DNS.
Aucun. Aucun.
Editeurs de certificats
(SID : S-1-5-x-517)
peuvent accepter, refuser la
cration de certificat mais
aussi les rvoquer pour un
utilisateur ou un ordinateur.
Aucun. Aucun.
HelpServicesGroup
(SID : S-1-5-x-1003)
Ce groupe ne permet
quaux administrateurs de
fixer des droits tous les
applications de support aux
Aucun. SUPPORT_z (U) (SID: S-1-5-x-
1001).

139
utilisateurs. Ne pas y
ajouter de membres.
IIS_WPG
(SID : S-1-5-x-1000)
Ce groupe permettra aux
processus de pouvoir
excuter des applications
internet.
Aucun. IWAM_z (U).
Invits du domaine
(SID : S-1-5-x-514)
Ce groupe contient la liste
de tous les invits du
domaine
Aucun. Invit (U) (SID : S-1-5-x-501).
Ordinateurs du domaine
(SID : S-1-5-x-515)
de tous les ordinateurs du
domaine
Aucun. Liste de tous les ordinateurs du
domaine.
Propritaires crateurs de
la stratgie de groupe
(SID : S-1-5-x-520)
peuvent modifier les
Stratgies de groupe du
domaine.
Aucun. Administrateur (U) (SID: S-1-5-x-
500).
Serveurs RAS et IAS (SID :
S-1-5-x-520)
sont des ordinateurs. Ils
permettent ceux qui y sont
list de pouvoir consulter la
stratgie daccs distant
des utilisateurs du domaine.
Aucun. Aucun.
Telnet Clients
(SID : S-1-5-x-1002)
peuvent accder aux
serveurs Telnet du domaine
Aucun. Aucun.
Utilisa. du domaine
(SID : S-1-5-x-513)
de tous les utilisateurs du
domaine.
Aucun Liste de tous les utilisateurs du
domaine.
Utilisateurs DHCP
(SID : S-1-5-x-1003)
peuvent accder en lecture
aux outils DHCP du
domaine.
Aucun. Aucun.
Utilisateurs WINS
(SID : S-1-5-x-1109)
peuvent accder en lecture
aux outils WINS du
domaine.
Aucun. DHCPViewer (U) (SID: S-1-5-x-
1005).
x = combinaison de chiffre identifiant le domaine
y = combinaison de chiffre identifiant le domaine source (root domain)
z = nom NETBIOS de la machine
U = Utilisateurs
G = Groupe
Par dfaut, plusieurs conteneurs existent la cration dun domaine ; lun est une OU (et
contient mme une GPO par dfaut) mais la plupart sont des conteneurs par dfaut qui ne
permettent ni de leur appliquer directement des stratgies de groupe, ni de crer des OU
filles.
On trouve ainsi :
Builtin
Contient les utilisateurs et groupes de scurit existant par
dfaut.
Computers
Reoit par dfaut les comptes dordinateur.
Domain Controllers
(OU)
Reoit par dfaut les comptes dordinateurs Contrleurs de
Domaine.
Une GPO est applique par dfaut ce conteneur.
ForeignSecurityPrincipal
Contient les identificateurs de scurit (SID).
Users
Reoit par dfaut les comptes dutilisateurs.
LostAndFound
Accueille les objets orphelins dont le conteneur nexiste
plus.
System
Contient des paramtres systmes.

140
Des diffrences notables selon les situations et
encore de grosses volutions par rapport Windows
NT 4.0.
Windows 2000 Pro
ou XP ou
autonome
Contrleur de domaine Windows 2000/Server 2003
Une seule sorte
de groupe :
groupes locaux
Il y a plusieurs sortes de groupes dans un domaine et plus encore sous
Windows 2000 que sous Windows NT.
Une nouvelle notion apparat, dans Windows 2000, la notion de groupe de
distribution.
Nouvelle tendue pour les groupes de distribution, l'tendue universelle.
En rsum...
Types de groupes de scurit de distribution
tendues
Domaine locale
Globale
Domaine locale
Globale
Universelle
De plus, selon le type d'installation d'Active Directory, les combinaisons
d'inclusion de groupe dans des groupes sont infiniment plus varies et
rcursives.
Rappel : dans Windows NT, un seul niveau d'inclusion et exclusivement de
groupe global dans groupe local.

Cration de groupe
Windows 2000 ou XP Pro ou autonome Contrleur de domaine Windows 2000/Server 2003
Ouvrir Gestion de l'ordinateur
Dvelopper Outils systme
Dvelopper Utilisateurs et groupes locaux
Clic droit sur Groupes, puis Nouveau groupe...
Donner un Nom de groupe et, ventuellement,
une Description
Vous pouvez tout de suite y mettre des
utilisateurs en cliquant sur le bouton Ajouter
Quant c'est fini, cliquez sur Crer pour valider la
cration du groupe.
Si vous cliquez sur Fermer vous perdez tout
ce que vous venez de faire. Le groupe n'est pas
cr.
Ouvrir Utilisateurs et ordinateurs Active
Directory
Dvelopper votre domaine administrer
Clic droit sur Users, puis Nouveau, puis Groupe
Saisir le Nom de groupe (le Nom de groupe avant
l'installation de Windows 2000/Server 2003 se
remplit tout seul)
Spcifier le type et l'tendue du groupe
Cliquer sur Ok
Ici, le remplissage du groupe se fait aprs la
cration.

141
On peut faire la mme chose en ligne de
commande avec : net group
Syntaxe complte avec : net help localgroup |
more
Exemple :
net localgroup Gp_totos /add
/comment:"Groupe des totos"
On peut faire la mme chose en ligne de
commande avec :
net localgroup pour les groupes locaux
net group pour les groupes globaux
Syntaxe complte avec : net help localgroup |
more
ou net help group | more
Exemple :
net localgroup Lp_totos /add
/comment:"Groupe local des totos"
net group Gp_totos /add /comment:"Groupe
global des totos"
Les groupes ainsi crs sont des groupes de
scurit.

La porte de groupe dfinit galement les rgles d'adhsion un groupe. Ces
rgles d'adhsion dterminent les types de comptes pouvant tre placs dans ce
groupe.
142

Lors de l'utilisation de groupes globaux et de groupes locaux de domaine, il est
recommand d'opter pour la stratgie suivante : placez les comptes d'utilisateur dans
les groupes globaux, puis placez les groupes globaux dans les groupes locaux de
domaine, et accordez aux groupes locaux de domaine des autorisations sur les
ressources. Cette stratgie offre une grande souplesse tout en simplifiant l'octroi
d'autorisations d'accs aux ressources du rseau.

Si vous configurez les ACLs pour des groupes de ressource ou des groupes de scurit,
ajoutez ou enlevez des utilisateurs ou des ressources des groupes appropris quand votre
organisation change, il est plus facile de contrler et vrifier des droits utilisateur et
permissions cela rduit le besoin de changer les ACLs.
Il y a deux types d'ACLs - Discretionary Access Control Lists (DACLs), qui identifie les
utilisateurs et les groupes dont on permet ou refuse l'accs et des System Access Control
Lists (SACLs), qui contrle comment l'accs est audit.
Utilisez des groupes universels pour intgrer des groupes qui couvrent des domaines
multiples. Excutez la procdure ci-dessous.
1. Dans chaque domaine, ajoutez aux groupes globaux des comptes d'utilisateur ayant la
mme fonction.
2. Imbriquez des groupes globaux dans un seul groupe global pour intgrer les
utilisateurs. Cette tape est facultative, mais elle est trs utile si vous souhaitez grer des
groupes importants d'utilisateurs.
3. Imbriquez en un seul groupe universel le groupe global ou plusieurs groupes globaux
de chaque domaine.
4. Ajoutez les groupes universels aux groupes locaux du domaine qui sont crs pour
chaque ressource.
5. Affectez aux groupes locaux du domaine les autorisations appropries pour que les
utilisateurs du groupe puissent accder aux ressources.
Grce cette stratgie, les modifications d'appartenance dans les groupes globaux
n'affectent pas l'appartenance aux groupes universels.


143

Appliquez la stratgie C G A aux forts contenant un domaine unique et trs
peu d'utilisateurs et auxquelles vous n'ajouterez jamais aucun autre domaine.

La stratgie C G A prsente les avantages suivants :
- Les groupes ne sont pas imbriqus et la rsolution des problmes peut
s'avrer plus simple.
- Les comptes appartiennent une seule tendue de groupe.

La stratgie C G A prsente les inconvnients suivants :
- Chaque fois qu'un utilisateur s'authentifie auprs d'une ressource, le serveur
doit contrler l'appartenance au groupe global pour dterminer si l'utilisateur
est encore membre du groupe.
- Les performances diminuent car un groupe global n'est pas mis dans le cache.

Appliquez la stratgie C G DL A une fort comprenant un ou plusieurs
domaines et laquelle vous tes susceptible d'ajouter d'autres domaines par la
suite.

La stratgie C G DL A prsente les avantages suivants :
- Les domaines sont flexibles.
- Les propritaires des ressources ncessitent moins d'accs Active Directory
pour scuriser en souplesse leurs ressources.

La stratgie C G DL A prsente les inconvnients suivants :
- Une structure d'administration multiniveau est plus complexe configurer au
dpart, mais plus facile administrer par la suite.

Appliquez la stratgie C G U DL A une fort comprenant plusieurs domaines
et o les administrateurs ncessitent de centraliser l'administration de
nombreux groupes globaux.

La stratgie C G U DL A prsente les avantages suivants :
- Elle offre une grande flexibilit dans l'ensemble de la fort.
- Elle permet une administration centralise.

La stratgie C G U DL A prsente l'inconvnient suivant :
- L'appartenance aux groupes universels est enregistre dans le catalogue
global.

144
Active Directory sur Windows Server 2003 permet d'affecter un responsable
un groupe sous la forme d'une proprit du groupe. Vous pouvez ds lors :
- identifier le responsable des diffrents groupes ;
- dlguer au responsable du groupe l'autorisation d'ajouter et de
supprimer des utilisateurs dans le groupe.

tant donn que dans les grandes entreprises, des employs entrent et sortent
continuellement des groupes, certaines entreprises distribuent la responsabilit
d'administration de l'ajout d'utilisateurs aux groupes aux personnes qui ont demand
le groupe.

Pour affecter un responsable un groupe, procdez comme suit :
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur le groupe
auquel vous voulez affecter un responsable.
2. Sous l'onglet Gr par de la bote de dialogue Proprits, cliquez sur Modifier pour affecter un
responsable au groupe ou pour changer le responsable du groupe.
3. Dans la zone Entrer le nom de l'objet slectionner de la bote de dialogue Slectionnez Utilisateur
ou Contact, nom de l'utilisateur responsable du groupe, puis cliquez sur OK.
4. Activez la case cocher Le gestionnaire peut mettre jour la liste des membres si vous voulez que le
responsable puisse ajouter ou supprimer des utilisateurs et des groupes.
5. Dans la bote de dialogue Proprits, cliquez sur OK.


145
Questions/Rponses

1). Le sige social de Contoso, Ltd. comporte un seul domaine, situ Paris. Les gestionnaires de
Contoso, Ltd. doivent accder la base de donnes Inventory pour leur travail.
Que pouvez-vous faire pour qu'ils disposent de l'accs ncessaire la base de donnes
Inventory ?
a) Placer tous les gestionnaires dans un groupe global.
b) Crer un groupe local de domaine pour accder la base de donnes Inventory.
c) Ajouter le groupe global au groupe local de domaine et affecter des autorisations d'accs
la base de donnes Inventory du groupe local de domaine.

2). Contoso, Ltd. dsire tre en mesure de ragir plus rapidement aux demandes du march. Il a
t dtermin que les donnes comptables doivent tre disponibles pour la totalit du personnel
de la comptabilit. Contoso, Ltd. dsire crer la structure de groupe pour toute la division
Accounting, qui comprend lui-mme les services Accounts Payable et Accounts Receivable.
Que pouvez-vous faire pour garantir que les directeurs ont l'accs requis et que l'administration
est rduite au strict minimum ?
a) Vrifiez que votre rseau fonctionne en mode natif. Si ce n'est pas le cas, vous devrez tout
d'abord le convertir en rseau en mode natif.
b) Crez trois groupes globaux. Un groupe appel Accounting Division reprsentera tout le
personnel de la comptabilit. Nommez les deux autres groupes Accounts Payable et
Accounts Receivable, pour reprsenter la structure de l'organisation interne du service
Accounting. Ajoutez les groupes Accounts Payable et Accounts Receivable dans le groupe
global Accounting Division de chaque domaine.
c) Placez le groupe global Accounting Division dans le groupe local de domaine, pour que
les utilisateurs puissent accder aux donnes comptables.
d) Crez un groupe local de domaine appel Accounting Data. Ajoutez ce groupe au fichier
de ressources des donnes comptables, avec les autorisations appropries.

3). Dans cet exemple, Contoso, Ltd. veut ragir plus rapidement pour commercialiser les
demandes. Les donnes comptables relatives aux domaines multiples de l'entreprise doivent tre
disponibles pour l'ensemble du personnel de la comptabilit, qui se trouve galement dans des
domaines multiples.
Contoso, Ltd. souhaite crer la structure des groupes pour la division Comptabilit, qui inclut les
services Compte clients et Compte fournisseurs.
1. Que pouvez-vous faire pour garantir que les responsables ont l'accs requis et que
l'administration est rduite au strict minimum ?
a) Assurez-vous que le rseau fonctionne en mode natif. Si ce n'est pas le cas, vous devez
d'abord le convertir en un rseau en mode natif.
b) Crez trois groupes globaux dans chaque domaine. Un groupe appel Comptables de
domaine va reprsenter tous les comptables de service de chaque domaine. Nommez les
deux autres groupes Compte clients et Comptes fournisseurs pour reprsenter la
structure organisationnelle du service de comptabilit. Ajoutez les utilisateurs appropris
aux groupes Compte clients et Compte fournisseurs. Imbriquez les groupes Compte clients
et Compte fournisseurs dans le groupe global Division comptable de chaque domaine.
c) Crez un groupe universel appel Tous les comptables pour intgrer tous les
employs de la comptabilit dans la fort. Ajoutez au groupe universel tous les groupes
globaux de chaque domaine appel Comptables de domaine.
d) Dans chaque domaine, crez un groupe local de domaine appel Donnes comptables .
Placez le fichier de ressources des donnes comptables dans ce groupe avec les autorisations
Contrle total pour le groupe local du domaine.
e) Ajoutez le groupe universel dans chaque groupe local du domaine pour que les
utilisateurs puissent accder aux donnes comptables.

4). Contoso, Ltd. a connu une augmentation de son chiffre d'affaires. Vous devez donc crer un
domaine. Quelles modifications allez-vous apporter la structure du groupe pour vous assurer
146
que tous les comptables de l'entreprise, y compris ceux du nouveau domaine, peuvent accder
toutes les donnes comptables ?
a) Crez trois groupes globaux dans le nouveau domaine. Nommez-les comme dans les
autres domaines et imbriquez les groupes globaux Compte clients et Compte fournisseurs
dans le groupe global Division comptable.
b) Crez un groupe local de domaine pour les donnes comptables et dfinissez les mmes
autorisations pour le fichier de ressources des autres domaines.
c) Ajoutez le groupe global Division comptable au groupe universel Tous les comptables.
Puis ajoutez le groupe Tous les comptables au nouveau groupe local de domaine.
Maintenant, tous les nouveaux comptables peuvent accder toutes les donnes comptables
de l'entreprise.


147
Dans cet exercice, vous allez crer un groupe global,
lui ajouter un compte d'utilisateur, puis ajouter le
groupe global un groupe de domaine local intgr.
` TP raliser.
==============================================================================
Utilisateur : Marcel
Se connecter : Bourges
b. Dans le menu Outils d'administration, lancer Utilisateurs et ordinateurs Active Directory en tant que
Administrateurs
c. Dans l'arborescence de la console, dveloppez Bourges.eds, bouton droit sur Bourges.eds, puis Nouveau puis
Unit dOrganisation, nommer l ServeurOU (o Serveur reprsente le nom affect votre ordinateur), puis
cliquez sur ServeurOU. Dans l'arborescence de la console, dveloppez Bourges.eds, bouton droit sur
Bourges.eds, puis Nouveau puis Utilisateur, Prenom : Backupx (o x reprsente le numro de stagiaire qui vous
a t affect), dans Nom douverture de session de lutilisateur : Backupx, puis sur Suivant, Mot de passe :
P@sswrd1, Confirmer le mot de passe : P@sswrd1, dcocher : Lutilisateurdoit changer le mot de passe la
prochaine ouverture de session, et cocher : Le mot de passe nexpire jamais, puis sur Suivant et Terminer
d. Cliquez avec le bouton droit sur ServeurOU, pointez sur Nouveau, puis cliquez sur Groupe.
e. Dans la zone Nom de groupe, tapez Serveur Backup Admins (o Serveur reprsente le nom affect votre
ordinateur).
f. Vrifiez que l'tendue du groupe est Globale et que le type du groupe est Scurit, puis cliquez sur OK.
Quelle tape du processus A G DL P avez-vous ralise ?
______________________________________________________________________________________
______________________________________________________________________________________
==============================================================================
a. Dans le volet de dtails, double-cliquez sur Serveur Backup Admins (o Serveur reprsente le nom affect
votre ordinateur).
b. Dans la bote de dialogue Proprits de Serveur Backup Admins, dans l'onglet Membres, cliquez sur Ajouter.
c. Dans la bote de dialogue Slectionnez Utilisateurs, Contacts, ou Ordinateurs, sous Entrez les noms des
objets slectionner, saisir Backupx (o x reprsente le numro de stagiaire qui vous a t affect), puis sur
Vrifier les noms, puis sur, puis sur OK.
d. Cliquez sur OK pour fermer la bote de dialogue Proprits de Serveur Backup Admins.
ce stade de l'atelier, quelle tape du processus A G DL P avez-vous ralise ?
______________________________________________________________________________________
______________________________________________________________________________________
==============================================================================
a. Dans l'arborescence de la console, cliquez sur Builtin, puis dans le volet de dtails, double-cliquez sur
Oprateurs de sauvegarde.
b. Dans la bote de dialogue Proprits de Oprateurs de sauvegarde, dans l'onglet Membres, essayez d'ajouter
le groupe Serveur Backup Admins (o Serveur reprsente le nom affect votre ordinateur) au groupe de
domaine local Oprateurs de sauvegarde en cliquant sur Ajouter.
c. Dans la bote de dialogue Slectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes, sous Nom, cliquez
sur Serveur Backup Admins (o Serveur reprsente le nom affect votre ordinateur), cliquez sur Ajouter, puis
sur OK.
d. Cliquez sur OK pour fermer la bote de dialogue Proprits de Oprateurs de sauvegarde, puis fermez la
console Utilisateurs et ordinateurs Active Directory.
tes-vous parvenu ajouter un membre au groupe Oprateurs de sauvegarde ?
______________________________________________________________________________________
______________________________________________________________________________________
==============================================================================
ce stade de l'atelier, quelle tape du processus A G DL P avez-vous ralise ?
______________________________________________________________________________________
______________________________________________________________________________________
Comment raliseriez-vous l'tape P du processus A G DL P ?
______________________________________________________________________________________
______________________________________________________________________________________
e. Fermez la session.
==============================================================================

P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
148
PRSENTATION DES COMPTES D'UTILISATEURS
Un compte d'utilisateur est un objet qui regroupe toutes les informations dfinissant
un utilisateur sur Windows Server 2003. Ce compte peut tre un compte local ou un
compte de domaine. Il contient le nom d'utilisateur et le mot de passe avec lesquels
l'utilisateur ouvre une session, et les groupes dont le compte d'utilisateur est membre.
Vous pouvez utiliser un compte d'utilisateur pour :
- permettre un utilisateur d'ouvrir une session sur un ordinateur en fonction
de l'identit du compte d'utilisateur ;
- permettre aux processus et aux services de s'excuter sous un contexte de
scurit spcifique ;
- administrer les accs d'un utilisateur des ressources telles que des objets
Active Directory et leurs proprits, des dossiers partags, des fichiers, des
rpertoires et des files d'attente d'impression.

La cration de comptes reprsente une part importante de votre travail
dadministrateur. Lorganisation et le paramtrage sont les aspects les plus
importants de la cration de comptes. Sans les stratgies appropries, vous serez trs
rapidement amen rviser lensemble de vos comptes dutilisateurs. Dfinissez les
donc avant de crer des comptes (stratgies de noms de comptes ainsi que la stratgie
de mots de passe).
Les comptes dutilisateurs permettent aux utlisateurs individuels douvrir une session
sur le rseau et daccder ses ressources. Les comptes de groupes grent les
ressources de plusieurs utilisateurs. Les autorisations et les privilges attribus ces
comptes dterminent les actions des utilisateurs ainsi que les ressources et les
systmes auxquels ils accdent.

149
Compte dutilisateur
Un compte d'utilisateur contient les rfrences propres un utilisateur, et lui permet
d'ouvrir une session soit sur le domaine pour accder aux ressources rseau, soit sur
un ordinateur particulier pour en utiliser les ressources. Chaque personne qui se
connecte rgulirement au rseau doit disposer d'un compte d'utilisateur.

Le compte prdfini Administrateur dispose dun accs complet aux fichiers,
rpertoires, services et autres ressources. Vous ne pouvez ni le supprimer, ni le
dsactiver. Dans AD, ce compte dispose de laccs et des privilges complets sur
lensemble du domaine. Par dfaut le compte Administrateur dun domaine fait
partie des groupes suivants : Administrateurs, Admins du domaine, Utilisateurs du
domaine, Administrateurs de lentreprise, Propritaires crateurs de la stratgie de
groupe et Administrateurs du schma.

Le compte ASPNET est utilis par .NET Framework afin que les processus
ASP.NET puissent fonctionner. Il a les mmes privilges que les utilisateurs
ordinaires du domaine.

Le compte Invit est conu pour les utilisateurs qui ont besoin dun accs
execptionnel ou ponctuel. Bien que les invits ne disposent que de privilges systme
limits, vous devez vous montrer prudent quant lutilisationde ce compte. Cest
pourquoi le compte est dsactiv lors de linstallation de Windows Server 2003.
Ce compte est membre par dfaut des groupes Invits du domaine et Invits.
Comme tous les autres comptes nomms il est aussi membre du groupe implicite
Tout le monde.

Le compte Support est utilis par le Service Aide et support. Ce compte est membre
des groupes Utilisateurs du domaine et HelpServicesGroup. Il a le droit douvrir une
session en tant que travail en mode tche (batch). Le compte Support peut aussi
excuter des mises jour en mode tche.
Le compte support refuse les ouvertures de sessions locales (autrement quen tant
que batch) et refuse laccs lordinateur via le rseau.
Groupes et identits implicites
Windows Server 2003 dfinit un ensemble didentits particulires que vous pouvez
employer pour attribuer des autorisations dans certaines situations.
Vous leurs assignez gnralement des autorisations de manire implicite.Toutefois,
vous pouvez leur en assigner lorsque vous modifiez des objets AD.

Voici quelques autres identits particulires :
Identit Entreprise Domain Controllers (S-1-5-3)
Les contrleurs de domaine dots de cette responsabilit et de rles dans toute
lentreprise possdent cette identit. Elle leur permet dexcuter certaines tches dans
lentreprise laide des approbations transitives.

Identit Ligne
Tout utilisateur accdant au systme par lintermdiaire dune connexion daccs
distance possde cette identit. Elle permet de distinguer les utilisateurs distants des
autres types dutilisateurs.
150

Identit Proxy
Les utilisateurs et ordinateurs accdant aux ressources par lintermdiaire dun proxy
possdent cette identit. Elle est employe lorsque des proxy sont implments sur le
rseau.

Identit Restricted
Les utilisateurs et ordinateurs disposant de droits restreints possdent cette identit.
Sur un serveur membre ou une station de travail, un utilisateur local membre du
groupe Utilisateurs (au lieu du groupe Utilisateurs avec Pouvoir) possde cette
identit.

Identit Self (S-1-5-10)
Lidentit Self se rfre lobjet et autorise celui-ci se modifier lui-mme.
Identit Service
Tout sservice accdant au systme possde cette identit. Elle accorde laccs aux
processus excuts par des services Windows Server 2003.

Identit Tche
Tout utilisateur ou processus accdant au systme en tant que tche (ou par
lintermdiaire dune file dattente de tches) possde cette identit. Elle permet
lexcution de tches programmes, par exemple un travail de nettoyage nocturne
supprimant les fichiers temporaires.

Identit Utilisateur Terminal Server (S-1-5-13)
Tout utilisateur accdant au systme par lintermdiaire des services Terminal Server
possde cette identit. Elle permet aux utilisateurs de Terminal Server daccder aux
applications Terminal Server et dexcuter dautres tches ncessaires avec les
services Terminal Server.

Important : Vous ne pouvez pas crer de comptes d'utilisateurs locaux sur un
contrleur de domaine.

Remarque : Un nom d'utilisateur ne peut tre identique un autre nom d'utilisateur ou
un nom de groupe existant sur l'ordinateur administr.


151
Tous les comptes dutilisateurs sont identifis laide dun nom douverture de
session. Dans Windows Server 2003, ce nom a deux parties : Nom dutilisateur et
Station de travail ou de domaine de lutilisateur.
Pour lutilisateur jdupont, dont le compte est cr dans le domaine gefi-sa.com, le
nom douverture de session complet de Windows Server 2003 est jdupont@gefi-
sa.com. Le nom douverture de session avant linstallation de Windows Server 2003
est GEFI-SA\jdupont.

Lorsque vous travaillez avec Active Directory, vous devez galement spcifier le
nom de domaine complet (ou totalement qualifi) de lutiisateur. Le nom de domaine
complet dun groupe est une combinaison du nom de domaine DNS, de
lemplacement du conteneur ou de lunit dorganisation, et du nom du groupe.

Pour lutilisateur Gefi-sa\Users\jdupont, Gefi-sa.com est le nom de domaine DNS,
Users lemplacement du conteneur ou de lunit dorganisation, et jdupont le nom de
lutilisateur.
Des mots de passe et des certificats publics sont galement assocos aux comptes
dutilisateurs. Les mots de passe sont des chanes dauthentification dun compte.
Les certificats publics combinent une cl publique et prive pour identifier un
utilisateur. Vous ouvrez une session avec un mot de passe de manire interactive.
Vous ouvrez une session avec un certificat public laide dune carte puce et dun
lecteur de carte puce.
Respectez les instructions ci-dessous concernant les
conventions de dnomination.
_ Les noms d'ouverture de session des comptes d'utilisateur de domaine doivent tre
uniques dans Active Directory. Les noms complets des comptes d'utilisateur de
domaine doivent tre uniques dans le domaine dans lequel vous crez le compte
d'utilisateur. Les noms des comptes d'utilisateur locaux doivent tre uniques sur
l'ordinateur sur lequel vous crez le compte d'utilisateur local.

_ Les noms d'ouverture de session de l'utilisateur peuvent contenir jusqu' 104
caractres. Toutefois, ceux qui en comportent plus de 64 ne sont pas trs prtiques.
Un nom douverture de session Microsoft Windows NT, version 4.0 ou antrieure,
est attribu tous les comptes. Par dfaut il est form des 20 premiers caractres
majuscules et minuscules l'exception des caractres suivants : / \ [ ] : ; | = , + * ?
< >
Vous pouvez utiliser une combinaison de caractres spciaux et alphanumriques
pour permettre d'identifier de faon unique les comptes d'utilisateur.
Pour affecter des mots de passe aux comptes d'utilisateur, prenez en
compte les instructions ci-dessous.
_ Affectez toujours un mot de passe au compte Administrateur pour viter tout accs
non autoris ce compte.
_ Dterminez si les mots de passe seront contrls par vous-mme ou par les
utilisateurs. Vous pouvez affecter des mots de passe uniques aux comptes
d'utilisateur, et empcher les utilisateurs de les modifier, ou vous pouvez permettre
ceux-ci d'entrer le mot de passe de leur choix lors de leur premire ouverture de
152
session. Dans la plupart des cas, il est conseill de laisser aux utilisateurs le contrle
de leur mot de passe.
_ Expliquez aux utilisateurs l'importance d'employer un mot de passe complexe,
difficile deviner.
_ vitez d'utiliser des mots de passe reprsentant une association vidente, par
exemple le prnom d'un membre de la famille de l'utilisateur.
_ Utilisez de longs mots de passe, ils seront d'autant plus difficiles trouver.
Les mots de passe peuvent comporter jusqu' 104 caractres avec le service dannuaire
Active Directory et jusqu 14 caractres avec le Gestionnaire de scurit Windows NT
4.0. Il est recommand d'utiliser au minimum 8 caractres.
_ Utilisez une combinaison de lettres majuscules et minuscules, ainsi que des caractres
non alphanumriques.
Prsentation des noms d'ouverture de session
d'utilisateur
Sur un rseau Windows 2000/2003, un utilisateur peut ouvrir une session avec un
nom principal d'utilisateur ou un nom d'ouverture de session d'utilisateur (pr-
Windows 2000). Les contrleurs de domaine peuvent utiliser l'un de ces noms
d'ouverture de session pour authentifier la demande d'ouverture de session.

Nom principal d'utilisateur
Le nom principal d'utilisateur est le nom d'ouverture de session qui n'est utilis que
pour se connecter un Rseau Windows 2000. Ce nom est galement appel nom
d'ouverture de session d'utilisateur.
Un nom principal d'utilisateur est compos de deux parties, qui sont spares par le
signe @; par exemple suzanf@bourges.eds. Un nom d'ouverture de session
d'utilisateur comporte les deux composants ci-dessous.
_ Le prfixe de nom principal d'utilisateur qui, dans l'exemple suzanf@bourges.eds,
est suzanf.

153
_ Le suffixe de nom principal d'utilisateur qui, dans l'exemple suzanf@bourges.eds,
est bourges.eds. Par dfaut, le suffixe est le nom du domaine racine du rseau. Vous
pouvez utiliser les autres domaines du rseau pour configurer d'autres suffixes
destination des utilisateurs. Par exemple, si vous dsirez crer des noms d'ouverture
de session d'utilisateur qui correspondent aux adresses de messagerie lectronique,
vous pouvez configurer un suffixe en consquence.

Les avantages de l'utilisation du nom principal d'utilisateur sont dcrits ci-dessous.
_ Le nom principal d'utilisateur ne change pas si vous dplacez un compte
d'utilisateur dans un autre domaine, car ce nom est unique dans Active Directory.
_ Un nom principal d'utilisateur peut tre identique l'adresse de messagerie
lectronique de cet utilisateur, car il a le mme format qu'une adresse de messagerie
lectronique standard.
Nom d'ouverture de session d'utilisateur (pr-Windows 2000)
Si un utilisateur ouvre une session sur le rseau partir d'un ordinateur client
excutant une version de Windows antrieure Windows 2000, il devra se connecter
en utilisant le nom d'ouverture de session d'utilisateur (pr-Windows 2000).
Un nom d'ouverture de session d'utilisateur (pr-Windows 2000) est un nom de
compte d'utilisateur, tel que suzanf dans l'exemple suzanf@bourges.eds.
Lorsqu'un utilisateur ouvre une session l'aide d'un nom d'ouverture de session
d'utilisateur (pr-Windows 2000), il doit aussi indiquer le domaine sur lequel son
compte d'utilisateur existe, pour permettre au contrleur de domaine charg de
l'authentifier de trouver le compte d'utilisateur.
Si un utilisateur se connecte une ressource rseau avec un autre compte d'utilisateur
que celui avec lequel il a ouvert la session, il doit indiquer le domaine et le nom
d'ouverture de session d'utilisateur (pr-Windows 2000) pour authentification (par
exemple bourges\suzanf).
Rgles d'unicit du nom d'ouverture de session d'utilisateur
Les noms d'ouverture de session de l'utilisateur des comptes d'utilisateur de domaine
doivent respecter les rgles d'unicit d'Active Directory. Lors de la cration de noms
d'ouverture de session d'utilisateur, prenez en compte les rgles d'unicit ci-dessous.
_ Le nom complet doit tre unique dans le conteneur o vous crez le compte
d'utilisateur. Le nom complet est utilis comme nom unique relatif.
_ Le nom principal de l'utilisateur doit tre unique dans la fort.
_ Le nom d'ouverture de session d'utilisateur (pr-Windows 2000) doit tre unique
dans le domaine.
Cration d'un suffixe de nom principal d'utilisateur
Lorsque vous crez un compte d'utilisateur dans la console Utilisateurs et ordinateurs
Active Directory, vous devez slectionner un suffixe de nom principal d'utilisateur.
Si le suffixe dsir n'existe pas dans la console Utilisateurs et ordinateurs Active
Directory, vous pouvez l'ajouter. Le suffixe de nom principal d'utilisateur vous
permet de simplifier les processus d'administration et d'ouverture de session en
fournissant un seul suffixe de nom principal tous les utilisateurs.
Pour ajouter un nouveau suffixe dans la console Domaines et approbations Active
Directory, vous devez tre membre du groupe prdfini Administrateurs de
l'entreprise.

154
Pour ajouter un nouveau suffixe, excutez la procdure ci-dessous.
1. Dans la console Domaines et approbations Active Directory, dans l'arborescence de la console, cliquez avec le bouton droit
sur Domaines et approbations Active Directory, puis cliquez sur Proprits.
2. Dans l'onglet Suffixes UPN, tapez un autre suffixe UPN pour le domaine, puis cliquez sur Ajouter.

Remarque : Si vous avez cr un compte d'utilisateur l'aide d'un autre programme
que Utilisateurs et ordinateurs Active Directory, vous n'tes pas limit aux suffixes
de nom principal d'utilisateur conservs dans Active Directory. Vous pouvez dfinir
un suffixe lorsque vous crez le compte.


155
Cration d'un compte d'utilisateur de domaine

Pour crer un compte d'utilisateur de domaine, suivez la procdure ci-dessous.
1. partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory, puis
dveloppez le domaine dans lequel vous souhaitez ajouter un compte d'utilisateur.
2. Cliquez avec le bouton droit sur le dossier qui contiendra le compte d'utilisateur, pointez sur Nouveau, puis
cliquez sur User.

Le tableau suivant dcrit les options que vous pouvez configurer :
Option Description
Prnom Prnom de l'utilisateur.
Initiales Diminutif de l'utilisateur. Il ne s'agit pas d'une entre
obligatoire.
Nom Nom de famille de l'utilisateur.
Nom dtaill Nom complet de l'utilisateur. Ce nom doit tre
unique dans le dossier dans lequel vous crez le compte.
Windows 2000 complte automatiquement cette option si
vous avez entr des informations dans les zones Prnom
ou Nom, puis affiche ce nom dans le dossier dans lequel se
trouve le compte d'utilisateur dans Active Directory.
Nom d'ouverture Nom d'ouverture de session unique de l'utilisateur tabli en
de session de l'utilisateur fonction des conventions de dnomination. Ce paramtre est
obligatoire et doit tre unique dans Active Directory.
Nom d'ouverture Nom d'ouverture de session unique de l'utilisateur pour de session de
l'utilisateur (avant ouvrir des sessions partir de versions antrieures de l'installation de
Windows 2000) Microsoft Windows. Ce paramtre est obligatoire et doit
tre unique dans Active Directory.

156
Dfinition des options de mot de passe

Un compte d'utilisateur de domaine rside sur un contrleur de domaine. Il est ensuite
dupliqu automatiquement sur tous les autres contrleurs de domaine.
Vous pouvez crer le compte d'utilisateur de domaine dans le dossier Users par dfaut, ou
dans un autre dossier cr pour recevoir les comptes d'utilisateur de domaine.
Le tableau suivant dcrit les options de mot de passe que vous pouvez configurer lors de
l'affectation d'un mot de passe un compte d'utilisateur de domaine :

Option Description
Mot de passe Mot de passe utilis pour authentifier l'utilisateur. Pour
plus de scurit, affectez toujours un mot de passe. Le mot
de passe est invisible lorsque vous le tapez : il es reprsent
par une suite d'astrisques (*).

Confirmer le mot de Confirmez le mot de passe en le tapant une seconde fois
passe pour vrifier qu'il a t correctement entr. Il s'agit d'une
entre obligatoire.

L'utilisateur doit Activez cette case cocher pour que l'utilisateur change de
changer de mot de mot de passe la prochaine ouverture de session. Cette
passe la prochaine opration garantit que l'utilisateur est seul connatre le
ouverture de session mot de passe.

L'utilisateur ne peut pas Activez cette case cocher si plusieurs personnes utilisent
changer de mot le mme compte d'utilisateur de domaine (Invit, par
de passe exemple) ou pour garantir le contrle des mots de passe
des comptes d'utilisateur. En procdant ainsi, seuls les
administrateurs contrlent les mots de passe.

Le mot de passe Activez cette case cocher si vous voulez que le mot de
n'expire jamais passe ne soit jamais chang (par exemple pour un compte
d'utilisateur de domaine qui sera utilis par une application
ou un service de Windows 2000).

Le compte est dsactiv Activez cette case cocher pour empcher l'utilisation de
ce compte d'utilisateur (par exemple, pour le compte d'un
nouvel employ qui n'a pas encore commenc travailler).


157
Dfinition des proprits personnelles

La bote de dialogue Proprits contient des informations sur chaque compte
d'utilisateur. Elles sont stockes dans Active Directory. Plus elles sont compltes, plus il
sera facile de rechercher des utilisateurs dans Active Directory. Par exemple, si toutes les
proprits de l'onglet Adresse sont compltes, vous pouvez rechercher l'utilisateur en
utilisant son adresse postale comme critre de recherche.

Onglet Objet
Gnral Permet d'indiquer le nom de l'utilisateur, une description, l'emplacement de
son bureau, son numro de tlphone, son alias de messagerie lectronique et
des informations sur sa page d'accueil.
Adresse Permet d'indiquer l'adresse postale de l'utilisateur, sa bote postale, la ville,
l'tat ou la rgion, le code postal et le pays.
Compte Permet d'indiquer le nom d'ouverture de session de l'utilisateur, de
dfinir des options de compte et d'en indiquer la date d'expiration.
Profil Permet d'indiquer le chemin d'accs du profil de l'utilisateur et de son dossier
de base.
Tlphones Permet d'indiquer le numro de tlphone personnel de l'utilisateur, celui de
son rcepteur de tlmessagerie, de son tlphone portable, de son tlcopieur
et son adresse IP, ainsi que de taper des notes contenant des informations
descriptives sur cet utilisateur.
Organisation Permet d'indiquer le titre de l'utilisateur, son service, son responsable et ses
collaborateurs directs.
Membre de Permet d'indiquer les groupes auxquels appartient l'utilisateur.
Appel entrant Permet de dfinir les autorisations d'accs distance, les options de rappel,
l'adresse IP statique et les itinraires.
Environnement Permet de dfinir les applications qui seront automatiquement excutes lorsque
l'utilisateur ouvrira une session, et les quipements auxquels il sera alors
automatiquement connect.
Sessions Permet de dfinir les paramtres des services Terminal Server.
Contrle distant Permet de dfinir les paramtres de contrle distance des services Terminal Server.
Profil de servicesPermet de dfinir le profil d'utilisateur des services Terminal Server.
Terminal Server
158
Dfinition des proprits de compte

Dans l'onglet Compte de la bote de dialogue Proprits, vous pouvez configurer les
paramtres que vous avez spcifis lors de la cration d'un compte d'utilisateur de
domaine, par exemple les options de nom d'ouverture de session de l'utilisateur et
d'ouverture de session. Vous pouvez modifier les options de mot de passe en activant
ou dsactivant les cases cocher appropries sous Options de compte.
Options d'ouverture de session

La dfinition des options d'ouverture de session d'un compte d'utilisateur de domaine
vous permet de contrler les heures au cours desquelles un utilisateur pourra ouvrir
une session sur le domaine, ainsi que les ordinateurs partir desquels il pourra le
faire. Ces paramtres sont accessibles dans l'onglet Comptes.

159
Pour dfinir des heures d'ouverture de session, suivez la procdure ci-
dessous.
==============================================================================
1. Ouvrez la bote de dialogue Proprits du compte d'utilisateur. Dans l'onglet Compte, cliquez sur Horaires
d'accs.

La zone bleue indique les heures auxquelles l'utilisateur peut ouvrir des sessions. La zone blanche indique les
heures auxquelles l'utilisateur ne peut pas ouvrir de sessions.
2. Pour autoriser ou refuser l'accs, suivez l'une des procdures ci-dessous, puis cliquez sur OK.

Slectionnez les zones des jours et des heures pendant lesquels vous souhaitez refuser l'accs l'utilisateur en
cliquant sur l'heure de dbut, puis en faisant glisser la souris jusqu' l'heure de fin, et en cliquant sur Connexion
refuse.

Slectionnez les zones des jours et des heures pendant lesquels vous souhaitez accorder l'accs l'utilisateur
en cliquant sur l'heure de dbut, puis en faisant glisser la souris jusqu' l'heure de fin, et en cliquant sur Connexion
autorise.
==============================================================================
Dfinition des ordinateurs partir desquels l'utilisateur peut ouvrir
une session

Par dfaut, tout utilisateur disposant d'un compte valide peut ouvrir une session sur le
rseau partir de tout ordinateur excutant Windows 2000/2003. Sur un rseau pourvu
d'un niveau de scurit lev sur lequel des donnes stratgiques sont stockes sur les
ordinateurs locaux, vous pouvez limiter les ordinateurs partir desquels les utilisateurs
peuvent ouvrir des sessions sur le rseau. Par exemple, l'utilisateur1 peut ouvrir des
sessions uniquement partir de l'ordinateur1. Vous ne pouvez pas indiquer les ordinateurs
partir desquels il ne peut pas ouvrir de session.

160
==============================================================================
1. Ouvrez la bote de dialogue Proprits du compte d'utilisateur, puis, dans l'onglet Compte, cliquez sur Se
connecter .
2. Cliquez sur Les ordinateurs suivants. Ajoutez les ordinateurs partir desquels cet utilisateur peut ouvrir des
sessions, en tapant leurs noms dans la zone Nom de l'ordinateur, puis cliquez sur Ajouter. Lorsque vous avez fini
d'ajouter des ordinateurs, cliquez sur OK.
==============================================================================

Remarque : Les restrictions dautorisation des stations de travail ne portent que sur
les ordinateurs Microsoft Windows NT, Windows 2000 et Windows XP du domaine.
Si ce dernier comporte des ordinateurs Microsoft Windows 95 ou Windows 98, ils ne
sont pas sujets aux restrictions, ce qui signifie quun nom dutilisateur et un mot de
passe valide suffit pour ouvrir une session sur ces systmes.

Dfinissez ci dessous, le profile utilisateur, son script douverture de session ainsi
que son rpertoire de base.

Expiration du compte
Vous pouvez dfinir une date d'expiration sur un compte d'utilisateur pour qu'il soit
dsactiv lorsque l'utilisateur concern n'a plus besoin d'accder au rseau.
Par exemple, pour des raisons de scurit, vous pouvez dfinir des comptes d'utilisateur
pour les employs temporaires de telle sorte qu'ils expirent la date de fin de leur contrat.

======================================================================
Pour dfinir la date d'expiration d'un compte, suivez la procdure ci-dessous.
1. Ouvrez la bote de dialogue Proprits du compte d'utilisateur appropri.
2. Dans l'onglet Compte, sous Date d'expiration, cliquez sur Fin.
Slectionnez une date d'expiration dans la liste, puis cliquez sur OK.
======================================================================
Droits utilisateur
Ce que les utilisateurs peuvent ou ne peuvent pas faire dpend des droits et des
permissions qui leur ont t accords. Les droits concernent, gnralement, le sytme
dans sa globalit. Par exemple, la capacit de sauvegarder des fichiers ou douvrir une
session sur le serveur est un droit que ladministrateur donne ou reprend. Vous pouvez
Profile utilisateur
Script douverture de
session
Rpertoire de base


161
affectez des droits de manire individuelle mais, le plus souvent, vous assignerez des
groupes, auxquels vous ajouterez ensuite des utilisateurs en fonction des droits dont ils
ont besoin.
Les permissions indiquent les accs dont peut bnficier un utilisateur (ou un groupe) sur
certains objets tels que fichiers, rpertoires et imprimantes.
Par exemple : la question de savoir si un utilisateur peut lire tel ou tel rpertoire ou
accder telle ou telle imprimante est une permission.
Les droits, quand eux, se divisent en deux types : privilges et droits douverture de
session. Les privilges sont, la possibilit dexcuter des audits de scurit ou de forcer
larrt du systme depuis une autre machine (ce qui nentre pas dans le cadre du travail de
lutilisateur ordinaire). Les droits douverture de session concernent la capacit de se
connecter une machine de certaines faons. Les groupes prdfinis de Windows Server
2003 reoivent automatiquement des droits, mais vous pouvez vous mme affecter des
droits des utilisateurs individuels ou des groupes. Mieux vaux les affecter aux groupes
afin de simplifier ladministration.
Affectation de droits un groupe
Pour assigner ou retirer des droits au niveau dun domaine, le plus simple est de passer
par la stratgie de groupe. Supposez que vous ayez un groupe dutilisateurs qui doivent
pouvoir ouvrir des sessions locales sur les serveurs Windows Server 2003, mais que vous
ne vouliez pas ces utilisateurs soient membres de lun des groupes possdant ce droit.
Une solution consiste crer un groupe appel, par exemple SessionsLocales, ajouter
les utilisateurs ce groupe, puis affecter au groupe le droits douvrir des sessions
locales.
======================================================================
1). Ouvrez loutil dadministration Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit de
la souris sur le domaine, puis choisissez Proprits.
2). Allez dans longlet Stratgie de groupe, puis cliquez sur Modifier.
Developpez la branche Configuration ordinateur, puis la branche Paramtres Windows.
3). Sous Paramtres de scurit, cliquez sur Stratgie locale puis sur Attribution des droits utilisateur. Dans le
volet de droite, cliquez deux fois sur Ouvrir une session localement.
4). Cochez Dfinir ces paramtres de stratgie, puis cliquez sur Ajouter.
5). Tapez le nom du groupe auquel vous voulez accorder ce droit. Cliquez deux fois sur OK et fermer la fentre
Stratgie de groupe.

======================================================================
Vous pouvez affecter ou supprimer des droits localement, sachant quune stratgie
dfinie au niveau du domaine a priorit sur la stratgie locale.
Une stratgie dfinie au niveau du domaine ne peut pas tre modifie au niveau local.
162
Les comptes d'ordinateur
Les comptes d'ordinateur sont similaires aux comptes d'utilisateur, car ils peuvent tre
utiliss pour authentifier et analyser l'ordinateur et pour accorder des autorisations d'accs
aux ressources du rseau. Les ordinateurs clients qui excutent Windows 2000/2003 ou
Windows NT 4.0 doivent disposer d'un compte d'ordinateur valide pour intgrer le
domaine.
Vous pouvez utiliser Utilisateurs et ordinateurs Active Directory sur un contrleur de
domaine quelconque disponible pour crer un compte d'ordinateur. Ds que vous avez
cr le compte, celui-ci est dupliqu par Active Directory vers tous les autres contrleurs
du domaine.
Lorsque l'administrateur systme cre un compte d'ordinateur, il peut choisir l'unit
d'organisation dans laquelle il veut crer le compte. Si un ordinateur est joint un
domaine, le compte d'ordinateur est cr dans le conteneur Computers et l'administrateur
peut dplacer, si ncessaire, le compte vers l'unit d'organisation approprie.
Par dfaut, les utilisateurs Active Directory peuvent ajouter jusqu' 10 ordinateurs au
domaine avec les informations d'identification de leur compte d'utilisateur. Cette
configuration par dfaut peut tre modifie.
Si l'administrateur systme ajoute directement un compte d'ordinateur Active Directory,
un utilisateur peut joindre un ordinateur au domaine sans utiliser aucun des 10 comptes
d'ordinateurs allous.
L'ajout d'un ordinateur au domaine avec un compte prcdemment cr s'appelle la
pr-gnration. Cela signifie que des ordinateurs sont ajouts aux units
d'organisation pour lesquelles l'administrateur systme dispose d'autorisations d'ajout
de comptes d'ordinateurs. Gnralement, les utilisateurs ne disposent pas des
autorisations appropries pour pr-gnrer un compte d'ordinateur ; ils joignent donc
un ordinateur au domaine en utilisant un compte pr-gnr.

Lorsqu'un utilisateur joint un ordinateur un domaine, le compte d'ordinateur est ajout
au conteneur Computers dans Active Directory. Cette opration s'effectue par le biais d'un
service qui ajoute le compte d'ordinateur de la part de l'utilisateur. Le compte systme
enregistre galement le nombre d'ordinateurs ajouts au domaine par chaque utilisateur.
Par dfaut, tout utilisateur authentifi a le droit d'ajouter des stations de travail un
domaine et de crer jusqu' 10 comptes d'ordinateurs dans le domaine.

163
Lorsque vous crez le compte d'ordinateur, vous devez d'abord slectionner le conteneur
dans lequel il va tre cr. Vous pouvez crer des comptes d'ordinateur au niveau du
domaine. Cependant, cette action limite vos options de dlgation et augmente la
complexit de gestion du rseau.

Pour crer un compte d'ordinateur, suivez la procdure ci-dessous.
1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur l'unit d'organisation dans laquelle vous souhaitez
crer le compte d'utilisateur, pointez sur Nouveau, puis cliquez sur Computer.
3. Tapez le nom de l'ordinateur. Il doit tre unique au sein de la fort.
4. Pour amliorer la scurit, modifiez la slection dans la zone L'utilisateur ou le
groupe suivant peut joindre cet ordinateur un domaine. Vous pouvez spcifier
tout utilisateur ou groupe en tant que compte ayant l'autorisation de connecter
l'ordinateur au domaine. La personne qui connecte l'ordinateur au domaine doit
entrer un nom d'utilisateur et un mot de passe correspondant ceux spcifis dans
cette zone.
5. Cliquez sur OK.
Chaque compte d'ordinateur que vous crez est associ un ensemble d'attributs par
dfaut. Les attributs sont utiliss lors des recherches effectues dans Active Directory.
C'est pourquoi vous devez fournir des dfinitions d'attribut dtailles pour chaque compte
d'ordinateur que vous crez.

En tant qu'administrateur systme, vous tes parfois amen rinitialiser des
comptes d'ordinateurs. Supposons que le rseau ait compltement t sauvegard il y
a sept jours, que l'ordinateur ait relay les informations au contrleur de domaine qui
a modifi le mot de passe sur le compte d'ordinateur, que le disque dur de l'ordinateur
soit tomb en panne et que l'ordinateur ait t restaur partir de la sauvegarde.
L'ordinateur possde prsent un mot de passe obsolte et l'utilisateur ne parvient
pas se connecter car l'ordinateur ne peut pas s'authentifier dans le domaine. Vous
devez par consquent rinitialiser le compte de l'ordinateur.
Vous devez tenir compte de deux lments avant de rinitialiser le compte de
l'ordinateur :
- Pour effectuer cette procdure, vous devez tre membre du groupe Oprateurs
de compte, Admins du domaine ou Administrateurs de l'entreprise dans
Active Directory, ou bien l'autorisation doit vous avoir t dlgue. Pour des
164
raisons de scurit, il est prfrable d'utiliser la commande Excuter en tant
que pour effectuer cette procdure.
- Lorsque vous rinitialisez un compte d'ordinateur, vous interrompez la
connexion de l'ordinateur au domaine et vous devez donc l'y reconnecter.

Pour rinitialiser un compte d'ordinateur, procdez comme suit :
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur Computers ou sur le
conteneur qui contient l'ordinateur rinitialiser.
2. Dans le volet d'informations, cliquez avec le bouton droit sur l'ordinateur, puis cliquez sur Rinitialiser le compte.
Tches administratives courantes
Les principales tches administratives sont les suivantes : rinitialiser des mots de
passe, dverrouiller des comptes d'utilisateur; renommer, dsactiver, activer et
supprimer des comptes d'utilisateur, et dplacer des comptes d'utilisateur dans un
domaine.

Dsactivez un compte d'utilisateur s'il doit rester inutilis pendant un certain temps.
Rinitialisez un mot de passe s'il expire avant d'tre modifi par l'utilisateur, ou si ce
dernier l'a oubli.
Dplacez les comptes d'utilisateur entre units d'organisation du mme domaine si
ncessaire.
Supprimez un compte d'utilisateur inutilis.
Renommez un compte d'utilisateur si vous dsirez reprendre ses attributs et l'affecter
un autre utilisateur.
Dverrouillez un compte d'utilisateur si un paramtre de stratgie de groupe de
scurit bloque ce compte.
Localisation des comptes d'utilisateur
Au lieu de parcourir des centaines ou des milliers de comptes d'utilisateur dans
Active Directory, vous pouvez utiliser les fonctions de recherche de la console
Utilisateurs et ordinateurs Active Directory pour rechercher des comptes prcis avant
de les administrer partir des rsultats de la recherche.

165

Pour rechercher un compte d'utilisateur, procdez comme suit :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Pour effectuer la recherche dans l'ensemble du domaine, cliquez avec le bouton droit sur le noeud de domaine
dans l'arborescence de la console, puis cliquez sur Rechercher.
Si vous savez dans quelle unit d'organisation l'utilisateur se trouve, cliquez avec le bouton droit sur cette dernire,
puis sur Rechercher.
3. Dans la bote de dialogue Rechercher Utilisateurs, contacts et groupes, tapez dans la zone Nom le nom de
l'utilisateur rechercher.
4. Cliquez sur Rechercher.

166
Dans cet exercice, vous allez crer deux comptes
d'utilisateur locaux.
` TP raliser.

Aprs avoir ouvert une session en tant qu'Administrateur, vous allez crer le compte
LocalUserx. Pour l'autre compte, vous ouvrirez une session en tant que LocalUserx.
Comme le compte LocalUserx ne dispose pas du droit de crer des comptes d'utilisateur
locaux, vous devrez utiliser la commande Excuter en tant que pour dmarrer la console
Gestion de l'ordinateur en tant qu'Administrateur, puis crer l'autre compte.
======================================================================
a. Essayez d'ouvrir une session en utilisant les informations suivantes :
Utilisateur : LocalUserx (o x reprsente le numro de stagiaire qui vous a t affect)
Mot de passe : password
Se connecter : Serveur (o Serveur reprsente le nom affect votre ordinateur : SAM Local)
Un compte d'utilisateur qui n'existe pas dans le Gestionnaire SAM d'un ordinateur local peut-il ouvrir une session
sur cet ordinateur ?
______________________________________________________________________________________
______________________________________________________________________________________
======================================================================
a. Cliquez sur OK pour fermer le message Message d'ouverture de session.
b. Ouvrez une session en utilisant les informations suivantes :
Se connecter : Serveur (o Serveur reprsente le nom affect votre ordinateur)
c. partir du menu Outils d'administration, ouvrez la console Gestion de l'ordinateur.
d. Dans l'arborescence de la console, sous Outils systme, dveloppez Utilisateurs et groupes locaux, puis
cliquez sur Utilisateurs.
Pourquoi le compte Invit s'affiche-t-il barr d'une croix rouge dans la liste des comptes d'utilisateur ?
______________________________________________________________________________________
_________
e. Cliquez avec le bouton droit sur Utilisateurs, puis cliquez sur Nouvel utilisateur.
f. Dans la bote de dialogue Nouvel utilisateur, entrez les informations suivantes :
Description : Mon compte d'utilisateur
g. Dsactivez la case cocher L'utilisateur doit changer de mot de passe la prochaine ouverture de
session, puis cliquez sur Crer.
h. Cliquez sur Fermer pour fermer la bote de dialogue Nouvel utilisateur.
i. Fermez la console Gestion de l'ordinateur, puis la session.
======================================================================
J. Ouvrez une session en utilisant les informations suivantes :
Se connecter : Serveur (o Serveur reprsente le nom affect votre ordinateur)
k. partir du menu Outils d'administration, ouvrez la console Gestion de l'ordinateur (ou faire Poste de travail,
bouton droit Grer..).
l. Dans l'arborescence de la console, sous Outils systme, dveloppez Utilisateurs et groupes locaux, cliquez
avec le bouton droit sur Utilisateurs, puis cliquez sur Nouvel utilisateur.
m. Dans la bote de dialogue Nouvel utilisateur, dans la zone Nom d'utilisateur, tapez Managerx (o x
reprsente votre numro de stagiaire), puis cliquez sur Crer.
Un message de refus d'accs s'affiche dans la bote de dialogue : Utilisateurs et groupes locaux.
Pourquoi le compte LocalUserx reoit-il un message d'erreur lorsque vous tentez de crer un compte d'utilisateur ?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
n. Cliquez sur OK pour fermer le message d'erreur.
o. Cliquez sur Fermer pour fermer la bote de dialogue Nouvel utilisateur, puis fermez la console Gestion de
l'ordinateur.
p. Cliquez sur Dmarrer, pointez sur Programmes, puis sur Outils d'administration, cliquez avec le bouton droit
sur Gestion de l'ordinateur, puis cliquez sur Excuter en tant que.
q. Dans la bote de dialogue Excuter en tant qu'utilisateur diffrent, vrifiez que le nom d'utilisateur est
Administrateur, et que le domaine est Serveur.
r. Dans la zone Mot de passe, tapez P@sswrd1 et cliquez sur OK.
s. Dans l'arborescence de la console, sous Outils systme, dveloppez Utilisateurs et groupes locaux, cliquez
avec le bouton droit sur Utilisateurs, puis cliquez sur Nouvel utilisateur.

167
t. Dans la bote de dialogue Nouvel utilisateur, entrez les informations suivantes :
Utilisateur : Managerx (o x reprsente votre numro de stagiaire)
Description : Responsable facturation
u. Dsactivez la case cocher L'utilisateur doit changer de mot de passe la prochaine ouverture de
session, puis cliquez sur Crer.
v. Cliquez sur Fermer pour fermer la bote de dialogue Nouvel utilisateur, puis fermez la console Gestion de
l'ordinateur.
======================================================================
a. Cliquez sur Dmarrer, puis sur Excuter.
b. Dans la zone Ouvrir, tapez \\ServNet et cliquez sur OK.
La bote de dialogue Saisie du mot de passe rseau s'affiche et indique que le compte local LocalUserx ne
possde pas le droit d'accs l'ordinateur ServNet.
c. Dans la bote de dialogue Saisie du mot de passe rseau, tapez Administrateur dans la zone Nom.
d. Dans la zone Mot de passe, tapez P@sswrd1 et cliquez sur OK.
Pourquoi le compte LocalUserx n'a-t-il pas pu se connecter au contrleur de domaine ? Pourquoi le compte
Administrateur a-t-il pu se connecter au contrleur de domaine ?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
e. Fermez la fentre ServNet, puis la session.
======================================================================
a. Essayez d'ouvrir une session sur le domaine en utilisant les informations suivantes :
Pourquoi le compte LocalUserx ne peut-il pas ouvrir de session sur le domaine bourges ? O le compte LocalUserx
rside-t-il ? O le compte doit-il rsider pour ouvrir une session sur le domaine Bourges ?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
b. Cliquez sur OK pour fermer le message Message d'ouverture de session.
c. Ouvrez une session en utilisant les informations suivantes :
Se connecter : Serveur (o Serveur reprsente le nom affect votre ordinateur).
Pourquoi le compte LocalUserx a-t-il pu ouvrir une session sur Serveur (o Serveur reprsente le nom affect
votre ordinateur) ?
______________________________________________________________________________________
______________________________________________________________________________________
d. Fermez la session.
======================================================================
Administration des comptes d'utilisateurs
` TP raliser.
======================================================================
Crer un compte d'utilisateur
Dans Utilisateurs et ordinateurs Active Directory, crez un compte d'utilisateur avec les paramtres suivants
dans le dossier Bourges.eds\Users :
Prnom : NomOrdinateur (exemple : London)
Nom : Payrollx (o x reprsente le numro de stagiaire qui vous a t affect)
Nom complet : NomOrdinateur Payrollx (exemple : London Payroll)
Nom d'ouverture de session de l'utilisateur : NomOrdinateurPayrollx (exemple :LondonPayrollx)
Nom d'ouverture de session de l'utilisateur [pr-Windows 2000] :NomOrdinateurPayroll (exemple :
LondonPayroll)
Mot de passe : P@ssw0rd1
Dcocher Lutilisateur doit changer le mot de passe la prochaine ouverture de session
Cocher Le compte nexpire jamais
Fermer Utilisateurs et ordinateurs Active Directory
======================================================================
Modifier le compte d'utilisateur
Dans Utilisateurs et ordinateurs Active Directory, modifiez les paramtres suivants du compte d'utilisateur
NomOrdinateur Payrollx :
Description : Compte pour AD et Test Payroll
Bureau : Payroll
Numro de tlphone : 973-555-0198
Adresse de messagerie : NomOrdinateurPayroll@bourges.eds
Titre : Payroll Test Account
Service : Payroll Test
168
Socit : Payroll Test
Gestionnaire : Marcel
Numro de tlphone Domicile : 555-0101
Adresse : 85 avenue du GL de GAULLE 94000 Crteil France
Plage horaires : du Lundi au Vendredi de 9 :00 h 18 :00h
Se connecter : uniquement depuis votre machine
======================================================================
Procdure d'activation et de dsactivation des comptes d'utilisateurs
et des comptes d'ordinateurs
Lorsqu'un compte est dsactiv, l'utilisateur ne peut pas ouvrir de session.
Le compte figure dans le volet d'informations et l'icne du compte est marque d'un X.
Pour activer et dsactiver un compte d'utilisateur ou un compte d'ordinateur via
Utilisateurs et ordinateurs Active Directory, procdez comme suit :
1. Dans l'arborescence de la console d'Utilisateurs et ordinateurs Active Directory, slectionnez le conteneur
ou Users qui contient le compte activer ou dsactiver. Ici lutilisateur cr ci-dessus =: Payrollx
2. Dans le volet d'informations, cliquez avec le bouton droit sur le compte d'utilisateur.
3. Pour le dsactiver, cliquez sur Dsactiver le compte.
4. Pour l'activer, cliquez sur Activer le compte.

Pour rinitialiser un mot de passe d'utilisateur de domaine, procdez comme
suit :
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur Users.
2. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'utilisateur ici Prnom =: Payrollx
, puis cliquez sur Rinitialiser le mot de passe.
3. Dans les zones Nouveau mot de passe et Confirmer le nouveau mot de passe, tapez le nouveau mot de
passe, puis cliquez sur OK.

Pour dverrouiller un compte, procdez comme suit :
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, slectionnez l'unit
d'organisation qui contient le compte d'utilisateur dverrouiller.
2. Dans le volet d'informations, slectionnez le compte d'utilisateur dverrouiller.ici Prnom =: Payrollx
3. Cliquez avec le bouton droit sur le compte, puis cliquez sur Proprits et cochez la case cocher Le compte
est verrouill.

Pour rechercher un compte d'utilisateur, procdez comme suit :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Pour effectuer la recherche dans l'ensemble du domaine, cliquez avec le bouton droit sur le domaine
Bourges.eds, dans l'arborescence de la console, puis cliquez sur Rechercher.
3. Dans la recherche Avanc, effectuer un filtre de recherche, afin de locatiliser un par un les lments ci-dessous :
Description : Compte pour AD et Test Payroll
Bureau : Payroll
Adresse de messagerie : NomOrdinateurPayroll@bourges.eds
Titre : Payroll Test Account
Service : Payroll Test

======================================================================
******Attention******
FIN THEORIQUE DE LA PREMIERE SEMAINE

` TP raliser.
Commencer la deuxime semaine (si semaine non conscutive), par :
Installer Windows Serveur 2003, selon les critres imposs par le formateur
Crer en invite de commande (commande diskpart) une partition tendue de 2 Go, puis
un lecteur logique de 2 Go, affectu lui la lettre E :, puis formater ce lecteur en NTFS
Dsactiver les partages administratifs
Dsactiver la possibilit de faire un Shutdown distance sur votre PC via lditeur de
stratgie

P R O F I L S D ' U T I L I S A T E U R S

169
PROFILS D'UTILISATEURS
Le profil d'utilisateur contient tous les paramtres que l'utilisateur peut dfinir pour
l'environnement de travail d'un ordinateur qui excute Windows 2003, savoir les
paramtres de l'affichage, les paramtres rgionaux, ceux de la souris et les
paramtres du son, outre les connexions au rseau et aux imprimantes.
Vous pouvez configurer des profils d'utilisateur pour qu'un profil suive un utilisateur
sur chaque ordinateur sur lequel il ouvre une session.
Un profil d'utilisateur est cr la premire ouverture de session de l'utilisateur sur
un ordinateur. Tous les paramtres propres l'utilisateur sont automatiquement
enregistrs dans le sous-dossier de cet utilisateur dans le dossier Documents and
Settings (C:\Documents and Settings\utilisateur).
Lorsque l'utilisateur ferme la session, son profil d'utilisateur est mis jour sur
l'ordinateur sur lequel il avait ouvert la session. Le profil d'utilisateur conserve donc
les paramtres de bureau de l'environnement de travail de chaque utilisateur sur
l'ordinateur local. Seuls les administrateurs systme sont autoriss modifier les
profils d'utilisateur obligatoires. Les types de profils d'utilisateur sont prsents ci-
dessous.
Chaque profil utilisateur commence par une copie de Default User, qui correspond
un profil utilisateur par dfaut stock sur chaque ordinateur qui excute un systme
d'exploitation de la famille Windows Server 2003. Le fichier NTuser.dat qui figure
dans Default User comporte des paramtres de configuration de la famille Windows
Server 2003. Chaque profil utilisateur utilise galement les groupes de programmes
communs qui figurent dans le dossier All Users.
Les dossiers de profil utilisateur comprennent divers lments, parmi lesquels le
Bureau et le menu Dmarrer. Le contenu de chaque dossier de profil utilisateur est
list et dcrit dans le tableau ci-dessous.
Dossier de profil
utilisateur
Contenu
Donnes
d'application
Donnes spcifiques un programme (dictionnaire personnalis, par exemple). Les diteurs de
programmes dcident des donnes qui sont stockes dans ce dossier de profil utilisateur.
Cookies Prfrences et informations utilisateur
Bureau lments du Bureau (y compris les fichiers, les raccourcis et les dossiers)
Favoris Raccourcis vers des sites favoris sur Internet
Paramtres
locaux
Donnes d'application, historiques et fichiers temporaires. Les donnes d'application suivent
l'utilisateur grce aux profils utilisateur itinrants.
Mes documents Documents et sous-dossiers utilisateur
Mes documents
rcents
Raccourcis vers les derniers documents utiliss et dossiers accds
170
Voisinage
rseau
Raccourcis vers des lments des Favoris rseau
Voisinage
d'impression
Raccourcis vers des lments du dossier d'impression
Envoyer vers Raccourcis vers des utilitaires de traitement de documents
Menu Dmarrer Raccourcis vers des lments de programme
Modles lments de modle utilisateur

Le fichier NTuser.dat correspond la partie registre du profil utilisateur. Lorsqu'un
utilisateur ferme une session sur l'ordinateur, le systme dcharge la partie spcifique
l'utilisateur qui figure dans le registre (c'est--dire HKEY_CURRENT_USER)
dans le fichier NTuser.dat et le met jour.

Les types de profils sont prsents ci-dessous :

Profil dutilisateur par dfaut : Ce profil est la base de tous les profils
dutilisateur. Chaque profil dutilisateur est une copie du profil dutilisateur par
dfaut, qui est stock sur tous les ordinateurs excutant Windows 2000/XP/Server
2003. Stock dans le dossier %systemdrive%\Documents and Settings\Default
User.
Profil dutilisateur local : Ce profil est cr la premire fois quun utilisateur
ouvre une session sur un ordinateur, il est stock sur lordinateur local. Toutes les
modifications apportes au profil dutilisateur local sont propres lordinateur sur
lequel les changements ont t effectus. Plusieurs profils dutilisateur locaux
peuvent exister sur un ordinateur.
Profil dutilisateur itinrant : Ce profil est cr par ladministrateur systme
et stock sur un serveur. Ce profil est disponible chaque fois quun utilisateur ouvre
une session sur un ordinateur sur le rseau. Si un utilisateur apporte des
modifications aux paramtres de bureau, son profil dutilisateur est mis jour sur le
serveur lorsquil ferme la session.
Profil dutilisateur obligatoire : Crs par ladministrateur systme pour
spcifier des paramtres particuliers destins un ou plusieurs utilisateurs, les profils
errants peuvent devenir obligatoires. Il suffit pour cela de changer le nom du fichier
de profil, de renommer le fichier Ntuser.dat en Ntuser.man . Un profil
dutilisateur obligatoire ne permet pas aux utilisateurs denregistrer les modifications
apportes aux paramtres de bureau (profil errant en lecture seule).
Lutilisateur peut modifier les paramtres du bureau de lordinateur sur lequel il a
ouvert une session, mais ces modifications ne sont pas enregistres lorsquil la ferme.
Profil utilisateur temporaire Un profil temporaire est gnr chaque fois
qu'une condition d'erreur empche le chargement d'un profil utilisateur. Les profils
temporaires sont supprims la fin de chaque session. Les modifications apportes
par l'utilisateur aux fichiers et aux paramtres du Bureau sont perdues lorsqu'il ferme
la session.


171

Remarque : en cas de conflit entre la stratgie de groupe sur le domaine et les
paramtres de profil locaux dun utilisateur, la stratgie de groupe prvaut sur tous
les paramtres locaux.
Aucun paramtre de stratgie de groupe utilis pour dfinir les environnements de
bureau ne peut tre modifi par lutilisateur.

Le fichier "ntuser.ini" est employ pour crer les composantes d'un profil utilisateur
errant qui ne sont pas copies vers le serveur. Le fichier " ntuser.dat.LOG " est
employ par le fichier "NTUSER.DAT " pour la restauration dans le cas d'une
erreur. Les dossiers complmentaires sont dans le dossier "C:\Documents et
Settings\username".

Windows
NT/2000/XP/Server
2003

Windows 95/98

Type de Profils

NTuser.dat User.dat Profil utilisateur local et errant
NTuser.dat.LOG User.da0 Sauvegarde du profil
NTuser.man User.man Profil obligatoire

Vous ne pouvez pas copier ou supprimer un profil utilisateur qui appartient
l'utilisateur actuellement connect ou un utilisateur dont le profil est en cours
d'utilisation.
Configuration du profil utilisateur
Une fois les profils itinrants configurs sur le serveur, Windows copie le profil
utilisateur local dans le chemin daccs de profil itinrant lors de la connexion
utilisateur suivante. Si cet utilisateur se connecte ensuite sur dautres machines, le
profil itinrant sera copi sur le profil utilisateur local de ces ordinateurs.
Veillez sauvegarder rgulirement les profils qui sont sur le serveur, si la perte de
donnes de configuration nest pas dramatique, il nen va pas toujours de mme pour
le contenu du dossier Mes documents .
172

Les profils utilisateur obligatoires ne permettent pas d'apporter des modifications au
profil utilisateur stock sur le serveur.
La gestion des profils doit de prfrence suivre une stratgie. Le recours aux profils
obligatoires, mme s'il est autoris, est moins facilement grable et davantage
susceptible de crer des problmes d'administration ; il n'est par consquent pas
recommand.

Attention pour dclarer les profils utilisateurs pour le domaine il faut utiliser
Utilisateurs et ordinateurs Active directory et pas Gestion de l'ordinateur ,
sur Utilisateurs et groupes locaux .
` TP raliser.
========================================================================
***Indiquez aux clients du domaine de bien fermer leurs sessions avant de
commencer le TP***.
Partie raliser sur la machine du formateur
Permettre lutilisateur Marcel douvrir une session localement sur le serveur :
Stratgie de scurit du contrleur du domaine, paramtres de scurits, stratgies locales, attribution des
droits utilisateurs => Permettre louverture dune session locale
Ouvrir une session localement en tant que Marcel, changer le papier peint en Jaune, fermer la session Marcel.
Ouvrir une session en tant quadministrateur du domaine.
1). Sur un serveur de domaine, crer un dossier partag dot dun nom explicite, c:\profils utilisateurs par
exemple, nom de partages : Profils. Laisser les paramtres de partage par dfaut.
2). Ouvrir Utilisateurs et ordinateurs Active Directory, cliquez sur Dmarrer, puis sur Panneau de
configuration, double-cliquez sur Outils d'administration, puis double-cliquez sur Utilisateurs et ordinateurs
Active Directory.
3).Cliquez avec le bouton droit sur le compte d'utilisateur que vous souhaitez modifier (utiliser le compte Marcel),
puis cliquez sur Proprits .
4). Sous l'onglet Profil , dans le chemin d'accs du profil, tapez l'emplacement du profil que vous souhaitez
attribuer en utilisant le format \\ NomServeur \ NomPartageProfils \ NomProfilUtilisateur :
\\ServNet\profils\Marcel (nom UNC), vous pouvez utiliser la variable systme %username% pour faire rfrence
au nom de connexion rseau de lutilisateur.
5). Cliquez sur OK pour refermer et enregistrer les modifications.
6). Ouvrez la boite de dialogue proprits du Poste de travail, onglet Avanc, bouton Paramtres de Profils
utilisateurs.
\\Serveur\Partage\marcel
Les profils utilisateur
deviennent obligatoires
lorsque vous renommez le
fichier NTuser.dat du
serveur en NTuser.man.
Suite ce changement
d'extension, le profil
utilisateur passe en lecture
seule.


173
Choisir le profil de Marcel, puis Copier dans, Parcourir, choisir C:\Profils Utilisateurs, Ok, ajouter ce chemin
\Marcel. Puis Ok, OK, OK.
O :
NomServeur correspond au nom de l'ordinateur o les profils sont stocks ;
NomPartageProfils correspond au nom du partage o les profils sont stocks ;
NomProfilUtilisateur correspond au dossier spcifique pour ce profil utilisateur, vous pouvez aussi utiliser la variable
%username% qui sera remplac par le nom de lutilisateur qui a ouvert une session.

7). Vous pouvez maintenant renommer le fichier ntuser.dat de Marcel en ntuser.MAN , et demander aux
clients du domaine de modifier le papier peint sur leurs bureaux, de fermer de nouveau leurs sessions et de
nouveau ouvrir une session en tant que Marcel sur le domaine de Bourges et de vrifier que le papier peint
est toujours le mme (pas de modification car cest un profil oblogatoire).
========================================================================

Les modifications apportes la stratgie de groupe dans la famille Windows
Server 2003 concernent les profils utilisateur :
Empcher la propagation des modifications de profils itinrants
vers le serveur Cette stratgie dtermine si les modifications
apportes par un utilisateur son profil itinrant sont fusionnes avec
la copie de son profil sur le serveur. Si cette stratgie est dfinie au
moment de l'ouverture de session utilisateur, l'utilisateur reoit alors
son profil itinrant, mais toutes les modifications qu'un utilisateur
apportera son profil ne seront pas fusionnes avec son profil
itinrant au moment de la fermeture de session.
Ajouter le groupe de scurit administrateurs aux profils
itinrants utilisateurs Cette stratgie permet un administrateur
de choisir le mme comportement que celui de Windows NT
version 4.0 et un groupe d'administrateurs de contrler pleinement
les rpertoires de profils de l'utilisateur. Dans Windows 2003, les
autorisations d'accs aux fichiers par dfaut pour les profils itinrants
venant d'tre gnrs sont le contrle total, l'accs en lecture et en
criture pour l'utilisateur et l'absence d'accs aux fichiers pour le
groupe Administrateurs.
N'autoriser que les profils d'utilisateurs locaux Ce paramtre
dtermine si les profils utilisateur itinrants sont disponibles sur un
ordinateur donn. Par dfaut, lorsque des utilisateurs profil itinrant
ouvrent une session sur un ordinateur, leur profil itinrant est copi
sur l'ordinateur local. Grce ce paramtre, un administrateur peut
empcher les utilisateurs configurs pour utiliser des profils itinrants
de recevoir leur profil itinrant sur un ordinateur spcifique.
Ne pas retenir les profils sur les stations 2000/Server 2003
Si votre serveur est un 2000/Server 2003 et que les stations sont des 2000 pro ou XP
pro, vous pouvez le faire en modifiant la stratgie par dfaut du domaine. Voici
comment :
Dans "Utilisateurs et ordinateurs Active directory" faites un clic droit sur le
domaine, puis et allez dans "Proprits". Dans longlet "Stratgie de groupe",
modifiez la stratgie par dfaut "Domaine Dfault Policy".
Dans cette stratgie de groupe recherchez dans "Configuration de l'ordinateur",
"Modles d'administration (Administrative Templates)", "Systme", "Profil
Utilisateur (User Profils)" et rendez actif "Supprimer les copies en cache des
profils itinrants (Delete cached copies of roaming profiles)".

174

Paramtrer les profils utilisateur :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
- Supprimer la mise en cache des profils itinrants : DeleteRoamingCache
( Dword 1 )

Remarque : Si vous supprimez un compte, mais pas le profil associ, vous trouverez
une entre intitule Compte supprim ou Compte inconnu . Ne vous inquitez
pas, le profil reste disponible pour la copie si vous en avez besoin.

L O G O N S C R I P T

175
LOGON SCRIPT
Windows Server 2003 permet de configurer quatre types de scripts :
Dmarrage. Sexcute au dmarrage de lordinateur.
Arrter le systme. Sexcute avant larrt de lordinateur.
Ouverture de session. Sexcute lors dune ouverture de session utilisateur.
Dconnexion. Sexcute lors dune fermeture de session utilisateur.

En assignant des "logon scripts" des comptes utilisateurs ou groupes pour
Windows 2003 Serveur, vous pouvez assigner un "logon script" pour un compte
utilisateur en entrant un chemin au fichier du script de connexion. Quand un
utilisateur se connecte et que le chemin au script de connexion est prsent pour le
compte utilisateur, le fichier est localis et excut au login.

Vous pouvez aussi assigner des scripts de "logon/logoff" ainsi que des scripts
d'ordinateur de dmarrage ou d'arrt startup/shutdown en employant la stratgie
de Groupe "Group Policy snap-in". Vous pouvez aussi affecter des scripts
d'ouverture et de fermeture de session, ainsi que des scripts de dmarrage et d'arrt
de l'ordinateur en utilisant le composant logiciel enfichable Stratgie de groupe. Ces
scripts s'appliquent l'ensemble des utilisateurs et des ordinateurs auxquels
s'applique un objet Stratgie de groupe particulier.

la connexion, le serveur authentifiant la connexion localise un script de connexion
assign. Il cherche le fichier indiqu sur le chemin du script de connexion local sur le
serveur (d'habitude %SYSTEMROOT%\SYSVOL\sysvol\domain_name\scripts).
Si on fournit un chemin relatif avant le nom de fichier (par exemple,
Admins\CristalW.bat), le serveur cherche le script de connexion dans ce sous-
rpertoire du chemin de script de connexion.

L'entre dans la bote de dialogue du script de connexion indique seulement le nom
de fichier (et, facultativement, le chemin relatif) et ne cre pas le script de connexion
actuel.

176
Vous pouvez placer un script de connexion dans un rpertoire local sur l'ordinateur
d'un utilisateur. Vous emploieriez typiquement cet emplacement, cependant, quand
vous administrez les comptes d'utilisateur qui existent sur un ordinateur simple plutt
que dans un domaine. Ce script de connexion fonctionne seulement quand une
connexion utilisateur est locale l'ordinateur et ne fonctionne pas quand l'utilisateur
se connecte au domaine. Vous devez placer le script de connexion en employant le
chemin du script de l'ordinateur ou dans un sous-rpertoire de ce script de connexion.
L'emplacement par dfaut pour des scripts de connexion locaux est le dossier
%SYSTEMROOT%\System32\Repl\Imports\Scripts. Ce dossier n'est pas cr
sur pour nouvelle installation de Windows XP. Un dossier doit tre cr et partag
avec le nom netlogon . C'est fait automatiquement sur des contrleurs de
domaine, donc vous ne devez pas crer un netlogon sur un contrleur de
domaine manuellement; le systme le crera automatiquement.

Qui sera excut lors de la connexion locale votre systme. Un tel script de
connexion peut contenir n'importe quelles instructions de ligne de commande
Windows.
(Vous pouvez employer des Scripts de Connexion lors d'une connexion un
domaine)
(Il y a aussi d'autres possibilits, comme placer un fichier .BAT dans le dossier
de DMARRAGE)

La rplication des scripts douverture de session vers tous les contrleurs du domaine
est automatique sur les volumes NTFS des serveurs Windows Server 2003 et
Windows 2000. Pour ce qui concerne les volumes FAT, il faut dupliquer les scripts
manuellement.
Windows 2000/2003 Server traite plusieurs scripts de haut en bas

Windows 2000/2003 Server excute plusieurs scripts de haut en bas comme il est indiqu
dans l'onglet Script de la bote de dialogue Proprits de Script. S'il existe un conflit entre
les diffrents scripts, le script trait en dernier l'emportera.

177
Windows 2000/2003 Server traite et excute les scripts attribus aux stratgies de groupe
dans l'ordre ci-dessous.
1. Lorsqu'un utilisateur dmarre un ordinateur et ouvre une session, l'vnement ci-
dessous se produit.
a. Par dfaut, les scripts de dmarrage sont masqus et s'excutent de manire
synchronise.
Lorsque les scripts s'excutent de manire synchronise, chaque script doit tre ralis ou
interrompu avant le dmarrage du prochain.
b. Par dfaut, les scripts d'ouverture de session sont masqus et s'excutent de
manire non synchronise.
Lorsque les scripts s'excutent de manire non synchronise, un script peut commencer
s'excuter mme si un script prcdent est en cours d'excution. Plusieurs scripts peuvent
s'excuter en mme temps.
Les scripts d'ouverture de session non-stratgie de groupe associes un compte
d'utilisateur particulier s'excutent aprs que les scripts d'ouverture de session stratgie
de groupe se sont excuts pour le compte d'utilisateur.
2. Lorsqu'un utilisateur ferme une session et arrte un ordinateur, les vnements ci-
dessous se produisent.
a. Les scripts de fermeture de session s'excutent.
b. Les scripts d'arrt s'excutent.

Dfinir un Script de Connexion pour une connexion locale exige la dfinition d'un
partage rseau.
Appel "netlogon" : crez n'importe o sur le systme un dossier pour contenir les
scripts de connexion
(Exemple : scripts) et le partager ensuite en employant le nom "netlogon"

178
l'intrieur de
ce dossier
partag, crez
un fichier .BAT
(utilisez le Bloc-
notes)
contenant des
instructions de
ligne de
commande
tre excut.
Exemple :
cration d'un
mappage rseau

Pour attribuer un script d'ouverture de session un utilisateur dans Active Directory
Ouvrez Utilisateurs et ordinateurs Active Directory.
Dans l'arborescence de la console, cliquez sur Utilisateurs.
Double-cliquez sur l'utilisateur auquel vous voulez affecter le script d'ouverture de
session. Cliquez sur l'onglet Profil.
Dans le champ Script d'ouverture de session, entrez le chemin d'accs et le nom du
script d'ouverture de session que vous voulez affecter cet utilisateur, puis cliquez
sur OK.

Remarque : Dans la zone Nom de fichier, tapez un nom de ficher avec l'extension
.vbs, puis cliquez sur Enregistrer. WSH utilise l'extension .vbs pour identifier les
fichiers contenant des commandes VBScript.

179
` TP raliser.
========================================================================
Mise en place dun script local votre machine
1. Ouvrez une session en local en tant que :
Domaine : nom de votre machine (en local)
2. Crer un dossier C:\Login, nom de partage netlogon, puis valider la boite de dialogue.
3. Ouvrez le bloc-notes ouvre et saisir :
net use R : \\ServNet\temp /user:Marcel P@sswrd1
4. Enregistrer sous C:\Login\Marcel.bat.
5. Lancer loutil gestion de lordinateur, utilisateurs et groupe locaux, utilisateurs, choisir LocalUserx,
Proprits de LocalUserx, bouton profil, script douverture de session saisir : marcel.bat.
6. Fermer la boite de dialogue, se deconnecter de la session Administrateur.
7. Ouvrir une session en tant que :
Nom : LocalUserx
Domaine : nom de votre machine (en local)
8. Vrifier au niveau de lexplorateur que le lecteur rseau R : apparat bien
========================================================================
Ladministrateur du domaine cre un script qui affiche les noms des utilisateurs qui
existent dans la SAM locale du PC de Marcel lors de louverture de session.

========================================================================
` TP raliser.
1. Ladministrateur cre le script suivant avec le bloc-notes :

Exemple du script raliser :
Script d'affichage de la liste des utilisateurs d'une machine (user.vbs):
'----------------------------------------------------------
' Liste des utilisateurs
' E.DOS SANTOS 2004
'----------------------------------------------------------
Dim network, computer, SAM, Item
Set network = Wscript.CreateObject("WScript.Network")
computer=network.ComputerName
wscript.echo "#Liste des utilisateurs et groupes de " & computer
set SAM=GetObject("WinNT://" & computer & ",computer")
for each Item in SAM
Classe=Item.Class
If Classe = "User" then
wscript.echo Classe & chr(9) & Item.name
End if
next

2. Enregistrer ce fichier sous : pour le moment sur le bureau, en tant que Marcel.vbs
3. Slectionner le fichier Marcel.vbs qui est actuellement sur le bureau, puis faire CTRL+C (action de copier)
4. Crer une OU OUMarcel via loutil Utilisateurs et ordinateurs Active Directory, et y dplacer dedans le
compte Marcel.
5. Dans Proprits de lOU OUMarcel, onglet Stratgie de groupe, cliquez sur Nouveau, puis comme nom :
LoginScript, puis bouton Modifier, Configuration utilisateur, Paramtres Windows, Scripts
(ouverture/fermeture de session.
6. Double-cliquez sur Ouverture de session, cliquez sur Afficher les fichiersvrifier que dans le chemin affich
est de la forme : C:\Windows\SYSVOL\sysvol\bourges.eds\Policies\{xxxxxx-xxxxxxx-xxxxxx-xxxxx-
xxxx}\User\Scripts\logon\.
7. Y coller le fichier Marcel.vbs situ sur votre bureau (CTRL+V). Fermer cette boite de dialogue.
8. Cliquez sur le bouton Ajouter, Parcourir, slectionner Marcel.vbs qui est situ sur le chemin visualis ci-dessus
sous la forme de : C:\Windows\SYSVOL\sysvol\bourges.eds\Policies\{xxxxxx-xxxxxxx-xxxxxx-xxxxx-
xxxx}\User\Scripts\logon, Ouvrir, OK, Appliquer, OK, Fermer lditeur de stratgie, Fermer la boite Proprits
de lOU OUMarcel.
9. Inviter lutilisateur du Domaine Marcel douvrir une session partir de son poste de travail
PS : Pas besoin de dclarer le script dans les Proprits de lutilisateur, Onglet Script.
========================================================================

180

En faisant maintenant une connexion au systme, les commandes dfinies dans le script
de connexion seront excuts, cela sera juste visible pendant un temps trs court comme
une fentre d'invite de commande (prompt) dans la barre de tche
L'implmentation d'un script implique l'utilisation de la stratgie de groupe en vue
d'ajouter ce script au paramtre appropri dans le modle de stratgie de groupe. Ceci
indique que le script s'excute durant le dmarrage, l'arrt, l'ouverture de session, ou la
fermeture de session.
Pour assigner un script de dmarrage ou darrt
systme
======================================================================
1. Pour faciliter lopration, copier les scripts utiliser dans le dossier Machine\Scripts\Startup ou
Machine\Scripts\Shutdown de la stratgie concerne. Les stratgies se trouvent dans le dossier
%SystemRoot%\Sysvol\domain\policies des contrleurs de domaine.
2. Accdez la console Stratgie de groupe pour le site, le domaine ou lunit dorganisation manipuler.
3. Dans le nud Configuration ordinateur, double-cliquez sur le dossier Paramtres de Windows, puis sur
Scripts.
4. Pour utiliser les scripts de dmarrage ou darrt, cliquez avec le bouton droit sur Dmarrage ou Arrter le
systme respectivement, puis slectionnez Proprits.
5. Cliquez sur Afficher les fichiers. Si vous avez copi le script dordinateur lemplacement appropri du dossier
des stratgies, il doit safficher.
6. Cliquer sur Ajouter pour assigner un script. Cette opration ouvre la bote de dialogue Ajout dun script. Dans
le champ Nom du script, tapez le nom du script copi dans le dossier Machine\Scripts\Stratup ou
Machine\Scripts\Shutdown de la stratgie concerne. Dans le champ Paramtres de script, tapez les arguments
de ligne de commande transmettre au script de ligne de commande ou les paramtres transmettre
lenvironnement dexcution de scripts Windows sil sagit dun script WSH. Rptez cette tape pour ajouter
dautres scripts.
7. Au dmarrage ou larrt de lordinateur les scripts sont excuts dans lordre dapparition dans la bote de
dialogue Proprits. Le cas chant utilisez les boutons Monter ou Descendre pour les dplacer.
8. Si plus tard, vous souhaitez modifier le nom ou les paramtres du script, slectionnez ce dernier dans la liste
Ouverture de, puis cliquez sur Modifier.
9. Pour supprimer un script, slectionne-le dans la liste Ouverture de, puis cliquez sur Supprimer.
======================================================================
Les tches frquemment accomplies par les scripts d'ouverture de session sont
notamment :
le mappage de lecteurs rseau ;
l'installation et la configuration de l'imprimante par dfaut de l'utilisateur ;
la collecte d'informations sur l'ordinateur ;
la mise jour des signatures de virus ;
la mise jour logicielle.

181

Les Windows 2003 Server de la famille Serveur soutiennent les types de scripts
suivants : Windows Script Host (incluant Visual Basic Scripting Edition [VBScript]
et Jscript, les scripts (batch) de MS-DOS. Vous pouvez employer un diteur de
texte pour crer des scripts de connexion et employer ensuite la page Proprits de
l'Utilisateur pour assigner des scripts de connexion diffrents aux diffrents
utilisateurs, ou assigner le mme script de connection des utilisateurs multiples, des
sites, des domaines et des units organisationnelles (OUs). Vous pouvez aussi crer
des scripts de connexion en VBSCRIPT et JSCRIPT.

Visual Basic Scripting Edition, (VBScript en abrg), est un langage de
programmation driv de Visual Basic for Applications (VBA), lui-mme issu de
Visual Basic.
Il est destin la conception de scripts, c'est dire des suites de commandes, destins
tre utiliss dans diffrents environnements :
Windows Script Host (WSH), sous-ensemble de Windows utilisant ces scripts pour
raliser diverses tches automatises.
VBScript est utilisable par plusieurs environnements, dont le principal est WSH
WSH admet plusieurs langages de script, dont le principal est VBScript
WSH+VBS+JS sont intgrs ds le dpart dans Windows 98, 98SE, ME, 2000, XP,
donc directement utilisables.

L'environnement WSH supporte diffrents langages de scripts :
VBS (VBscript), qui fait l'objet de ce site
JS (Jscript) une variante de JavaScript due Microsoft n'importe quel autre langage
(Perl par exemple), partir du moment o on a install un interprteur
correspondant
Les principaux types de fichiers concerns par WSH sont les suivants :

.VBS Fichier source en VBScript
.VBE Fichier source en VBScript cod (non ditable)
.JS Fichier source en JScript
.JSE Fichier source en JScript cod (non ditable)
.WSF Fichier pouvant contenir plusieurs sources en diffrents langages.
Des balises XML indique le langage de chaque source
.WSC Fichier source Windows Script Components
.WSH Feuille de proprits d'un fichier script

Un script crit en VBS est un fichier de commandes. Il doit tre interprt pour tre
utilisable.
Il existe 2 interprteurs : CSCRIPT.EXE et WSCRIPT.EXE
Ils ont tous les deux les mmes capacits d'interprtation, la diffrence rsidant
uniquement dans l'interface.
182

Interprteur Principe Utilisation Exemple
CSCRIPT.EXE Opre en
mode texte.
Les messages
apparaissent
dans une
Console.
A l'intrieur de
fichiers
de commandes
(.bat ou .cmd)
traitements
automatiques,
sans intervention
WSCRIPT.EXE Opre en
interface
graphique.
Les messages
apparaissent
dans des
fentres
(Window)
Lorsque qu'une
interaction avec
l'utilisateur est
ncessaire

Par dfaut, tout fichier script VBS est associ l'un de ces deux interprteurs.
Ainsi pour excuter un script il suffit, au choix, de :
Taper le nom du script dans une fentre de commandes.
H:\WSH>marcel.vbs (l'extension .vbs est facultative)
Effectuer un double-click sur le fichier dans l'explorateur de Windows.

Au dpart, cet interprteur est WSCRIPT (mode fentr).
En mode ligne de commande, on peut imposer l'interprteur utiliser en l'indiquant
explicitement :

H:\WSH>wscript marcel.vbs
ou
H:\WSH>cscript marcel.vbs

On peut changer d'interprteur par dfaut par l'une de ces commandes :
WSCRIPT //H:CScript
CSCRIPT //H:CScript
Dfinit CScript.exe comme interprteur par dfaut
WSCRIPT //H:WScript
CSCRIPT //H:WScript
Dfinit WScript.exe comme interprteur par dfaut

Cette commande n'est active que pour la session en cours. Si on veut la rendre
dfinitive (jusqu' un prochain changement), il faut ajouter le commutateur //S
WSCRIPT //H:CScript //S
(Rend permanent l'utilisation de CSCRIPT comme interprteur par dfaut)

183
En particulier on aura intrt utiliser CSCRIPT quand le script affiche
successivement beaucoup de messages, afin d'viter l'apparition d'un grand nombre
de boites de messages, qui exigent l'appui sur un bouton pour les fermer.

L E R P E R T O I R E D E B A S E
184
LE RPERTOIRE DE BASE
Le rpertoire de base comprend l'essentiel ou la totalit des fichiers et programmes d'un
utilisateur spcifique.

Les rpertoires de base sont normalement stocks localement sur les stations de travail
excutant Windows 2000/XP/Server 2003, mais ils peuvent tre placs sur un serveur. Le
rpertoire de base est celui dans lequel est plac l'utilisateur lorsque dmarre l'invit de
commandes. De plus, c'est galement dans le rpertoire de base qu'une opration de type
"sauvegarde de fichier" invitera sauvegarder un fichier pour les applications qui ne
fournissent pas de rpertoire de travail.
` TP raliser.
======================================================================
Pour ajouter un rpertoire de base un profil (DC)
Ladministrateur du domaine effectue les tapes suivantes :
1. Crer un dossier C:\Users et le partager, vrifier que dans longlet Partage du dossier Users : Tout le monde =
Control Total
2. Ouvrez Utilisateurs et ordinateurs Active Directory
3. Dans le volet des dtails, cliquez avec le bouton droit sur le compte d'utilisateur concern : ici le compte Marcel
qui maintenant dans lOU OUMarcel.
4. Cliquez sur Proprits .
5. Sous l'onglet Profil , cliquez sur Connecter , puis spcifiez une lettre de lecteur rseau : M :
Dans la zone A , entrez un chemin d'accs.
Vous pouvez utiliser un chemin rseau, par exemple : \\ServNet\\Users\Marcel
ou un chemin local.
6. Vous pouvez ventuellement substituer %username% au dernier sous-rpertoire du chemin, comme suit :
\\ServNet\Users\%username%, faire Appliquer puis OK.
7. Demander aux utilisateurs du domaine douvrir de nouveau une session sur le domaine en tant que Marcel, puis
de vrifier la prsence dun lecteur rseau M : via lexplorateur. Ouvrir aussi une invite de commande.
======================================================================

Points prendre en compte lors du choix de l'emplacement
du dossier de base : Capacit de sauvegarde et de
restauration Espace disponible suffisant sur le
serveur Espace disponible suffisant sur l'ordinateur de
l'utilisateur Performances du rseau
Pour crer un dossier de base :

1.Crez un dossier sur un serveur, puis partagez-
le2.Accordez l'autorisation approprie pour ce
dossier3.Fournissez au compte d'utilisateur le chemin
d'accs du dossier


185
Attention : Le rpertoire de base doit tre partag pour les utilisateurs puissent y stocker
leurs documents.
Sur la station cliente qui a intgr le domaine, il doit avoir (via lExplorateur), un lecteur
rseau qui est apparue (R :) qui pointe sur un rpertoire partag sur le serveur (rpertoire de
base).
De mme si vous passez en mode ligne de commande le prompt vous positionne sur le
lecteur rseau correspondant au rpertoire de base situ distance sur le serveur.

\\SERVNET\SAUVE\%username% R :
Rpertoire de base
local, lutilisateur
est responsable de
la sauvegarde de
ses donnes sur sa
machine. Mthode
qui ne sature pas la
bande passante
rseau.
Rpertoire de
base distant,
lutilisateur nest
pas responsable
de la
sauvegarde de
ses donnes.
Mthode qui
sature la bande
passante rseau
186

Questions/Rponses
1. Deux nouveaux employs viennent de rejoindre le service marketing.
L'administrateur rseau doit crer des comptes pour ces utilisateurs, afin qu'ils puissent accder
aux ressources rseau telles que les dossiers partags et les imprimantes. Quel type de comptes
d'utilisateur l'administrateur rseau doit-il crer pour ces nouveaux employs ?
a. Comptes d'utilisateur de domaine
b. Comptes d'utilisateur locaux
c. Comptes Administrateur prdfinis
d. Comptes Invit prdfinis
Rponse correcte : A. Avec le compte de domaine, les nouveaux employs peuvent accder
aux ressources sur l'ensemble du rseau. S'ils possdent un compte sur l'ordinateur local
uniquement, ils ne peuvent accder qu'aux ressources de cet ordinateur.

2. L'administrateur rseau a configur un ordinateur pour excuter Windows 2003 Server. Quel
compte utilise-t-il pour accder l'ordinateur, avant de crer un compte pour lui-mme ?
a. Compte d'utilisateur de domaine
b. Compte d'utilisateur local
c. Compte Administrateur prdfini
d. Compte Invit prdfini
Rponse correcte : C. Lorsque l'ordinateur vient d'tre install, il existe seulement deux
comptes : le compte prdfini Administrateur et le compte prdfini Invit. Des deux, seul
le compte Administrateur dispose des droits ncessaires pour ouvrir une session et grer
l'ordinateur.

3. Un nouveau stagiaire a rejoint l'quipe d'administration rseau.
L'administrateur rseau souhaite que ce stagiaire puisse effectuer toutes les tches administratives
courantes dans ce domaine, telles que la cration et la modification des comptes d'utilisateur et
des groupes d'utilisateurs ainsi que le partage des ressources. Il ne veut toutefois pas donner au
stagiaire le contrle total sur le systme. Le stagiaire ne doit pas tre en mesure de modifier les
groupes Administrateurs ou Oprateurs de sauvegarde, ni grer les journaux d'audit de la scurit.
Que doit faire l'administrateur ?
Slectionnez toutes les rponses appropries.
A. Accorder directement les droits appropris au stagiaire.
B. Ajouter le stagiaire au groupe prdfini Utilisateurs avec pouvoir.
C. Ajouter le stagiaire au groupe Administrateurs.
D. Crer un groupe, ajouter le stagiaire, puis accorder les droits appropris ce groupe.
Rponses correctes : A et D. L'administrateur peut accorder les droits appropris
directement au stagiaire, mais les autorisations du stagiaire seront plus facile grer s'il
cre un groupe, place les utilisateurs appropris dans le groupe, puis accorde les droits au
groupe plutt qu' chaque utilisateur. Le groupe Utilisateurs avec pouvoir existe
uniquement sur les ordinateurs qui ne sont pas des contrleurs de domaine ; il ne confre
pas de droits dans le domaine, mais uniquement sur l'ordinateur local. Si l'administrateur
ajoute le stagiaire au groupe Administrateurs, celui-ci aura un contrle total sur le
domaine.

4. Un audit annuel est sur le point d'tre effectu dans votre entreprise. Le responsable du service
financier souhaite que seuls certains utilisateurs autoriss de ce service puissent consulter les
comptes de l'entreprise, qui se trouvent dans le dossier Bilans. Quelle serait la meilleure faon
d'accorder des autorisations aux utilisateurs du service financier ?
A. Accorder tous les utilisateurs du service financier les autorisations sur le dossier.
B. Accorder au groupe Finances, contenant tous les utilisateurs du service financier, les
autorisations sur le dossier.
C. Accorder des autorisations individuelles chaque utilisateur autoris.
D. Crer un groupe d'utilisateurs autoriss, puis accorder ce groupe les autorisations
appropries sur le dossier.

187
Rponse correcte : D. Dans la mesure o seuls certains membres du service financier
doivent tre en mesure d'accder ces informations, l'administrateur doit crer un groupe
contenant uniquement les utilisateurs qui ncessitent un accs, puis accorder ce groupe les
autorisations sur le dossier.

5. Dans quelles circonstances devez-vous crer un mot de passe pour un nouveau compte ? Pour
quelle raison devez-vous dsactiver un compte d'utilisateur quand vous le crez ?
Pour renforcer la scurit, vous devez toujours crer un mot de passe pour les comptes
d'utilisateur. Dsactivez le compte d'utilisateur s'il n'est pas prvu de l'utiliser
immdiatement. Le fait de dsactiver les comptes inutiliss empche de les utiliser de
manire inapproprie.

6. Pourquoi devez-vous utiliser des groupes ?
Utilisez des groupes pour simplifier l'administration en accordant des droits et des
autorisations au groupe en une seule fois, au lieu d'en accorder successivement chaque
membre du groupe.

7. Les utilisateurs peuvent-ils tre membres de plusieurs groupes ?
Oui, car un groupe est une liste de membres faisant rfrence aux comptes d'utilisateur
rels. Les utilisateurs peuvent donc tre membres de plusieurs groupes.

8. Pouvez-vous affecter des utilisateurs un groupe spcial ?
Non, les administrateurs n'affectent pas d'utilisateurs aux groupes spciaux. Les
utilisateurs sont membres de groupes spciaux par dfaut ou ils deviennent membres au
cours d'une activit rseau.

9. Dcrivez les diffrents types de groupes de domaine et les diffrentes tendues de groupe.
Types de groupes : les groupes de scurit permettent d'accorder des autorisations. Les
groupes de distribution sont utiliss comme listes de distribution pour le courrier
lectronique.
tendues des groupes : les groupes globaux permettent d'organiser les utilisateurs
partageant les mmes besoins d'accs au rseau dans un mme domaine.
Les groupes de domaine local permettent d'accorder des autorisations sur des ressources.
Les groupes universels permettent d'organiser des utilisateurs appartenant diffrents
domaines.

10. Pouvez-vous crer des groupes locaux sur des contrleurs de domaine ?
Vous ne pouvez pas crer de groupes locaux sur des contrleurs de domaine, car ceux-ci ne
peuvent pas possder de base de donnes de scurit indpendante de la base de donnes
figurant dans Active Directory. Les contrleurs de domaine ne peuvent possder que des
groupes de domaine local.

11. Quelle stratgie devez-vous appliquer lorsque vous accordez des autorisations dans un
domaine ?
La stratgie A G DL P : placez des comptes d'utilisateur (A) dans des groupes globaux (G),
placez des groupes globaux dans des groupes de domaine local (DL), puis accordez des
autorisations (P) au groupe de domaine local.

12. Votre socit vient de racheter une petite filiale, et vous dsirez utiliser Utilisateurs et
ordinateurs Active Directory pour crer des comptes d'utilisateur de domaine pour les nouveaux
employs. Pour des raisons commerciales, la filiale dsire conserver son ancienne identit auprs
de ses clients. Comment pouvez-vous crer pour les nouveaux employs des noms principaux
d'utilisateurs qui correspondent leurs adresses de messagerie lectronique, sans modifier ces
adresses ?
Ajoutez dans Active Directory un suffixe de nom principal d'utilisateur qui vous permettra
de crer des noms d'ouverture de session identiques aux adresses de messagerie. Aprs
avoir cr ce nouveau suffixe, vous pouvez crer des noms principaux d'utilisateurs
comportant ce nouveau suffixe.

188
13. Votre socit vient d'embaucher de nombreux nouveaux employs pour travailler dans une
nouvelle filiale, qui ouvrira ses portes le mois prochain.
Vous devez dfinir des comptes d'utilisateur pour ces employs, de faon leur permettre
d'utiliser et partager les ressources du rseau. Vous savez que le service Human Resources
possde les informations ncessaires sur ces nouveaux employs. Quelle est la mthode la plus
efficace pour importer en bloc les nouveaux comptes d'utilisateur ?
Demandez au service Human Resources d'exporter les donnes dans un fichier texte
dlimit par des virgules (csv) ou par des sauts de ligne. Modifiez le fichier pour qu'il puisse
tre utilis pour une importation en bloc. Utilisez ensuite la commande csvde ou ldifde,
suivant le cas, pour crer les comptes d'utilisateur partir du fichier que vous avez modifi.
Comme cette nouvelle filiale n'est pas encore oprationnelle, dsactivez les comptes
d'utilisateur durant l'importation.

G E S T I O N D A C C S A U X R E S S O U R C E S ( R A P P E L )

189
GESTION DACCS AUX RESSOURCES (RAPPEL)
Contrle daccs
Il faut discerner les notions quenglobent les contrles daccs. Les contrles daccs
vont permettre ladministrateur de savoir dune part si un utilisateur ou un groupe
aura ou non laccs une ressource et dune autre les types de droit que cette entit
aura sur lobjet.
SID (Security IDentifier) : chaque objet entit de scurit (utilisateur, groupe et ordinateur)
aura un identificateur de scurit qui sera unique dans une fort Active Directory. Cet
identificateur est automatiquement cr lors de la cration de lentit de scurit. Ce numro
unique est compos du SID du domaine + d'un RID dfini par la matre RID du domaine.
ACE (Access Control Entrie) : un ACE est un couple : un SID et une permission,
Le SID de lentit qui lon va donner ou refuser un accs.
Les informations sur laccs (ex : Lecture, Ecriture, )
Les informations dhritage.
Lindicateur de type dACE (Autoriser ou refuser).
DACL (Discretionary Access Control List) : cest une liste dACE pour un objet. Tout objet
dans Active Directory possde une DACL. Cest grce celle-ci quon autorise ou non une
entit de scurit. Toute entit de scurit non list dans cette DACL aura de suite un accs
refus.
SACL (System Access Control Lists): cette liste dACE est particulire et trs peu utilis. Elle
permet dauditer un certain nombre dvnements (scurit, rseau) sur lobjet dune ou plusieurs
entits. On pourra ainsi dterminer les violations daccs ainsi que son tendu qu'on souhaite auditer.

190

A chaque tentative daccs une ressource, cette liste sera parcourue afin de
dterminer si laction voulue peut tre ralise.
Prenons par exemple un utilisateur qui souhaite accder un partage dans un
domaine 2003 Server.

Les diffrentes notions de ACE et SID seront traits plus loin dans l'article. De plus,
certaines notions ont t modifies afin de les vulgariser On remarque de suite que le
contrleur de domaine est celui qui est le centre de toutes les transactions mais aussi qu'il
permet l'utilisateur d'unifier son authentification une unique fois. De plus, il possde un
jeton unique qui numre une fois pour toute son appartenance un certain nombre de
groupes.
Autorisations
Autorisations standard
Les autorisations permettent de fixer le niveau daccs quont les entits de scurit (pour
un compte utilisateur, groupe dutilisateurs ou ordinateur) sur une ressource.
Les ressources utilisant ce systme dautorisations pour rguler leurs accs sont multiples
(Registre, Fichiers, Imprimantes, Active Directory, )

191

Autorisations spciales
Les autorisations standard sont limites aux actions de base sur un objet (ex : Lecture,
Modifier, Contrle Total, ). Aussi pour pouvoir granuler de faon plus prcise les
autorisations vous avez accs via le bouton Avanc une liste tendue dautorisations.

Vous pouvez accorder des autorisations standard et des autorisations spciales sur les
objets. Les autorisations standard sont les plus frquemment attribues.
Les autorisations spciales permettent de contrler plus prcisment les autorisations
d'accs aux objets.

Les autorisations spciales correspondent une liste plus dtaille d'autorisations.
Une autorisation de lecture standard NFTS est associe aux autorisations spciales
suivantes :
- Affichage du contenu du dossier/lecture des donnes
- Attributs de lecture
- Attribution de lecture tendue
- Autorisations de lecture

Si l'administrateur systme retire une autorisation spciale associe une autorisation
standard, la case cocher de l'autorisation standard n'est plus active. La case cocher
de l'autorisation spciale figurant sous l'autorisation standard est active.

Voici quelques-unes des caractristiques les plus communes des dossiers partags :
- Un dossier partag apparat dans l'Explorateur Windows sous la forme d'une
icne reprsentant une main tenant le dossier.
- Vous pouvez partager des dossiers, mais pas des fichiers individuels.
- Si plusieurs utilisateurs doivent accder un mme fichier, vous devez placer
le fichier dans un dossier, puis partager le dossier.
192
- Lorsqu'un dossier est partag, l'autorisation de lecture est accorde par dfaut
au groupe Tout le monde. Retirez l'autorisation par dfaut et accordez aux
groupes l'autorisation de modification ou de lecture en fonction des besoins.
- Lorsque des utilisateurs ou des groupes sont ajouts un dossier partag, les
utilisateurs et les groupes reoivent par dfaut l'autorisation de lecture.
- Lorsque vous copiez un dossier partag, le dossier d'origine reste partag,
mais pas la copie. Lorsque vous dplacez un dossier partag, le dossier n'est
plus partag.
- Vous pouvez masquer un dossier partag en plaant le symbole du dollar ($)
la suite du nom du dossier. L'utilisateur ne peut alors pas voir le dossier
partag dans l'interface graphique, mais il peut y accder en tapant le nom
UNC (Universal Naming Convention), tel que \\server\secrets$.

Lorsque vous crez un dossier partag dans une partition NTFS, les autorisations de
dossier partag et NTFS sont combines pour protger les fichiers. Les autorisations
NTFS s'appliquent lorsque l'accs la ressource s'effectue localement ou via un
rseau.
Lorsque vous accordez des autorisations de dossier partag sur un volume NTFS, les
rgles suivantes s'appliquent :
Des autorisations NTFS sont ncessaires sur les volumes NTFS. Par dfaut, le
groupe Tout le monde dispose de l'autorisation de lecture.
Les utilisateurs doivent disposer d'autorisations NTFS sur chaque fichier et sous-
dossier d'un dossier partag, en plus des autorisations de dossier partag, pour
pouvoir accder ces ressources.
Lorsque vous combinez les autorisations NTFS et les autorisations de dossier
partag, l'autorisation rsultante correspond l'autorisation la plus restrictive des
autorisations de dossier partag et des autorisations NTFS combines.

193
Cration de groupes et permissions NTFS
` TP raliser.
======================================================================
a). Cration de 2 comptes : Betty et Eric
Ouvrir une session en tant que :
Se connecter : choisir le nom de votre machine (SAM local)
Bouton Dmarrer , puis Outils d Administration , puis Gestion de lordinateur (sans AD), avec AD il
faudra utiliser Active Directory Users and Computers .
Developpez Utilisateurs et groupes locaux .
Bouton droit sur Utilisateurs , puis Nouvel utilisateur :
Nom dutilisateur : Betty
Nom complet : Betty de gefi
Description: Stagiaire Gefi
Mot de passe : P@sswrd
Confirmer le mot de passe : P@sswrd
Dcocher : Lutilisateur doit changer de mot de pass la prochaine ouverture de session
Cocher ensuite : Lutilisateur ne peut pas changer de mot de passe et Le mot de passe nexpire jamais
Puis cliquez sur Crer.

Nouvel utilisateur :
Nom dutilisateur: Eric
Nom complet : Eric de gefi
Description: Stagiaire de Gefi
Confirmer le mot de passe: P@sswrd
Dcocher : doit changer de mot de pass la prochaine ouverture de session
Cocher ensuite : Lutilisateur ne peut pas changer de mot de passe et Le mot de passe nexpire jamais
Puis cliquez sur Crer.
Puis cliquez sur Fermer.

b). Cration de groupes (en Wokstation uniquement des Grp locaux uniquement
Toujours dans Gestion de lordinateur , bouton droit sur Groupe , puis Nouveau groupe :
Nom du groupe : Test
Description : TP
Dans Membres cliquez sur Ajouter , dans Entrer les noms des objets slectionner taper Betty ,
puis cliquez sur Emplacement et choisir le nom de votre PC, puis OK cliquez sur Vrifier les noms ,
puis sur OK , puis sur Crer .
Nom du groupe : Test1
Description : TP1
Dans Membres cliquez sur Ajouter , dans Entrer les noms des objets slectionner taper Eric ,
puis cliquez sur Emplacement et choisir le nom de votre PC, puis OK cliquez sur Vrifier les noms ,
puis sur OK , puis sur Crer , puis sur Fermer .

***Noubliez pas dajouter Betty dans le groupe local test, et
Eric dans la groupe local test1***

Fermer Gestion de lordinateur .
Full
C l
Read
Full
C l
Read
194

c).Partage de ressources plus affectation de permissions NTFS
Bouton Dmarrer , puis Explorateur Windows (developpez Poste de travail).
Vrifier que votre HDD C: est en NTFS (bouton droit sur C:, Proprits => Systme de fichiers =NTFS, OK).

Sur C : crer 2 rpertoires : C:\test et C:\test1
Slectionner le HDD C : , Menu Fichier , Nouveau dossier , puis Test.
Slectionner le HDD C : , Menu Fichier , Nouveau dossier , puis Test1.

Mettre 1 fichier dans le rpertoire Test et Test1 .
Slectionner le rpertoire Test , dans la partie de droite, bouton droit sur un espace vide, Nouveau puis
Document Texte .
Nom document : Test.txt
Double cliquez sur Test.txt , et saisir comme contenu : Blabla !!!! .
Fermer, puis valider par Oui (confirmation des changements).
Slectionner Test.txt , puis CTRL+C (copier).
Slectionner le rpertoire Test1 , partie de lcran de droite (espace vide) faire CTRL+V (coller).

Bouton droit sur le rpertoire Test , puis Partage et scurit
Onglet Partage , puis slectionner Partager ce dossier .
Nom du partage : test
Nombre dutilisateurs autoriss : 2
Vrifier par le bouton Autorisations que Tout le monde comme permission NTFS Control total, puis
cliquez sur Appliquer puis OK .
Onglet Scurit
Cliquez sur le bouton Ajouter , puis dans Entrer les noms des objets slectionner taper : test.
Cliquez sur le bouton Emplacement : choisir le nom de votre PC, puis choisir Vrifier les noms , puis sur
OK .
Slectionner le groupe test , puis cocher la case Control total puis sur Appliquer .

Cliquez de nouveau sur le bouton Ajouter , puis dans Entrer les noms des objets slectionner taper :
test1.
Cliquez sur le bouton Vrifier les noms , puis sur OK .
Slectionner le groupe test 1, puis cocher la case Lecture et Affichage du contenu du dossier , puis sur
Appliquer .
Cliquez sur le bouton Paramtres avancs , slectionner les lignes contenant Utilisateurs , puis dcocher la
case Permettre aux autorisations hrites du parent , cliquez sur Supprimer , puis sur OK

De nouveau dans lexplorateur de Windows :
Bouton droit sur le rpertoire Test1 , puis Partage et scurit
Onglet Partage , puis slectionner Partager ce dossier .
Nom du partage: test1
Nombre dutilisateurs autoriss :2
Vrifier par le bouton Autorisations que Tout le monde comme permission NTFS Control total , puis
cliquez sur OK .
Onglet Scurit
Cliquez sur le bouton Ajouter , puis dans Entrer les noms des objets slectionner taper : Betty.
Cliquez sur le bouton Emplacement choisir le nom de votre PC, puis cliquez sur Vrifier les noms , puis sur
OK .
Slectionner le compte Betty , puis cocher la case Lecture et Affichage du contenu du dossier , puis sur
Appliquer .

Cliquez de nouveau sur le bouton Ajouter , puis dans Entrer les noms des objets slectionner taper :
Eric.
Cliquez sur le bouton Vrifier les noms , puis sur OK .
Slectionner le compte Eric, puis cocher la case Control total .
Cliquez sur le bouton Paramtres avancs , slectionner les lignes contenant Utilisateurs , puis dcocher la
case Permettre aux autorisations hrites du parent , cliquez sur Supprimer , puis sur OK et de
nouveau OK .

d). Vrification de lapplication des permissions NTFS
Ouvrir une session en tant que Betty ou Eric
Faire CTRL+ALT+SUPPR , puis Logoff , puis CTRL+ALT+SUPPR , Logon
Nom user : Betty
Password : P@sswrd
Essayer de modifier le contenu du fichier test.txt situ dans le rpertoire test et test1 .

Editer le fichier : Taper le mot Blabla est enregistrer le, y tes-vous
parvenu ?
C:\test\test.txt
C:\test1\test.txt


195

Faire CTRL+ALT+SUPPR , puis Logoff , puis CTRL+ALT+SUPPR , Logon
Nom user : Eric
Password : P@sswrd
Essayer de modifier le contenu du fichier test.txt situ dans le rpertoire test et test1 .

Editer le fichier : Taper le mot Blabla est enregistrer le, y tes-vous
parvenu ?
C:\test\test.txt
C:\test1\test.txt

e). Vrification de laccs au partage et des permissions NTFS travers le rseau
Connexion une ressource sur la machine de votre voisin en tant que compte Betty
Bouton Dmarrer , puis Excuter , taper le nom UNC : \\Nom_Serveur_Voisin\test
User Name : Betty
Password : P@sswrd
Vrifier si le fichier test.txt peut tre modifi ?
Faire de mme pour le compte Eric sur ce mme fichier du rpertoire test .
======================================================================
L A C O M M A N D E C A C L S
196
LA COMMANDE CACLS
La commande CACLS de Windows NT/2000/XP/Server 2003 permet d'afficher et
modifier des listes de contrles d'accs. Syntaxe :

La commande CACLS prsente de nombreuses restrictions, comme son incapacit
dfinir des accs spciaux et traiter plusieurs fichiers simultanment
Cacls.exe peut tre employ pour montrer ou modifier des listes de contrle d'accs
(ACLs) pour un ou plusieurs fichiers. Il inclut les options spcifiques qui peuvent tre
employes pour accorder (/g), rvoquer (/r), remplacer (/p), ou interdir des droits d'accs
l'utilisateur (/d). Par exemple, vous pouvez employer la commande cacls pour accorder un
droit d'accs un utilisateur. En ligne de commande, tapez la commande cacls en
employant la syntaxe suivante :

cacls nomdufichier /t /e /c
cacls nomdufichier /g /p utilisateur:autorisation
cacls nomdufichier /r /d utilisateur

Par exemple, pour accorder un contrle total et exclusif au fichier "machin" pour
l'utilisateur "Toto", tapez :
Cacls machin /g toto:f
En sens inverse, si vous ne souhaitez pas modifier les droits de scurit accords aux
autres utilisateurs, tapez :

197
cacls machin /g /e toto:f
Si vous voulez autoriser un accs total aux administrateurs pour tous les fichiers,
dossiers et sous-dossiers du lecteur C :, tapez :
cacls c:\ /t /e /g Administrateur:f
Pour ajouter une permission de lecture concernant un dossier nomm " top secret "
(mais non ses sous-dossiers) pour le groupe d'utilisateurs appel " Amis " et le
groupe des utilisateurs mais refuser toutes autorisations pour le groupe appel "
Espions ", tapez :
cacls c:\top-secret /e /g Examinateurs:r Users:r /r Espions
Pour rinitialiser l'ensemble des paramtres par dfaut du lecteur C:, tapez (en vous
plaant sur C:) :
cacls * /t /e /c /g administrateurs:f system:f

gj'ai perdu l'acces au rpertoire racine de la partition bootable et je ne peux plus
me connecter.

Si vous fixez le droit "Aucun Accs" a la partition de boot, vous ne pourrez plus
vous connectez. Dans ce cas faites :
======================================================================
1. Connectez-vous en tant qu'Administrateur.
2. Lorsque vous aurez l'ecran 'chemin trop long", cliquez sur Ok."
3. Appuyez sur Ctrl-Alt-Supp, la boite de dialogue de Windows sur la scurit apparat.
4. Appuyez sur le bouton "Gestionnaire de tache" et le gestionnaire de tache apparat.
5. Slectionnez l'onglet application et cliquez sur le bouton "Nouvelle tache".
6. Entrez le chemin "%systemroot%\system32\cmd.exe"
7. Puis la commande
CACLS d:\ /e /g tout le monde :F
Ou D: est la partition de boot.
8. Slectionnez le gestionnaire de tache et cliquez sur "Nouvelle Tache" , puis tapez "
%systemroot%\explorer.exe", le bureau apparat alors.
9. Dconnectez-vous et reconnectez pour vrifier que tous est normal.
10. Vous pouvez maintenant fixer les permissions sur la racine.
======================================================================
198
Utilisation de la commande CACLS
` TP raliser.
======================================================================
Domaine : Nom de votre Machine (SAM local)
b. Lancer lexplorateur de Windows (+E)
c. Faire bouton droit sur temp, puis Proprits
d. Onglet Scurit, observer les diffrentes permissions positionnes !!
Notez-les ici :
........................................................................................................................................................................................
........................................................................................................................................................................................
e. Dmarrer une ligne de commande, bouton Dmarrer, Excuter...., puis cmd.
f. Taper la commande C:\> cacls c:\temp
Vous devez voir ceci :
C:\temp BUILTIN\Administrateurs:(OI)(CI)F
AUTORITE NT\SYSTEM:(OI)(CI)F
BUILTIN\Administrateurs:F
CREATEUR PROPRIETAIRE:(OI)(CI)(IO)F
BUILTIN\Utilisateurs:(OI)(CI)R
BUILTIN\Utilisateurs:(CI)(accs spcial :) FILE_APPEND_DATA
BUILTIN\Utilisateurs:(CI)(accs spcial :) FILE_WRITE_DATA

g. Tapez la commande suivante C:\> cacls c:\temp /t /g administrateur:f, valider par O
Vrifier l'ACL de C:\temp ?
........................................................................................................................................................................................
........................................................................................................................................................................................
h. Tapez la commande suivante C:\> cacls c:\temp /t /g "tout le monde":r, valider par O
Vrifier l'ACL de C:\temp ? que constatez-vous ?
........................................................................................................................................................................................
........................................................................................................................................................................................
i. Tapez la commande suivante C:\> cacls c:\temp /t /e /g administrateur:f, valider par O
Vrifier l'ACL de C:\temp ? que constatez-vous ?
........................................................................................................................................................................................
.......................................................................................................................................................................................
j. Cliquez sur Paramtres avances de longlet Scirit, onglet Autorisations effectives, bouton slctionner,
saisir tout le monde, puis vrifier les noms, puis OK et observer les permissions effectives ainsi attribues ?
........................................................................................................................................................................................
.......................................................................................................................................................................................

Remarque :
Pour retirer une ACE la DACL :
C:\> cacls /t /e /r tout le monde

Voici les permissions disponibles par cette commande
Valeur Description
n Aucune
r Lecture
w criture
c Changer (crire)
f Contrle total

Le tableau suivant vous permet d'interprter les rsultats.
Sortie Porte de l'application de l'entre de contrle d'accs
OI Ce dossier et les fichiers.
CI Ce dossier et les sous-dossiers.
IO L'entre de contrle d'accs ne s'applique pas au fichier/rpertoire en cours.
Aucun message en
sortie
Ce dossier uniquement.
(IO)(CI) Ce dossier, les sous-dossiers et les fichiers.
(OI)(CI)(IO) Les sous-dossiers et les fichiers seulement.
(CI)(IO) Les sous-dossiers seulement.
(OI)(IO) Les fichiers seulement.
======================================================================


199
Questions/Rponses
1. Les utilisateurs du service Produits doivent constamment se rfrer des informations relatives
aux produits qui sont stockes dans un dossier du serveur. Ce dossier contient galement des
applications que les utilisateurs peuvent avoir besoin d'excuter. Les utilisateurs ne sont toutefois
pas autoriss apporter des modifications aux fichiers contenus dans le dossier.
Quelles autorisations faut-il accorder sur ce dossier ?
A. Lecture.
B. Lecture et excution.
C. Afficher le contenu du dossier.
D. Lecture et criture.
Rponse correcte : B. Toutes les rponses permettent aux utilisateurs de voir les
informations, mais seule la rponse B leur permet d'ouvrir les fichiers et d'excuter les
applications contenues dans le dossier sans pouvoir modifier les fichiers ni le dossier.

2. L'administrateur rseau vous demande d'administrer l'imprimante couleur qui a t mise en
place pour le service Ventes. De quelle autorisation sur l'imprimante avez-vous besoin, sachant
que vous devez pouvoir grer l'impression des documents, le partage de l'imprimante et la
modification de ses proprits ?
A. Imprimer.
B. Contrle total.
C. Gestion des documents.
D. Gestion d'imprimante.
Rponse correcte : D. L'autorisation Gestion d'imprimante permet un utilisateur
d'effectuer toutes les actions ncessaires. L'autorisation Imprimer permet l'utilisateur
d'imprimer un document.
L'autorisation Gestion des documents permet un utilisateur d'agir sur tous les documents
placs dans la file d'attente de l'imprimante.
L'autorisation Contrle total n'existe pas pour les imprimantes.

3. L'administrateur rseau du service Ingnierie doit limiter l'utilisation de l'imprimante rserve
ce service. Que doit-il faire pour que seuls les employs du groupe Ingnierie puissent accder
l'imprimante ?
A. Ajouter l'autorisation Imprimer tous les utilisateurs du service Ingnierie.
B. Ajouter l'autorisation Imprimer au groupe Ingnierie et conserver l'autorisation par dfaut du
groupe Tout le monde.
C. Supprimer l'autorisation par dfaut Imprimer du groupe Tout le monde et accorder cette
autorisation uniquement au groupe Ingnierie.
D. Supprimer l'autorisation par dfaut Imprimer du groupe Ingnierie et accorder cette
autorisation au groupe Tout le monde.
Rponse correcte : C. Les autorisations par dfaut sur une imprimante accordent
l'autorisation Imprimer au groupe Tout le monde.
L'administrateur doit d'abord supprimer ce groupe, puis ajouter uniquement le groupe qui
a besoin d'accder l'imprimante, savoir le groupe Ingnierie dans le cas prsent.

4. Un utilisateur vous tlphone pour savoir pourquoi il narrive pas crer un fichier dans le
dossier racine. Il utilise des noms de fichier longs et le dossier racine se trouve dans une partition
FAT, mais il ny a que 278 entres dans ce dossier. Do vient le problme votre avis ?
Le rpertoire racine FAT est limit par code 512 entres. Dans les partitions FAT, un
nom de fichier long cre une entre de rpertoire pour chaque squence de 13 caractres
plus une autre entre de rpertoire pour son alias. Par exemple, si un nom de fichier
comprend 15 caractres, il gnre deux entres de rpertoire pour le nom de fichier long et
une troisime pour son alias. Un nom de fichier long de 36 caractres gnre en tout quatre
entres de rpertoire : trois pour le nom de fichier et un pour son alias. Si les 278 entres du
rpertoire racine sont en majorit des noms de fichier longs, il se peut que lutilisateur ne
dispose plus dentres disponibles et ne soit donc plus en mesure dajouter des fichiers dans
le rpertoire racine.

200
5. Aprs avoir mis niveau vos ordinateurs de Windows 98 vers Windows XP Professionnel,
vous avez dcid de tirer parti des fonctionnalits dveloppes du systme de fichiers NTFS.
Comment pouvez-vous utiliser ces fonctionnalits dveloppes avec le minimum de tches
administratives et galement grer les donnes utilisateur ?
Utilisez l'utilitaire de conversion. La commande sera convert c: /FS:NTFS.

6. Un utilisateur stocke un trs grand nombre de fichiers graphiques sur un disque local. Pour des
besoins de scurit, il a t dcid que ces fichiers doivent tre stocks uniquement sur
l'ordinateur de cet utilisateur.
L'utilisateur annonce que Windows XP Professionnel affiche un message
indiquant que le lecteur C est court d'espace disque. Vous avez vrifi que le disque ne dispose
plus d'espace non allou non format. Que pouvez-vous faire pour aider cet utilisateur ?
Utilisez la compression NTFS pour compresser les dossiers contenant les fichiers
graphiques. Ces fichiers vont probablement tre compresss un pourcentage bien
infrieur l'espace utilis.

7. Un utilisateur a cr un dossier sur le lecteur D pour archiver d'anciens fichiers. Il a utilis la
compression NTFS sur le dossier. L'utilisateur vous appelle pour vous demander pourquoi
certains fichiers sont compresss lors du dplacement vers le dossier compress, tandis que
d'autres ne le sont pas.
Que rpondez-vous l'utilisateur ?
Lorsque les fichiers sont dplacs du lecteur C au lecteur D, ils hritent de l'attribut de
compression du nouveau dossier. Lorsque les fichiers sont dplacs d'un emplacement du
lecteur D vers un autre, l'attribut de compression du dossier d'origine est conserv.

8. Le responsable des ventes a rcemment t promu directeur commercial adjoint, et un
responsable des ventes rgional a t promu son poste. Le nouveau responsable des ventes a
besoin de prendre possession des fichiers des rapports de ventes mensuels. Comment la proprit
des fichiers peut-elle tre transfre au nouveau responsable des ventes l'aide d'autorisations
NTFS spciales ?
Le propritaire des fichiers peut accorder au nouveau responsable des ventes l'autorisation
NTFS Appropriation. Ainsi, le nouveau responsable des ventes peut prendre possession des
fichiers existants.

9. Votre ordinateur est utilis par plusieurs personnes. Comment pouvez-vous vrifier que les
utilisateurs autoriss de cet ordinateur puissent uniquement accder leurs propres fichiers de
donnes ?
Vous pouvez convertir le lecteur au format NTFS, crer un dossier pour chaque utilisateur,
puis configurer les autorisations NTFS de chaque dossier pour que chaque utilisateur
accde uniquement son propre dossier.


201
10. Un utilisateur appel JDRoland est membre du groupe Ingnieurs, du groupe RespING et
du groupe Utilisateurs. Les autorisations NTFS sur le dossier Drawings sont les suivantes :
JDRoland Aucune (ce nest pas une action de Aucun Accs, mais de non notifi)
Ingnieurs Contrle total
RespING Lecture seule
Utilisateurs Aucune (ce nest pas une action de Aucun Accs, mais de non notifi)
Quels sont les droits de JDRoland sur le dossier Drawings ? Pourquoi ?
Contrle total. Bien que le compte d'utilisateur ne fournisse pas de droit spcifique, il est
membre du groupe Ingnieurs. tant donn que les autorisations NTFS peuvent tre
cumules, le compte d'utilisateur JDRoland dispose de l'autorisation Contrle total.

11. Vous configurez des autorisations NTFS sur un dossier et vous remarquez que certaines des
cases cocher Autorisations sont actives mais grises et vous ne pouvez pas les dsactiver.
Quelle peut tre le problme et comment pouvez-vous les dsactiver ?
Si une case cocher est grise, cela signifie que l'autorisation qui lui est associe est hrite
de son dossier parent. Pour modifier ces droits, dsactivez la case cocher Permettre aux
autorisations pouvant tre hrites du parent d'tre propages cet objet, supprimez les
droits hrits, puis dfinissez les autorisations selon vos besoins.

12. Quelle est la meilleure faon de scuriser les fichiers et les dossiers que vous partagez sur des
partitions NTFS ?
Placez les fichiers que vous voulez partager dans un dossier partag et conservez
l'autorisation par dfaut sur le fichier partag (le groupe Tout le monde avec l'autorisation
Contrle total). Accordez ensuite aux utilisateurs et aux groupes les autorisations NTFS
appropries sur les fichiers et les dossiers du dossier partag.

13. Un utilisateur tente de se connecter un autre ordinateur en utilisant le nom UNC \\serveur\c$
pour accder tous les fichiers et dossiers du lecteur C: mais l'accs lui est refus. L'utilisateur
sait que le dossier partag C$ est automatiquement cr par dfaut. Pourquoi ne peut-il pas
accder ce dossier partag ?
L'utilisateur ne dispose pas de privilges administratifs sur l'ordinateur auquel il tente
d'accder. Un dossier partag masqu est cr la racine de chaque partition dfinie, mais
il n'est accessible qu'aux utilisateurs qui disposent de privilges administratifs.

14. Il vous a t demand de crer des comptes d'utilisateur pour une entreprise qui compte trente
employs. Elle possde un serveur qui excute Active Directory, quatre serveurs membres
auxquels tous les employs doivent pouvoir accder, et 31 ordinateurs qui excutent Windows
2000 Professionnel. Quels types de comptes d'utilisateur devez-vous crer ? Pourquoi ? Sur quels
ordinateurs ces comptes doivent-ils rsider ?
Crez des comptes d'utilisateur de domaine, car la socit utilise Active Directory pour
permettre aux utilisateurs d'accder aux ressources rseau. Les comptes d'utilisateur de
domaine doivent rsider sur le contrleur de domaine.

15. Vous tes membre du groupe Administrateurs du domaine, et vous devez crer plusieurs
comptes d'utilisateur de domaine. Toutefois, le contrleur de domaine est physiquement situ
dans un bureau ferm cl et auquel vous ne pouvez pas accder. Votre propre ordinateur
excute Windows 2000 Professionnel. Comment pouvez-vous crer les comptes d'utilisateur de
domaine partir de votre ordinateur ?
Installez les outils d'administration de Windows 2003 sur votre ordinateur, partir des
CD-ROM Windows 2003 Server ou
Windows 2003 Enterprise Server. Pour crer les comptes d'utilisateur de domaine, ouvrez
la console Utilisateurs et groupes Active Directory partir du menu Outils
d'administration.

16. Vous avez cr un compte d'utilisateur de domaine qui sera utilis par un employ charg du
traitement des donnes. Vous ne voulez pas que cet utilisateur soit en mesure d'ouvrir une session
sur l'un des autres ordinateurs. Quelle limite pouvez-vous affecter ce compte pour qu'il ne
puisse accder qu' l'ordinateur de l'utilisateur ?
Configurez le compte pour que l'accs soit possible l'ordinateur de cet utilisateur, en
cliquant sur le bouton Se connecter dans l'onglet Compte de la bote de dialogue
202
Proprits de ce compte d'utilisateur. Ajoutez le nom de cet ordinateur dans la zone Nom
de l'ordinateur.

17. Un utilisateur reoit un message d'erreur lorsqu'il tente d'ouvrir une session. Ce message
d'erreur indique que Windows n'a pas pu reprer le profil itinrant de cet utilisateur, et que le
chemin d'accs du rseau n'a pas t trouv. Vous vrifiez l'onglet Profil de la bote de dialogue
Proprits de ce compte, et le chemin d'accs du profil est dfini comme
\\partage\serveur\nom_d'ouverture_de_session_utilisateur. Pourquoi cet utilisateur ne peut-il pas
ouvrir de session ?
Le chemin d'accs est incorrect. Le chemin d'accs du profil devrait tre
\\serveur\partage\nom_d'ouverture_de_session_utilisateur.

18. Utilisateur1 dispose de l'autorisation Contrle total sur le dossier Recherche. Un
administrateur cre un compte pour Utilisateur2 en copiant le compte d'Utilisateur1.
Lorsqu'Utilisateur2 tente d'accder au dossier Recherche, il reoit un message d'erreur indiquant
que l'accs lui est refus. Pourquoi Utilisateur2 ne peut-il pas accder au dossier Recherche ?
Les autorisations et les droits affects au compte d'utilisateur de domaine d'origine ne sont
PAS copis dans le nouveau compte d'utilisateur de domaine.

19. Les employs du groupe Service aprs-vente se plaignent que leurs paramtres de bureau sont
diffrents lorsqu'ils ouvrent une session sur diffrents ordinateurs dans leur service. Comment
pouvez-vous garantir que les paramtres du bureau seront identiques, quel que soit l'ordinateur
sur lequel ils ouvrent une session ?
Crez un profil itinrant obligatoire, et indiquez que tous les utilisateurs du groupe Service
aprs-vente doivent l'utiliser.
Application dun script en local (rappel)
` TP raliser.
======================================================================
Domaine : Nom de votre Machine (SAM local)

Crer un utilisateur BILL, avec comme mot de passe : P@sswrd
Mettre BILL dans le groupe administrateurs
Via le Bloc Notes, crer un fichier script nomm test.bat
Ce script doit raliser les actions suivantes :
Crer un rpertoire C:\test
Partager ce dossier C:\test en DOCS (celui-ci doit tre cach), nombre de connexion max : 5
utilisateurs, avec comme commentaire : Ceci est un partage pour un test de script
Remplacer les permissions antrieure de C:\test et sous dossier par administrateur=Contrl totale
Ajouter la permission suivante C:\test et sous dossier par Tout le monde=Lire
Crer un lecteur rseau K :, qui ponte sur le serveur ServNet (domaine de Bourges) sur le dossier Temp, ayant
comme login Nom=Marcel, Password=P@sswrd1
Fermer la session et ouvrez une nouvelle session en tant que BILL (vrifier que le script cest bien ralis)
======================================================================
S T R A T G I E S D E G R O U P E S

203
STRATGIES DE GROUPES
Le service d'annuaire Active Directory utilise une stratgie de groupe pour
administrer les utilisateurs et les ordinateurs connects votre rseau. Grce la
stratgie de groupe, il suffit de dfinir une seule fois l'tat de l'environnement de
travail d'un utilisateur et de laisser ensuite la famille Windows Server 2003 appliquer
systmatiquement les paramtres de cette stratgie. Vous pouvez appliquer les
paramtres de stratgie de groupe l'chelle d'une entreprise ou des groupes
d'utilisateurs et d'ordinateurs donns.
Par dfaut, aprs installation de Windows, aucune stratgie n'est configure, et tout
est permis (aux restrictions prs lies aux groupes prdfinis d'utilisateurs :
Administrateurs, Utilisateurs, Utilisateurs avec pouvoir,...)

La console Stratgie de groupe dans Microsoft Windows 2000/2003 vous permet
de mieux contrler l'administration des utilisateurs et des ordinateurs sur votre
rseau. Vous pouvez appliquer ces paramtres sur l'ensemble d'un rseau ou vous
pouvez appliquer la stratgie de groupe dfinie uniquement pour des groupes
spcifiques d'utilisateurs et d'ordinateurs.

Par exemple, l'administrateur peut implmenter les paramtres de la console Stratgie
de groupe qui engendreront les vnements suivants :
_ Excution d'un script de dmarrage sur tous les ordinateurs d'une unit
d'organisation ;
_ Audit de toutes les tentatives d'ouverture de session infructueuses dans un
domaine.

Les paramtres prcis contenus dans un objet Stratgie de groupe (GPO, Group
Policy Object) vous permettent de contrler des configurations utilisateurs et
ordinateurs spcifiques.
Une stratgie sert mettre en place une ou plusieurs restrictions d'utilisation de
Windows et des ses composants principaux.
Par exemple :
204
Menu Dmarrer et Barre des tches
o Dsactiver et supprimer les liens vers Windows Update
o Supprimer le groupe de programmes communs du menu Dmarrer
o Supprimer le menu Documents du menu Dmarrer
o Dsactiver les programmes du menu Paramtres
o Supprimer les Connexions rseau et accs distant du menu Dmarrer
o Supprimer le menu Excuter du menu Dmarrer
o Dsactiver la fermeture de session dans le menu Dmarrer
o Dsactiver et supprimer la commande Arrter
o ...
Panneau de configuration
o Dsactiver le Panneau de configuration
o Masquer les applications du Panneau de configuration spcifies
o ...
Systme
o Ne pas afficher l'cran de bienvenue l'ouverture de session
o Dsactiver l'invite de commandes
o Dsactiver les outils de modifications du Registre
o Excuter seulement les applications Windows autorises
o N'excutez pas les applications Windows spcifies
o Activer les quotas de disque
o ...
Internet Explorer
o Dsactiver la personnalisation de Internet Explorer par des tiers
o Dsactiver l'importation et l'exportation des favoris
o Dsactiver la modification des paramtres de la page de dmarrage
o ...
NetMeeting
o Dsactiver le partage de Bureaux distants
o ...
Les stratgies diffrent des prfrences (utilisateur) et comparer les deux moyens
permet de mieux comprendre comment Windows utilise la stratgie. Les utilisateurs
affectent leurs prfrences, comme leurs papiers peints de bureau. Ils peuvent
changer leurs prfrences n'importe quand.
Les administrateurs positionnent la stratgie, comme l'emplacement du dossier Mes
Documents et ils ont la priorit sur la prfrence des utilisateurs.

Windows stocke la stratgie dans le registre sparment des prfrences utilisateurs.
Si la stratgie existe, le systme d'exploitation emploie les paramtres indiqus par la
stratgie. Si la stratgie n'existe pas, le systme d'exploitation emploie les
prfrences utilisateurs.
En absence de prfrence utilisateur, le systme d'exploitation emploie un paramtre
par dfaut.

Une chose importante est qu'une stratgie ne change pas la prfrence utilisateur
quivalente, s'ils les deux lments existent en mme temps, la stratgie a la
prsance. Aussi, si l'administrateur enlve la stratgie, la prfrence utilisateur est
de nouveau employe.

Windows enlve automatiquement les paramtres GPOs du registre quand les GPOs
ne s'appliquent plus l'utilisateur ou l'ordinateur. Aussi, la Stratgie de Groupe ne
recopie pas les prfrences utilisateurs. Ainsi si vous supprimez un GPO de l'Active
Directory, Windows enlve les paramtres de ce GPO du registre et revient en
arrire, aux prfrences utilisateurs. De mme, si vous enlevez une stratgie
individuelle du GPO, Windows enlve ce paramtre du registre et rtablit les
prfrences existantes de l'utilisateur. La stratgie de groupe ne fait pas de
changements permanents et irrversibles au niveau du Registre.
La Stratgie Systme fait des changements permanents et irrversibles au niveau du
registre, en d'autres termes, cela tatoue le registre. Enlever la Stratgie Systme

205
enlve toute les stratgies contenue dans le registre. Le seule faon de rtablir les
prfrences utilisateurs, assumant que cette stratgie ne recopie pas leurs prfrences,
est de manuellement enlever la stratgie du registre o en changant explicitement les
paramtres de la Stratgie Systme survenante.

Windows combine ensemble les stratgies dans un Group Policy object (GPO).
Un GPO peut tre considr comme un conteneur pour les stratgies que vous
appliquez et leurs paramtres. Il est possible dappliquer plusieurs GPO un seul
site, un domaine ou une unit dorganisation (OU).
Dans l'Active Directory, vous avez de multiples GPOs, qui s'appliquent aux
utilisateurs et des ordinateurs, selon o ils sont dans l'arborescence.

Les stratgies de groupes simplifient ladministration en procurant aux
administrateurs la matrise centrale des privilges, des autorisations et des
fonctionnalits des utilisateurs et des ordinateurs.

Une stratgie de groupe peut sapprhender comme un ensemble de rgles qui vous
aident grer des utilisateurs et des ordinateurs. Les stratgies de groupe sont
applicables plusieurs domaines, des domaines individuels, des sous-groupes de
domaines et des systmes individuels.

Dans ce dernier cas, elles sont dites locales et stockes sur le systme local. Les
autres stratgies de groupe sont lies en tant quobjets dans le service dannuaire
Active Directory.

La console Gestion des stratgies de groupe combine la fonctionnalit de tous ces
composants dans une interface utilisateur unique. Cette interface est organise selon
la manire dont vous utilisez et administrez la stratgie de groupe. Elle intgre, dans
un composant logiciel enfichable MMC unique, la fonctionnalit de stratgie de
groupe des outils suivants :
- Utilisateurs et ordinateurs Active Directory
- Sites et services Active Directory
- Jeu de stratgie rsultant (RSoP, Resultant Set of Policy)

Le contenu d'un objet GPO est stock dans deux emplacements diffrents. Ces
emplacements sont dcrits ci-dessous.
_ Conteneur de stratgie de groupe. Le conteneur de stratgie de groupe est un objet
Active Directory qui contient les informations de version et les attributs de l'objet
GPO. Le conteneur de stratgie de groupe se trouvant dans Active Directory, les
ordinateurs peuvent y accder pour rechercher les modles de stratgie de groupe, et
les contrleurs de domaine pour obtenir les informations de version.
Un contrleur de domaine utilise les informations de version pour vrifier qu'il
dispose de la dernire version de l'objet GPO. Sinon, la duplication s'effectue dans le
contrleur de domaine qui dispose de la dernire version de l'objet GPO.

Modle de stratgie de groupe. Le modle de stratgie de groupe est une hirarchie
de dossiers situe dans le dossier Sysvol des contrleurs de domaine. Lorsque vous
crez un objet GPO, Microsoft Windows 2003 cre la hirarchie de dossiers du
modle GPT correspondante. Le modle de stratgie de groupe contient tous les
paramtres et informations de stratgie de groupe, y compris les paramtres des
modles d'administration, de scurit, d'installation de logiciels, de scripts et de
redirection des dossiers.
206
Les ordinateurs se connectent au dossier Sysvol pour se procurer les paramtres.
Le nom du dossier de ce modle est l'identificateur universel unique (GUID,
Globally Unique IDentifier) de l'objet GPO que vous avez cr. Celui-ci est identique
l'identificateur GUID qui identifie l'objet GPO dans le conteneur de stratgie de
groupe. Le chemin du modle de stratgie de groupe sur un contrleur de domaine
est racine_systme\Sysvol\Sysvol.

Plutt que d'inclure tous les types de paramtres de stratgie de groupe pour un site,
un domaine ou une unit d'organisation dans un seul objet GPO, vous pouvez crer
plusieurs objets GPO pour diffrents types de paramtres de stratgie de groupe, puis
les lier aux sites, domaines ou units d'organisation appropris. Par exemple, vous
pouvez lier une mme unit d'organisation un objet GPO contenant les paramtres
de la scurit rseau et un autre objet GPO contenant l'installation des logiciels. Ces
divers objets GPO peuvent galement tre lis d'autres units d'organisation.

Il est possible de contrer cette notion dhritage, pour cela vous devez
spcifiquement assigner une rgle un conteneur enfant qui annule la mme rgle
dfinie au niveau du parent. Tant que lannulation est autorise (cest dire tant
quelle nest pas bloque), la rgle dfinie au niveau de lenfant sapplique et prime
sur la rgle hrite.

Lorsque de multiples stratgies sont en place, elles sappliquent dans lordre suivant :
1. Stratgies Windows NT (NTConfig.pol avec Poledit.exe)
2. Stratgies de groupes locales (cre sur votre propre machine)
3. Stratgies de groupes de site
4. Stratgies de groupe de domaine
5. Stratgies de groupe dunit dorganisation
6. Stratgies de groupe dunit dorganisation enfant

En cas de conflit entre les paramtres de diffrentes stratgies, les paramtres les plus
rcents prennent le pas et remplacent les paramtres antrieurs. Ex : les paramtres
dunit dorganisation priment sur les stratgies de domaine.
Rsolution des conflits
Lorsqu'un paramtre de la console Stratgie de groupe est configur pour une unit
d'organisation parent et qu'il n'est pas configur pour une unit d'organisation enfant,
les objets de cette dernire hritent du paramtre de la console Stratgie de groupe de
l'unit d'organisation parent.
Si un paramtre de la console Stratgie de groupe est configur la fois pour les
units d'organisation parent et enfant et que les paramtres sont compatibles, les
paramtres des deux units d'organisation s'appliquent. Si les paramtres sont
incompatibles, l'unit d'organisation enfant conserve son propre paramtre de
stratgie de groupe. En d'autres termes, un paramtre de la console Stratgie de
groupe du conteneur Active Directory le plus proche de l'ordinateur ou de l'utilisateur
peut remplacer un paramtre en conflit dans un conteneur situ plus haut dans la
hirarchie d'Active Directory.

Si l'ordre d'hritage par dfaut ne rpond pas aux besoins de votre entreprise, vous
pouvez modifier les rgles d'hritage pour des objets GPO spcifiques. Windows
2000/2003 propose deux options de modification du traitement par dfaut.

207
Ne pas passer outre.
Utilisez cette option pour empcher les conteneurs enfants de remplacer un objet
GPO dfini dans un objet GPO de niveau suprieur. Cette option permet d'appliquer
une stratgie de groupe qui reflte les rgles de gestion respecter dans toute
l'entreprise. Cette option est dfinie objet par objet. Elle peut tre applique un ou
plusieurs objets GPO, en fonction de vos besoins. Lorsqu'elle s'applique plusieurs
objets GPO, c'est l'objet GPO situ le plus haut dans la hirarchie d'Active Directory
qui est prioritaire.
Bloquer l'hritage de stratgies.
Vous pouvez empcher un conteneur enfant dhriter de tous les objets Stratgie de
groupe de ses conteneurs parents en activant le blocage de lhritage pour le
conteneur enfant. Cette option est utile lorsqu'une unit d'organisation ncessite des
paramtres de console Stratgie de groupe uniques. Elle est dfinie par conteneur.
Dans le cas ou, l'option Ne pas passer outre est positionne sur une OU Parent,
et que l'option Bloquer l'hritage de stratgies, est positione sur une OU
Enfant, cest l'option Ne pas passer outre qui est toujours prioritaire , mais si
deux stratgies entre en conflit, et que loption Ne pas passer outre et Bloquer
lhritage ne sont pas positionns, la stratgie la plus proche de lutilisateur ou
de la machine lemporte.
Examen de l'ordre de traitement des objets stratgie de groupe
Les paramtres de la console Stratgie de groupe sont traits dans l'ordre dcrit ci-
dessous. Tous les aspects de cet ordre peuvent tre modifis l'aide des paramtres
de la console Stratgie de groupe.
1. L'ordinateur dmarre.
a. Le rseau dmarre, puis Windows applique les paramtres dfinis dans la
section Configuration ordinateur de la console Stratgie de groupe de tous les
objets GPO associs au compte de l'ordinateur (aucune interface utilisateur ne
signale leur traitement).
b. Les scripts de dmarrage s'excutent de faon squentielle. Autrement dit,
chaque script doit tre termin ou annul avant le dmarrage du suivant.
c. Tous les objets GPO ayant une incidence sur le compte d'ordinateur sont
traits avant l'affichage de l'cran d'ouverture de session pour l'utilisateur.
2. L'utilisateur ouvre une session (CTRL+ALT+SUPPR).
a. Les paramtres dfinis dans la section Configuration utilisateur de la
console Stratgie de groupe de tous les objets GPO associs au compte
d'utilisateur sont traits simultanment.
b. Les scripts d'ouverture de session appliqus via la stratgie de groupe
s'excutent, et l'interface utilisateur Windows 2000/2003 est lance
simultanment.
c. Si certains scripts sont associs un compte d'utilisateur, ils s'excutent en
dernier.

Par dfaut la stratgie de groupe est rafrachie uniquement lorsque lutilisateur ferme
sa session ou quand lordinateur est redmarr. Il est possible de modifier ce
comportement en dfinissant un intervalle de rafrachissement de la stratgie de
groupe.

208
Windows 2000/2003 actualise rgulirement les paramtres de la console Stratgie
de groupe sur le rseau. Cette opration s'effectue par dfaut sur les ordinateurs
clients en moyenne toutes les 90 minutes, avec un dcalage de plus ou moins 30
minutes. Pour les contrleurs de domaine, l'actualisation par dfaut est ralise
toutes les cinq minutes. Vous pouvez modifier les valeurs par dfaut en changeant
les paramtres des modles d'administration. Vous ne pouvez pas planifier pour une
heure prcise l'application d'un objet GPO un ordinateur client.

Pour configurer les frquences dactualisation, procdez comme suit :
1. Ouvrez lobjet Stratgie de groupe appropri de la stratgie de groupe, dveloppez successivement
Configuration utilisateur ou Configuration ordinateur (selon lobjet Stratgie de groupe modifier), Modles
dadministration, Systme, cliquez sur Stratgie de groupe, puis double-cliquez sur lun des paramtres suivants
Intervalle dactualisation de la stratgie de groupe pour les utilisateurs
Intervalle dactualisation de la stratgie de groupe pour les ordinateurs
Intervalle dactualisation de la stratgie de groupe pour les contrleurs de domaine
2. Slectionnez Activ.
3. Dfinissez lintervalle dactualisation en minutes.
4. Dfinissez le dcalage alatoire, puis cliquez sur OK.
Remarque : Si vous avez dsactiv ces paramtres, la stratgie de groupe est mise jour par dfaut toutes
les 90 minutes. Pour spcifier que la stratgie de groupe ne doit jamais tre mise jour lorsque lordinateur est en
cours dutilisation, slectionnez loption Dsactiver lactualisation en tche de fond des stratgies de groupe.
Association d'un objet GPO un domaine ou une unit
d'organisation
Lorsque vous crez un objet GPO, il est li au conteneur pour lequel vous l'avez cr.
Toutefois, aucun paramtre de stratgie de groupe n'y est dfini.


209
Pour crer un objet GPO ou lier un objet GPO existant, excutez la procdure
ci-dessous.
1. partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur le conteneur Active Directory (domaine ou unit d'organisation) pour lequel vous
souhaitez crer un objet GPO, puis cliquez sur Proprits.
3. Dans l'onglet Stratgie de groupe, choisissez l'une des options ci-dessous.
a. Pour crer un objet GPO, cliquez sur Nouveau, tapez le nom du nouvel objet GPO et appuyez sur ENTRE.
b. Pour lier un objet GPO existant, cliquez sur Ajouter, puis slectionnez l'objet GPO dans la liste.
L'objet GPO cr ou li s'affiche dans la liste des objets GPO lis au conteneur Active Directory.

Remarque : Vous devez tre membre du groupe Administrateurs de l'entreprise pour
pouvoir crer des objets GPO lis des sites.
Association d'un objet GPO un site
Pour crer un objet GPO li un site, partir du menu Outils d'administration,
ouvrez Sites et services Active Directory, puis excutez la procdure prcdente.
Vous devez tre membre du groupe Administrateurs de l'entreprise pour pouvoir
crer un objet GPO de site.
Par dfaut, l'objet GPO du site est stock sur les contrleurs du domaine racine de la
fort. Vous pouvez dfinir un autre domaine en tant qu'emplacement de stockage
lorsque vous crez l'objet GPO du site. Pour changer l'emplacement de stockage,
cliquez sur le bouton Ajouter dans l'onglet Stratgie de groupe de la bote de
dialogue Proprits du site. Changez ensuite le domaine dans la zone Regarder
dans, puis liez nouveau l'objet GPO.

Aprs avoir cr ou li un objet GPO, vrifiez que les autorisations appropries sont
dfinies. Les paramtres de la console Stratgie de groupe d'un objet GPO ne
concernent que les ordinateurs et les utilisateurs disposant des autorisations
Appliquer la stratgie de groupe et Lire pour cet objet.
Lorsque vous crez un objet GPO, les autorisations par dfaut sont dfinies comme
indiqu ci-dessous.
_ Le groupe Utilisateurs authentifis dispose des autorisations Appliquer la stratgie
de groupe et Lire.
_ Le compte systme ainsi que les groupes Administrateurs du domaine et
Administrateurs de l'entreprise disposent des autorisations Lire, crire, Crer tous les
objets enfants et Supprimer tous les objets enfants.

Lorsque vous crez un objet GPO li un site, domaine ou unit d'organisation, vous
effectuez en fait deux oprations distinctes : vous crez un objet GPO, puis vous liez
celui-ci au site, au domaine ou l'unit d'organisation. Pour lier un objet GPO un
site, un domaine ou une unit d'organisation, vous devez disposer d'autorisations en
lecture et criture sur les attributs gPLink et gPOptions du conteneur auquel l'objet
GPO est li. Par dfaut, seuls les membres des groupes Administrateurs du domaine
et Administrateurs de l'entreprise disposent des autorisations ncessaires pour lier des
objets GPO des domaines et des units d'organisation, tandis que seuls les membres
groupes Administrateurs de l'entreprise sont autoriss lier des objets GPO des
sites. Les membres du groupe Propritaires crateurs de stratgie de groupe peuvent
crer des objets GPO, mais pas les lier. Vous pouvez crer un objet GPO non li en
ajoutant un composant logiciel enfichable Stratgie de groupe dans la console MMC
(Microsoft Management Console).

210

Pour crer un objet GPO non li, excutez la procdure ci-dessous.
1. Excutez Mmc.exe et ajoutez le composant logiciel enfichable Stratgie de groupe.
2. Dans la bote de dialogue Slection d'un objet Stratgie de groupe, cliquez sur Parcourir.
3. Dans la bote de dialogue Rechercher un objet Stratgie de groupe, dans l'onglet Tous, cliquez avec le bouton
droit n'importe o dans la liste Tous les objets Stratgie de groupe stocks dans ce domaine, puis cliquez sur
Nouveau.
4. Tapez le nom du nouvel objet GPO, puis cliquez sur OK pour fermer la bote de dialogue Rechercher un objet
Stratgie de groupe.
5. Pour modifier le nouvel objet GPO, dans la bote de dialogue Slection d'un objet Stratgie de groupe, cliquez
sur Terminer, sinon cliquez sur Annuler.

Ex : dans lOU Marcel, puis Proprits, puis onglet Stratgies de groupe, puis Ajouter, onglet Tous, slectionner,
puis OK
Les objets GPO non lis peuvent tre crs dans des entreprises de grande envergure
o un groupe est responsable de la cration d'objets GPO tandis qu'un autre groupe
est responsable de leur association au site, domaine ou unit d'organisation appropri.
Modification des autorisations
Pour modifier les autorisations d'un objet GPO :
1. Ouvrez la bote de dialogue Proprits pour le conteneur Active Directory associ l'objet GPO.
2. Dans l'onglet Stratgie de groupe, cliquez sur Proprits.
3. Dans l'onglet Scurit, activez ou dsactivez la case cocher Appliquer la stratgie de groupe des objets
appropris.

211

Important : Les autorisations sur les objets GPO fonctionnent selon le mme principe que
les autorisations sur les fichiers et les dossiers : les autorisations les plus restrictives
s'appliquent. Par consquent, les interdictions d'accs doivent tre affectes avec
prcaution.
Filtrage de l'tendue d'un objet GPO
Vous pouvez filtrer l'tendue d'un objet GPO en crant des groupes de scurit, puis
en affectant les autorisations Appliquer la stratgie de groupe et lire des groupes
slectionns, ou en supprimant les autorisations de groupes slectionns.
Par exemple, une unit d'organisation de votre domaine contient des comptes
d'utilisateur pour les employs permanents et temporaires, et vous souhaitez
appliquer un objet GPO distinct chaque type d'employ. Vous pouvez appliquer les
deux objets GPO l'unit d'organisation, crer un groupe de scurit pour les
employs permanents et un autre pour les employs temporaires, puis affecter les
autorisations Appliquer la stratgie de groupe et lire chaque groupe, uniquement
pour l'objet GPO souhait.

Ex : Proprits de lOU Marcel, onglet Scurit, bouton Proprits, onglet Scurit,
cocher refus pour Marcel en application

Mthode 1
La premire mthode consiste refuser de faon explicite l'autorisation Appliquer
la stratgie de groupe au groupe de scurit contenant les administrateurs de
l'unit d'organisation. Pour filtrer la stratgie de groupe en refusant de faon explicite
l'autorisation Appliquer la stratgie de groupe, excutez la procdure ci-dessous.
1. Crez un groupe de scurit et ajoutez les administrateurs de l'unit d'organisation dans ce groupe.
2. Dans la bote de dialogue Proprits (GPO), dans l'onglet Scurit, ajoutez le groupe de scurit pour l'objet
GPO que vous ne souhaitez pas appliquer aux administrateurs de l'unit d'organisation.
3. Refusez l'autorisation Appliquer la stratgie de groupe pour ce groupe de scurit.
212
Mthode 2
La seconde mthode consiste supprimer les utilisateurs authentifis. En omettant
les administrateurs de l'unit d'organisation du groupe de scurit, ceux-ci n'ont
aucune autorisation explicite sur l'objet GPO. Pour filtrer la stratgie de groupe en
omettant une autorisation Appliquer la stratgie de groupe explicite, excutez la
procdure ci-dessous.
1. Supprimez les groupes Utilisateurs authentifis de la liste DACL.
2. Crez un groupe de scurit et ajoutez tous les comptes d'ordinateur et d'utilisateur dans ce groupe,
l'exception des comptes d'administrateur de l'unit d'organisation.
3. Dans la bote de dialogue Proprits, dans l'onglet Scurit, ajoutez le groupe de scurit pour l'objet GPO que
vous ne souhaitez pas appliquer aux administrateurs de l'unit d'organisation.
4. Attribuez au groupe de scurit les autorisations Lire et Appliquer la stratgie de groupe.
Pour bl oquer l ' hr i t age d' un obj et GPO
Vous pouvez empcher un conteneur enfant d'hriter de tout objet GPO des
conteneurs parents en activant l'option Bloquer l'hritage de stratgies sur le
conteneur enfant. L'activation de cette option sur un conteneur enfant empche celui-
ci d'hriter de tous les paramtres de stratgie de groupe et non de paramtres
individuels. Cette option est utile lorsqu'un conteneur Active Directory requiert des
paramtres de stratgie de groupe uniques et que vous souhaitez vous assurer que les
paramtres ne puissent pas tre hrits.

Pour bloquer l'hritage d'un objet GPO d'un conteneur enfant, excutez la
procdure ci-dessous.
1. Ouvrez la bote de dialogue Proprits du domaine ou de l'unit d'organisation au niveau desquels vous
souhaiter bloquer l'hritage.
2. Dans l'onglet Stratgie de groupe, cliquez sur Bloquer l'hritage de stratgies.


213

Le blocage de l'hritage est soumis aux deux contraintes ci-dessous.
_ Vous ne pouvez pas choisir de faon slective les objets GPO bloquer. Le blocage de
l'hritage s'applique tous les objets GPO de tous les conteneurs parents, except lorsque
l'objet GPO est configur l'aide de l'option Aucun remplacement.
_ Le blocage de l'hritage ne peut pas bloquer l'hritage d'un objet GPO li un conteneur
parent si ce lien est configur l'aide de l'option Aucun remplacement.
Dl gat i on de cont r l e l ' ai de d' aut or i sat i ons
Tout utilisateur disposant des autorisations Lire et crire peut utiliser ces
autorisations pour dlguer le contrle sur les objets GPO. cette fin,
l'administrateur rseau cre des groupes d'administrateurs (par exemple, le groupe
Administrateurs Marketing), puis affecte les autorisations Lire et crire aux objets
GPO slectionns pour ces groupes.
Changement de l ' or dr e de t r ai t ement
Un mme conteneur peut runir plusieurs objets GPO dont les paramtres entrent en
conflit. La liste des objets GPO d'un conteneur est traite en ordre inverse. Par
consquent, un paramtre du premier objet GPO de la liste remplace un paramtre
conflictuel d'un objet GPO situ plus loin dans la liste.
Vous pouvez changer l'ordre de la liste l'aide des boutons Haut et Bas de l'onglet
Stratgie de groupe.

Dsact i vat i on des obj et s st r at gi e de gr oupe
Vous pouvez dsactiver les paramtres d'utilisateur ou d'ordinateur d'un objet GPO
ou bien l'intgralit d'un objet GPO.
Pour acclrer le traitement d'un objet GPO, dsactivez les paramtres d'ordinateur
lorsque vous crez un objet GPO contenant uniquement des paramtres de stratgie
de groupe destins aux utilisateurs. De mme, lorsque vous crez un objet GPO ne
contenant que des paramtres d'ordinateur, vous devez dsactiver les paramtres
d'utilisateur pour cet objet GPO.
214

Pour dsactiver les paramtres d'utilisateur ou d'ordinateur d'un objet GPO,
slectionnez-le dans l'onglet Stratgie de groupe, cliquez sur Proprits, sur
l'onglet Gnral, puis sur Dsactiver les paramtres de configuration de
l'utilisateur ou Dsactiver les paramtres de configuration de l'ordinateur.
Cela permet damliorer les performances dapplication des objets Stratgie de
groupe lors de la connexion de lutilisateur et empche lapplication accidentelle des
paramtres lautre zone.

Vous pouvez galement dsactiver l'intgralit d'un objet GPO pour l'empcher d'tre
appliqu au conteneur slectionn. La dsactivation d'un objet GPO a une incidence
uniquement sur son application au conteneur slectionn et tout conteneur hritant
des paramtres de ce conteneur.

L'objet GPO peut toujours tre li d'autres conteneurs, et s'applique encore aux
conteneurs auxquels il est li, moins qu'il n'y soit galement dsactiv. Pour
dsactiver l'objet GPO, cliquez dans l'onglet Stratgie de groupe sur Options, puis
sur Dsactiver.

Suppr essi on des obj et s st r at gi e de gr oupe
Lorsque vous cliquez sur Supprimer dans l'onglet Stratgie de groupe, deux
options vous sont proposes : l'une pour supprimer l'objet GPO de son conteneur,
l'autre pour supprimer la liaison entre l'objet et son conteneur.
Contrairement la dsactivation, la suppression d'un objet GPO le supprime
dfinitivement d'Active Directory, et supprime galement la possibilit de le lier
d'autres conteneurs.

Avant de supprimer un objet GPO, vrifiez quels conteneurs il est li dans l'onglet
Liaisons de sa bote de dialogue Proprits.


215
Exercice :

Quels sont les paramtres de stratgie de groupe rsultants pour les objets utilisateur dans
l'unit d'organisation, et pourquoi ?

Rsultat :

Act i vat i on de l ' opt i on Aucun r empl acement
L'activation de l'option Aucun remplacement signifie que tous les paramtres de
stratgie de groupe contenus dans l'objet GPO dont le lien est configur l'aide de
l'option Aucun remplacement s'appliquent, y compris lorsqu'ils entrent en conflit
avec les paramtres traits aprs eux ou si le blocage s'effectue un niveau infrieur
dans l'arborescence Active Directory. Vous ne devez dfinir l'option Aucun
remplacement que pour les liens aux objets GPO qui reprsentent des rgles
stratgiques qui s'appliquent dans l'ensemble de l'entreprise. Liez l'objet GPO aux
niveaux suprieurs de l'arborescence Active Directory de sorte que celui-ci s'applique
plusieurs units d'organisation. Par exemple, liez un objet GPO prsentant des
paramtres de scurit rseau un domaine ou un site.

216
Notez que l'option Aucun remplacement est en fait dfinie sur le lien et non sur
l'objet GPO proprement dit. Cela signifie que si un objet GPO est li plusieurs
conteneurs, vous pouvez configurer l'option Aucun remplacement sur chaque
conteneur, indpendamment des autres.

Lorsque plusieurs liens sont configurs l'aide de l'option Aucun remplacement et
que les objets GPO lis s'appliquent tous un mme conteneur et contiennent des
paramtres en conflit, l'objet GPO qui se trouve en tte de la hirarchie Active
Directory prime.

Pour dfinir l'option Aucun remplacement, excutez la procdure ci-dessous.
1. Ouvrez la bote de dialogue Proprits du conteneur auquel l'objet GPO est li.
2. Dans l'onglet Stratgie de groupe, cliquez sur Options.
3. Dans la bote de dialogue Options de l'objet GPO, cliquez sur Aucun remplacement, puis sur OK.


217
La Microsoft Management Console
Afin d'viter l'utilisateur (administrateur) de manipuler directement la Base de
Registres, Microsoft a conu une Console (MMC) dont le nom du fichier est
%systemroot%\system32\gpedit.msc.
Pour l'excuter, depuis le menu dmarrer/excuter ou dans une fentre de
commandes, il suffit de taper la commande :GPEDIT.MSC
On peut galement excuter GPEDIT distance, sur un autre ordinateur du rseau,
par la commande :
GPEDIT.MSC /gpcomputer:nom_de_l'ordinateur_distant
GPEDIT.MSC /bourges :brisbane.bourges.eds, ou passer par une MMC

Windows Server 2003 applique les paramtres de stratgie de groupe contenus dans
lobjet Stratgie de groupe aux objets utilisateur et ordinateur du site, du domaine ou
de lunit dorganisation associ lobjet Stratgie de groupe. Le contenu dun objet
Stratgie de groupe est stock deux emplacements : dans le conteneur Stratgie de
groupe (GPC, Group Policy Container) et dans le modle Stratgie de groupe (GPT,
Group Policy Template).

Les paramtres de stratgies se rpartissent en deux grandes catgories :
Configuration Ordinateur. Ce sont des paramtres de stratgie par
ordinateur qui spcifient le fonctionnement du systme, comportement du
bureau, paramtres de scurit, dmarrage et arrt de l'ordinateur, et les
paramtres pour les applications. Windows applique la stratgie par
ordinateur quand le systme d'exploitation dmarre et intervalles rguliers.

Configuration Utilisateur. Ce sont des paramtres de stratgie par utilisateur
qui spcifient le fonctionnement du systme, comportement du bureau,
paramtres de scurit, demandes d'applications assignes et publies,
paramtres du dossier de redirection, scripts utilisateur d'ouverture et
fermeture de session.
Dans le panneau de gauche on trouve deux arborescences la suite :
la premire concerne l'ordinateur (branche HKLM\Software\...)
la seconde concerne l'utilisateur (branche HKCU\Software\...)
Dans le panneau de droite on trouve les stratgies relatives la branche
slectionne gauche.Un double-clic sur l'une des stratgies provoque l'ouverture
d'une boite dialogue 2 onglets

218
Les administrateurs dfinissent les stratgies en employant l'diteur de stratgie de
groupe. Modles d'Administration, des fichiers avec l'extension ".adm", dfinissent
les stratgies qu'ils peuvent positionner. Modles d'Administration et Paramtres de
Scurit sont la mme chose et vous voyez frquemment le nom court des fichiers
"ADM".
Ils sont situs dans le dossier %systemroot%\inf.
On les retrouve galement dans le dossier
%systemroot%\system32\GroupPolicy\Adm aprs qu'une stratgie ait t dfinie
(ce sous-dossier est cr automatiquement).
Ce sont des fichiers texte de type ANSI (1 caractre = 1 octet) ou UNICODE (1
caractre = 2 octets)

Windows est fourni avec des modles dadministration qui dfinissent toute la
stratgie approprie que le systme d'exploitation supporte. Si vous voulez employer
une stratgie pour une application, comme par exemple Microsoft Office XP, vous
devez charger leurs modles dadministration. En fait, le Resource Kit d'Office XP
est livr avec beaucoup d'options dans ce modle dadministration qui aide les
professionnels mieux se dbrouiller et amliorer la productivit. Windows fournit
les modles administratifs suivants :

System.adm. Paramtres fondamental, est le premier fichier modle,
dfinissant la plupart de paramtres que l'on voie dans "Modles
d'Administration".
Wmplayer.adm. Paramtres de Windows Mdias
Conf.adm. Logiciel de communication (confrence) NetMeeting
Inetres.adm. Internet Explorer
wuau.adm (Windows Update) (ventuellement)

Quand l'administrateur dfinit une stratgie, l'diteur les stocke dans un fichier
appel "Registry.pol". Windows charge les paramtres contenu dans le fichier
"Registry.pol" quand le systme d'exploitation dmarre, quand les utilisateurs s'y
connectent et intervalles rguliers.

Ils refltent l'ensemble des stratgies appliques sur une machine, et sont lus :
lors du dmarrage de l'ordinateur (fichier
%systemroot%\system32\GroupPolicy\machine\REGISTRY.POL)
lors de l'ouverture d'une session (fichier
%systemroot%\system32\GroupPolicy\user\REGISTRY.POL)

Cela signifie que la modification manuelle d'une cl par l'utilisateur sera annule
lors du dmarrage et/ou ouverture de session suivants si la modification et la
stratgie sont contradictoires!
De plus, vu qu'il n'existe qu'un seul sous-dossier \user dans
%systemroot%\system32\GroupPolicy, cela signifie qu'une stratgie utilisateur
sera applique tous les comptes utilisateurs de l'ordinateur, administrateurs
compris.

Les stratgies de groupe pour le site, les domaines et les units dorganisation sont
places dans le dossier %SystemRoot%\Sysvol\Domain\Policies des contrleurs
de domaine. Dans ce dossier existe un sous-dossier pour chaque stratgie dfinie
sur les contrleurs de domaine. Les noms de ces dossiers sont des GUID (Global
Unique Identifier), dedans on y trouve :

219

Adm : modle dadministration en cours dutilisation, ne concerne que les
contrleurs de domaine
Machine : stocke les scripts dordinateurs et info sur les stratgies du
registre (registry.pol).
User : stocke les scripts dutilisateurs et info sur les stratgies du registre
(registry.pol).

Remarque : si vous supprimez le fichier registry.pol => enlve la stratgie aprs
le reboot du PC (attention : le simple utilisateur ne peut pas la supprimer).
Vous pouvez vrifier la cration du fichier registry.pol, modifier via une MMC, via
lediteur de stratgie de groupe, modifier un lment au niveau du modle
dadministration utilisateur ou machine (ouvrir une session en local en tant
quadministrateur).

Donc la dfinition hasardeuse d'une stratgie trop restrictive peut s'avrer
catastrophique, aboutissant au verrouillage total de l'ordinateur, y compris vis
vis d'un administrateur.
Par exemple, il existe une stratgie qui interdit l'excution de certains programmes.
Elle est dfinie dans la cl :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRu
n sous la forme d'une liste d'entres contenant les noms des excutables.
Si parmi eux figurent mmc.exe et regedit.exe, il sera dfinitivement impossible
d'ouvrir toute console de gestion (dont GPEDIT) et de modifier la BDR (base de
registre).
D'autre part, GPEDIT ne donne aucune information l'utilisateur concernant les
clefs de la BDR utilises

Toute la stratgie de base du registre peut tre dans trois tats :
"Permis", "Mis hors de service", ou "Non Configur".
Permis active explicitement le paramtre par addition au registre avec une valeur
de 0x01.
220
Mis hors de service dsactive explicitement le paramtre par addition au registre
avec une valeur de 0x00 ou suppression de la valeur entirement. Le Non
Configur enlve le paramtre du registre, ce qui a pour effet d'utiliser la place
les paramtres utilisateurs.

O Wi ndows st ocke- t - i l l a st r at gi e ?, dans l e r egi st r e
La branche \Software\Policies est la branche principale ou est dclare la stratgie
dans la registre. Cette branche de HKLM contient la stratgie par ordinateur et la
branche de HKCU contient la stratgie par utilisateur. Une autre branche, hrite
pour des versions de Windows plus anciennes, est
\Software\Microsoft\Windows\CurrentVersion\Policies.
La stratgie dans cette branche a tendance tatouer le registre, ce qui signifie qu'ils
affectent des changements permanents dans le registre que vous devez
explicitement changer. Ce qui empche les utilisateurs de changer ces cls et ainsi
la stratgie qu'ils mettent en application, est leur ACLS (Listes de Contrle
d'Accs). Les groupes locaux Utilisateurs et Utilisateurs avec Pouvoirs n'ont pas la
permission de changer des valeurs dans ces cls.
Mai nt enant pour l eur empl acement sur l e di sque.
Le GPO local est dans %SYSTEMROOT %\System32\GroupPolicy. C'est un
dossier cach.
Il contient les sous-dossiers et les fichiers suivants (contenu dans le fichier
Registry.pol) :
\Adm. Stocke les fichiers de modles dadministration en cours dutilisation. Ces
fichiers portent lextension .adm. Ce dossier nest prsent que sur les contrleurs de
domaine.
\User Stocke les scripts dutilisateur du dossier Scripts et les informations de
stratgie du Registre pour HCU dans le fichier Registry.pol. Inclut le fichier
Registry.pol, qui contient la stratgie de base pour des utilisateurs. Quand les
utilisateurs se connectent l'ordinateur, Windows applique ceux-ci HKCU.
\User\Scripts. Contient les scripts par utilisateur des GPO locaux. Les scripts dans
\Logon s'excutent quand les utilisateurs se connectent Windows et les scripts dans
\Logoff s'excutent quand ils se dconnectent du systme.

221
\Machine. Stocke les scripts dordinateur du dossier Script et les informations de
stratgie du Registre pour HLM dans le fichier Registry.pol. Inclut le fichier
Registry.pol, qui contient stratgie base pour l'Ordinateur. Quand Windows dmarre,
il applique ce paramtre HKLM.
\Machine\Scripts. Contient les scripts par ordinateur des GPO locaux. Les scripts
dans \Startup s'excutent quand Windows dmarre et les scripts dans \Shutdown
s'excutent quand le systme d'exploitation s'arrte.

Les outils de Stratgie de Groupe de Windows contiennent beaucoup d'amliorations.
Certaines de ces amliorations mritent une mention spciale, Le premier est
gpupdate Vous ne devez pas employer cet outil pour mettre jour le GPO local,
parce que les changements du GPO local est instantan.
La seconde mthode est Resultant Set of Policy (RSoP). Windows inclut de
nouveaux outils pour l'observation de quelle stratgie le systme d'exploitation
applique l'utilisateur actuel et l'ordinateur ainsi que l'emplacement o ils ont t
gnrs. Une des parties les plus difficiles pour l'administration de la Stratgie de
Groupe d'un grand rseau est de suivre la trace ce qui rsulte des combinaisons de
GPOs que vous n'avez pas crer ou que vous ne connaissez pas font leurs
apparitions. Ces outils vous aident traquer ces comportements beaucoup plus
rapidement parce qu'ils vous donnent un instantan de comment le systme
d'exploitation les applique et d'o ils sont provenus

La syntaxe de commande est trs simple. Pour rafrachir la stratgie d'utilisateur,
entrez n'importe laquelle des commandes suivantes (applicable votre systme) :
C:\>secedit /refreshPolicy user_policy on Windows 2000
C:\>gpupdate /Target:User on Windows 2003

Les commandes suivantes rafrachissent la statgie sur l'ordinateur :
C:\>secedit /refreshPolicy machine_policy
C:\>gpupdate /Target:Computer

tant donn que vous pouvez appliquer des niveaux de paramtres de stratgie qui se
chevauchent sur n'importe quel ordinateur ou utilisateur, la stratgie de groupe
gnre un jeu de stratgies rsultant l'ouverture de session. Gpresult affiche le jeu
de stratgies rsultant appliqu sur l'ordinateur l'ouverture de session de l'utilisateur
spcifi.

Les exemples suivants dcrivent les utilisations possibles de la commande gpresult :
C:\gpresult /user targetusername /scope computer
C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /scope USER
C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /z >policy.txt
C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23

222
Vous voulez vrifier que les paramtres de stratgie sont mis jour sur l'ordinateur
des stagiaires. Vous voulez examiner le paramtre de stratgie d'ordinateur appliqu
votre ordinateur avec le compte NomOrdinateurAdmin.


223
Objectif
Dans cet exercice, vous allez crer un objet GPO et configurer l'objet GPO avec les paramtres
de stratgie de groupe satisfaisant les exigences du scnario.
=====================================================================
Ouvrir une session en tant que :
Nom : Marcel
Se connecter : Choisir le nom du domaine (bourges.eds)
a. partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory. Se
connecter tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine Bourges.
b. Dans l'arborescence de la console, bouton droit sur bourges.eds, Nouveau, Unit dorganisation, nommer
cette OU GpoUserx (ou x reprsente le N de votre @ IP), puis OK.
c. Dplacer de Utilisateurs et ordinateurs Active Directory\Computers, votre ordinateur vers votre OU
GpoUserx (ou x reprsente le N de votre @ IP)
d. Proprits de GpoUserx, dans l'onglet Stratgie de groupe, cliquez sur Nouveau, tapez Admin Template
Policy X (ou X est votre N dadresse IP) et appuyez sur ENTRE.
=====================================================================
a. Slectionnez la nouvelle stratgie, puis cliquez sur Modifier.
b. Dans l'arborescence de la console Stratgie de groupe, sous Configuration ordinateur, dveloppez Modles
d'administration.
c. Dans l'arborescence de la console, dveloppez Systme, cliquez sur Quotas de disque, puis dans le volet de
dtails, double-cliquez sur Activer les quotas de disque.
d. Dans la bote de dialogue Proprits de Activer les quotas de disque, cliquez sur Active, puis cliquez sur
OK.
e. Dans le volet de dtails, double-cliquez sur Appliquer la limite de quota de disque.
f. Dans la zone Proprits de Limite de quota de disque, cliquez sur Activ, puis cliquez sur OK. Activer aussi
Limite de quota et niveau davertissement par dfaut (par dfaut 100 Mo), puis OK.
g. Dans l'arborescence de la console, dveloppez Composants Windows, cliquez sur Planificateur de tches et
double-cliquez sur, Empecher la cration de nouvelle tche, puis Activ dans le volet de dtails, puis sur OK.
h. Dans l'arborescence de console, dveloppez Modles d'administration sous Configuration utilisateur.
i. Dans Composants Windows\Internet Explorer\Panneau de configuration de Internet, double-cliquez sur
Dsactiver longlet Gnral, puis cocher loption Activ, faire de mme pour Dsactiver longlet Scurit et
Dsactive longlet Avancs, puis OK
j. Fermez la console Stratgie de groupe, puis cliquez sur Fermer pour fermer la bote de dialogue Proprits de
Gpo Userx.
k. Laissez la console Utilisateurs et ordinateurs Active Directory ouverte.

Objectif
Dans cet exercice, vous allez crer un objet GPO li l'unit d'organisation Telemarketing et
configurer l'objet GPO avec les paramtres de la stratgie de groupe satisfaisant les restrictions
dcrites dans le scnario.
=====================================================================
a. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, dveloppez votre domaine :
Bourges.eds, dveloppez lOU GpoUserx, crr une nouvelle OU enfant nomme : Telemarketing, puis OK,
cliquez avec le bouton droit sur lOU Telemarketing, puis sur Nouveau, Utilisateur, affecter comme information :
Nom : TUserx (ou x reprsente le N de votre @ IP)
Nom douverture de session TUserx @Bourges.eds
Cliquez sur Suivant
Dcocher lutilisateur doit changer le mot de passe
Cocher le mot de passe nexpire jamais, cliquez sur Suivant puis sur Terminer.
Bouton droit sur lOU Telemarketing, cliquez sur Proprits.
b. Dans l'onglet Stratgie de groupe, cliquez sur Nouveau, tapez Telemarketing PolicyX (ou X est votre N
dadresse IP) et appuyez sur ENTRE.
=====================================================================
a. Cliquez sur Telemarketing PolicyX pour le slectionner, puis cliquez sur Modifier.
b. Dans l'arborescence de console, dveloppez Modles d'administration sous Configuration utilisateur.
c. Dans l'arborescence de console, dveloppez Composants Windows, cliquez sur Explorateur Windows et
double-cliquez sur Supprimer les options "Connecter un lecteur rseau" et "Dconnecter un lecteur rseau"
dans le volet de dtails.
d. Dans la bote de dialogue Proprits de Supprimer les options "Connecter un lecteur rseau" et
"Dconnecter un lecteur rseau", cliquez sur Active, puis sur OK.
=====================================================================
a. l'aide des informations ci-dessous, configurez les restrictions requises restantes.
Activez Cacher l'icne Favoris rseau sur le Bureau, qui se trouve dans le dossier Bureau.
Activez Empcher la modification des paramtres de la barre des tches et du menu Dmarrer, ainsi que
Supprimer le menu Excuter du menu Dmarrer qui se trouve dans le dossier Menu Dmarrer et Barre des
tches.
Activez Supprimer les liens et laccs Windows Update, qui se trouve dans le dossier Menu Dmarrer et
Barre des tches.
Dsactivez Empecher la cration de nouvelle tche, qui se trouve dans le dossier Composants
Windows\Planificateur de tches.
224
Dans Composants Windows\Internet Explorer\Panneau de configuration de Internet, double-cliquez sur
Dsactiver longlet Gnral, puis cocher loption Dsactiv , faire de mme pour Dsactiver longlet Scurit et
Dsactive longlet Avancs, puis OK
b. Fermez toutes les fentres, en invite de commande saisir : gpupdate /force, valider par Oui, puis redmarrez
votre ordinateur.

Objectif
Dans cet exercice, vous allez ouvrir une session en tant qu'Administrateur pour vrifier quels
paramtres de stratgie de groupe pour ordinateurs ont t appliqus. Ensuite, vous ouvrirez une
session en tant qu'utilisateur pour vrifier quels paramtres de stratgie de groupe pour
utilisateurs ont t appliqus pour les membres de l'unit d'organisation Telemarketing.
====================================================================
a. Ouvrez une session en tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine de Bourges
b. Dmarrer, puis clickez sur le Poste de travail, cliquez avec le bouton droit sur l'icne du lecteur C :, puis cliquez
sur Proprits.
c. Cliquez sur l'onglet Quota.
Les quotas de disques sont-ils activs ? Pourquoi ?
_____________________________________________________________________________
_____________________________________________________________________________
__________________
Les limites de quota de disque sont-elles appliques ? Pourquoi ?
_____________________________________________________________________________
_____________________________________________________________________________
__________________
d. Cliquez sur Annuler pour fermer la bote de dialogue Proprits de Disque local (C:)
e. Dans le menu Dmarrer, cliquez sur Panneau de configuration.
f. Dans le Panneau de configuration, double-cliquez sur Tches planifies, ce programme peut-il tre lanc ? :
_________.
===================================================================
=
a. Ouvrez une session en tant que TUserx avec le mot de passe P@sswrd sur le domaine de Bourges.
Les paramtres ci-dessous (contenus dans l'objet GPO Telemarketing Policy) sont-ils appliqus ? Pourquoi ?
Favoris rseau normalement n'apparat pas dans explorer.
Impossible de connecter le lecteur rseau (bouton droit sur poste de Travail, loption nest plus disponible).
Impossible de modifier les paramtres de la Barres des tches (bouton droit, Proprits sur la Barre de tches)
ainsi que sur le menu Dmarrer..
Option Excuter du bouton Dmarrer napparat plus.
Impossible de planifier une nouvelle tche l'aide de l'Assistant Tche planifies (bouton Dmarrer, Tous
les programmes, Accessoires, Outils systmes, puis Taches planifies, menu Fichier puis Nouvelle tche).
Pour ce dernier lment, le profil machine est prioritaire sur le profil utilisateur.
Dmarrer Internet Explorer, menu Outils, puis options internetvrifier que les onglet Gnral, Scurit et
Avanc sont toujours disponibles, pourquoi ?
_____________________________________________________________________________
_____________________________________________________________________________
____________________________________
a. Ouvrez une session en tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine de Bourges
c. Dans Utilisateurs et ordinateurs Active Directory, dvelopper bourges.eds, puis Proprits de GpoUserx,
dans l'onglet Stratgie de groupe, bouton Options, cocher loption Aucun remplacement : empche dautres
objets de stratgie de groupe de remplacer le jeu de stratgie dans celui-ci, puis OK et OK.
d. Proprits de Telemarketing, dans l'onglet Stratgie de groupe, cocher loption Bloquer lhritage de
stratgies, puis OK
e. Fermez toutes les fentres, puis en invite de commande saisir : gpupdate /force, puis valider par Oui pour
redmarrez votre ordinateur.
f. Ouvrez une session en tant que TUserx avec le mot de passe P@sswrd sur le domaine de Bourges.
g. Dmarrer Internet Explorer, menu Outils, puis options internetvrifier que les onglet Gnral, Scurit et
Avanc ne sont plus disponibles, pourquoi ?
_____________________________________________________________________________
_____________________________________________________________________________
___________________________
====================================================================
Gnrer un rapport de rsultats de stratgie de groupe
Ouvrez une session en tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine de Bourges
Dmarrer, Excuter, saisir : MMC
Menu Fichier, Ajouter/Supprimer, Ajouter, Jeu de stratgie rsultant, Ajouter, Fermer, OK
1. Dans Gestion des stratgies de groupe, cliquez avec le bouton droit sur Jeu de stratgie rsultant, puis
cliquez sur Gnrer les donnes RSoP, Assistant Rsultats de stratgie de groupe.
2. Dans la page Bienvenue de l'Assistant Rsultats de stratgie de groupe, cliquez sur Suivant. Choisir Mode
Journalisation, Suivant
3. Dans la page Slection des ordinateurs, slectionner cet ordinateur, cliquez sur Suivant.
4. Dans la page Slection de l'utilisateur, cliquez sur Utilisateur spcifique (Autre utilisateur), cliquez sur
Bourges\TUserx, puis cliquez sur Suivant.et Suivant
5. Dans la page Fin de l'Assistant Rsultats de stratgie de groupe, cliquez sur Terminer.

225
6. Dans la MMC, cliquez sur les diffrents lments afin de vrifier les restrictions appliques lutilisateur TUserx
7. Saisir en ligne de commande : gpresult /user TUserx /scope USER, puis gpresult /s NOM_Ordi /u
bourges\administrateur /p P@sswrd1 /user TUserx /scope USER
10. linvite de commandes, tapez gpresult /z >c:\gp.txt, puis vrifier le contenu de ce fichier avec le bloc-notes
====================================================================
Afficher le rapport de stratgie de Telemarketing
Venez chercher sur le partage spcifi par votre formateur (\\servnet\temp) loutil gpmc.msi (console Gestion des
stratgies de groupe) et installer le. Dmarrer la console Gestion des stratgies de groupe via Dmarrer, Panneau
de configuration, Outils dadministration, excuter le programme Gestion des stratgies de groupe en tant
que (bouton droit sur lapplicatif) administrateur du domaine bourges, mot de passe P@sswrd1
" Dans larborescence de la console Gestion des stratgies de groupe, dveloppez Fort : bourges.eds, puis
Domaines, puis Bourges.eds, puis GpoUserx, puis Telemarketing.
1. Cliquez sur Telemarketing Policy X.
2. Dans le volet dinformations, cliquez sur Paramtres.
3. Si une boite de dialogue apparat, cliquez sur Ok pour fermer cette bote de dialogue.
4. Vrifiez les paramtres de stratgie de groupe de la stratgie de Telemarketing Policy X.
5. Cliquez avec le bouton droit nimporte o dans le rapport (zone vide), puis cliquez sur Enregistrer le rapport.
6. Dans la bote de dialogue Enregistrer le rapport sur les objets GPO,cliquez sur Enregistrer ( la racine de
votre disque C :, sur C:\), puis ouvrez ce fichier pour visualiser son contenu.
====================================================================
Vous avez la possibilit de simuler un dploiement de stratgie pour les utilisateurs
et les ordinateurs avant de rellement appliquer les stratgies.
Cette fonctionnalit de la console Gestion de stratgie de groupe est appele Jeu de
stratgies rsultant (RSoP, Resultant Set of Policies) . Mode de planification.
Elle requiert un contrleur de domaine excutant Windows Server 2003 dans la fort.
Pour vrifier les paramtres de stratgie de groupe laide de lAssistant
Modlisation de stratgie de groupe, vous devez dabord crer une requte de
modlisation de stratgie de groupe et afficher cette requte.

Gnrer un rapport de modlisation de stratgie de groupe
1. Dans larborescence de la console Gestion des stratgies de groupe, cliquez avec le bouton droit sur
Modlisation de stratgie de groupe, puis cliquez sur Assistant Modlisation de stratgie de groupe.
2. Dans la page Bienvenue de lAssistant Modlisation de stratgie de groupe, cliquez sur Suivant.
3. Dans la page Slection du contrleur de domaine (dans Afficher les contrleurs dans ce domaine vous devez
avoir : bourges.eds, loption Tout contrleur de domaine excutant Windows Serveur 2003 ou version
utrieure vous devez avoir comme Nom : servnet.bourges.eds), cliquez sur Suivant.
4. Dans la page Slection dordinateurs et dutilisateurs, cliquez sur Ordinateur, tapez
bourges\NomOrdinateur, puis cliquez sur Suivant.
5. Dans la page Options de simulation avances, cliquez sur Suivant.
6. Dans la page Autres chemins daccs Active Directory, dans la zone Emplacement de lordinateur, tapez
OU=GpoUserx,DC=bourges,DC=eds, puis cliquez sur Suivant.
7. Dans la page Groupe de scurit ordinateur, cliquez sur Suivant.
8. Dans la page Filtres WMI pour ordinateurs (par dfaut Tous les filtres lis est slectionn), cliquez sur Suivant.
9. Dans la page Aperu des slections, cliquez sur Suivant.
10. Cliquez sur Terminer.
====================================================================
Afficher le rapport de modlisation de stratgie de groupe
1. Dans longlet Rsum, parcourez le rapport.
2. Dans le volet dinformations NomOrdinateur, cliquez sur longlet Paramtres.
3. Lisez le rapport.
4. Cliquez sur longlet Requte.
5. Lisez le rapport.
====================================================================
Utilisez les Rsultats de stratgie de groupe pour dterminer les paramtres de
stratgie qui sont appliqus un ordinateur, ainsi que lutilisateur qui a ouvert une
session sur cet ordinateur. Bien que ces donnes soient similaires celles de la
modlisation de stratgie de groupe, elles sont obtenues partir de lordinateur client
au lieu dtre simules sur le contrleur de domaine. Pour obtenir des donnes
laide des Rsultats de stratgie de groupe, lordinateur client doit excuter Windows
XP ou Windows Server 2003.

Afficher un rapport de rsultats de stratgie de groupe
1. Dans larborescence de la console Gestion des stratgies de groupe, cliquez avec le bouton droit sur
Rsultats de stratgie de groupe, puis cliquez sur Assistant Rsultats de stratgie de groupe.
2. Dans la page Bienvenue de lAssistant Rsultats de stratgie de groupe, cliquez sur Suivant.
3. Dans la page Slection dordinateurs , cliquez sur Cet Ordinateur, puis cliquez sur Suivant.
226
4. Dans la page Slection de lutilisateur , cliquez sur Utilisateur spcifique slectionner Bourges\TUserx puis
cliquez sur Suivant.
5. Dans la page Aperu des slections, cliquez sur Suivant.
6. Cliquez sur Terminer.
7 Dans l'onglet Rsum, parcourez le rapport.
8. Dans l'onglet vnements de stratgie, double-cliquez sur Source.
9. Faites dfiler l'cran jusqu' la source SceCli.
10. Double-cliquez sur le premier vnement avec la source SceCli.
11. Dans la bote de dialogue Proprits de l'vnement, notez la date et l'heure auxquelles le paramtre de
stratgie de scurit a t appliqu avec succs.
12. Cliquez sur la touche flche vers le bas pour voir l'vnement suivant, notez la date et l'heure auxquelles le
paramtre de stratgie de scurit a t appliqu avec succs, puis cliquez sur OK.
====================================================================
Avant de commencer cette application pratique :
Ouvrez une session sur le domaine en utilisant le compte : TUserx.
Ouvrez CustomMMC laide de la commande Runas /user:bourges\administrateur mmc.exe (mot de passe :
P@sswrd).
Utilisez le compte dutilisateur Bourges\Administrateur
Ouvrez une invite de commandes avec la commande Excuter en tant que.
Dans le menu Dmarrer, cliquez sur Tous les programmes, puis Accessoires et cliquez sur Invite de
commandes et tapez runas /user:bourges\administrateur cmd, puis cliquez sur OK.
Lorsque vous tes invit entrer le mot de passe, tapez P@ssw0rd1 et appuyez sur Entre.
Passez en revue les procdures de cette leon qui dcrivent la faon deffectuer cette tche.

Vrifier lappartenance au groupe local Utilisateurs avec pouvoir
1. Pour vrifier que Bourges\TUserx nest pas membre du groupe Utilisateurs avec pouvoir, tapez net localgroup
"Utilisateurs avec pouvoir" linvite de commandes.
2. Aucun membre ne doit figurer sous Membres.
3. Dans une installation par dfaut du systme dexploitation, le groupe Utilisateurs avec pouvoir ne doit pas
contenir de membres.
4. Laissez linvite de commandes ouverte.

Crer le modle de scurit NomOrdinateur
1. Dans CustomMMC, ajoutez le composant logiciel enfichable Modles de scurit.
2. Dans larborescence de la console Modles de scurit, cliquez avec le bouton droit sur
C:\WINDOWS\security\templates, puis cliquez sur Nouveau modle.
3. Dans la zone Nom du modle de la bote de dialogue
C:\WINDOWS\security\templates, entrez NomOrdinateur (nom de votre ordi), puis cliquez sur OK.

diter le modle de scurit personnalis NomOrdinateur (nom de votre ordi)
1. Dans larborescence de la console Modles de scurit, dveloppez NomOrdinateur, puis cliquez sur Groupes
restreints.
2. Cliquez avec le bouton droit sur Groupes restreints, puis cliquez sur Ajouter un groupe.
3. Dans la bote de dialogue Ajouter un groupe, vrifier que dans A partir de cet emplacement : il y ait le nom
de votre machine, entrez Utilisateurs avec pouvoir, puis cliquez sur OK.
4. Dans la bote de dialogue Utilisateurs avec pouvoir Proprits, dans Membres de ce groupe, cliquez sur
Ajouter des membres.
5. Dans la bote de dialogue Ajouter un membre, tapez Bourges\TUserx, puis cliquez sur OK.
6. Dans la bote de dialogue Utilisateurs avec pouvoir Proprits, cliquez sur OK.
7. Dans larborescence de la console, cliquez avec le bouton droit sur NomOrdinateur, puis cliquez sur Enregistrer.

Importer et appliquer le modle de scurit personnalis NomOrdinateur
1. Dans CustomMMC, ajoutez le composant logiciel enfichable Configuration et analyse de la scurit.
2. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Ouvrir une base de
donnes.
3. Dans la zone Nom de fichier, entrez NomOrdinateur et cliquez sur Ouvrir.
4. Dans la bote de dialogue Modle d.importation, cliquez sur NomOrdinateur.inf, puis cliquez sur Ouvrir.
5. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Configurer
lordinateur maintenant.
6. Dans le message, cliquez sur OK.
7. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Voir le fichier
journal.
8. Dans le volet dinformations de Configuration et analyse de la scurit, vrifiez que le groupe bourges\TUSerx
a t ajout au groupe Utilisateurs avec pouvoir en recherchant lentre suivante :
----Configuration de l'appartenance de groupe...
Configuration de Utilisateurs avec pouvoir.
ajout de BOURGES\tuserx.

1. Pour vrifier que Bourges\TUserx est membre du groupe Utilisateurs avec pouvoir, tapez net localgroup
"utilisateurs avec pouvoir" linvite de commandes.
2. Bourges\TUserx doit figurer sous Membres.

Supprimer le modle de scurit personnalis import
1. Ouvrir une invite de commande en tant que administrateur du domaine bourges, mot de passe P@sswrd1
2. A linvite de commandes, tapez net localgroup "utilisateurs avec pouvoir" /delete "TUserx"

227

1. Pour vrifier que Bourges\TUserx nest pas membre du groupe Utilisateurs avec pouvoir, tapez net localgroup
"utilisateurs avec pouvoir" linvite de commandes.
2. Aucun membre ne doit figurer sous Membres.

Importer un modle de scurit dans un objet de stratgie de groupe
1. Dans Gestion des stratgies de groupe, crez un objet de stratgie de groupe appel NomOrdinateur
Utilisateurs restreints (bouton droit sut sur GpoUserx, Crer et lier un objet de stratgie de groupe ici), puis
OK.
2. ditez (modifiez) lobjet de stratgie de groupe NomOrdinateur Utilisateurs restreints.
3. Importez la stratgie de scurit personnalise NomOrdinateur.inf.(Configuration ordinateur\Paramtres
Windows\Paramtres de scurit, puis menu Action et Importer une stratgie, puis Ouvrir). Vrifier le contenu
de Groupes restreints
====================================================================
Objectif
Dans cet exercice, ladministrateur du domaine Bourges va planifier une stratgie afin de
dployer le SP1 sur les stations clientes du domaine.
Ladministrateur du domaine Bourges ralise les tapes suivantes :
1. Copier le fichier WindowsServer2003-KB889101-SP1-x86-FRA.exe sur le bureau de votre machine, puis
renommer le SP1.exe.
2. A partir dune invite de commande se positionner sur :
C:\Documents and Settings\Administrateur\Bureau>, puis lancer la commande SP1 x, dans la boite de
dialogue suivante saisissez :
C:\SP1 (extraction des fichiers), cliquez sur Ok, partager le dossier SP1, Onglet Partage : tout le monde=Contrle
total, SYSTEM=Contrle total, ANONYMOUS LOGON=Contrle total, Onglet Scurit Ajouter tout le
monde=Contrle total, SYSTEM=Contrle total, ANONYMOUS LOGON=Contrle total, puis Appliquer et OK.
====================================================================
Partie raliser par le stagiaire
1. Via Utilisateurs et ordinateurs Active Directory (excuter en tant que Nom : administrateur, Mot de passe :
P@sswrd1, du domaine bourges.eds), crer une OU sous bourges.eds qui sappelle Machinex (x tant votre N
d@IP), puis dplacer votre ordinateur de GPUserx vers Machinex.
2. Cliquez sur bouton Dmarrer, Outils dadministration, Gestion des stratgies de groupe (excuter en tant
que Nom : administrateur, Mot de passe : P@sswrd1), supprimer les stratgies cs antrieurement, developper
Fort\ : bourges.eds\Domaines\bourges.eds\Machinex, bouton droit sur lOU Machinex, puis Crer et lier un
objet de stratgie de groupe ici, nommer l : Service Packx (ou x reprsente le N de votre adresse IP), puis
cliquez sur OK.
3. Bouton droit sur Service Packx, puis Modifier, Configuration de lordinateur\Paramtres du
logiciel\Installation de logiciel, bouton droit sur Installation de logiciel puis Nouveau, Package, allez
chercher le le fichier par Favoris rseau, puis Tout le rseau, puis Rseau Microsoft Windows, puis Bourges,
puis Servnet, puis SP1, puis I386, puis choisir update et enfin double-cliquez sur update.msi, vrifier que Attribu
est slectionn, puis OK.
4. Fermer la boite Editeur dobjets de stratgie de groupe, click droit sur Service Pack1, puis Appliqu, dans la
boite Voulez-vous modifier les paramtres pour ce lien lobjet Stratgie de groupes, cliquez sur OK.
5. Fermer la boite Gestion des stratgies de groupe.
7. Ouvrez une session partir de la machine cliente du domaine en tant quadministrateur du domaine bourges.eds,
puis ouvrir une invite de commande et saisir : gpupdate.exe /force, puis valider par OUI o la boite de dialogue,
fermer linvite de commande sur la station cliente du domaine (votre machine redmarre).
====================================================================
Se connecter la machine distante via le WEB (Bureau distant)
Sur le contrleur de domaine :
1. Installer IIS : Panneau de configuration, Ajout\Suppression de programmes, Ajouter ou supprimer des
composants Windows, Serveur dapplications, Dtails, Service IIS, Dtails, Service World Wide Web,
Dtails, cocher Connexion par le Web au Bureau distance, OK, OK, OK, Suivant, Terminer.
2. Dmarrer IIS et Autoriser les Extensions du services WEB.
3. Proprits du Poste de travail , onglet Utilisation distance, cocher Autoriser les utilisateurs se
connecter distance cet ordinateur, Choisir des utilisateurs distants, Ajouter, Bourges\Tuserx, OK, OK,
OK
4. Sur la station cliente du domaine :
Outils dadministration, Bureau distance, bouton droit sur Bureau distance et Ajouter une
nouvelle connexion
Nom ou adresse IP du serveur : @IP du contrleur de domaine Bourges
Nom de la connexion : Bureau distant Tuserx, OK, menu Fichier, Enregistrer
a. soit vous cliquez sur la connexion cre pour accder au bureau distant
b. soit vous lancez Internet exploreur, puis saisir comma adresse : http://192.168.X.Y/TSWEB.
Serveur : Bourges
Taille : Plein cran, puis connexion
Dans la boite de login saisir :
Utilisateur : administrateur
Dconnecter-vous.
Attention une seule connexion la fois est possible
L E S E R V I C E P L A N N I N G
228
LE SERVICE PLANNING
Il s'agit d'un utilitaire Windows (NT) permettant de planifier l'excution de
programmes des dates et heures prcises et une frquence spcifique, comme la
sauvegarde automatique de fichiers et de rpertoires, la mise jour et la suppression
de jeux de sauvegarde hors des heures de bureau, la cration hebdomadaire de
journaux systme, etc.' Le service Planificateur de tches effectue des travaux
d'administration sans intervention humaine.

Avec la commande At, vous avez la possibilit d'administrer ce service lorsqu'il est
actif.
Dans l'exemple suivant, elle affiche la liste des travaux en attente sur le systme
Attention : le service Planificateur de tches doit tre dmarr !!!!
( net start planificateur de tches )
Le service Planning comporte des fonctionnalits similaires aux commandes at et
cron d'UNIX.

C:\> at
Etat ID Jour Heure Ligne de commande
------------------------------------------------------------------------------------------------
0 Dimanche 2:00 AM C:\adminbin\findhogs.bat
1 Vendredi, l 2:15 AM C:\adminbin\cleanup.bat
4 Demain 7:00 PM E:\chem\carbon.bat
5 L, M, ME,J,V 1:00 AM C:\adminbin\stmevent.bat
6 Aujourd'hui 3:22 PM perl.exe \\pele\test.pl

La commande At affiche la liste des travaux en attente sur l'ordinateur local.
La commande At permet galement de planifier un travail ponctuel ou priodique.
Elle se prsente alors dans le format suivant
at [\\hte] [heure] [/Interactive] [/Next :Date] [programme]
Vous pouvez aussi raliser cette planification de tches via linterface graphique :
Tous les programmes, Accessoires, Outils systme, Tches planifies

hote dsigne l'ordinateur sur lequel la tche est planifie ; commande, la commande
excuter (suivie ou non d'arguments). Pour des raisons de scurit, vitez les
chemins d'accs relatifs.

Argument obligatoire, heure indique l'heure d'excution de la commande, au jour
prvu. Elle peut figurer dans le format de 12 heures (4:00 PM., 4pm ou 4:00pm) ou
de 24 heures (16:00). Notez que la commande At adjoint le suffixe AM ou PM lors
de l'affichage des tches planifies, mme si vous optez pour le format de 24 heures.
Pour indiquer l'heure d'excution, vitez les formes "4", "04" ou "16" (qui produisent
des messages d'erreur).


229
/interactive
Permet la commande d'interagir avec le Bureau de l'utilisateur qui conduit une session
au moment o la commande est en cours d'excution.
/every:
Excute la commande toutes les fois que le ou les jours spcifis de la semaine ou du
mois reviennent (par exemple tous les jeudis ou le troisime jour de chaque mois).
date
Indique la date laquelle vous souhaitez excuter la commande. Vous pouvez
spcifier un ou plusieurs jours de la semaine (en tapant M,T,W,Th,F,S,Su) ou bien
un ou plusieurs jours du mois (en tapant un nombre compris entre 1 et 31). Sparez
chaque entre de date par une virgule. En l'absence du paramtre date, at utilise le
jour en cours du mois.

/next:
Excute la commande la prochaine fois que le jour indiqu se prsente (le jeudi suivant,
par exemple).

at \\Nom_Machine 12 :39 /interactive /next : Taskmgr.exe

Les commandes programmes avec at s'excutent en arrire-plan. Les donnes de
sortie ne sont pas affiches sur l'cran de l'ordinateur. Pour les rediriger vers un
fichier, utilisez le symbole de redirection (>). Si vous redirigez les donnes de sortie
vers un fichier, vous devez faire prcder le symbole de redirection du symbole
d'chappement (^), que vous utilisiez at sur la ligne de commande ou dans un fichier
de commandes. Par exemple, pour rediriger les donnes de sortie vers Output.txt,
tapez :
at 14:45 c:\test.bat ^>c:\output.txt

Pour programmer l'excution d'une commande net share 08:00 sur le serveur
Server1 et rediriger la liste de sortie vers le serveur Maintenance, dans le rpertoire
partag Rapports et le fichier Soc.txt, tapez :
at \\Server1 20:00 cmd /c "net share rapports=d:\marketing\rapports >>
\\maintenance\rapports\soc.txt"
Pour sauvegarder le contenu du disque dur du serveur Marketing sur un lecteur de
bande tous les cinq jours minuit, crez un programme de commandes appel
Archives.cmd qui contient les commandes de sauvegarde, puis programmez
l'excution du programme de commandes en tapant :
at \\marketing 00:00 /every:5,10,15,20,25,30 archives

at [\\hte] ID /delete Suppression du travail spcifi.
at [\\hte] /delete [ /yes] suppression des tches en cours (avec configuration
pralable facultative).
Par exemple, la commande suivante supprime le travail numro 15 sur l'orchnateur
local, et tous les travaux sur l'ordinateur pele (sans demande de confirmation)

C: \> at 15 /delete & at \\Pele /delete /yes

at [\\hte] [heure] [/Interactive] [/Next :Date] cmd /c commande

Remarque : Vous pouvez aussi utiliser la commande SCHTASKS.EXE afin de
planifier des tches ainsi que lassistant Tche panifie
230
Planification de tches en ligne de commande
` TP raliser.
============================================================
a. Connectez-vous l'ordinateur en employant un compte qui est un membre du groupe d'Administrateurs.
Mot de passe : P@sswrd1 (de votre SAM locale)
b. Bouton Dmarrer, puis Excuter, puis tapez cmd.
c. Saisir la commande net start planificateur de tches , pour dmarrer ce service.
d. Tapez C:\>at pour vrifier que la liste des tches est actuellemnt vide.
e. Planifiez une tche qui lancera dans les 3 mn sur votre machine aujourdhui, le programme calc.exe
La commande sera :

f. Tapez C:\>at pour vrifier que la tche est bien planifie.(attendre que celle-ci sexcute)
g. Planifiez une tche qui lancera dans les 3 mn sur votre machine aujourdhui un message administratif votre
partenaire.
La commande sera :

======================================================================
Comment faire : Crer une tche planifie
Pour crer une tche planifie, procdez comme suit :
a. Cliquez sur Dmarrer, sur Excuter, tapez cmd, puis cliquez sur OK.
b. l'invite de commande, tapez net start, puis appuyez sur ENTRE pour afficher la liste des services en cours
d'excution. Si le Planificateur de tches ne figure pas dans la liste, tapez net start task scheduler et appuyez
sur ENTRE.
c. l'invite de commande, taper schtasks /create /tn "calculatrice" /tr calc.exe /sc daily /st 08:00:00 /ed
31/12/2006, puis lorsque demand, saisir le mot de passe : P@sswrd1.
Cet exemple planifie l'excution du programme Mon App une fois par jour, tous les jours, partir de 8 h 00
jusqu'au 31 dcembre 2006. Comme elle ne prcise pas le paramtre /mo, l'intervalle d'excution par dfaut (1) est
utilis pour excuter la commande chaque jour.
d. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
e. Pour modifier une tche existante, saisir : schtasks /change /tn "calculatrice" /st 09:00:00, puis lorsque
demand, saisir le mot de passe : P@sswrd1.
f. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
g. Pour dsactiver une tche existante, saisir : schtasks /change /tn calculatrice /disable, puis lorsque
demand, saisir le mot de passe : P@sswrd1.
h. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
i. Pour activer une tche existante, saisir : schtasks /change /tn calculatrice /enable, puis lorsque demand,
saisir le mot de passe : P@sswrd1.
j. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
k. Pour supprimer une tche, saisir : schtasks /delete /tn calculatrice /f (pour toutes les tches : /tn *)
l. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
m. Pour excuter une tche toutes les semaines (par dfaut le Lundi), 7 AM partir du 1
er
Mars 2006, et se
termine 6:59 AM le 30 Mars 2006, saisir : schtasks /create /tn calculatrice0 /tr calc.exe /sc weekly/st 07 :00
/sd 01/03/2006 /et 06:59 /ed 30/03/2006, puis lorsque demand, saisir le mot de passe : P@sswrd1.
n. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
o. Pour visualiser la liste des tches situes sur autre machine, saisir : schtasks /query /s Nom_Machine_Voisin
/u Nom_Domaine\administrateur /p Passwrd1.
======================================================================
a. Pour excuter une tche toutes les 15mn sur lordinateur local, saisir : schtasks /create /tn calculatrice1 /tr
calc.exe /sc minute /mo 15.
b. Pour excuter une tche toute les 5 heures sur lordinateur local, saisir : schtasks /create /tn calculatrice2 /tr
calc.exe /sc hourly /mo 5.
c. Pour excuter une tche tous les 2 jours sur lordinateur local, saisir : schtasks /create /tn calculatrice3 /tr
calc.exe /sc daily /mo 2.
d. Pour excuter toutes les semaines, le Lundi et le Mardi, saisir : schtasks /create /tn calculatrice4 /tr calc.exe
/sc weekly /d mon,fri.
e. Pour excuter une tche le premier Lundi du mois dAvril, dAot et Dcembre, saisir : schtasks /create /tn
calculatrice5 /tr calc.exe /sc monthly /mo first /d mon /m apr,aug,dec.
f. Pour excuter une tche lors du prochain dmarrage du PC, saisir : schtasks /create /tn calculatrice6 /tr
calc.exe /sc onstart. On pourrait aussi utiliser /sc onlogon, pour que la tche sexcute lors du prochain login
utilisateur.
======================================================================
A R C H I T E C T U R E R S E A U D E W I N D O W S S E R V E R 2 0 0 3

231
ARCHITECTURE RSEAU DE WINDOWS SERVER
2003
Evolution du rseau sous Windows 2000/2003.
Conforme aux RFC 112, 1123, 2018 et 1323.
Routage : Windows offre ce systme des fonctionnalits quasi identiques celles
de vrais routeurs, pour des cots moindres que lachat dun routeur, ceci a t rendu
possible par le produit Routage et accs distant .
Filtrage des paquets : En entre et/ou en sortie dun routeur, ce filtrage peut tre
effectu sur diffrentes couches du modle OSI (Open System Interconection), au
niveau de la couche rseau en filtrant les adresses (IP et IPX) source et/ou
destination, ainsi que le protocole encapsul dans le paquet (par exemple TCP,
UDP), au niveau de la couche transport en filtrant les protocoles de niveau
application encapsuls dans le segment transport (par exemple FTP, Telnet,
WWW,).
Le routage statique : Avec la console Routage et accs distant , vous pourez
administrer les tables de routages de vos routeurs (graphiquement ou en ligne de
commande), des routes statiques pour de petits rseaux, alors que pour des rseaux
plus consquents ladministration utilisera de prference un protocole de routage
dynamique (Windows 2000/2003 supportent RIP version 1 et 2 ainsi quOSPF).
Interface de connexion la demande : Pour la connexion Internet ou des
rseaux distants par lintermdiaire dune liaison temporaire (liaison tlphonique
RTC, RNIS), il est aussi possible dy affecter des horaires de connexion ainsi que
des filtres de connexions.
Routeur IGMP version 2 : Permet dtre lcoute de tous les htes prsents sur un
rseau qui sont des utilisateurs de la multidiffusion.
Relais DHCP : La console Routage et accs distant , permet de configurer lagent
relais DHCP sur un serveur Windows 2000/2003, ce serveur jouera donc le rle de
routeur pour les diffusions DHCP, permettant ainsi des clients DHCP dun
segement rseau dobtenir des adresses IP provenant dun serveur DHCP situ sur un
autre segment.
Translation dadresse NAT (Network Address Translation) : Un routeur configur
avec NAT permet doffrir un rseau un accs Internet. Il est ainsi possible dutiliser
un plan dadressage IP priv pour son rseau dentreprise et dutiliser une adresse ou
un pool dadresses pour laccs Internet.
Les rseaux privs virtuels (VPN) : Permettent de faire circuler des informations au
travers dun rseau public de faon scurise, comme si elles circulaient sur un
rseau priv, Windows 2000/2003 implmntent les protocoles de tunnel PPTP
(Point To Point Tunneling Protocol) utiliss dans le monde Microsoft et L2TP (Layer
2 Tunneling Protocol) pris en charge par beaucoup de fabricants (cre par Microsoft,
Cisco Ascend, IBM et 3Com), L2TP est en fait un driv de la technologie L2F de
Cisco.
232
IPSEC (IP Security) : Est un standard permettant deffectuer du cryptage des
donnes IP ainsi quun contrle dintgrit de ces donnes. Uniquement la source et
la destination sont capables de dchiffrer les donnes, surtout destin au trafic rseau
sur Internet (utilis dans les rseaux privs virtuels).
Qualit de service (QoS) : Permet une application donne de rserver une quantit
de bande passante ncessaire pour acheminer un flux de donnes (video-confrence
bidirectionnelle), il faut que chaque quipement travers par les paquets (routeurs,
switches) supporte un protocole de qualit de service, Windows 2000/2003
supportent RSVP (Ressource Reservation Protocol).

NDIS
NDIS (Network Driver Interface Specification ou NDIS) est une spcification
darchitecture des pilotes rseau qui permet aux protocoles de transport, tels que TCP/IP
ATM, IPX et NetBEUI, de communiquer avec un adaptateur rseau de base ou dautres
priphriques matriels
Ladaptateur rseau est indpendant des protocoles de transport.
NDIS permet dinstaller un nombre illimit dadaptateurs rseau sur un mme ordinateur,
et de lier un nombre illimit de protocoles un ou des adaptateurs rseau.
NDIS est oriente connexion
Eveil par appel rseau
Sens du support (capacit dun adaptateur rseau indiquer sil dispose ou non dune
connexion rseau)
Meilleure prise en charge de la qualit de service
Rseau Plug and Play (combinaison de prise en charge matrielle et logicielle, qui permet
un systme de reconnatre des changements dans la configuration matrielle, et de
sadapter sans presque aucune intervention de lutilisateur).
Dchargement des tches TCP/IP (permet que les tches normalement la charge de la
couche transport soient traites par ladaptateur rseau, ce qui rduit la charge du
processeur du systme et mme daugmenter le dbit du rseau.

233
Calcul des sommes de contrle TCP/IP
Segmentation TCP/IP
Transmission rapide de paquets : router des paquets dun port un autre sans envoyer le
paquet au processeur hte, ce qui accrot le dbit du rseau et rduit le travail du
processeur
Traitement de la scurit IPSec : authentification, chiffrement

TDI
Linterface des pilotes de transport (Transport Driver Interface, ou TDI) est une interface
standard pour les pilotes (ex : service serveur et redirecteur) servant communiquer avec
les divers protocoles de transport rseau. Elle permet aux services de rester indpendants
des protocoles de transport.

Rappel :
Intranet :
Est un rseau priv utilisant les mmes technologies que celles utilises sur Internet
(protocole TCP/IP, utilisation de serveurs WEB, FTP). Le but dun Intranet est
doffrir des utilisateurs un accs universel des informations et ressources.

Accs distant :
Pour connecter des utilisateurs un rseau dentreprise afin de pouvoir consulter des
donnes distance (ou deux entreprises entre elles), Windows 2000/2003 offre deux
possibilites :
-accs distance (RNIS, RTC, )
-accs distant par VPN avec IPSec (tunnel PPTP ou L2TP,

Accs Internet : laccs Internet peut seffectuer en utilisant diffrents quipements :
-un routeur : vous devez possder un plan dadressage interne utilisant des
adresses publiques, et protger votre rseau laide dun quipement Firewall.
-un quipement de type NAT : un routeur sur lequel est implment et
configur le protocole NAT. Windows 2000/2003 peut jouer ce rle. Dans ce cas il
vous suffit de possder une adresse publique qui sera utilise pour la navigation sur
Internet par les clients de votre rseau privutilisant des adresses prives. Le routeur
se chargera de la translation dadresse.
234
-un serveur Proxy : ce type de serveur fonctionne sensiblement comme les
quipements NAT et offre des fonctionnalits supplmentaires comme la mise en
cache des pages Internet consultes, dans un souci dacclration des nouvelles
consultations, une scurit plus granulaire Windows 2000/2003 ne comprend pas
de produit Proxy en standard, par contre Microsoft Proxy Server 2.0 fonctionne sur
Windows 2000/2003.

Extranet :
Est tout simplement lextension dun Internet dautres entreprises, dans le but de
partager de linformation avec ventuellement des autorisations restreintes. Il
pourrait tre intressant de proposer un accs un Intranet des clients, fournissuers
ou encore partenaires.
On pourrait configurer un Extranet en scurisant les liaisons entre entreprises par
lutilisation de VPN, dIPSec, Lauthentification par certificats

Activation du routage IP
Alors que sous NT4 le routage IP est activable depuis le panneau de configuration
rseau (case cocher), ce n'est pas prvu sous Windows 2000.
Il faut modifier la Base de Registres :
cl
HKEY_LOCAL_MACHINE_\SYSTEM\CurrentControlSet\Services\TcpIp\Pa
rameters
entre IPEnableRouter de type REG_DWORD
valeur :
0 = routage dsactiv
1 = routage activ
Pour une machine Windows XP Pro/2003 Server, il suffit dactiver et dmarrer le
service Routage et accs distant (Dmarrer, puis Excuter, puis cmd, puis
compmgmt.msc )

R S O L U T I O N D E N O M S

235
RSOLUTION DE NOMS
Microsoft Windows Server 2000/2003, XP, utilise la rsolution de noms pour traduire
les adresses IP numriques, qui sont ncessaires pour les communications TCP/IP
(Transmission Control Protocol/Internet Protocol), en noms d'ordinateurs plus faciles
mmoriser et utiliser que les adresses IP 32 bits. Grce la rsolution de noms, vous
pouvez affecter des noms d'ordinateurs aux adresses IP des htes source et de destination,
puis utiliser les noms d'ordinateurs pour contacter les htes.
Il existe deux types de noms rsoudre :
- Noms d'htes
- Noms NetBIOS (Network Basic Input/Output System)

La rsolution de noms est le processus par lequel un logiciel effectue
automatiquement une traduction entre des noms alphanumriques (comme Server1
ou Computer44) et des adresses IP numriques (comme 192.168.1.200 ou encore
10.0.0.1). Pour les utilisateurs, il est plus difficile de travailler avec les adresses IP
qu'avec les noms, mais elles sont ncessaires aux communications TCP/IP.
Un service de rsolution de noms est un service fourni par WINS (Windows Internet
Name Service ) et DNS (Domain Name System).
Le service de rsolution de noms permet de rsoudre des noms complets (ou
alphanumriques) en adresses. Les services de rsolution de noms permettent
galement des htes TCP/IP de faire appel des types de ressources ou de services
rseau spcifiques, comme un contrleur de domaine ou un serveur de messagerie
SMTP (Simple Mail Transfer Protocol), et de recevoir en retour le nom et l'adresse
IP des ordinateurs qui fournissent cette ressource ou ce service.

236
Le processus de rsolution de noms est assez similaire l'utilisation d'un annuaire
tlphonique. Imaginons que vous vouliez tlphoner un ami. Vous recherchez son
nom dans l'annuaire pour trouver son numro de tlphone.
L'annuaire vous indique le numro de tlphone associ au nom de votre ami. Vous
pouvez alors utiliser ce numro pour tlphoner.

Les principales caractristiques de la rsolution de noms sont les suivantes :
- Les gens utilisent des noms alphanumriques car ils sont plus faciles
retenir.
- Les ordinateurs ont besoin d'adresses IP pour communiquer via
TCP/IP.
- Un nom d'hte peut mapper plus d'une adresse IP un nom
particulier.
Ainsi, trois serveurs diffrents peuvent hberger un rpliqua du mme site Web et
tre accessibles via le mme nom.
- La rsolution de noms est le processus qui consiste renvoyer une ou
plusieurs adresses IP pour un nom donn.
- Il existe deux types de noms dans les rseaux : noms d'htes et noms
NetBIOS.
- Il existe plusieurs mthodes pour rsoudre les noms d'htes et
plusieurs mthodes pour rsoudre les noms NetBIOS. Ces mthodes
ont volu au fil du temps pour rpondre aux diffrents besoins.
- Les applications et services qui servent saisir les noms dterminent
quel type de nom a t entr. La configuration du systme
d'exploitation dtermine comment le processus de rsolution de noms
va rsoudre le nom en question. Par exemple : l'utilisateur entre un
nom dans une application ou un service. L'application ou le service est
conu(e) pour interroger un nom d'hte ou un nom NetBIOS. Une fois
la demande prsente au systme d'exploitation, celui-ci lance le
processus qui va essayer de rsoudre le nom en fonction de sa
configuration.
***Les applications Windows 2003 actuelles utilisent le processus de rsolution de noms
d'hte, mais certaines applications anciennes, telles que celles conues pour Windows
NT, Microsoft Windows 95 et Microsoft Windows 98 utilisent toujours des noms
NetBIOS. Si le processus de rsolution de noms choue, l'application ne peut pas
communiquer avec la destination souhaite. Si vous utilisez une adresse IP, la rsolution
de noms n'est pas requise***.
Processus de rsolution de noms d'hte
Un nom est l'identificateur de votre ordinateur sur le rseau.
Un nom d'hte est le nom DNS d'un priphrique sur un rseau.
Un nom de domaine pleinement qualifi (FQDN) est un nom de domaine DNS qui a
t dclar de faon non ambigu pour indiquer avec certitude son emplacement dans
l'arborescence de l'espace de noms du domaine.
Les noms d'htes sont utiliss pour localiser des ordinateurs sur un rseau. Pour
qu'un ordinateur puisse contacter un autre ordinateur en utilisant un nom d'hte, le
nom d'hte doit figurer dans le fichier Hosts ou tre connu par un serveur DNS. Pour
la plupart des ordinateurs excutant Windows Server 2003 ou Windows XP, le nom
d'hte et le nom NetBIOS sont identiques.

237
Les noms d'htes sont crs selon la convention d'appellation standard utilise sur
Internet. Les noms d'htes rendent la rsolution de noms possible sur Internet. Un
nom d'hte est une partie d'un nom de domaine pleinement qualifi (FQDN) qui
utilise une structure hirarchise. Les noms d'htes font gnralement partie de
l'espace de noms DNS qui vous permet d'accder aux ressources d'une structure
DNS.
Nom DNS : Un nom DNS est une srie de labels, chacun spar par un point (.) afin
de distinguer les diffrentes branches ainsi que le nom des nuds dans cette
hierarchie. Le nom DNS Server1.training.nwtraders.msft affich de cette manire
sappelle Fully Qualified Domain Name (FQDN).

Dans un nom de domaine pleinement qualifi (FQDN) comme
Server1.training.nwtraders.msft, le nom d'hte est Server1.
Training.nwtraders.msft est le suffixe. Une fois associs, le nom d'hte (Server1)
et le suffixe (training.nwtraders.msft) font rfrence une ressource unique et
spcifique sur un rseau TCP/IP. Le suffixe est essentiel au nom d'hte parce qu'il
permet deux noms d'htes identiques d'exister sur le rseau sans conflit.
Server1.training.nwtraders.msft peut exister sur le mme rseau que
Server1.nwtraders.msft. Le suffixe sert faire la diffrence entre les deux noms.

En vous reportant la diapositive, notez que chaque nom de domaine pleinement
qualifi se termine par un point (.). Le point final (.) reprsente l'emplacement racine
dans une arborescence ; il n'est ni obligatoire, ni souvent utilis en pratique.

Les noms d'htes sont utiliss virtuellement dans tous les environnements TCP/IP.
La liste ci-dessous fournit la description d'un nom d'hte.
- Un nom d'hte est un alias attribu un ordinateur par l'administrateur pour
identifier un hte TCP/IP.
- Dans Windows Server 2003 et Windows XP, le nom d'hte est par dfaut
identique au nom NetBIOS, mais il n'est pas ncessaire que le nom d'hte
corresponde au nom NetBIOS de l'ordinateur.
- Le nom d'hte peut tre toute chane comportant jusqu' 256 caractres.
- Un nom d'hte unique peut tre affect un hte. Les mthodes de rsolution
de noms, comme le fichier Hosts ou le systme DNS, peuvent voir plusieurs
noms d'htes mapps l'adresse IP du mme hte. Ainsi, l'hte
Server1.nwtraders.msft peut avoir des entres dans DNS pour
Server1.nwtraders.msft et pour www.nwtraders.msft. Les deux noms sont
rsolus en adresse IP de Server1.nwtraders.msft.
238
- Il est possible qu'un nom d'hte soit rsolu en plusieurs adresses IP.
Par exemple, trois serveurs Web identiques sont tous identifis dans le systme DNS
avec le nom www.nwtraders.msft. Lorsqu'un client essaie de se connecter
www.nwtraders.msft via un navigateur Web, trois adresses IP sont renvoyes en
rponse la demande DNS.
- Un nom d'hte simplifie la manire de rfrencer d'autres htes TCP/IP. Les
noms d'htes sont plus faciles retenir que les adresses IP.
- Un nom d'hte peut tre utilis la place d'une adresse IP dans
diffrents utilitaires TCP/IP, notamment Ping.
- Pour qu'il ait une valeur en terme de rsolution de noms, un nom d'hte et
l'adresse IP correspondante doivent tre configurs dans une base de donnes,
un serveur DNS ou un fichier Hosts.
- L'utilitaire Hostname affiche le nom d'hte qui est affect votre systme.
Par dfaut, le nom d'hte est le mme que le nom d'ordinateur de votre ordinateur
Windows.

===================================================================
Pour consulter votre nom d'hte et le suffixe DNS en utilisant l'utilitaire Ipconfig :
Commencer par configurer votre machine pour tre client DHCP.
1. Dans le menu Dmarrer, pointez successivement sur Tous les programmes et sur Accessoires, puis cliquez avec
le bouton droit sur Invite de commandes.
2. l'invite, tapez ipconfig /all et appuyez sur ENTRE.
3. Consultez les valeurs des champs Nom de l'hte et Suffixe DNS principal.
Quel est le suffixe DNS principal ?__________________________

Pour consulter votre nom d'hte en utilisant l'utilitaire Hostname :
l'invite, tapez hostname et appuyez sur ENTRE.
Quel est le nom d'hte ? _______________________________
===================================================================
La procdure de rsolution de noms par dfaut est dcrite ci-dessous (Windows
XP/2000/2003).
La rsolution de noms d'htes est le processus qui consiste rsoudre un nom d'hte
en adresse IP.
Le processus de rsolution de noms d'htes fonctionne de la faon suivante :
1. Le processus commence lorsqu'une application ou un service en cours d'utilisation
passe le nom d'hte au service client DNS.
2. Le service client DNS recherche dans le cache de rsolution client le mappage du
nom d'hte une adresse IP. Toutes les entres du fichier Hosts sont pr charg dans
le cache de rsolution client.
3. Si le service client DNS ne repre pas de correspondance dans le cache de
rsolution client, il transmet une demande de nom d'hte un serveur DNS.
4. Si les mthodes de rsolution de noms d'htes configures chouent, les mthodes
de rsolution de noms NetBIOS configures sont utilises pour tenter de rsoudre le
nom. Cela ne se produit que si le nom d'hte comporte au maximum 15 caractres.
a) Serveur WINS, b) Diffusion, c) Fichier Lmhosts
5. Lorsque le nom d'hte est trouv, l'adresse IP correspondante est renvoye
l'application.
Les noms d'hte peuvent tre rsolus directement par le fichier Hosts ou par un serveur
DNS.

239

Ces mthodes de rsolutions des noms d'htes, peuvent galement fonctionner pour
rsoudre des noms NetBIOS.
Le type de noeud spcifie les mthodes de rsolution, ainsi que l'ordre dans lequel
une machine les mettra en oeuvre.

Les noms d'hte peuvent prendre diverses formes. Les deux formes les plus
courantes sont l'alias et le nom de domaine. Un alias est un nom unique associ une
adresse IP, comme Servnet.

Un nom de domaine est structur pour une utilisation sur Internet et comprend des
points et des sparateurs. Servnet.Bourges.eds constitue un exemple de nom de
domaine.

Configuration des ordinateurs clients fonctionnant sous Windows XP :
1) Bouton droit sur Favoris rseau, puis cliquez sur Proprits.
2) Ouvrez la boite de dialogue Proprits correspondant la connexion, puis la boite de dialogue Proprits de
Protocoles Internet (TCP/IP).
3) Cliquez sur Utiliser ladresse de serveur DNS suivante.
4) Dans la zone Serveur DNS prfr, tapez ladresse IP du serveur principal. Si vous configurez un serveur DNS
secondaire, dans la zone Serveur DNS auxiliaire, tapez ladresse IP du serveur DNS auxiliaire.

Pour configurer le suffixe DNS principal :
1) Cliquez avec le bouton droit sur Poste de travail et choisissez Proprits pour ouvrir la bote de dialogue
Proprits systme.
2) Dans longlet Nom de lordinateur, cliquez sur Modifier.
3) Dans la bote de dialogue Modifications du nom dordinateur, cliquez sur Plus.
4) Dans la bote de dialogue Nom dordinateur DNS et suffixe NetBIOS, dans la zone Suffixe DNS principal de cet
ordinateur, tapez le nom de domaine de lordinateur.
Cache de rsolution client
Le cache de rsolution client est un emplacement mmoire qui stocke les noms
d'htes qui ont rcemment t rsolus en adresses IP. Il s'agit galement d'un
emplacement de stockage pour les mappages de nom d'hte adresse IP qui sont
chargs partir du fichier Hosts.
Les entres de cache ngatives sont des noms d'htes entrs dans le cache mais dont
la rsolution a chou.

240

Pour afficher un cache de rsolution client au moyen de la commande ipconfig.
- l'invite de commandes, tapez ipconfig /displaydns (vrifie aussi le contenu
du fichier hosts).

La commande ipconfig /flushdns fournit un moyen de vider et rinitialiser le
contenu du cache de rsolution du client DNS. Au cours de la rsolution de
problmes DNS, vous pouvez, le cas chant, utiliser cette procdure pour supprimer
du cache les entres ngatives, de mme que toutes autres entres ajoutes de faon
dynamique.
Si la commande ipconfig est fournie pour les versions antrieures de Windows,
l'option /flushdns est disponible uniquement sur les ordinateurs excutant Windows
2000, Windows XP ou Windows Server 2003. Le service client DNS doit galement
tre dmarr.
Pour vider un cache de rsolution client l'aide de la commande ipconfig.
- l'invite de commandes, tapez ipconfig /flushdns
- l'invite de commandes, tapez ipconfig /registerdns pour vous r
enregistrer auprs du serveur DNS
Le Fichier Hosts
Le fichier Hosts est un fichier statique gr sur l'ordinateur local qui sert charger
les mappages de nom d'hte une adresse IP dans le cache de rsolution client.


241
Le fichier HOSTS est construit comme le fichier LMHOSTS, sauf que les FQDN ou
noms de domaines pleinement ou hautement qualifis (Fully Qualified Names)
correspondent des adresses IP ou lieu de noms NetBios.
Il est avant tout associ la rsolution des noms d'htes. Windows l'utilise cependant
si toutes les autres mthodes de rsolution ont chou.

Vous pouvez utiliser le fichier Hosts pour pr charger des mappages permanents de
noms d'htes des adresses IP dans le cache de rsolution client. Cela permet de
rduire le temps de rponse aux demandes et de rduire le trafic rseau.
Les caractristiques d'un fichier Hosts sont les suivantes :
- Une entre unique du fichier Hosts consiste en une adresse IP correspondant
un ou plusieurs noms d'htes. Le nom d'hte figurant dans le fichier Hosts
peut tre un nom de partie unique comme Server1 ou un nom de domaine
pleinement qualifi (FQDN) comme server1.nwtraders.msft.
- Un fichier Hosts doit tre prsent sur chaque ordinateur. Le cache de
rsolution client recherche localement le fichier Hosts.
- Le fichier Hosts se trouve dans le dossier
%systemroot%\System32\Drivers\Etc\ et se nomme Hosts.
- Lorsque vous crez un mappage d'un nom d'hte une adresse IP dans le
fichier Hosts, puis enregistrez ce fichier, le mappage est charg dans le cache
de rsolution client.
- L'entre de mappage de nom d'hte issue du fichier Hosts ne contient pas de
dure de vie. Le mappage de nom d'hte reste dans le cache de rsolution
client jusqu' ce qu'il soit supprim du fichier Hosts.
- Le fichier Hosts est compatible avec le fichier Hosts UNIX.

Il est semblable au fichier LMHOSTS mais est plus simple :

Il ne comporte pas de balises
Il est possible d'associer plus d'un nom d'hte en les saisissant tous sur la mme
ligne en les sparant par un espace.

Exemple :
192.168.100.1 www.fireball.com #serveur
192.168.100.2 maverick missile
127.0.0.1 localhost
Les commentaires sont toujours en fin et marqus par #.
Bien que le but principal du fichier HOSTS soit de faire correspondre les FQDN aux
adresses IP, il peut galement rsoudre les noms NetBios si les mthodes NetBios
traditionnelles ont chou. Dans ce cas, les 15 premiers caractres situs gauche du
premier point sont retirs du FQDN et sont considrs comme un nom NetBios.

242

Que sont les noms NetBIOS ?
Un nom NetBIOS est un identificateur utilis par les services NetBIOS excuts sur
un ordinateur. Il est compos d'un nom de 15 caractres plus un 16me (octet)
indiquant le service.
Les noms NetBIOS servent identifier les ressources dans un rseau NetBIOS.
Les noms NetBIOS ne permettent pas d'effectuer une rsolution de noms sur Internet
car il s'agit de noms en une seule partie qui ne disposent pas de structure
hirarchique.
Les noms NetBIOS sont plats, ce qui signifie qu'il n'y a pas de suffixe attach aux
noms NetBIOS et qu'il n'existe aucun moyen de faire la diffrence entre deux
ordinateurs portant le mme nom NetBIOS. Autrement dit, chaque nom NetBIOS sur
un rseau donn doit tre unique. Par exemple, Server2 est le nom NetBIOS d'une
ressource dans un rseau NetBIOS. Si un autre ordinateur du mme rseau possde le
nom Server2, une erreur se produit.

Les caractristiques des noms NetBIOS sont les suivantes :
- Les noms NetBIOS sont utiliss pour prendre en charge les services qui
exigent NetBIOS. Windows Server 2003, Windows 2000 et Microsoft
Windows XP utilisent des noms DNS pour la plupart de leurs fonctions.
Nanmoins, une mthode de rsolution de noms NetBIOS doit exister sur tout rseau
comportant des ordinateurs qui excutent des versions antrieures de Windows ou
pour des applications qui dpendent toujours des noms NetBIOS.
- Un nom NetBIOS est un alias qu'attribue un administrateur un ordinateur
pour identifier un service NetBIOS excut sur un hte TCP/IP.
- Le nom NetBIOS ne doit pas ncessairement correspondre au nom d'hte.
- Les noms NetBIOS ont une longueur maximale de 15 caractres, comparer
aux 255 caractres maximum des noms d'htes DNS. Le nom d'hte et le nom
NetBIOS d'un ordinateur excutant Windows Server 2003 sont gnrs
ensemble. Si le nom d'hte comporte plus de 15 caractres, le nom NetBIOS
sera compos des 15 premiers caractres.
- Les noms NetBIOS doivent tre uniques sur leur rseau.
- Lorsque vous dmarrez votre ordinateur, divers services (comme le service
serveur ou le service station de travail) inscrivent un nom NetBIOS unique
qui est bas sur le nom de l'ordinateur. Le nom inscrit est le nom NetBIOS de
15 caractres auquel est ajout un seizime caractre (octet) qui identifie de
faon unique le service serveur. (Chaque caractre est rendu sur un octet en

243
texte ASCII, mais le seizime caractre est normalement rendu en notation
hexadcimale plutt qu'en texte ASCII, ce qui lui vaut souvent d'tre appel
seizime octet et non seizime caractre).
- Les noms NetBIOS sont galement inscrits pour les groupes d'ordinateurs qui
fournissent des services rseau. Ainsi, si london.nwtraders.msft est un
contrleur de domaine, il va inscrire le nom NetBIOS, London, et va en
mme temps inscrire des noms qui identifient ses rles en tant que contrleur
de domaine dans le domaine nwtraders. Cela permet aux clients de rechercher
tous les htes NetBIOS qui proposent des services de contrleurs de domaine
dans le domaine nwtraders sans connatre les vritables noms des contrleurs
de domaine en question.
- Un nom NetBIOS simplifie la manire de rfrencer d'autres htes TCP/IP.
Les noms NetBIOS sont plus faciles retenir que les adresses IP.
- Un nom NetBIOS peut tre rsolu si le nom et l'adresse IP sont stocks dans
une base de donnes sur un serveur WINS ou dans un fichier LmHosts. Une
diffusion peut galement rsoudre un nom NetBIOS.
- L'utilitaire Nbtstat affiche les noms NetBIOS que les services NetBIOS
utilisent sur votre ordinateur.

Le nom NetBIOS est cr lors de l'installation du systme d'exploitation.
Lorsque le nom de l'ordinateur est cr, le programme d'installation cre
automatiquement un nom d'hte et un nom NetBIOS qui sont bass sur le nom
d'ordinateur entr.
Par exemple, Server2 est le nom NetBIOS de l'ordinateur dans la figure.
L'ordinateur excute plusieurs services NetBIOS : station de travail, serveur et
affichage des messages. Chacun de ces services est associ au mme nom NetBIOS
(Server2).
Comment afficher les noms sur un client
Pour consulter les noms NetBIOS en utilisant la commande Nbtstat :
Cette commande de diagnostic affiche les statistiques de protocole et les connexions
TCP/IP en cours utilisant NBT (NetBIOS sur TCP/IP). Cette commande est disponible
uniquement si le protocole TCP/IP est install.
nbtstat [-a nom_distant] [-A adresse IP] [-c] [-n] [-R] [-r] [-S] [-s]
[intervalle]

-a nom_distant
Affiche la table des noms de l'ordinateur distant en utilisant le nom.

-A adresse IP
Affiche la table des noms de l'ordinateur distant en utilisant son adresse IP.

-c
Affiche le contenu du cache de noms NetBIOS en donnant l'adresse IP de chaque
nom.
-n
Affiche les noms NetBIOS locaux. La mention Registered indique que le nom est
enregistr par diffusion (Bnode) ou par WINS (autres types de noeuds).
244

-R
Recharge les lignes du fichier Lmhosts avec les entres #PRE aprs avoir purg tous
les noms du cache de noms NetBIOS.

-r
Affiche les statistiques de rsolution de noms pour la rsolution de noms en rseau
Windows. Sur un systme Windows 2003 configur pour utiliser WINS, cette option
renvoie le nombre de noms rsolus et enregistrs par diffusion ou par WINS.

-S
Affiche les sessions client et serveur, en rpertoriant les ordinateurs distants par
adresse IP uniquement.

-s
Affiche les sessions client et serveur. Ce commutateur tente de convertir l'adresse IP
de l'ordinateur distant en un nom l'aide du fichier Hosts.

intervalle
Affiche les statistiques slectionnes de manire rpte avec un intervalle (en
secondes) entre chaque occurrence. Appuyez sur CTRL+C pour interrompre
l'affichage des statistiques. Si ce paramtre est omis, nbstat n'imprime qu'une seule
fois les informations de la configuration.

-RR
(ReleaseRefresh) Envoie des paquets de libration de nom WINS puis actualise

Ex : NBTSTAT -A 192.168.12.24
Nom Type Etat
ZORRO <00> UNIQUE Inscrit
GEFI <00> Groupe Inscrit
GEFI <1E> Groupe Inscrit

245
On remarque en face des noms des caractres : <00>, <20>.
On remarque que ZORRO et GEFI ont tous les deux <00>, il sagit des noms attachs au
service station de Travail, cest lidentification de lordinateur sur le rseau.

On remarque aussi que GEFI, par exemple, la fois les caractres <00> et <1E>. En
fait, <1E> est lidentifiant dun groupe dordinateurs. Pour le redire autrement, <00>
dfinit quil sagit du nom NetBIOS (nom de la machine ou du groupe
dordinateurs), et tous les autres dfinissent la ou les fonction(s) exacte(s) de ce nom
NetBIOS (groupe dordinateurs, serveur dimpression, service messagerie).

On sait donc maintenant que lordinateur ZORRO a annonc aux autres machines
quil sappelle ZORRO, et quil est dans le groupe dordinateurs GEFI. On sait aussi
quil excute le service serveur <20> et quil excute le service de messagerie (qui
permet denvoyer des messages pop-up) <03>.

Le tableau suivant donne la signification de chaque nom, en fonction de son numro
(valeur hexadcimale du 16me octet) et de son type.
Noms de type "Unique"
Numro (h) Description
---------------------------------------------------------------------
<nom ordinateur> 00 Service station de travail
<nom ordinateur> 03 Service Messagerie (net send)
<nom ordinateur> 06 Service Serveur RAS
<nom ordinateur> 1F Service NetDDE
<nom ordinateur> 20 Service Serveur de fichiers ou client WINS
<nom ordinateur> 21 Service client RAS
<nom ordinateur> BE Agent du Moniteur rseau (SMS)
<nom ordinateur> BF Application Moniteur rseau, serveur SMS
<nom ordinateur> 03 Service Messagerie
<nom du domaine> 1D Matre explorateur du rseau ou serveur WINS
<nom du domaine> 1B Matre Explorateur du Domaine
<utilisateur> 03 Utilisateur connect localement
Noms de type "Group"
Numro (h) Description
---------------------------------------------------------------------
<nom du domaine> 00 Nom du groupe dordinateurs ou domaine auquel la machine
appartient
<nom du domaine> 1C Un des contrleurs du domaine
<nom du domaine> 1E Service d'lections d'explorateur, ligible au rang de matre
explorateur
Matre explorateur _01 (<_MSBROWSE_>), il est le matre explorateur sur le rseau

Les 3 fonctions principales de la gestion des noms NetBIOS sont : Inscription,
requte, libration des noms.

Pour consulter le nom NetBIOS de votre ordinateur en utilisant les proprits
systme :
1. Dans la bote de dialogue Proprits systme, sous l'onglet Nom de l'ordinateur, cliquez sur Modifier.
2. Dans la bote de dialogue Modification du nom d'ordinateur, cliquez sur Autres.
3. Consultez le nom NetBIOS dans le champ Nom NetBIOS de l'ordinateur.

Pour renommer un ordinateur :
1. Dans la bote de dialogue Proprits systme, sous l'onglet Nom de l'ordinateur, cliquez sur Modifier.
2. Sous l'onglet Nom de l'ordinateur, cliquez sur Modifier.
3. Sous Nom de l'ordinateur, entrez un nouveau nom pour l'ordinateur, puis cliquez sur OK.

246

Processus de rsolution de noms NetBIOS
La rsolution de noms NetBIOS est le processus qui consiste mapper un nom
NetBIOS une adresse IP. Exemple utiliser la commande : net use x :
\\france\public
Il est possible de configurer le processus de rsolution de noms NetBIOS. Par dfaut,
le client est configur pour interroger un serveur WINS et pour utiliser la recherche
Lmhosts dans l'ordre suivant :
1. L'ordinateur A entre une commande, comme net use, en utilisant le nom NetBIOS
de l'ordinateur B.
2. L'ordinateur A vrifie si le nom indiqu figure dans son cache de nom NetBIOS.
3. Si tel n'est pas le cas, l'ordinateur A interroge un serveur WINS Principal.
4. Si le serveur WINS Principal ne peut pas localiser le nom, le client envoie une
requte encore deux fois, si le client ne reoit pas de rponse de son serveur WINS
Principal, le client renvoie la requte tous les autres serveurs WINS configurs
pour ce client, sinon l'ordinateur A met une diffusion gnrale sur le rseau.
5. Si cette diffusion ne permet pas de rsoudre le nom, l'ordinateur A consulte son
fichier Lmhosts.
6. Si les mthodes NetBIOS ci-dessus ne rsolvent pas le nom, l'ordinateur A
consulte le fichier Hosts.
7. Pour finir, l'ordinateur A interroge un serveur DNS.

Configuration des ordinateurs clients fonctionnant sous Windows XP :
1) Bouton droit sur Favoris rseau, puis cliquez sur Proprits.
2) Ouvrez la boite de dialogue Proprits correspondant la connexion, puis la boite de dialogue Proprits de
Protocoles Internet (TCP/IP).
3) Cliquez sur Avanc, puis sur longlet WINS.
4) Dans le volet WINS, utilisez le bouton Ajouter pour ajouter de nouvelles adresses de serveurs WINS. Vous devez
aussi activer les options Par dfaut ou Activer NetBIOS avec TCP/IP.
Cache de noms NetBIOS
Un cache de noms NetBIOS est un emplacement mmoire qui stocke les noms
NetBIOS rcemment rsolus en adresses IP, que ce soit via un serveur WINS, une

247
diffusion ou le fichier Lmhosts. Il s'agit galement d'un emplacement qui stocke les
mappages de nom d'hte adresse IP pr chargs partir du fichier Lmhosts.
Le cache de noms NetBIOS est le premier endroit o le redirecteur NetBIOS va
chercher une adresse IP mapper un nom NetBIOS. Le cache de noms NetBIOS
rsout les adresses IP plus rapidement qu'un serveur WINS, une diffusion ou le
fichier Lmhosts et il ne cre pas de trafic rseau.
De plus, il est possible de pr charger dans le cache de noms NetBIOS les mappages
de nom NetBIOS adresse IP souvent utiliss l'aide du fichier Lmhosts.

Quand un utilisateur lance une requte de nom NetBIOS l'aide d'une application ou
d'un service comme net use, le processus de rsolution de noms NetBIOS
commence. Le mappage nom NetBIOS/adresse IP de l'hte de destination est
recherch dans le cache de noms NetBIOS. Le cache de noms NetBIOS contient les
noms NetBIOS rcemment rsolus. Si le nom NetBIOS est introuvable dans le cache,
le client qui excute Windows essaie de dterminer l'adresse IP de l'hte de
destination par d'autres mthodes.

Remarque : Pour une commande comme net use et d'autres commandes qui
appellent le protocole SMB (Server Message Block), Windows 2000 et les versions
ultrieures peuvent utiliser l'hbergement direct avec SMB ou plus
traditionnellement NetBIOS avec TCP/IP. Si l'hbergement direct et NetBIOS sur
TCP/IP sont activs, les deux mthodes sont tentes en mme temps et la premire
qui rpond est utilise. NetBIOS avec TCP/IP essaie d'utiliser la rsolution de noms
NetBIOS. La mthode d'hbergement direct utilise la rsolution de noms d'htes.

Une fois qu'un nom NetBIOS a t rsolu en adresse IP, un nouveau mappage est
entr dans le cache de noms NetBIOS avec un intervalle d'actualisation (une dure de
vie) de 10 minutes. Si le nom stock dans le cache NetBIOS fait l'objet d'un accs au
cours de cet intervalle, ce dernier est redfini 10 minutes. Si l'intervalle s'coule
sans le que nom ait fait l'objet d'un accs, le mappage est supprim du cache de noms
NetBIOS. Lorsque vous affichez le cache de noms NetBIOS, la dure de vie est
exprime en secondes.
Les noms NetBIOS peuvent tre de deux types : uniques ou collectifs. Un nom
NetBIOS unique fait rfrence un service NetBIOS hberg sur un ordinateur
individuel. Un nom NetBIOS collectif fait rfrence un service NetBIOS hberg
sur un groupe d'ordinateurs.

248
Pour afficher le contenu du cache de noms NetBIOS de l'ordinateur local :
l'invite de commandes, tapez nbtstat -c
Pour librer le cache de noms NetBIOS et recharger les entres balise #PRE dans le
fichier local Lmhosts :
l'invite de commandes, tapez nbtstat -R
Pour afficher et consulter la table de noms NetBIOS de l'ordinateur local :
l'invite de commandes, tapez nbtstat -n

Le cache de nom distant NetBios (NetBios Remote Name Cache) contient les
correspondances du nom et des adresses IP des machines rcemment consultes. Ce
cache est recherch en premier lieu avant toute autre mthode de rsolution NetBios.
Une entre rside dans le cache pendant 600 000 millisecondes (10 mn). On peut
diter cette valeur dans la base de registre :
HKLM\System\CurrentControlSet\Services\NetBT\Parameters\CacheTimeout
La valeur par dfaut est 927c0 (hex) or 600,000, qui correspond 10 minutes.

Les noms peuvent tre chargs de faon permanente dans le cache via le tag #PRE
dfinit dans le fichier LMHOSTS lors du boot du PC soit par la commande nbtstat -
R.
Il existe cependant une subtilit : les entres ne restent dans le cache 10 minutes que
si elles ont t accdes durant les 2 premires minutes aprs leur entre.

Un couple dentre dans le registre affecte la manire de fonctionnement du cache
NetBIOS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Par
ameters
Size: Small/Medium/Large.
Small (1maintient seulement 16 noms dans le cache NetBIOS), Medium (2
maintient 64 noms), et Large (3pour 128 noms). La valeur par dfaut est 1, ce qui
est normalement suffisant.


249

Le fichier LMHOSTS
Le fichier LMHOSTS tablit la correspondance entre les noms NetBios et les
adresses IP.

Le fichier se trouve dans %systemroot%\system32\drivers\etc
Un fichier LMHOSTS exemple (LMHOSTS.SAM) est disponible dans ce rpertoire.
Il faut le renommer de LMHOSTS.SAM (SAM comme SAMPLE, LM comme Lan
Manager) en LMHOSTS.

Il comporte des balises :

#PRE : les entres sont pr charges et leur dure de vie est mise -1 (statique)
#DOM:[nom_domaine] : indique que l'ordinateur est DC ainsi que le domaine qu'il
contrle.
#INCLUDE: Indique l'emplacement d'un fichier LMHOSTS central. (Chemin UNC)
#BEGIN_ALTERNATE : s'utilise conjointement avec la balise #INCLUDE. Elle
marque le dbut d'une liste d'autres emplacements du fichier LMHOSTS central, au
cas o la premire entre ne serait pas disponible.
#END_ALTERNATE : Termine la liste.
#MH : Multihomed : des ordinateurs multi rsidents peuvent apparatre plus d'une
fois dans la liste : cette balise indique la machine que, dans ce cas, elle ne doit pas
ignorer les autres entres de la liste.
\0xnn : Identifient des machines avec un service ou une application spcifique.
Employer le nombre hexadcimal du service ou de l'application comme seizime
caractre dans le nom NetBIOS et ajouter le nom entier entre guillemets.
250

Nombre hexadcimal des services rseau (fichier LMHOST)

Exemple : fichier LMHOSTS
----------------------------------------------------------------------
10.1.13.1 godot
10.1.13.2 leda
10.1.13.3 demeter
10.1.13.4 vala #PRE #DOM:BOREALIS
10.1.13.5 janis #PRE
192.168.34.77 dalton #PRE
192.168.0.4 SYNGRESS \0x1b #PRE #DOM:SYNGRESS #SYNGRESS.COM PDC
Emulator
#INCLUDE \\vala\config\lmhosts

#BEGIN_ALTERNATE
#INCLUDE \\dalton\adminbin\lmhosts
#INCLUDE \\priestley\adminbin\lmhosts
#END_ALTERNATE
----------------------------------------------------------------------

Remarques :
Mettre les entres les plus utilises en tte et faire en sorte que le fichier ne soit pas
trop volumineux car son parcours est linaire.
Mettre les entres en #PRE en fin de fichier car elles sont dj prcharges dans le
cache des noms NetBIOS.
Nbtstat -R : recharge le cache NetBios partir du fichier LMHOSTS.

Le fichier LMHOSTS ne prsente toutefois quun intrt historique : en effet, comme
il sagit dun fichier statique, il ne fonctionne pas dune manire satisfaisante dans
les rseaux qui utilisent les adresses IP distribues dynamiquement (DHCP) ou dans
les grands rseaux dentreprise.

Par dfaut, des Windows 2000 ou Server 2003 limite le cache de nom NetBIOS pr
charge (balise #PRE) 100 entres
Vous pouvez augmenter cette valeur par le registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Para
meters
Et modifier la valeur de MaxPreloadEntries.


251
La commande nbtstat R, vide le cache NetBIOS et recharge uniquement les
balises #PRE du fichier LMHOSTS dans le cache NetBIOS.

252

TYPES DE NUDS NetBIOS
Le type de nud dfinit dans quel ordre sera employ les diffrentes mthodes utilises
par Windows afin de rsoudre un nom NetBIOS en @ IP : Cache NetBIOS, Srv WINS,
Broadcast, Fichier Lmhost, Fichier Hosts, Srv DNS.
Cette information est visible par la commande : IPCONFIG /ALL

Diffusion gnrale (b-node, broadcast)
Point point (p-node, peer to peer)
Mixte (m-node, utilise b-node puis p-node)
Hybride (h-node, utilise p-node puis b-node)
Une machine en B-node
La mthode la plus simple consiste demander tout le monde si le nom est le sien.
Elle doit tre faite au travers d'une diffusion laquelle tous les htes du rseau rpondent.
Les requtes de nom NetBios en diffusion peuvent occuper une quantit importante de la
bande passante sur le rseau, en utilisant du temps processeur sur chaque machine.
Windows fait 3 tentatives pour rsoudre le nom en utilisant une diffusion, avec une attente
de 7.5 secondes chaque fois. Pour laisser transiter les diffusions B-nud les routeurs
doivent activer les ports UDP 137 et 138.
Ordre de rsolution :
1.Vrification de son cache NetBios (voir commande nbtstat c )
2.Diffusion d'une requte de nom NetBios (broadcast) => ne passe pas les routeurs
======================================================================
Les tapes suivantes sont optionnelles et dpendent de paramtres activs..
3. Vrification du fichier LMHOSTS (uniquement pour le m-node MS ou B-node Avanc)
4. Vrification du fichier HOSTS ou Cache DNS prcharg partir du fichier HOSTS (si
configur : voir commande IPCONFIG /DISPLAYDNS)
5. Vrification sur un serveur DNS (si configur)

C'est le type de noeud par dfaut pour les clients Windows 2000/XP/Server 2003 qui ne sont
pas configur comme des clients WINS.

ORDI1 n'utilise que les diffusions
ORDI1 russit contacter ORDI3, mais ne peut contacter ORDI2.

Avantages
Aucun serveur WINS n'est ncessaire
Aucun paramtrage des machines, il s'agit de la configuration par dfaut

Inconvnients
Les diffusions encombrent le rseau
Les routeurs bloquent les diffusions : impossible de contacter les machines d'autres
rseaux

253
La prsence de routeurs peut empcher : l'authentification, l'accs aux ressources...
DHCP possible sur le domaine de diffusion uniquement
Une machine en P-node
Demande le nom NetBios la machine centrale (Serveur de Noms NetBios = Serveur
WINS). 3 tentatives espaces de 15 secondes.
1. Vrification de son cache NetBios (voir commande nbtstat c )
2.Demande un serveur de noms NetBIOS (NBNS) en unicast Primaire puis
Secondaire si configur
======================================================================
3. Vrification du fichier LMHOSTS (uniquement pour le m-node MS ou B-node Avanc)
5. Vrification sur un serveur DNS
======================================================================

ORDI1 n'utilise pas les diffusions et ne contacte que WINS.
ORDI1 ne russit contacter que les clients WINS.
Si ORDI3 n'est pas client WINS, ORDI1 ne le contacte pas.

Avantages
Aucune diffusion n'encombre le rseau
Le rseau peut tre segment l'aide de routeurs
DHCP possible pour les clients WINS et les machines locales
Si toutes les machines sont clientes WINS, l'authentification et l'accs aux ressources
fonctionne

Inconvnients
Un ou plusieurs serveurs WINS ncessaires (et duplication ventuelle des bases).
Les machines n'utilisent plus les diffusions : elles ne voient QUE les clients WINS
Une machine situe dans le domaine de diffusion ne peut pas tre localise si elle
n'est pas cliente WINS
Une machine en M-node
Une machine en m-node essaie toutes les mthodes de rsolution. Ce type de rsolution
est, avec h-node, une concatnation de p-node et de b-node.
254
La seule diffrence est l'ordre:

1. Vrification de son cache NetBios (voir commande nbtstat c )
2. Diffusion d'une requte de nom NetBios
3.Demande un serveur de noms NetBIOS (NBNS) Primaire puis Secondaire si
configur
======================================================================
4. Vrification du fichier LMHOSTS (uniquement pour le m-node MS)
6. Vrification sur un serveur DNS
======================================================================

ORDI1 met d'abord une diffusion
ORDI1 contacte ensuite son serveur WINS si la diffusion ne donne rien
ORDI1 peut toujours contacter ORDI3.
ORDI1 ne peut contacter ORDI2 que si ce dernier est client WINS

Avantages
Le rseau peut tre segment l'aide de routeurs
fonctionne

Inconvnients
Les diffusions encombrent toujours le rseau
Un ou plusieurs serveurs WINS ncessaires (et duplication ventuelle des bases)
Les machines non-clientes WINS ne sont localises QUE si elles sont dans le
domaine de diffusion
Les machines ont systmatiquement recours aux diffusions AVANT d'interroger
WINS
Une machine en H-node
Le noeud H (H-node, noeud Hybride) est l'inverse du noeud M.
La machine utilise les noeuds P (contacte WINS), puis B (Diffusion) si WINS ne peut
rsoudre le nom..
1.Vrification de son cache NetBios (voir commande nbtstat c )
2.Demande un serveur de noms NetBIOS (NBNS) Primaire puis Secondaire si
configur
3.Diffusion d'une requte de nom NetBios


255
Remarque : Le type H-noeud Etendu (Enhanced h-node) utilis par les clients,
utilise la mme mthode de rsolution quun client configur en H-nud avec en plus
la rsolution DNS comme mthode supplmentaire. Si DNS est aussi configur dans
le client WINS, il pourra tre utilis pour rsoudre les noms NetBIOS. Par dfaut, les
clients NetBIOS Microsoft Windows 2000/XP/Server 2003 qui sont configures pour
utiliser le Server WINS utiliserons le type H-noeud Etendu.

======================================================================
4. Vrification du fichier LMHOSTS (uniquement pour le m-node MS)
6.Vrification sur un serveur DNS

ORDI1 contacte d'abord son serveur WINS.
ORDI1 utilise ensuite les diffusions si WINS ne connat pas le nom demand.
ORDI1 peut toujours contacter ORDI3.
ORDI1 ne peut contacter ORDI2 que si ce dernier est client WINS.

Avantages
Les diffusions encombrent moins le rseau.
Le rseau peut tre segment l'aide de routeurs.
fonctionne.
Les machines peuvent toujours avoir recours aux diffusions en cas d'chec de WINS.

Inconvnients
Un ou plusieurs serveurs WINS ncessaires (et duplication ventuelle des bases).
Les machines non-clientes WINS ne sont localises QUE si elles sont dans le
domaine de diffusion

Remarque :
Le type H est le noeud par dfaut des clients WINS
Pour dterminer le type de nud : ipconfig /all voir type de nud

Paramtrage du type de nud
Le type de noeud peut tre paramtr de deux manires :

Options DHCP
Registre

256
PARAMETRAGE DU TYPE DE NOEUD PAR OPTIONS DHCP

Configurer l'option "046 NBNS Node Type" (B, P, M, H)
Cette option est obligatoire si vous paramtrez l'option "044 NBNS Name
Server" (Serveur WINS)

PARAMETRAGE DU TYPE DE NOEUD PAR LE REGISTRE

Modifiez la valeur NodeType DWORD
Sous la cl:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Para
meters (NT)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTra
ns (W98)

***Rebouter la machine aprs changement de type de nud NetBIOS***

257

Serveur de noms NetBios (WINS)
Le serveur de NetBios nest largement utilis que dans les rseaux Microsoft, sous la
forme de WINS. Les autres implmentations de serveurs de noms NetBios sont rares
(Samba sous Linux le fait).

Les serveurs WINS offrent deux fonctions fondamentales.
La premire concerne linscription de nom NetBios, ou le serveur WINS enregistre
les noms NetBios et les adresses IP des ordinateurs. Un serveur WINS actualise
dynamiquement et automatiquement les noms NetBios des clients WINS lors du
dmarrage des clients WINS.
La seconde fonction essentielle dun serveur WINS est quil rsout les recherches de
nom NetBios, lorsque les clients NetBios questionnent le serveur WINS sur ladresse
IP dun hte NetBios de destination.

NetBios Name Service (NBNS), Windows le met en uvre sous la forme d'un
serveur WINS.

WINS rduit le trafic li aux diffusions, rduit la surcharge administrative de
maintenance, facilite l'activit d'un domaine sur un rseau tendu, fournit des
services d'exploration au travers de plusieurs sous rseaux.

Vous pouvez optimiser un couple dentre dans le registre pour NBNS.
ameters
NameServerPort. Le port UDP utilis par NetBIOS Name Queries vers NBNS.
La valeur par dfaut est 137 (89 hex).
. NameSrvQueryCount. Indique le nombre de fois que votre systme essaiera
de contacter chaque NBNS. La valeur par dfaut est trois fois.
. NameSrvQueryTimeout. Indique combien de temps votre ordinateur
attendra une rponse du NBNS. La valeur par dfaut est de 15 secondes (5dc hex
milliseconds).

**La commande Nbtstat RR (ReleaseRefresh) Envoie des paquets de libration
de nom WINS puis actualise**
258
Diffusion
Si le nom ne peut pas tre trouv dans le cache, la machine tente de le retrouver par
une diffusion sur le rseau local.
NetBios utilise UDP (sur le port 137et 138, respectivement le service de nom
NetBios et les services de datagrammes NetBios) pour envoyer une requte de nom
tous les ordinateurs du rseau.

Problme : augmentation du trafic & utilisation du temps processeur.

Vous pouvez utiliser un couple dentre dans le registre afin de paramtrer certaines
fonctions du broadcast.
ameters
BcastNameQueryCount. Nombre de fois que le broadcast est essay, la valeur par
dfaut est 3 fois.
BcastQueryTimeout. Combien de temps attendre avant de ressayer le Name Query
broadcast, la valeur par dfaut est de 7,5 secondes.
Serveur DNS
Le serveur DNS (Domain Name Service) assure la rsolution dun nom dhte en
adresse IP, dont le principe est identique celui fourni par le serveur WINS, cette
diffrence prs que le serveur WINS prvoit la rsolution du nom NetBios en adresse
IP.

Les rseaux qui excutent des systmes dexploitation comportant la fois des
clients WINS et des clients non-WINS peuvent trouver avantageux de disposer dun
serveur DNS pour assurer la rsolution NetBios en adresse IP. Un client non-WINS
ne pourra pas questionner directement un serveur WINS sur la rsolution NetBios en
adresse IP.

Un serveur DNS peut mettre en mmoire cache des recherches russies de WINS, ce
qui signifie quil peut fournir une sorte de tolrance aux pannes pour les clients
WINS.

Dans une situation ou les clients WINS ne peuvent accder leurs serveurs WINS
configurs, ils peuvent toutefois rsoudre un nom NetBios en questionnant un
serveur DNS. Bien que le serveur DNS lui-mme puisse ne pas pouvoir questionner
le serveur WINS (par exemple, si le serveur WINS est en mode autonime), le serveur
DNS renferme toujours les entres WINS mises en mmoire cache. Cest une autre
raison de configurer des serveurs DNS pour mettre en place les recherches de nom
NetBios sur un serveur WINS.

Les amliorations Internet / DNS de Netbt dans Windows Server 2003
Il est possible de connecter entre eux deux ordinateurs Windows Server 2003 via
NeBT en passant par Internet, il faut pour cela, quil existe un certain nombre de
moyens de rsolution de noms. Parmi les mthodes les plus courantes figurent le
fichier Lmhosts et les serveurs WINS. Des amliorations ont t introduites dans
Windows NT 4.0 et maintenues dans Windows Server 2003 afin dviter ces
configurations particulires.

Convention uniforme de dnomination (Universal Naming Convention, UNC)

259
UNC est une convention de dnomination qui dcrit les serveurs rseau et les points
de partage qui sy trouvent. Un nom UNC commence par deux barres obliques
inverses, suivies du nom du serveur. Tous les autres champs du nom sont spars par
une seule barre oblique inverse. Un nom UNC type aura la forme suivante :
\\serveur\partage\sous-rpertoire\nom_fichier

**La commande IPCONFIG /REGISTERDNS , force le client DNS se renregistrer sur
le serveur DNS.**
260
Ex : dir \\nom-serveur\sous-rpertoire
Il est maintenant possible de se connecter une ressource NetBios via TCP/IP de
deux manires :
Net use \\<adresse ip>\<nom de partage>, ce qui limine le besoin dune
configuration de rsolution de noms NetBios.
Net use \\<nom complet>\<nom de partage>, ce qui permet de faire appel
un serveur DNS pour se connecter un ordinateur en utilisant son nom complet.

Voici quelques exemples demploi de cette nouvelle fonctionnalit :

net use f: \\ftp.microsoft.com\data
net use \\198.105.232.1\data
net view \\198.105.232.1
dir \\ftp.microsoft.com\bussys\winnt

Il est galement possible demployer lhbergement direct pour tablir un redirecteur
ou des connexions de serveurs entre des ordinateurs Windows Server 2003 sans
utiliser NetBios.
La nouvelle interface permet le fonctionnement hors NetBios, cela se nomme SMB
(Server Message Block).
Elle apparat pour le redirecteur et le serveur, comme une autre interface, cependant
au niveau TCP/IP le priphrique SMB emploie lespace de noms de DNS de
manire native comme une application Windows Sockets. Les appels dirigs vers le
priphrique SMB ont pour rsultat une recherche DNS standard destine rsoudre
le nom de domaine en une adresse IP, suivie dune simple requte de connexion
sortante en utilisant ladresse IP et linterface de la meilleur source, dtermine par la
table de routage.

261
Dans ce cas il ny a pas douverture de session NetBios lorigine de la connexion
TCP. Par dfaut, le redirecteur place les appels la fois sur les priphriques NetBios
et SMB, et le serveur reoit les appels des deux manires.
262
Services rseaux Windows
_Reposent sur des protocoles de communication spcifiques
_Un protocole, au coeur des rseaux Windows : SMB/CIFS
SMB = Server Message Block
CIFS = Common Internet FileSystem
_Nouveau nom donn par Microsoft SMB autour de 1997
_Un autre protocole, historiquement troitement li SMB : NetBIOS

Stricto sensu, NetBIOS n'est pas un protocole mais une API (interface de
programmation) : NETwork Basic Input Output System
Mise en oeuvre de cette API dans le monde TCP/IP : NetBT (NetBIOS over TCP/IP)
_Normalis l'IETF (RFC 1001 et 1002, en 1987)
NetBT est souvent confondu avec SMB !
_NetBT est utilis pour le transport de SMB avant Windows 2000

L'API NetBIOS identifie les services avec des noms
_quivalent des ports TCP ou UDP dans le modle TCP/IP
_Nom NetBIOS : 16 caractres
15 caractres + 1 caractre suffixe, identifiant la nature du service
_NetBT : services disponibles
_Service de gestion de noms (nbns) : enregistrement et rsolution de noms
137/udp, rsolution des noms NetBIOS en adresses IP, enregistrement des
noms
En diffusion ou via WINS (quivalent du DNS pour NetBIOS)
_Service datagramme : 138/udp (nbdgm)
Annonce des services disponibles sur un LAN
_Service session : 139/tcp (nbss)
Utilis pour le transport de SMB

Sous Windows, NetBIOS sur TCP/IP est configur au niveau de chaque interface
rseau
_Ports 137/udp, 138/udp et 139/tcp en coute sur des adresses IPv4 spcifiques
_Voir la sortie de la commande netstat sur le transparent suivant


263
Configuration NetBT sous Windows

nbtstat : exemple

NetBT et transport de SMB
SMB typiquement transport dans NetBT avant Windows 2000
_Service session (nbss), 139/tcp
_tablissement d'une session NetBIOS
Nom NetBIOS source, de suffixe <00>
264
_<00> identifie le service workstation = partie cliente SMB
Nom NetBIOS destination, de suffixe <20>
_<20> identifie le service server = partie serveur SMB
_Nom gnrique, support partir de Windows NT 4 : *SMBSERVER<20>

partir de Windows 2000, transport de SMB directement dans TCP (445/tcp)
_Plus d'tablissement de session NetBIOS
_Pseudo en-tte NetBIOS maintenu pour compatibilit ascendante
Tr anspor t de SMB dans Net BT ( 139/ t cp)

Tr anspor t de SMB sur 445/ t cp

NetBIOS et scurit :
_Fuite d'informations avec les noms NetBIOS ?
Enumration de noms NetBIOS pas fondamentalement diffrent d'un scan de
ports
Protocole NetBT
_Protocole nuisible avant tout
_Trs verbeux sur un rseau local, notamment en l'absence de serveurs WINS

265

NetBT est "juste" un protocole de transport pour SMB
Son importance dcrot depuis Windows 2000
_Rseaux Windows reposent dsormais sur des standards du monde TCP/IP : DNS,
LDAP, Kerberos
_NetBT tend disparatre
SMB peut tre transport directement dans TCP
Enregistrements SRV dans le DNS remplacent les noms NetBIOS pour la
localisation des ressources
DNS dynamique remplace la fonctionnalit d'enregistrement dynamique de
WINS
_NetBT n'est pas le protocole le plus important !
Ne dites plus "partages NetBIOS" mais "partages SMB" !

266

Avec le nommage direct, NetBIOS n'est pas employ pour la rsolution de nom.
DNS est employ pour la rsolution de nom et la communication rseau est envoye
directement sur TCP sans en-tte NetBIOS. Le nommage directe sur TCP/IP emploie
le port TCP 445 au lieu de la session NetBIOS TCP sur le port 139.
Simplifie le transport du trafic SMB, plus besoin de WINS et de broadcast NetBIOS
pour la rsolution de noms, standardisation de rsolution de noms base sur le DNS
pour le partage de ressources et imprimantes (service dexploration rseau).
Les deux moyens de rsolution sont toujours disponibles dans des Windows. Il est
possible de dsactiver lun ou lautre de ces services dans le registre.

NetBIOS over TCP/IP
7 Application
Higher level protocols e.g. SMB / CIFS

NetBIOS API (netbios.dll)
Applications
NetBIOS
(voisinage rseau,
explorer, commande net
share etc...)
6 Presentation
Interface NetBIOS

5 Session Name Service (UDP 137) datagram service (138)
Session Service
(TCP 139)
4 Transport UDP TCP
3 Network IP
2 Datalink e.g. IEEE 802.2
1 Physical Token Ring / Ethernet / FFDI etc

SMB over TCP [Port 445]
Port 445 Windows 2000/XP/Server 2003 seulement
Bloquer TCP/UDP 135-139 et 445 sur le firewall
Pour dsactiver la prise en charge de NetBios via TCP/IP
Allez dans Proprits de TCP/IP, puis Cliquez sur le bouton Avanc
Activez longlet WINS , et cliquez sur le bouton de radio Dsactivez NetBios avec TCP/IP .
Vous pouvez aussi appliquer cette option par un serveur DHCP (option fournie par le
serveur DCP).

NetBIOS sur TCP/IP (NetBt)

Ce service assure la
gestion des noms
NetBIOS : dclaration,
unicit, etc.
WINS
Ce service permet
d'changer des
messages en mode
non connect
Ce service permet
d'changer des
messages en mode
connect jusqu'
131071 octets

267

Requtes directes "NetBIOS-less" => le trafic SMB emploie le port 445 (TCP et
UDP). Dans cette situation, les quatre octets qui prcdent l'en tte du trafic SMB est
toujours 0x00 et les trois suivants octets sont la longueur des donnes restantes.
Pour dterminer si NetBIOS over TCP/IP est activ sur l'ordinateur, utiliser la
commande "net config redirector " ou "net config server " en ligne de commande.
L'affichage en sortie montre les liaisons pour NetbiosSmb (qui est "NetBIOS-less"
de la couche transport) et le dispositif NetBT_Tcpip (qui est NetBIOS over TCP de
la couche transport).

Workstation active on
NetbiosSmb (000000000000)
NetBT_Tcpip_{610E2A3A-16C7-4E66-A11D-A483A5468C10} (02004C4F4F50)
NetBT_Tcpip_{CAF8956D-99FB-46E3-B04B-D4BB1AE93982} (009027CED4C2)

NetBT_Tcpip doit ncessairement tre li chaque adaptateur individuellement.
NetbiosSmb est un dispositif global et n'est pas li un adaptateur. Cela signifie que
les requtes directes SMB ne peuvent pas tre mis hors de service dans Windows
sans mettre hors de service "File and Printer Sharing " pour des Rseaux
Microsoft.

Les types de nuds NetBios tablissent l'ordre de rsolution. Un type de nud est
simplement la mthode que l'hte va employer pour rsoudre un nom NetBIOS (non
routables) en adresses IP (routables).
Le nud par dfaut est b-node (Broadcast) moins qu'une adresse de serveur WINS
ne soit dfinie, auquel cas, le dfaut est h-node (Hybride).
268

Nominations de Port par Dfaut pour des Services
Service Name UDP TCP
Browsing datagram responses of NetBIOS over TCP/IP 138
Browsing requests of NetBIOS over TCP/IP 137
Client/Server Communication 135
Common Internet File System (CIFS) 445 139, 445
DHCP Manager 135
DNS Administration 139
Exchange Administrator 135
RPC 135
File shares name lookup 137
File shares session 139
Login Sequence 137, 138 139
NetBT datagrams 138
NetBT name lookups 137
NetBT service sessions 139
NetLogon 138
Pass Through Verification 137, 138 139
Printer sharing name lookup 137
Printer sharing session 139
RPC user manager, service manager, port mapper 135
WINS Manager 135
WINS NetBios over TCP/IP name service 137
WINS Proxy 137
WINS Registration 137

Port Proto
Nom
court
Nom usuel Usage
Standards NetBios
135
137
138
139
TCP/UDP
TCP/UDP
UDP
TCP

Localisation de
services et
NetBios

Install Windows 2000 pro/XP/2003 (port standards)
445 TCP/UDP
microsoft-
ds
SMB over IP
D'habitude, excuter le protocole SMB
(partage de fichiers et d'imprimantes) en
environnement IP ncessite une couche de
transport supplmentaire nomme NetBT.
Sous Windows 2000 ce n'est pas une
obligation SMB over IP est disponible via le
port 445.
500 UDP isakmp
Internet Security
Association and
Key Management
Protocol
Pour l'authentification scurise par change
de cls. Ouvert par lsass.exe. L'explication
de ce service telle qu'elle apparat dans le
gestionnaire des services : "stocke les
informations de scurit pour les comptes
d'utilisateurs locaux".
Autres
25 TCP smtp Simple Mail

269
Transport
Protocol
80 TCP http
Hyper Text
Transport
Protocol
a c'est le serveur web de Microsoft (IIS).
443 TCP https
le mme que ci-
dessus mais
scuris
Ca c'est aussi le serveur web mais la partie
serveur https.
4692 UDP
Excutable brad32.exe. C'est l'agent de
tldistribution macafee lorsqu'on installe le
logiciel travers le rseau par le biais d'une
console de "management". C'est parce qu'il
est l'coute de ce port que viruscan reoit
instantanment l'ordre de se mettre jour
venu de la console d'administration.
SMB

SMB est le protocole rseau majeur des environnements Windows
_Assure les fonctionnalits de partage de ressources (fichiers et imprimantes)
Systmes de fichiers distribus
rapprocher du standard NFS du monde Unix
_galement utilis comme protocole de transport pour les RPC
D'administration distante
De fonctionnement des domaines NT4
Pas d'analogie dans le monde Unix, Microsoft a ajout un transport SMB au
standard DCE RPC
_Ces deux utilisations en font le protocole rseau au coeur des systmes Windows
Sessions SMB : exemples

_Protocole client-serveur
Partie cliente : accs des ressources partages (service Station de travail)
Partie serveur : mise disposition de ressources partages (service Serveur)
_Partage : groupe de ressources partages
270
Partage de fichiers
Partage d'imprimantes
Partage spcial : IPC$
_Session SMB
Protocole SMB est orient session
Une session SMB dbute toujours par une phase d'authentification
Utilisation d'un protocole d'authentification rseau (NT)LM ou Kerberos V

Client SMB
_Commande net use : tablissement d'une session SMB
Serveur SMB
_Commande net share : gestion des partages
numration des partages actifs, ajout, suppression
_Commande net sessions : gestion des sessions SMB
numration, suppression
_Commande net files : gestion des ressources partages
numration, suppression

SMB : ct client


271
SMB : ct serveur

Mises en oeuvre SMB sous Unix
Projet Samba
_Mise en oeuvre de NetBT et SMB/CIFS sous Unix
_Port sur de nombreux Unix, libres ou propritaires
_Composants principaux
Dmon nmbd : gre NetBT
Dmon smbd : gre SMB/CIFS
Dmon winbind : gre l'authentification dans un domaine NT4 ou
ActiveDirectory
Fichier de configuration unique smb.conf, entretenant la confusion entre la
configuration de NetBT et de SMB/CIFS...
_Outils en ligne de commande :
smbclient : interface ftp-like pour manipuler des fichiers via SMB/CIFS
rpcclient et net (Samba 3) : commandes d'administration distante

Smbclient

272
SMB comme protocole de transport
SMB comme protocole de transport
_Partage IPC$ est un partage spcial
_Donne accs, travers le rseau, des points de communications appels tubes
nomms
_Des donnes sont envoyes et reues via ces tubes nomms en utilisant le protocole
SMB
_Les donnes en question sont des PDU (Protocol Data Unit) DCE RPC
SMB devient un protocole de transport pour DCE RPC
Ajout par Microsoft pour plusieurs raisons
o Notamment parce que SMB peut tre lui-mme transport dans
plusieurs protocoles, via l'API NetBIOS
o Authentification ralise au niveau SMB hrite au niveau DCE RPC
Il n'y a pas rauthentification au niveau DCE RPC
MSRPC : introduction
_Mise en oeuvre du standard DCE RPC par Microsoft
_DCE RPC prvu pour tre indpendant du protocole de transport utilis
TCP/IP, IPX/SPX, NetBEUI, ...
Microsoft a ajout un transport utilisant SMB
Analogie
_DCE RPC sur TCP/IP utilise des ports TCP/IP pour communiquer
_DCE RPC sur SMB utilise des tubes nomms
DCE RPC sur TCP/IP est utilis pour transporter DCOM
DCE RPC sur SMB
_Utiliss par la plupart des outils Windows d'administration distante
_Noms des tubes nomms identifient les services accessibles via DCE RPC
_Exemple : eventlog pour la consultation des journaux distance, winreg pour
l'accs distant la base de registres, svcctl pour la gestion des services Windows
distance, etc...
En pratique
_Authentification ralise de faon transparente au niveau SMB
Pas d'authentification au niveau DCE RPC
_Possibilit d'utiliser une session SMB nulle (login et mot de passe vides lors de
l'authentification au niveau SMB)
_Faon de rcuprer des informations de faon anonyme...
Concerne principalement les tubes nomms lsarpc (LSA Windows), samr
(SAM),wkssvc (service workstation), srvsvc (service serveur)
_

Utilisation d'un outil d'administration Windows en spcifiant un nom de serveur
distant dclenche l'utilisation de DCE RPC sur SMB
_Exemple : consultation distance des journaux d'un systme Windows
Ouverture d'une session SMB (typiquement authentifie avec des
accrditations administrateur)
Connexion au partage IPC$
Ouverture du tube nomm eventlog

273
criture et lecture de donnes via le descripteur de fichier ouvert sur le tube
eventlog, correspondant des appels de procdures distantes permettant la
consultation des journaux du systme distant
_Ethereal dcode un certain nombre d'interfaces MSRPC, outil privilgi pour
observer sur le fil DCE RPC sur SMB

Consultation distante des journaux

Services RPC sur TCP/IP
_Utiliss plus frquemment dans des domaines ActiveDirectory
Ex : Rplication des annuaires Active Directory
Autre protocole bas sur des RPC sur TCP/IP : MAPI (Exchange)
Autre grande utilisation de DCE RPC sur TCP/IP : transport de DCOM
Via le port 135/tcp, activation d'objets COM distance
Certaines interfaces RPC accessibles via 135/tcp ont des oprations
accessibles en anonyme
Vers Blaster (t 2003), exploitant une vulnrabilit dans une opration d'une
interface RPC ncessaire au fonctionnement de DCOM
Service associ : portmapper, donnant la correspondance entre un identifiant
d'interface RPC et un port (TCP ou UDP) sur lequel ce service est accessible
Port 135, quivalent du portmapper des ONC RPC (port 111)

274

DCOM sur DCE RPC sur TCP/IP

MSRPC est une implmentation apparemment fragile
Certaines interfaces RPC peuvent tre accessibles sans authentification
_Via une session nulle pour des services DCE RPC sur SMB
_Via TCP/IP (typiquement port 135), pour des services RPC ne ncessitant pas une
authentification
_Va probablement changer avec le SP2 de Windows XP
Service rpcss est un processus systme (identit SYSTEM)
_Vulnrabilit dans une interface RPC de ce service permet, si l'exploitation est
possible, d'excuter du code sous l'identit SYSTEM
Bien penser filtrer tous les protocoles de communication permettant
l'utilisation des RPC
_SMB (port 139 et 445), TCP/IP (port 135 et ports dynamiques, restreindre dans
une plage de ports spcifiques), HTTP (593/tcp, pas activ par dfaut)


275

Ordre de rsolution des noms NetBIOS (Rappel)
Dans le cas o la machine est configure pour :
Avoir un serveur WINS primaire (choix A)
Utiliser "Activer la recherche de cl LMHOST" (choix B)
Utiliser "Activer la rsolution DNS pour Windows" (choix C)
Alors, l'ordre de rsolution des noms NetBIOS est le suivant :
1. NetBIOS name cache (li au choix B)
2. WINS (li au choix A)
3. Requte Broadcast sur le rseau (toujours fait)
4. LMHOSTS (li au choix B)
5. Cache DNS
6. HOSTS (li au choix C)
7. DNS (li au choix C)

Lordre des tapes 2 et 3 peut tre invers si le type de nud est Mixte au lieu
dHybride.
Les tapes 2, 4, 5 et 6 peuvent ne pas avoir t actives.
Ltape 2 ne sera effective que si le poste est client WINS.
Ltape 4 ne sera disponible que si loption Activer la recherche LMHOST a t
dfinie dans longlet WINS des proprits avances du protocole TCP/IP.

Dpannage :
Dans le cas ou vous voulez rsoudre un nom NetBIOS dune machine situe sur un
segment diffrent, et que vous tes client WINS.
1. Ping @ IP machine distante => fonctionne OUI ou NON, si OUI passer ltape 4
2. Ping localhost, Ping votre @ IP, Ping Default Gateway
3. Tracert @ IP machine distante => connatre ou le datagramme IP est bloqu
4. Ping Nom NetBIOS machine distante => fonctionne OUI ou NON, si NON => suivre
la procdure
5. Ping @ IP du serveur WINS Principal
6. Ping @ IP du serveur WINS secondaire si existe
Pour ces tapes 5 et 6, si le serveur WINS est sur un rseau diffrent, vrifier la table de
routage local au PC (route print ou netstat rn) ainsi que celle du routeur, essayer aussi
la commande Tracert @ IP du serveur WINS => connatre ou le datagramme IP est
bloqu
7. Penser vrifier le contenu du cache NetBIOS de votre PC => nbtstat c
8. Penser vider le cache NetBIOS du PC => nbtstat R
9. Penser vous rinscrire auprs du serveur WINS => nbtstat RR
10. Voir cohrence du fichier Lmhosts si utilis
11. Penser vrifier le contenu du cache arp => arp a

Dans tous les cas vrifier quil ny a pas de firewall qui bloque les requtes ICMP, NetBIOS
ou DNS sur votre machine ou infrastructure rseau. Les serveur WINS ainsi que la machine
atteindre sont elles allumes ?
276

Et l'ordre de rsolution des noms Internet (FQDN)
1. Nom dhte local : voir la commande hostname
2. Cache DNS local (toujours en premier)
3. HOSTS (li au choix C)
4. DNS (li au choix C)
5. WINS (li au choix A)
6. Requte Broadcast sur le rseau (toujours fait)
7. LMHOSTS (li au choix B)

Dpannage :
1. Ping @ IP machine distante => fonctionne : OUI ou NON, si OUI passer ltape 4
2. Ping localhost, Ping votre @ IP, Ping Default Gateway
3. Tracert @ IP machine distante => connatre ou le datagramme IP est bloqu
4. Ping @ FQDN du serveur DNS => fonctionne OUI ou NON
Pour cette tape 4, si le serveur DNS est sur un rseau diffrent, vrifier la table de
routage local au PC (route print ou netstat rn) ainsi que celle du routeur, essayer aussi
la commande Tracert @ IP du serveur DNS => connatre ou le datagramme IP est
bloqu
5. Utiliser la commande NSLOOKUP => affiche des infos partir du serveur DNS
6. Penser aussi vider la cache DNS local : Ipconfig /flushdns
7. Voir cohrence du fichier Hosts si utilis ainsi que la base du serveur DNS
8. Penser vrifier le contenu du cache arp => arp a

Dans tous les cas vrifier quil ny a pas de firewall qui bloque les requtes ICMP, NetBIOS
ou DNS sur votre machine ou infrastructure rseau. Les serveur DNS ainsi que la machine
atteindre sont elles allumes ?

277
Lorganigramme de la rsolution de noms NetBios
(premire partie)

Start

278
Lorganigramme de la rsolution de noms NetBios
(deuxime partie)


279

Questions/Rponses
1). Il existe deux types de noms conviviaux :
- Les noms dhtes : Bass sur le systme DNS, les noms dhtes se prsentent sous
diverses formes
(ex :saga ou saga.supinfo.com). La longueur dun nom dhte ne peut dpasser les 255
caractres.
- Les noms NetBIOS : Un nom NetBIOS peut reprsenter un ordinateur ou un groupe
dordinateurs. La longueur maximale dun nom NetBIOS est de 15 caractres. Windows 2003
ne ncessite pas de noms NetBIOS mais assure une compatibilit pour les versions
antrieures Windows 2003.

2). Il est possible de mapper statiquement les noms intelligibles avec leur adresse IP. Ceci
grce deux fichiers :
- Fichier Hosts : Permet des mappages IP / nom dhte
- Fichier Lmhosts : Permet des mappages IP / nom NetBIOS

3). Il est possible de centraliser, la manire des comptes utilisateurs, la gestion de la
rsolution des noms en adresses IP. Pour ceci il existe les deux serveurs suivants :
- Serveur DNS : Permet la rsolution des noms dhte en adresse IP. Ce sont les serveurs
DNS qui font la rsolution des noms sur Internet (ex : www.labo-microsoft.com).
- Serveur WINS : Permet la rsolution des noms NetBIOS en adresse IP.

4). - Processus de rsolution de noms dhte
>> Lordinateur vrifie si le nom indiqu correspond son nom dhte local.
>> Lordinateur recherche dans son fichier Hosts.
>> Lordinateur envoie une requte au serveur DNS.
>> Lordinateur recherche dans son cache ARP (Windows 2000/2003 traite les noms
NetBIOS comme des noms dhtes).
>> Lordinateur envoie une requte au serveur WINS.
>> Lordinateur envoie une diffusion gnrale sur le rseau.
>> Lordinateur recherche dans son fichier Lmhosts.

5). - Processus de rsolution de noms NetBIOS
>> Lordinateur recherche dans son cache NetBIOS (Windows 2000/2003 traite les noms
NetBIOS comme des noms dhtes).
>> Lordinateur envoie une requte au serveur WINS.
>> Lordinateur envoie une diffusion gnrale sur le rseau.
>> Lordinateur recherche dans son fichier Lmhosts.
>> Lordinateur recherche dans son fichier Hosts.
>> Lordinateur envoie une requte au serveur DNS.

6). 3 fonctions de NetBIOS sur TCP/IP
>> gestion des noms (point cl de l'utilisation de Netbios sur TCP/IP car ce dernier utilise
l'adresse IP alors que Netbios utilise des noms d'ordinateurs)
>> gestion de session
>> transfert de donnes
>> Les 3 fonctions principales de la gestion des noms sont : Inscription, requte,
libration des noms.

7). Lesquels des utilitaires suivants utiliseront la rsolution de nom NetBIOS ?
A. FTP
B. Explorateur(Browser) de Windows
C. Internet Explorer
D. net.exe

280
8). Quelles paramtres sont disponibles pour la taille du Cache de Nom NetBIOS ?
A. Grand (Big)
B. Large (Large)
C. Petit (Small)
D. Minuscule (Tiny)

9). Sur un rseau avec un segment, quel avantage peut tre gagn en utilisant des WINS ?
A. WINS peut faciliter la rsolution de noms d'HTE.
B. WINS facilite l'exploration Inter-domaine.
C. WINS rduit le trafic rseau.
D. Tout ci-dessus.

10). Quelle commande pouvez-vous utiliser pour vrifier quelles sessions existent sur NBT ?
A. net sessions
B. nbtstat
C. netstat-nbt
D. netstat

11. Quel port est utils pour valider une connexion (logon) ?
A. 136
B. 137
C. 138
D. 139

12. A quel niveau de la resolution par le type B nud, le fichier LMHOSTS est utilis ?
A. Second
B. Troisime
C. Quatrime
D. Cinquime

13. Quels sont les trois noms Net BIOS basiques correspondant des services qui sont
enregistrs sur votre ordinateur ?
A. Computername[0x00], Computername[0x03], Computername[0x1D]
B. Computername[0x03], Computername[0x20], Computername[0x1D]
C. Computername[0x00], Computername[0x20], Computername[0x1D]
D. Computername[0x00], Computername[0x03], Computername[0x20]

14. Quel nom doit tre unique pour chaque systme sur le rseau ?
A. Le nom dordinateur
B. Le nom utilisateur
C. Le nom du workgroup
D. Le nom du domaine

15. Lorsque le service messagerie enregistre un nom, quelle est la valeur qui identifie le
service de messagerie ?
A. [0x00]
B. [0x03]
C. [0x20]
D. [0x1D]

16. Si votre organisation utilise WINS, combien dhtes necssitent dtre configurs avec un
fichier LMHOSTS ?
A. Le serveur WINS seulement
B. Domain controllers on
C. Toutes les stations qui ne peuvent tre client WINS
D. Aucun


281
17. Quelles sont les trios principales functions de la gestion des noms NetBIOS ?
A. Rsolution de nom, renouvellement, et relache
B. Requte de nom, relache, et renouvellement
C. Enregistrement de nom renouvellement, et relache
D. Enregistrement de nom, requte, et relache

18. Pourquoi les broadcast utilisant les ports 137 et 138 sont-il normalement bloqu par les
routeurs ?
A. Pour des questions de scurit
B. Afin de prvenir les conflits de cache NetBIOS
C. Afin de prvenir la congestion des routeurs
D. Ces ports ne sont pas configures pour ces raisons

19. Par dfaut combien de temps un nom netBIOS reste til dans le cache ?
A. 2 minutes
B. 5 minutes
C. 10 minutes
D. 1 jour

20. Pouvez-vous changer la taille du cache de nom NetBIOS ?
A. Oui
B. Non
C. Seulement en rinstallant NT

21. Combien de nom pouvez-vous enregistrer sur un simple ordinateur Windows NT ?
A. 16
B. 64
C. 128
D. 250

22. Quel port est utilise afin de transfrer un fichier vers un hte distant ?
A. 136
B. 137
C. 138
D. 139

23. Le protocole TCP/IP utilise un modle de communication quatre couches pour transmettre
des donnes entre deux sites. Quelles sont les quatre couches du modle utilis par le protocole
TCP/IP ?
Les couches Internet, Application, Transport et Interface rseau.

24. Lorsqu'une application doit communiquer avec une application d'un autre ordinateur,
qu'utilise le protocole TCP/IP pour distinguer les applications et pour identifier l'ordinateur
auquel elles appartiennent ?
Il utilise un socket.

25. Quels sont les trois lments qui composent un socket ?
Une adresse IP, un port et un protocole de la couche Transport.

26. Quels sont les six protocoles principaux fournis dans la suite de protocoles TCP/IP ?
Les protocoles TCP, UDP, ICMP, IGMP, IP et ARP.

27. Administrateur rseau, vous souhaitez vrifier que la suite de protocoles TCP/IP est
correctement installe et tester les communications sur le rseau. Quel utilitaire TCP/IP allez-
vous utiliser ?
L'utilitaire Ping.

282
28. Lorsque la remise indirecte est utilise pour envoyer un paquet d'un ordinateur source vers un
ordinateur de destination, l'ordinateur source doit d'abord dterminer l'adresse MAC d'_______.
Un routeur.

29. Lorsque vous affectez aux ordinateurs de votre rseau des adresses IP, que devez-vous garder
l'esprit ?
Les principales rgles d'adressage suivantes : l'identificateur de rseau ne peut pas
commencer par 127 et l'identificateur d'hte ne peut pas contenir que des zros (0) ou des
255 et doit tre unique dans chaque identificateur de rseau. Vous devez galement vous
assurer que chaque sous-rseau se voit affecter un seul identificateur de rseau.

S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S

283
SERVICE EXPLORATEUR D'ORDINATEURS
Prsentation
Les favoris reseau offrent un acces convivial aux ressources reseau. Cet affichage est
fourni par une liste d'exploration mise jour par le service Explorateur
d'ordinateurs. Ce service tient a jour une liste des ordinateurs presents sur votre
reseau et fournit cette liste aux programmes qui en font la demande (comme les
favoris reseau par exemple).
Pour les machines Windows 2000/2003/XP appartenant a un environnement Active
Directory, l'acces aux ressources est facilit par la base d'annuaire Active
Directory de Microsoft Windows 2003. L'on pourrait ainsi se passer des
favoris rseaux pour acceder aux ressources rseau. Windows 2003 utilise galement
le service Explorateur d'ordinateur pour afficher une liste des ressources
disponibles du systme de base d'entres/sorties rseau (NetBIOS, Network Basic
Input/Output System). Ce service tient jour une liste des ordinateurs et la transmet
aux applications qui la demandent. Cela permet aux utilisateurs de localiser des
ressources sur des serveurs qui n'excutent pas Windows 2000/2003/XP3 et aux
utilisateurs qui emploient des ordinateurs clients n'excutant pas
Windows 2000/2003/XP de localiser des ressources sur des serveurs excutant
Windows 2003.

Les utilisateurs doivent souvent savoir quels domaines et ordinateurs sont accessibles
de leur ordinateur local. Le service favoris reseau permet laffichage de toutes les
ressources disponibles sur un rseau dordinateurs excutant Microsoft Windows. Le
service explorateur de Windows Exploateur dordinateur =>Dpendances :
service serveur et station de travail conserve une liste nomme de tous les
domaines et serveurs disponibles, appele liste de parcours. Cette liste peut tre
affiche dans lExplorateur Windows, elle est fournie par un explorateur dans le
domaine de lordinateur local.

Pour afficher la liste de parcours dans Windows 2003, excutez la procdure
ci-dessous.
1. Dans Favoris rseau, double-cliquez sur Tout le rseau.
2. Cliquez sur contenu entier.
3. Double-cliquez sur Rseau Microsoft Windows.

Le service explorateur d'ordinateur tient jour une liste qui regroupe :
Les groupes de travail et domaines de l'inter rseau.
Les machines appartenant ces groupes et domaines.
Les ressources partages par ces machines.

L'laboration de cette liste est dvolue certaines machines lues ou configures
pour tre "Explorateurs".
284
Les explorateurs centralisent, compilent et redistribuent aux clients la liste des
ressources de l'inter-rseau, visibles dans le "Voisinage Rseau".

Donc l'explorateur rseau est le service qui rassemble et organise la liste des
ordinateurs et des domaines que l'on voit dans le voisinage rseau Windows ou en
faisant smbfind sous Samba. En dehors de l'aspect visuel rassurant qui donne cette
satisfaction bate du "tout va bien, mes petits sont tous l", l'explorateur rseau
permet par exemple une machine de savoir tout moment quels sont les
ordinateurs executant NetBIOS sur le mme rseau IP, sans avoir envoyer en
permanence des diffusions. C'est en quelque sorte un carnet d'adresses qui vite de
consulter l'annuaire chaque fois qu'on a besoin d'appeler sa mre, ou qui vite de
hurler dans le voisinage: "j'ai perdu le numro de ma mre est-ce que quelqu'un a
le numro de Frengonde?". Pour 2-3 ordinateurs, a passe, mais imaginez le
rsultat pour 1000 machines.
Ce qu'il faut bien se figurer aussi, c'est qu'un rseau, c'est comme une pice de
thatre avec des centaines d'acteurs et de figurants, qui entrent qui sortent qui se
parlent, sortent, s'vanouissent, reviennent eux, parlent, sortent... Dans ces
conditions l si chaque acteur devait avoir sa propre liste des autres personnes
prsente un instant T sur la scne, le rsultat serait pitoyable. On a donc dcid qu'il
y aurait une personne, en l'occurence un ordinateur qui tiendrait une liste la plus
jour possible, de tout ce qui est prsent, une sorte de concierge.... Sur le rseau, on
l'appelle "Matre Explorateur" (master browser). Les machines prsentes
(executant NetBIOS) lui demanderont la liste d'exploration afficher dans le
voisinage rseau.
Installation
Ce service est automatiquement install et actif, mais il est possible de le paramtrer par le
registre (voir plus loin).


285
Rle des explorateurs
La tche consistant fournir une liste des serveurs aux clients est rpartie sur
plusieurs ordinateurs du rseau. Vous pouvez attribuer des rles diffrents aux
ordinateurs qui utilisent le service Explorateur d'ordinateur, notamment : matre
explorateur, explorateur secondaire, explorateur potentiel et clients
explorateurs (non explorateurs). Vous pouvez attribuer ces rles du service
Explorateur d'ordinateur aux ordinateurs qui excutent Windows 2003.

Explorateur Matre de domaine
La machine jouant ce role (unique dans un domaine) conserve la liste maitresse des
machines du rseau fournissant des ressources, ainsi que les noms de domaines et
groupes de travail prsents sur le rseau. Dans un domaine Windows 2000/2003, le
maitre explorateur du domaine est forcement le serveur hbergeant le role Active
Directory maitre mulateur controleur principal de domaine. II ajoute a sa liste
d'exploration la liste d'exploration stocke sur chaque maitre explorateur, et ce toutes
les 12 minutes pour s'assurer que le maitre d'exploration de domaine possede une
liste d'exploration a jour pour tout le reseau. II se peut donc que pendant un certain
laps de temps, vous ne disposiez pas d'une liste d'exploration a jour sur un sous-
rseau.
Dans un rseau local, le Domain Master Browser est aussi le Master Browser.
Ces transmissions de listes reposant sur les diffusions, le passage d'un routeur peut
poser problme...
Explorateurs Matre
Capturent les annonces d'htes des machines de leur sous-rseau.
Etablissent la liste des ressources de leur sous-rseau.
Reoivent de l'Explorateur Matre de Domaine une compilation des listes tablies par
leurs homologues sur les divers sous-rseaux.
286
Distribuent cette liste compile aux Explorateurs de Sauvegarde (qui la donnent aux
clients).
Renseignent les clients sur les adresses des explorateurs de sauvegarde.
Tant qu'il n'a pas reu la liste compile de son Explorateur Matre de Domaine, un
Explorateur Matre ne "connat" que les ressources disponibles sur son domaine de
diffusion. Ses clients ne "voient" donc qu'une petite partie du rseau et de ses
ressources.
Donc le Master Browser maintient la liste matresse des resources disponibles
dans son domaine ou workgroup, ainsi que la liste des noms, pas les resources, des
autres domains ou workgroups.
Explorateurs de Sauvegarde
Situs en bout de chane, ils reoivent une liste des ressources de l'Explorateur
Matre local.
Distribuent cette liste aux clients qui souhaitent parcourir les ressources de l'inter
rseau demand (c'est le cas par exemple lorsque vous allez dans les favoris rseau).

La liste des serveurs est limite en taille 64ko sur les ordinateurs excutant une
version de Windows NT antrieur la version 4.0, Windows 95, etc. ce qui restreint
le nombre dordinateurs dans une liste des parcours pour un groupe de travail ou un
domaine 2000 ou 3000.
Explorateurs Potentiels
Machines qui ne participent pas aux compilations et distributions des listes de ressources,
mais qui peuvent assumer un rle d'explorateur si besoin est (processus d'lection), sil en
reoit lordre de lexplorateur principal. Peut devenir Master Browser, Backup Browser
ou alors Domain Master Browser.
Non-explorateurs
Machines paramtres pour ne jamais tre explorateur.
Il s'agit souvent de machines dont on veut optimiser les performances dans un domaine
prcis (serveurs...). Nest pas configur pour conserver une liste des ressources ou des
parcours

Remarque
Sur les ordinateurs qui excutent Microsoft Windows NT version 4.0, Windows 98
ou Windows 95, ouvrez Voisinage rseau pour afficher la liste de parcours. Sur les
ordinateurs qui excutent Microsoft Windows pour Workgroups, utilisez le
Gestionnaire de fichiers.

Dans un domaine Windows 2000/2003, I'emulateur PDC sera toujours maitre
explorateur de domaine. En fonction du nombre de machines sur le rseau, les autres
contrleurs de domaine seront explorateurs secondaires, sauf un qui sera maitre
explorateur pour son segment rseau. En fait, si vous avez dans votre domaine et par
segment rseau entre 2 et 31 ordinateurs, it y aura un maitre explorateur et un
explorateur secondaire. Si vous avez entre 32 et 63 ordinateurs, vous aurez alors un
maitre explorateur et deux explorateurs secondaires. Vous aurez un explorateur
secondaire par tranche de 32 ordinateurs supplmentaire.


287
Les services d'exploration ont trois points principaux :
. Collecte d'informations pour la liste d'exploration
. Distribution de la liste d'exploration elle-mme
. Service d'exploration client met des requtes afin d'obtenir cette liste
Fonctionnement
Toute machine qui partage des ressources s'annonce par diffusion et met la liste des
ses ressources.
Ces diffusions sont captes par l'Explorateur Matre local, qui dresse l'inventaire des
ressources de son sous-rseau.
Chaque Explorateur Matre transmet sa liste l'Explorateur Matre de domaine.

Serveur 1
Explorateur
secondaire
Serveur 2 Client
Matre
explorateur
4 4
Slection
1 1
Annonce
1 1
Annonce
1 1 Annonce
3 3
Demande
Liste
Demande
Liste
2 2

Le processus ci-dessous dcrit le fonctionnement du service Explorateur d'ordinateur
de Windows 2003.

1). Au dmarrage, tous les ordinateurs qui excutent le service Serveur annoncent leur prsence au matre
explorateur de leur groupe de travail ou sous-rseau de domaine. Cette tape a lieu, qu'ils contiennent ou non des
ressources partages.
2). La premire fois qu'un client tente de localiser les ressources rseau disponibles, il demande une liste des
explorateurs secondaires au matre explorateur du groupe de travail ou du sous-rseau de domaine.
3). Le client demande ensuite la liste des serveurs rseau un explorateur secondaire. Ce dernier lui transmet la
liste des domaines et des groupes de travail, ainsi que celle des serveurs locaux du domaine ou du groupe de
travail du client.
4). L'utilisateur du client slectionne un serveur, recherche les ressources appropries, puis contacte le serveur
appropri afin d'ouvrir une session et d'utiliser ces ressources.

Tout ce mecanisme s'effectue par diffusion (si vous utilisez encore NetBIOS). Or, les
diffusions ne traversent pas les routeurs. Dans un environnement rout, il va falloir
utiliser un mcanisme permettant que des explorateurs maitres puissent s'changer le
contenu de leur liste d'exploration. Pour cela, il faudra utiliser soit un fichier
LMHOSTS, soit le service WINS. Sinon, les clients explorateurs ne verront que les
machines presentes sur leur sous-rseau IP physique.
Le fichier LMHOSTS de chaque maitre explorateur present sur chaque sous-reseau
IP doit contenir I'adresse IP et le nom d'ordinateur de ('explorateur maitre de
domaine, le nom du domaine precede de #PRE et #DOM.
288
Elections dexplorateur
Un nouveau matre explorateur doit tre choisi si un client ne parvient pas en
localiser un, ou si un explorateur secondaire tente une mise jour de sa liste des
ressources rseau mais ne parvient pas localiser le matre explorateur. Le processus
d'lection garantit qu'il n'y aura qu'un seul matre explorateur par groupe de travail ou
segment dans un domaine.

Les lections dexplorateur surviennent pour slectionner un nouvel explorateur
principal dans les circonstances suivantes :

-quand un ordinateur ne peut localiser un explorateur principal
-quand un explorateur principal prfr est plac en ligne
-quand dmarre un systme contrleur de domaine Windows
Paquet d'lection
Critres
d'lection
Critres
d'lection
Windows 2000
Server
Windows 2000 Windows 2000
Server Server
Valeur de critres
la plus leve
Valeur de critres
la plus leve
Windows 2000
Professionnel
Professionnel Professionnel
Valeur de critres
suivante
Valeur de critres
suivante
Windows NT
Windows 98
Windows 95
Windows pour
Workgroups
Windows NT Windows NT
Windows pour Windows pour
Workgroups Workgroups
Valeur de critres
la plus basse
Valeur de critres
la plus basse
Le client dcouvre qu'un
matre explorateur est
indisponible
Le client dcouvre qu'un
matre explorateur est
indisponible

Les ordinateurs rseaux lancent un processus d'lection en diffusant un message
spcial appel paquet d'lection. Ce paquet contient la valeur des critres de
l'ordinateur l'origine de la requte. Tous les explorateurs traitent ce paquet
d'lection.
Lorsqu'un explorateur reoit un paquet d'lection, il l'examine et compare les critres
de l'ordinateur l'origine de la demande avec ses propres critres d'lection. Si les
critres d'lection de l'ordinateur recevant la demande sont plus levs que ceux de
l'ordinateur dont provient le paquet d'lection, l'explorateur met son propre paquet
d'lection, puis entre un tat lection en cours. Le processus se poursuit jusqu' ce
qu'un matre explorateur soit lu sur la base de la valeur de critres la plus leve.


289
Les critres d'explorateurs dterminent l'ordre hirarchique des diffrents types de
systmes informatiques du groupe de travail ou domaine. Chaque ordinateur
explorateur possde certains critres, en fonction du type de systme. Ces critres
comprennent les lments suivants :
1). Le systme d'exploitation :
Un membre de la famille des produits Windows 2000/2003 Server
Windows XP Professionnel
Windows 2000 Professionnel
Windows NT Server
Windows NT Workstation
Windows 95/98
Windows pour Workgroups
2). La version du systme d'exploitation (par exemple, Windows NT 4.0, 3.51, 3.5 ou 3.1) ;
3). Le rle attribu l'ordinateur dans l'environnement d'exploration :
Explorateur (matre explorateur ou explorateur secondaire) ;
Explorateur potentiel ;
Non explorateur.

Au cours d'une lection, le niveau des critres est utilis pour dterminer quel
ordinateur doit tre matre explorateur si le matre explorateur en cours est
indisponible.
L'explorateur envoie jusqu' quatre paquets d'lection. Si aprs quatre paquets
d'lection, aucun autre explorateur n'a rpondu avec des critres d'lection
susceptibles de remporter l'lection, le systme sera promu au rang, d'explorateur
principal.
Les annonces des diffrents services dexplorateurs
Lorsqu'un ordinateur dmarre, Il informe le service Explorateur qu'il est disponible en
s'annonant sur le rseau.

Quand un ordinateur devient lexplorateur principal en emportant une lection et quand la
liste des ressources de parcours est vide, lexplorateur principal contraint tous les
systmes rpondre par une annonce.
290
Tous les ordinateurs recevant son datagramme, doivent rpondre aprs un dlai alatoire
pouvant durer jusqu 30 secs, pour empcher que lexplorateur principal ne sengorge de
rponses et en perde, et pour protger le rseau dun trafic trop important.
Si un explorateur principal reoit une annonce dun autre ordinateur qui affirme tre
explorateur principal, lexplorateur principal change de rle et exige une lection.
Les annonces de serveurs non explorateurs
Un ordinateur non explorateur se prsente priodiquement lexplorateur principal
en lui envoyant un datagramme dirig. Il fait tat de sa disponibilit selon des
intervalles de 1 mn, 2 mn, 4mn, 8mn et 12mn, puis par la suite toutes les 12 mn. Si
lexplorateur principal nentend rien propos du non-explorateur pendant trois
priodes dannonce conscutives, il le retire de la liste des parcours.

Remarque : 36 mn peuvent donc tre ncessaires pour que lexplorateur principal
local retire une entre dpasse. En outre, le reste du domaine va requrir de 12 mn
24 mn (deux fois la priodicit) pour sapercevoir que lentre est dpasse.
Les annonces d'explorateurs potentiels :
La plupart des systmes sont en ralit des explorateurs potentiels qui peuvent devenir un
explorateur secondaire ou un explorateur principal. Ces systmes s'annoncent de la mme
manire que les non explorateurs.
Les annonces des explorateurs secondaires
Les systmes explorateurs secondaires s'annoncent de la mme manire que les non
explorateurs. Ils participent cependant aux lections dexplorateur. Ils appellent
l'explorateur principal toutes les 12 minutes pour obtenir une liste des ressources du
rseau mise jour, ainsi qu'une liste des Workgroups et domaines.
L'explorateur secondaire cache ces listes et renverra la liste d'exploration tous les clients
qui mettent une demande d'exploration. Si lexplorateur de sauvegarde ne peut trouver
dexplorateur principal, il exige une lection.
Configuration du temps dannonce dexplorateur
Sous Windows NT/2000/XP/2003
Les valeurs de la cl de la BDR :
HKLM\SYSTEM\CurrentControlSet\Services\Browser\Parameters
dterminent le rle tenu dans le parcours rseau. Pour qu'un ordinateur
NT/2000/Server 2003 soit le matre-explorateur (gnralement un PDC= Primary
Domain Controller), positionner la valeur suivante :
IsDomainMaster: "TRUE" (valeur par dfaut = No)

Pour les ordinateurs NT/2000/Server 2003 jouant le rle de sauvegarde du matre-
explorateur (gnralement les BDC = Backup Domain Controller) :
MaintainServerList: "Yes" (peut devenir Master ou Backup Browser)
Pour tous les autres ordinateurs NT/2000/Server 2003 non explorateur :
MaintainServerList: "No"(non Explorateur)
MaintainServerList: "Auto"(Potential Browser)


291
Quand un explorateur de sauvegarde se referme correctement, il envoie une annonce
lexplorateur principal pour signaler quil sort du systme.
Si lexplorateur principal se referme correctement, il envoie un datagramme pour
signaler quun nouvel explorateur principal soit choisi.
Si lordinateur ne se referme pas correctement, ou connat une panne, il doit tre
retir de la liste des parcours, cest le service explorateur qui gre les pannes
dexplorateurs.

Remarque : Le service qui gre lExploration est le service Explorateur
dordinateurs , les dpendances ce service sont les services serveur et
station de travail .
Vous pouvez aussi utiliser la commande net config server /hidden :yes et le
dfaire par la comande net config /hidden :no . Note : Il y a un dlai denviron
une trentaine de minutes.
Panne de non explorateur et de sauvegarde
Quand un non explorateur connat une panne, il cesse de sannoncer. La priode
dannonce configure est comprise entre 1 et 12 mn.
Si le non explorateur ne sest pas annonc aprs trois priodes dannonce,
lexplorateur principal le retire de sa liste des parcours. 72 mn peuvent tre
ncessaires avant que tous les explorateurs apprennent la panne dun non
explorateur : ce retard potentiel inclut 36 mn ventuellement requises pour que
lexplorateur principal dtecte la panne, et les 12 mn ncessaires pour que les
explorateurs de sauvegarde rcuprent la liste mise jour de lexplorateur principal.
Dfaillance de lexplorateur principal
Quand un explorateur choue, un explorateur de sauvegarde va dtecter cette dfaillance
dans les 12 mn qui suivent et exiger une lection.
Dfaillance dexplorateur principal du domaine
Si lexplorateur principal du domaine est en panne, lexplorateur principal de chaque
sous rseau du rseau fournit une liste des parcours, ne contenant que les serveurs du
sous rseau du rseau local.
Comme un explorateur principal du domaine est galement un PDC, ladministrateur
peut rsoudre la panne en promouvant un BDC en PDC.

Les explorateurs principaux envoient un datagramme dirig, pour sannoncer
lexplorateur principal du domaine celui-ci retourne une requte aux explorateurs
principaux leurs demandant une liste des serveurs de leurs sous rseau, il fusionne
alors sa propre liste de serveurs et celle qui lui est envoye. Ce processus se rpte
toutes les 15 mn.
Service explorateur sur un routeur IP avec TCP/IP
Aujourdhui, les communications du service explorateur sappuient presque entirement
sue les missions. Sur un inter rseau IP, ou les domaines sont spars par des routeurs,
des problmes spciaux dmission peuvent surgir parce que celles-ci, par dfaut, ne
passent pas par les routeurs.
Deux questions se posent :
292

Comment les explorateurs spars par un routeur peuvent-ils assumer des
fonctions dexplorateur ?
Comment les clients locaux peuvent ils parcourir des domaines distants qui ne
sont pas sur leur sous-rseau ?
Si les routeurs IP ne sont pas configurs pour transmettre les diffusions NetBIOS (ce qui
est gnralement le cas), la collecte et la distribution de l'exploration et le traitement des
requtes clientes doivent s'effectuer par le biais du trafic IP dirig plutt que par celui du
trafic IP de diffusion. Windows 2000 ou Server 2003 propose les deux solutions ci-
dessous pour faciliter ces oprations.

Entres du fichier Lmhosts. Les entres spciales du fichier Lmhosts facilitent la
distribution des informations d'exploration et le traitement des requtes clientes.
WINS. Le service WINS (Windows Internet Naming Service) permet de collecter les
listes de parcours et de traiter les requtes clientes.
Exploration laide de LMHOSTS
Pour implmenter une communication directe entre les matres explorateurs de
sous-rseaux distants et l'explorateur matre de domaine, le fichier Lmhosts doit tre
configur avec les adresses IP et les noms NetBIOS des ordinateurs explorateurs.
Sous-rseau 1
Sous-rseau 3
Sous-rseau 2
Serveur1
Matre explorateur
Serveur3
Explorateur matre de domaine
Serveur2
Matre explorateur
Corp
Lmhosts Lmhosts Lmhosts
<IP> Serveur3 #PRE #DOM:CORP
Routeur Routeur

Matres explorateurs
Pour les ordinateurs qui excutent Windows 2000/2003, le fichier Lmhosts de
chaque matre explorateur de sous-rseau doit contenir les informations suivantes :
Ladresse IP et le nom de l'ordinateur de l'explorateur matre de domaine ;
le nom de domaine, prcd des #PRE et #DOM : mots cls

Exemple :
130.20.7.80 <explorateur_matre de domaine> #PRE #DOM:<domaine>

293
Explorateurs matres de domaine
Sur l'explorateur matre de domaine, le fichier Lmhosts doit tre configur avec les
entres de chacun des matres explorateurs des sous-rseaux distants.
Une entre #DOM sur chaque matre explorateur pour tous les autres matres
explorateurs du domaine est conseille. De ce fait, si l'un des matres explorateurs est
promu matre de domaine, la modification des fichiers Lmhosts des autres matres
explorateurs n'est pas ncessaire.
Lorsque plusieurs entres de fichier Lmhosts existent pour le mme nom de domaine, le
matre explorateur envoie une requte l'adresse IP de chaque entre afin de dterminer
l'entre qui correspond l'explorateur matre de domaine. Seul l'explorateur matre de
domaine rpond la requte. Le matre explorateur contacte ensuite l'explorateur matre
de domaine pour changer les listes de parcours.
DNS
Windows Server 2003 se sert de DNS comme mthode principale de rsolution de noms.
Chaque contrleur de domaine Windows Server 2003 enregistre deux noms au
dmarrage : un nom de domaine DNS avec le service DNS, un nom NetBios avec WINS
ou autre service de transport.
Si lordinateur source et lordinateur destination sont configurs pour faire appel IP et
DNS, le nom est rsolu avec DNS ; sinon, WINS rsout les adresses IP laide des noms
NetBios, pour que les datagrammes puissent tre envoys.
La rsolution de noms ne peut fonctionner correctement si on emploie que DNS, du fait
des limitations de la rsolution DNS des noms NetBios, il est recommand demployer
WINS et DNS.
WINS
Comme vu plus haut, NetBIOS a t conu au dpart pour fonctionner sur de petits
rseaux avec un petit nombre de machines. Puis avec les annes, Microsoft a
dvelopp des serveurs prvus pour fonctionner en environnement rout et/ou avec
un grand nombre de machines. on a donc cherch des mthodes pour palier aux
limitations du fonctionnement par diffusions. Au niveau de l'internet, la rsolution de
nom se fait avec DNS, qui est un systme prouv.
Microsoft a donc cherch faire la mme chose que DNS, mais pour des
environnements de type PME, il n'tait pas possible d'avoir quelque chose d'aussi
rigide que DNS. Il fallait un systme compatible avec NetBIOS et capable de mettre
automatiquement jour la base de donnes de noms de machines. Aucune RFC ne
parlait alors de mise jour dynamique de DNS (il y plus de 7 ans). Ils ont donc cr
WINS.

294
Sous-rseau 1
Sous-rseau 3
Sous-rseau 2
Serveur1
Matre explorateur
Serveur3
Explorateur matre de domaine
Serveur2
Matre explorateur
Corp
Serveur4
Serveur
WINS
Routeur Routeur
R&D
Mktg
Corp
Serveur1
Serveur2
Serveur3
Serveur4
R&D
MKTG
Corp
Serveur1
Serveur2
Serveur3
Serveur4
R&D
MKTG

WINS: Windows Internet Name Service a t implant sur Windows NT 3.5 (a ne
nous rajeunit pas). C'est un systme de centralisation dynamique des listes des noms
des machines: On dit aux ordinateurs du rseau d'aller inscrire leur nom au serveur
Wins (unicast), et lorsqu'on a besoin de rsoudre un nom NetBIOS en adresse IP, on
demande au serveur WINS. C'est un systme qui permet de limiter grandement les
diffusions et permet en plus de fonctionner en environnement rout.
En effet. Au niveau du paramtrage, on indique au client de s'adresser une adresse
IP (celle du serveur WINS), or IP sait parfaitement passer les routeurs. Cela fait que
si on avait deux rseaux A et B avec le client sur le rseau A et le serveur WINS sur
le rseau B, le client va aller demander au serveur WINS sur le rseau B la liste des
ordinateurs inscrits chez lui.

On peut avoir un seul serveur WINS qui centralise les requtes de plusieurs rseaux
IP diffrents, sans aucun problme. C'est pour cela que d'un certain point de vue,
WINS s'apparente DNS.

Voici comment cela se passe:
L'ordinateur s'initialise, et va enregistrer son nom et son adresse dans la base du
serveur WINS. Tous les ordinateurs paramtrs pour s'inscrire sur ce serveur font de
mme. Le serveur WINS construit sa liste et quand une machine inscrite a besoin de
rsoudre un nom NetBIOS, il lui donne.
Lorsque l'ordinateur s'teint, il se dsinscrit pour permettre un autre ordinateur
d'utiliser ventuellement le mme nom avec une adresse IP diffrente.
Oui, mais comment cela se passe-t-il pour les ordinateurs qui n'ont pas l'adresse du
serveur WINS paramtr?
- Si le client est sur le mme rseau IP que le serveur WINS, celui-ci va recevoir tt
ou tard les noms et adresse de l'ordinateur par diffusion, et les inscrira dans sa base.
Le client ne pourra pas interroger la base WINS, mais les autres ordinateurs pourront
tout de mme passer par WINS pour rsoudre le nom du client non-inscrit.
- Si le client est sur un autre rseau IP on peut installer un proxy-WINS, qui est un
ordinateur qui va intercepter les diffusions, et les transmettre au serveur WINS. C'est
le proxy WINS qui inscrira auprs de WINS les machines qui s'allument, et c'est le
proxy-WINS qui demandera WINS et transmettra la rponse quand un ordinateur
non-inscrit fera une diffusion pour rsoudre le nom d'un autre ordinateur -le
fonctionnement d'un proxy, quoi :-) .

295

Il est tout fait possible d'avoir deux serveurs WINS Microsoft qui vont rpliquer
leurs bases, de manire rpondre tout de mme aux clients si l'une des deux est en
panne, mais il n'est pas possible de faire la mme chose avec Samba au moment o je
tape ces lignes.

WINS peut-tre trs utile quand on veut faire joindre un domaine un ordinateur qui
est sur un rseau IP diffrent de celui du contrleur de domaine. Il est aussi trs utile
parce qu'il rduit grandement les diffusions NetBIOS sur un rseau. Sur un rseau de
plusieurs centaines de machines, les diffusions peuvent provoquer un trafic vraiment
important.

La mise en place de WINS limine le besoin de configurer le fichier LMHOSTS ou
dactiver le port UDP 137.
Les clients non WINS ont toujours besoin du fichier LMHOSTS pour le parcours sur
un inter rseau IP, mme si WINS est implment dans le domaine.

Toutes les missions NetBios sur TCP/IP (NetBT) sont envoyes au numro de port
UDP 137, dfini comme le port du service de noms NetBT. Les routeurs bloquent
normalement la retransmission de ces trames.

Le service WINS rsout les problmes de diffusion des noms NetBIOS en
enregistrant dynamiquement l'adresse IP et le nom NetBIOS d'un ordinateur et en les
stockant dans la base de donnes WINS.

Lorsque des clients WINS communiquent avec des htes TCP/IP sur des sous
rseaux, l'adresse IP de l'hte de destination est rcupre dans la base de donnes
plutt que par l'intermdiaire d'une diffusion.
Le service WINS amliore le mcanisme de collecte des noms de groupes de travail
ou de domaines, car un explorateur matre de domaine excut en tant que client
WINS demande rgulirement au serveur WINS une liste de tous les domaines
rpertoris dans la base de donnes WINS.

Remarque : La liste des domaines, obtenue l'aide d'une requte WINS, ne
comporte que les noms de domaines et leurs adresses IP correspondantes. Elle ne
comprend pas les noms des matres explorateurs qui sont l'origine des
enregistrements WINS.

Le principal avantage de ce processus rside dans le fait que l'explorateur matre d'un
domaine dispose dsormais d'une liste complte de tous les matres explorateurs de
tous les domaines, y compris de tous les matres explorateurs des autres domaines
situs sur des sous rseaux distants. Pour laborer une liste complte sans utiliser le
service WINS, un matre explorateur appartenant au mme domaine que l'explorateur
matre de domaine doit tre prsent sur chaque sous rseau.

296
Questions/Rponses

1. partir de quel systme recevez-vous la liste des serveurs ?
2. Dans un modle en Workgroup, combien y a til de Backup Browsers ?
3. Quelles sont les trois fonctions de NETLOGON ?
4. Quels systmes doit tre dclares dans le fichier LMHOSTS si WINS nest pas utilis ?
5. Quel tag du fichier LMHOSTS active lactivit au niveau du domaine bas sur TCP/IP ?
6. Un utilisateur click sur le voisinage rseau, et le systme rpond que le nom rseau ne
peut pas tre trouv, quelle peut tre la cause de cela ?
7. Combien de fois le service serveur sannonce til ?
8. Quels sont les systmes enlevs de la liste dexploration ?
9. Dans quel type de groupe un contrleur de domaine senregistre til avec un serveur
WINS ?
10. Quels systmes ncessitent lutilisation du fichier LMHOSTS afin dactiver la base de
comptes dutilisateurs pour des questions de synchronisation ?
11. Comment font les autres domaines afin de devenir visible au niveau du voisinage rseau
?
12. Quels types dordinateurs font des annonces dexploration ?
======================================================================
Rponses :
1. La liste des serveurs nous parvient partir des Backup Browsers.
2. Il y a un Backup Browser tous les 32 systmes dans un Workgroup.
3. Les fonctions de NETLOGON : validation des utilisateurs, lauthentication,
synchronisation de la base de comptes dutilisateurs.
4. Le fichier LMHOSTS est ncessaire pour la rsolution dadresse pour chaque
systme qui enregistre son service serveur.
5. Le tag #DOM facilite lactivit au niveau du domaine base sur un rseau en
TCP/IP.
6. Le systme ne peut pas rsoudre le nom NetBIOS en adresse IP ou alors le systme
est plant.
7. Le service serveur sannonce toutes les minutes pendant les 5 premires minutes,
puis ensuite toutes les 12 minutes.
8. Si un systme sarrte normalement, il broadcast une relache du nom Name
Release , cela lenleve de la liste dexploration, lautre possibilit est que le systme
na pas reu trois annonces (3x12 mn).
9. Les contrleurs de domaine senregistrent dans le groupe Domain.
10. Chaque contrleur de domaine ncssite un fichier LMHOSTS.
11. Par des annonces de Domaine que le Domain Master Browsers fait toutes les 15
minutes.
12. Tous systme qui a le service serveur install, cela inclus Windows for
Workgroups, Windows 95/98/Me, and Windows NT/2000/XP.
L E R E G I S T R E

297
LE REGISTRE
Si vous avez utilis les versions antrieures 16 bits de Windows, vous savez
probablement que les paramtres de configuration systme taient stocks dans des
fichiers texte dots de l'extension *.INI limits 64 ko (win.ini, system.ini, et ainsi
de suitevoir commande sysedit.exe). Un administrateur pouvait tout fait
apporter des modifications de configuration ces fichiers, mme si, la plupart du
temps, il n'tait pas ncessaire d'intervenir directement dans ces fichiers. La plupart
des paramtres qu'ils contenaient pouvaient, en effet, tre modifis via le Panneau
de configuration ou l'interface d'autres applications. La modification manuelle des
fichiers .INI s'imposait uniquement lorsque des paramtres spcifiques ne
pouvaient tre modifis via l'interface.

Depuis les versions 32 bits de Windows (NT 3.x Windows 95 et ultrieures), les
informations de configuration systme sont stockes dans une base de donnes
hirarchique contenant les informations systmes (hardwares et softwares) : le
Registre.

La configuration matrielle de l'ordinateur rside dans le Registre, incluant des
pilotes Plug and Play . Il supporte des configurations de matriel multiples et des
utilisateurs multiples peuvent se partagez un mme ordinateur mais garder leurs
prfrences personnelles. Le Registre supporte aussi l'Administration distance.

L E R E G I S T R E
298
Comme pour les fichiers INI, la plupart des paramtres du Registre peuvent tre
modifis via le Panneau de configuration ou l'interface d'autres applications.
Toutefois, de par la nature mme du Registre (et le fait qu'il regroupe l'ensemble
des informations de configuration), la modification directe du Registre peut
entraner de srieux problmes systme. En fait, Microsoft conseille de ne jamais
procder une modification directe (manuelle) du Registre, sauf en cas de ncessit
absolue. Mme dans ce cas, Microsoft ne garantit pas les consquences gnres
par l'application de paramtres incorrects.

Le Registre est divis en cinq arborescences
principales
Le Registre est divis en cinq arborescences principales, appeles parfois sous arbre .
Ces sous arbres contiennent les informations suivantes

HKEY_CLASSES_ROOT
HKCR contient deux types de paramtres. Le premier contient les associations de
fichiers qui associent diffrents types de fichiers avec des programmes qui peuvent
les ouvrir, imprimer et les diter. Le deuxime sont des enregistrements de classe
pour des objets Component Object Model (COM). Cette cl racine est une du plus
intressant du registre personnaliser, parce qu'elle vous permet de changer
beaucoup le comportement du systme d'exploitation. Cette racine est aussi la plus
grande du registre, reprsentant la majorit de l'espace que le registre consomme, il
peut reprsenter jusqu 78 % du Registre sur l'ordinateur.
L E R E G I S T R E

299

Avant Windows 2000, HKCR tait une liaison vers la cl
HKL\SOFTWARE\Classes, mais cette cl racine est plus complique maintenant.
Pour tirer partie de HKCR, le systme d'exploitation fusionne deux cls :
-HKLM\SOFTWARE\Classes, qui contient des associations de fichier par
dfaut et des enregistrements de classe; et HKCU\Software\Classes, qui
contient des associations de fichier par-utilisateur et des enregistrements de
classe.
-HKCU\Software\Classes est vraiment une liaison HKU\SID_CLASSES.
Si une valeur diffrente apparat dans les deux branches, la valeur dans
HKCU\Software\Classes a la priorit la plus haute et impose sa valeur dans
HKLM\SOFTWARE\Classes.
HKEY_LOCAL_MACHINE
Contient les paramtres de l'ordinateur comme son matriel et la configuration rseau
et logiciels. Voici une vue d'ensemble des cinq sous cls :
HARDWARE Avez-vous remarqu que vous ne trouvez pas de fichier de
ruche pour HKLM\HARDWARE ?. Cette ruche est dynamique. Windows la
construit chaque fois que le systme d'exploitation dmarre et il ne
sauvegarde pas la ruche comme un fichier de ruche quand le PC s'teint.
Dcrit le matriel que Windows 2000/2003 dtecte dans l'ordinateur.
part la description des processeurs de l'ordinateur ainsi que la mmoire,
cette sous cl dcrit les ressources pour chaque utilisation de ces pilotes, avec
l'apparition du Plug and Play dans Windows 2000/2003.
SAM Contient la base de donnes de scurit locale (Scurity Account
Manager). Windows 2000/2003 stocke des utilisateurs locaux et des groupes
dans la SAM ainsi que la version Windows Serveur 2000/2003 stocke les
utilisateurs du domaine et groupes dans la mme sous cl. Les permissions
empchent la plupart des utilisateurs, mme avec des droits administratifs, de
voir cette sous cl. Employez les outils du Panneau de configuration pour
grer la base de donnes de scurit locale. Notez que la SAM est une liaison
vers HKLM\SECURITY\SAM. En faisant des changements sur l'une vous
faites des changements sur l'autre.
HKEY_LOCAL_MACHINE\SAM\SAM et
HKEY_LOCAL_MACHINE\SECURITY\SAM) doivent seulement tre
modifi en employant la MMC de Windows 2000/2003 ou le Gestionnaire
des Utilisateurs de Windows NT 4.0 et plus tt.
Rappel : Si le systme Windows est un contrleur de domaine, la SAM n'est
pas employ, (nous avons les services d'Active Directory maintenant).
L E R E G I S T R E
300

SCURIT Contient la base de donnes de scurit locale, SAM, aussi bien
que la politique de stratgie locale et ainsi que d'autres secrets.
droits d'Utilisateur
stratgie de Mot de passe
adhsion de groupes locaux
Windows 2000/2003 empche les utilisateurs de voir cette sous cl.

SOFTWARE Contient par ordinateur les paramtrages pour chaque
application, incluse dans Windows 2000/2003. Comme
HKCU\SOFTWARE, quelques-uns n'ont pas respect les demandes mises
par Microsoft et ne suivent les rgles, donc la plupart des applications sont
mises dans Vendor\Application, o Vendor est le nom du vendeur et
Application est le nom de la l'application.
Ces vendeurs suivant ces rgles ajoutent une sous cl complmentaire appele
Version.
La sous cl la plus intressante, utile et personnalisable
d'HKLM\SOFTWARE est Classes. Cette sous cl dfinit les associations
de fichier de l'ordinateur et des classes COM.

L'Enregistrement et l'accs ce fait plus facilement, parce que la cl racine
HKEY_CLASSES_ROOT est un lien vers Classes.

SYSTEM La sous cl system contient l'information de dmarrage employe
par Windows lors du boot. Cette sous cl contient toutes les donnes qui sont
stockes et pas recalcules pendant la phase de dmarrage.
Une copie de l'information HKEY_LOCAL_MACHINE\SYSTEM est dans
le fichier System.alt, situ dans %SystemRoot %\System32\Config dans
toutes les versions de Windows.
Contient les jeux de contrles, qui dcrivent les pilotes et les services que
Windows 2000/2003 charge lors du boot. De plus, les jeux de contrles
dfinissent chaque aspect de la configuration systme au niveau de
l'ordinateur. Chaque jeu de contrle est dans une sous cl appele
HKLM\SYSTEM\ControlSetnnn, o nnn est un numro commenant par
000. La sous cl CurrentControlSet est une liaison au jeu de contrle actuel
celui que Windows 2000/2003 emploie. HKLM\SYSTEM\Select contient
une valeur appele Current cela indique lequel des contrle Windows
2000/2003 emploie.
(La cl Clone, prsente dans les versions antrieures de Windows NT, n'existe pas
dans Windows XP, 2003)
HKEY_USERS
Chaque sous cl de HKU est aussi une ruche, cest l que sont enregistrs lensemble
des profils dutilisateur (si tent soit que vous en ayez crs), la diffrence de
HKCU qui lui ne s'occupe que de lutilisateur actuellement connect.
HKEY_CURRENT_USER est une sous cl de HKEY_USERS.
HKEY_USERS contient les paramtres par utilisateur. HKU contient au moins trois
sous cls :
.DEFAULT contient les paramtres par-utilisateur que Windows emploie
pour afficher le bureau avant que n'importe quel utilisateur ne se connecte
L E R E G I S T R E

301
l'ordinateur. Ce n'est pas la mme chose qu'un profil d'utilisateur par dfaut,
que Windows emploie pour crer des paramtres pour des utilisateurs la
premire fois qu'ils se connectent l'ordinateur.
SID, o SID est l'identificateur de scurit de l'utilisateur de la console
(l'utilisateur de la console contient par exemple les paramtres du clavier),
contient des paramtres par-utilisateur. HKCU est un lien avec cette cl. Cette
cl contient des paramtres comme les prfrences du bureau de l'utilisateur
et des paramtres du Panneau de configuration.
SID_Classes, o SID est l'identificateur de scurit de l'utilisateur de la
console, contient par-utilisateur les enregistrements de classe et associations
de fichier. Windows fusionne le contenu de cls
HKLM\SOFTWARE\Classes et HKU\SID_CLASSES dans HKCR.

Vous verrez d'autres SIDs dans HKU voir ci-dessous.
Le premier est SID, SID est l'identificateur de scurit de l'utilisateur actuel.

L E R E G I S T R E
302

S-1-5-18 est SID bien connu pour le compte LocalSystem. Windows charge ce
profil quand un programme ou service fonctionne dans le compte LocalSystem.
S-1-5-19 est SID bien connu pour le compte LocalService. Service Control Manager
emploie ce compte pour lancer les services locaux qui ne pas tre lancer comme le
compte LocalSystem.
S-1-5-20 est SID bien connu pour le compte NetworkService. Service Control
Manager emploie ce compte pour lancer les services rseau qui ne doivent pas tre
lanc comme le compte LocalSystem.
La deuxime sous cl est SID_CLASSES, qui contient les fichiers (extensions)
utilisateur associs leurs applications.
Copier partir de HKLM\SOFTWARE\Classes pour former
HKEY_CLASSES_ROOT.
Voici un exemple de SID : S-1-5-21-553393301-1521681255-927750060-1004

S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-500 Administrator
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-501 Guest
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-502 krbtgt
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-512 Domain Admins
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-513 Domain Users
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-514 Domain Guests
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-515 Domain Computers
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-516 Domain Controllers

Des utilisateurs gnraux pourraient tre assigns avec des SIDS se terminant par des
numros quatre chiffres commenant 1000. Mon domaine a un utilisateur appel
"Pixel", dont le SID se termine par 1003 et un autre utilisateur, "Pixel1", dont le SID
se termine par 1006.

S-1-5-domain-517 Cert Publishers
S-1-5-root domain-518 Schema Admins
S-1-5-root domain-519 Enterprise Admins
S-1-5-root domain-520 Group Policy Creator Owners
S-1-5-domain-553 RAS and IAS Servers

Groupes Locaux intgrs
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-544 Administrators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-545 Users
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-546 Guests
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-547 Power Users
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-548 Account Operators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-549 Server Operators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-550 Print Operators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-551 Backup Operators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-552 Replicator
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-554 Pre-Windows 2000 Compatible
Access
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-555 Remote Desktop Users
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-556 Network Configuration Operators

Groupes spciaux
\CREATOR OWNER S-1-1-0x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
\EVERYONE S-1-1-0x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
NT AUTHORITY\NETWORK S-1-1-2x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
L E R E G I S T R E

303
NT AUTHORITY\INTERACTIVE S-1-1-4x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-
xxx
NT AUTHORITY\SYSTEM S-1-1-18-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
NT AUTHORITY\LOCALSERVICE S-1-1-19-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
NT AUTHORITY\NETWORKSERVICE S-1-1-20-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx

Rappel : Voici quelques identifiant de scurit SID
Authority - Subauthority Authority Name Description
0 Null The basic Identifier Authority.
0 - 0 Nobody Used when there is no
security.
1 World The basic Identifier Authority.
1 - 0 Everyone Everyone: all users, guest, and
anonymous users.
2 Local The basic Identifier Authority.
3 Creator The basic Identifier
Authority.
3 - 0 Creator/Owner The owner of an object.
3 - 1 Creator/Group The primary group of the owner.
3 - 2 Creator/Owner Server Not used after Windows NT 4.
3 - 3 Creator/Group Server Not used after Windows NT 4.
4 Non-unique The basic Identifier Authority.
5 NT The basic Identifier Authority.
Most work with Windows XP
users will be in the NT authority
(that is, the SID will begin with S-
1-5).
5 - 0 (undefined) Not used in Windows XP.
5 -1 Dialup Used for users who are logged on to
the system using a dial-up
connection.
5 - 2 Network Used for users who are logged on to
the system using a LAN connection.
5 - 3 Batch Used for users who are logged on to
the system in a batch queue facility.
5 - 4 Interactive Used for users who are logged on to
the system interactively (a locally
logged on user).
5 - 5 - X - Y Logon Session Used for users who are logging on
to the system. The X and Y values
identify the logon session.
5 - 6 Service Used for a Windows XP service.
5 - 7 Anonymous Used for users who are logged on
anonymously to the system.
5 - 8 Proxy Not used after Windows NT 4.
5 - 9 Enterprise Controllers Used to identify Active Directory
domain controllers.
5 - 10 (undefined) Undefined in Windows XP.
5 - 11 Authenticated Users Used for users who have
been authenticated by the system
and are logged on.
5 - 12 Restricted Code Unknown in Windows XP.
5 - 13 Terminal Server User Used for users who are
logged on to the system using
Microsoft Terminal Server.
5 - 18 Local System The local computer's system
account.
This subauthority is new to Windows
XP.
5 - 19 Local Service The local computer's service
account. This subauthority is new to
Windows XP.
L E R E G I S T R E
304

5 - 20 Network Service The computer's network
service account.
5 - 21 Non-Unique A non-unique value to
identify specific users.
5 - 32 Domain Used with domains to
identify users.

Pour voir quels profils Windows a charg ainsi que le fichier de ruche qui correspond
chaque ruche, voir dans la cl HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ProfileList. Cette cl contient une sous cl pour chaque profil
que le systme d'exploitation a dj charg. Le nom de la sous cl est le nom de la
ruche dans HKU et la valeur ProfileImagePath contient le chemin vers le fichier de
ruche, qui est toujours Ntuser.dat. ProfileList ne mentionne pas les ruches
SID_Classes, cependant; il contient seulement les ruches de profil utilisateur.

D'autres sous cls dans HKU appartiennent aux utilisateurs secondaires. Par
exemple, si vous employez la commande Excuter (Run) comme la commande pour
lancer un programme avec un nom d'utilisateur diffrent, le systme d'exploitation
charge les paramtres de ce compte d'utilisateur dans HKU. Cette particularit,
appele secondary logon, permet aux utilisateurs de lancer des programmes avec
privilges levs sans exiger en ralit de se connecter avec un compte diffrent.

Par exemple, si je suis connect sur l'ordinateur employant le compte Jerry, qui est
dans le groupe d'Utilisateurs avec Pouvoir, mais j'ai besoin de faire quelque chose
dans un programme en tant qu'administrateur, je maintiens la touche Maj, avec le
bouton droit sur le programme, puis Run As et tape ensuite le nom du compte
d'Administrateur et le mot de passe.
Le programme fonctionne sous le compte d'Administrateur et, dans ce cas, HKU
contient des paramtres pour les deux comptes Jerry et l'Administrateur. Cette
technique empche l'erreur humaine aussi bien que les virus opportunistes.

Rappel : Windows 2000 limite la taille du registre, alors que Windows XP et
Windows 2003 Serveur ne le font pas.
HKEY_CURRENT_USER
Cette cl racine est une liaison vers HKU\SID, o SID est l'identificateur de scurit
de l'utilisateur dans la console, s'occupe du confort individuel des utilisateurs
actuellement dclars, profil utilisateur de l'utilisateur connect (musique
douverture, couleur du mulot, gris- gris divers apposs sur le Bureau ...). Les
dossiers de l'utilisateur, les couleurs d'cran et les paramtres du Panneau de
configuration sont stocks ici. Cette information est mentionne comme le profil d'un
utilisateur (Documents and Settings\User_Name).
HKEY_CURRENT_CONFIG
HKCC est une liaison aux donnes de configuration pour l'actuel profil matriel
choisi lors du boot du PC, situ dans la cl
HKLM\SYSTEM\CurrentcontrolSet\Hardware Profiles\Current. son tour,
Current est une liaison vers la cl
HKLM\SYSTEM\CurrentcontrolSet\Hardware Profiles\nnnn, o nnnn est un
numro croissant qui commence par 0000.
L E R E G I S T R E

305
HKEY_DYN_DATA
Gre tout particulirement les paramtres dynamiques de Windows. En bref,
lensemble des donnes qui sont sans cesse modifies.

Comme not plus tt, dans l'diteur de registre vous voyez cinq cls racine. Deux de
ces cls racine ont une prominence spciale parce que Windows 2000/2003
sauvegarde en ralit leur contenu dans des fichiers. Ceux-l sont
HKEY_LOCAL_MACHINE et HKEY_USERS. L'emplacement de ces fichiers n'est
pas important pour le moment.

Les cls racine restantes sont des liaisons (links), dont vous avez dj appris.
HKEY_CURRENT_USER est un lien vers une sous cl dans HKEY_USERS.
HKEY_CLASSES_ROOT et HKEY_CURRENT_CONFIG sont des liens vers la
sous cl dans HKEY_LOCAL_MACHINE.

Attention : quand on cr de nouvelles cls le respect des majuscules ou minuscules
est indispensable.
Les informations de chaque ruche sont subdivises en cls qui s'apparentent aux
rpertoires d'un disque dur. Chaque cl peut contenir d'autres cls (sous-cls) ou
des entres de configuration, appeles valeurs, similaires aux fichiers ou aux
programmes stocks sur un disque dur.

L E R E G I S T R E
306
Ces entres de configuration peuvent prendre diffrentes valeurs, la manire des
variables dans un langage de programmation. Lorsqu'une valeur doit tre modifie
dans le Registre, il est ncessaire de spcifier le chemin d'accs complet cette
valeur.
Par exemple, la valeur HKEY LOCAL_MACHINE\System\CurrentControlSet\
Control\Setup\pointeur peut tre modifie ; toute modification changera par ailleurs
la configuration d'une section du systme d'exploitation
HKEY-LOCAL _MACHINE est la ruche (les abrviations utilises
pour les ruches sont HKCR, HKCU, HKLM, HKU et HKCC).
System\CurrentControlSet\Control\Setup dsigne l'ensemble des cls
et des sous-cls utilises pour naviguer vers la valeur slectionne.
pointeur est le nom du paramtre dont la valeur peut tre lue ou
modifie.

Microsoft sauvegarde chaque sous cl d'HKEY_LOCAL_MACHINE comme un
fichier de ruche dans SystemRoot\System32\Config.
D'abord, HKLM\HARDWARE n'a pas de fichier de ruche. Pourquoi ? Windows
2000/2003 cre dynamiquement cette ruche pour chaque dmarrage du systme
d'exploitation et il ne sauve pas cette ruche sur le disque quand il s'arrte.

HKU\.DEFAULT est la ruche que le systme d'exploitation emploie en priorit
avant que n'importe quel utilisateur se connecte l'ordinateur et il stocke son fichier
de ruche avec tous les autres fichiers de ruche par ordinateur.
HKU\SID et HKU\SID_CLASSES sont des fichiers de ruche par utilisateur. La
surprise est ici que le systme d'exploitation ne les stocke pas tous la mme place.

Il met HKU\SID dans UserProfile\Ntuser.dat. HKU\SID_Classes dans
UserProfile\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.
La diffrence signifie quelque chose, cependant.

Si le profil d'utilisateur est un profil errant, Windows 2000/2003 synchronisent
Ntuser.dat avec la copie en rseau du profil de l'utilisateur, mais cela ne
synchroniseront pas UsrClass.dat parce que les paramtres locaux sont dans un
dossier non-errant.

Hive Hive File
HKLM\HARDWARE Plug and Play Manager
HKLM\SAM SystemRoot\System32\config\Sam
HKLM\SECURITY SystemRoot\System32\config\Security
HKLM\SOFTWARE SystemRoot\System32\config\Software
HKLM\SYSTEM SystemRoot\System32\config\System
HKU\.DEFAULT SystemRoot\System32\config\Default
HKU\SID UserProfile\Ntuser.dat
HKU\SID_ Classes UserProfile\LocalSettings\Application
Data\
Microsoft\Windows\UsrClass.dat
HKU\DEFAULT. %SYSTEMROOT%\System32\config\default.
HKU\SID %USERPROFILE%\Ntuser.dat
HKU\SID_Classes %USERPROFILE%\Local Settings \Application
Data\Microsoft\Windows\UsrClass.dat.

On trouve la liste des ruches charges dans la base de registre par XP la clef :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist.
Les fichiers ruches ne comportent pas d'extension.
L E R E G I S T R E

307
Windows 2000/2003 sauvegarde chaque fichier de ruche avec deux autres fichiers
(dans Windows\System32\Config). Les fichiers avec l'extension de fichier .log
sont des logs de transaction de tous les changements introduit dans une ruche. Pour
chaque ruche, XP/2003 cre des fichiers de sauvegarde avec l'extension .SAV
la fin de lInstall de Windows. Les utilisateurs de Windows 98 peuvent tablir un
parallle entre le fichier Systme.1st et les fichiers avec l'extension de fichier
.SAV .

HKLM\SYSTEM est une ruche si importante que c'est le seul pour lequel
Windows 2000 cre une copie de secours employant le fichier avec une extension
.alt (LastKnownGood).
L'extension ALT a t supprime sous Windows XP/ 2003 Server. Elle correspond
HKEY_LOCAL_MACHINE\System pour Windows NT/2000.

Retenons enfin qu'il n'existe pas sous Windows XP et 2003 de limite physique pour
la taille de la base de registre contrairement Windows 2000. Pour connatre la
taille occupe par la base de registre, un utilitaire issu du Ressource Kit de
Windows 2000 fonctionne trs bien. Il s'agit de DuReg.EXE, "Registry Size
Estimator", utilitaire en ligne de commande, tlchargeable sur le site de Microsoft
ou la section FTP (630 Ko). Cet utilitaire ne donne que la taille occupe par les
donnes contenues dans la base de registre et ne tient donc pas compte de l'espace
libre galement contenu dans la base de registre

Trois moyens pour changer la scurit qui affectent significativement Windows
2000/2003 :
Permissions Windows 2000/2003 a de nouvelles botes de dialogue de scurit (voir
menu Edition, puis Autorisations...).

Remote Access Tandis que Windows NT Poste de travail 4.0 permet chacun sur le
rseau de se connecter au Registre, Windows 2000/2003 limite l'accs
L E R E G I S T R E
308
l'Administrateurs et oprateurs de sauvegarde. Windows 2000/2003 emploie toujours
winreg pour contrler l'accs distant au registre.

HKLM\SAM Deux choses ici. D'abord, les contrleurs de domaine stockent
l'information de scurit maintenant dans Active Directory et le stockent seulement
dans la SAM pour l'utilisation dans le mode restauration d'Active Directory ou dans
un environnement en mode mixte. Deuximement, par dfaut, Windows 2000/2003
chiffre maintenant le contenu d'HKLM\SAM en employant Syskey.

Cl A partir de quoi la cl est construite lors du boot du PC
HKEY_LOCAL_MACHINE:
HARDWARE Plug and Play Manager
SAM SAM hive file
SECURITY SECURITY hive file
SOFTWARE SOFTWARE hive file
SYSTEM SYSTEM hive file
HKEY_CLASSES_ROOT SYSTEM hive file, Classes subkey
HKEY_USERS_DEFAULT DEFAULT hive file
HKEY_USERS\Sxxx Particular users NTUSER.DAT file
HKEY_CURRENT_USER Particular users NTUSER.DAT file

Remarquez que HKEY_LOCAL_MACHINE\HARDWARE n'a pas de ruche.
C'est que la cl est reconstruite chaque fois que vous dmarrez, aussi le Serveur
2003 peut s'adapter aux changements de matriel. Le gestionnaire Plug and Play,
qui fonctionne lors du boot, recueille l'information que le Serveur a besoin pour
cre HKEY_LOCAL_MACHINE\HARDWARE.

Les profils d'utilisateur locaux sont dans \Documents and Settings\username, o
chaque utilisateur obtient un rpertoire nomm avec son nom. Par exemple, je cre
un utilisateur nomme marc, ainsi son profile sera stock dans \Documents and
Settings\marc sur mon ordinateur. Dedans, je trouve les fichiers ntuser.dat et
ntuser.dat.log.

L E R E G I S T R E

309

Outils de Gestion du Registre
Registry Editor. C'est l'outil principale (regedit.exe) que vous employez pour diter
des les paramtres du registre

Console Registry Tool for Windows (Reg.exe). Cet outil d'dition du registre est en
mode ligne de commande et supporte la plupart des fonctionnalits de Regedit.
L'objectif de cet outil consiste en ce qu'il vous permet d'diter des scripts dans des
fichiers batch.

WinDiff. Cet outil est inclus avec Windows Support Tools, dont vous l'installez
partir de \Support\Tools sur le CD de Windows. C'est le meilleur programme que j'ai
trouv pour la comparaison de fichiers, une technique utile pour dpistage de
modification dans le registre.

Microsoft Word 2002. Cette application ne ressemble pas un outil de gestion du
registre, mais j'emploie Word quand WinDiff n'est pas utilisable pour comparer des
fichiers donc je peux trouver o un programme stocke un paramtre dans le
registre. J'emploie aussi Word pour diter des scripts.

Le Registre peut tre modifi directement au moyen de deux applications fournies
par Windows 2000/NT 4.0 (pas pour Windows 2003 uniquement Regedit.exe) :
%systemroot%\system32\regedt32.exe et %systemroot%\ regedit.exe. Ces
deux versions permettent aux utilisateurs de consulter et de modifier les cls et les
valeurs pour lesquelles ils disposent d'une autorisation. Toutefois, il existe certaines
diffrences subtiles entre ces programmes. Regedit.exe tait fourni l'origine avec
Windows 95 et ne dispose pas, ce titre, de fonctionnalits permettant de contrler
les paramtres de scurit. Windows 95/98 ne dispose pas du sous-systme de
scurit intgr NT/Windows 2000/2003 Server et n'importe qui peut modifier
directement une portion du Registre.

Regedt32.exe tait intgr NT 3.1 et fournit des commandes de menu
Scurit permettant un administrateur d'interdire et d'enregistrer l'accs aux
paramtres du Registre, Il existe d'autres diffrences, mais seule celle qui est
relative aux paramtres de scurit nous intresse ici.

L'diteur de registre, "Regedit.exe", dans la version Server 2003 fournit beaucoup
d'amliorations et particularits commodes qui vous permettent de faire les choses
suivantes :
Faites tous vos changements en employant un diteur de registre,
Regedit.exe. Regedit.exe de Windows Server 2003 combine les particularits
des deux diteurs de registre de Windows 2000 (Regedit.exe et
Regedt32.exe) dans un programme simple. Regedit.exe de Windows Server
L E R E G I S T R E
310
2003 permet l'importation de parties du registre qui a t sauvegards en
employant les versions de Regedit32.exe inclus avec Windows NT 4.0 et
Windows 2000.
Excutez des recherches en employant des critres que vous spcifiez. Les
amliorations d'excution vous permettent de voir des rsultats de recherche
plus rapidement que pour les versions prcdentes.
Sauvegardez des sous-cles gnralement employes ou difficiles trouver
ainsi que des entres dans une liste de favoris pour un accs plus rapide dans
l'avenir.
Retour un emplacement dans le registre, parce que l'diteur de registre
enregistre et ouvre le dernier emplacement que vous avez vu.
Exportez tous ou une partie de contenu du registre vers un fichier qui peut
tre lu en employant un diteur de texte comme le Bloc-notes. L'Information
contenue dans ces fichiers exports est logiquement organise et tiquet.

Le nom d'une clef est limit 512 caractres ANSI ou 256 caractres UNICODE (ce
langage tant celui pas dfaut pour Windows). On peut utiliser tout symbole ASCII
autre que (\), (*), et (?). Tous les noms commenant par un (.) sont rservs XP.
Les valeurs de chaque clef ou sous-clef de la base de registre ont toutes un nom, un
type ou valeur et des donnes. Un peu comme le disque dur qui contient des
dossiers (clef), des fichiers (valeur) lesquels renferment des donnes. C'est ainsi que
sont nomms les titres des colonnes de l'diteur de la base de registre. Le nom d'une
valeur a les mmes limites que le nom des clefs. Les diffrents types de valeurs sont
expliqus un peu plus bas. Quant aux donnes contenues dans les valeurs, il peut
s'agit de donnes nulles ("null" en anglais), vides ("empty" en anglais) ou dfinies.
Une donne null est exprime par "valeur non dfinie" dans l'diteur de la base de
registre. Si la donne est vide, on trouvera deux guillemets ("").
Il existe de nombreux types de donnes, tant prcis que l'on trouvera
majoritairement les types REG_BINARY, REG_DWORD, et REG_SZ.

REG_BINARY. Donne binaire affiche en numration hexadcimale.
REG_DWORD. Affichant souvent des valeurs boolennes (0 pour VRAI et 1 pour FAUX),
exprimant parfois l'unit de temps en millisecondes (o la donne "1000" signifiera donc 1
seconde).
REG_DWORD_BIG_ENDIAN. Idem que ci-dessus avec l'octet de poids fort stock en
premier en mmoire. Trs rare sur une plate-forme i386.
REG_DWORD_LITTLE_ENDIAN. L'inverse que ci-dessus, et c'est en fait la prsentation
classique de REG_DWORD.
REG_EXPAND_SZ. Texte contenant une longueur variable. Par exemple, un programme
s'appuyant sur une donne REG_EXPAND_SZ qui contient %USERPROFILE% tendra
cette valeur comme tant "C:\Documents and Settings\Pierre\.
REG_FULL_RESOURCE_DESCRIPTOR. Liste les ressources utilises par un pilote ou un
priphrique. Voir par exemple ici :
HKLM\HARDWARE\DESCRIPTION\System\MultifunctionAdapter\0.
REG_LINK. C'est un lien. On ne peut pas en crer.
REG_MULTI_SZ. Valeur contenant une liste de donnes qui sont spares par une donne
nulle (0x00). La fin de liste est dfinie par deux caractres nuls.
REG_NONE. Valeur sans donne dfinie.
REG_QWORD. Comme le type type REG_DWORD sauf qu'au lieu d'tre sur 32 bits, on est
sur 64 bits. Il faut donc XP pour plateformes 64 bits pour rencontrer ce type de donnes.
REG_RESOURCE_REQUIREMENTS_LIST. Listes des resources requises par un
priphrique. On ne peut que voir ces ressources, pas les diter ou les modifier.
REG_SZ. Text de taille fixe, type trs rpandu dans la base de registre.

Le terme de ruche dsigne un ensemble de cls, de sous-cls et de valeurs qui figure
en haut de la hirarchie du Registre. Par dfaut, la plupart des fichiers de ruche (
L E R E G I S T R E

311
DEFAULT, SAM, SECURITY, SOFTWARE et SYSTEM ) sont stocks dans un
fichier unique et un fichier .log se trouvant dans les dossiers
racine_systme\System32\Config ou unit_systme\Documents and
Settings\nom_utilisateur

Le Registre contient galement certaines informations ncessaires au
fonctionnement de Windows 2000 et 2003, telles que des mots de passe crypts et
des donnes relatives la performance. Si ces informations taient librement
accessibles tout utilisateur, la scurit d'une entreprise serait clairement
compromise.
Par ailleurs, la modification ou la suppression par un utilisateur de certaines
sections du Registre risqueraient d'entraner des plantages systme ou encore de
rendre tout amorage impossible. Il est donc primordial de contrler trs
soigneusement l'accs au Registre et d'enregistrer dans le journal d'audit les
tentatives d'accs effectues par les utilisateurs.
Exemples pour optimiser les recherches pour trouver des donnes le plus rapidement
sont :
Limiter votre recherche HKCR quand vous voulez trouver des valeurs lies aux
associations de fichier (liens). Pour cette question, faites une recherche progressive
(incrmentielle) pour acclrer des choses.
Regarder seulement dans les branches HKCU\Software et HKLM\SOFTWARE
pour trouver les paramtres de programmes. Et si vous connaissez les noms (marque)
du vendeur ainsi que du programme, vous pouvez aller directement la cl qui
contient ses paramtres parce que vous savez que des programmes stocke leurs
paramtres dans HKCU ainsi que dans HKLM dans la branche
Software\Company\Program\Version.
Chercher HKCU si vous savez que vous cherchez des paramtres par-utilisateur,
recherchez dans HKLM si vous savez que vous cherchez des paramtres par-
machine.
Recherche dans la branche HKLM\System si vous tes la recherche de pilotes et
de services.

Une varit d'outils shareware est disponible pour rechercher des informations du
registre. Ils possdent beaucoup plus de fonctions avancs que Regedit et est conu
spcifiquement pour cela.
http://www.zdnet.com/downloads ou http://www.tucows.com.
Voici quelques adresses :
Registry Crawler 4.0 http://www.4developers.com
Registry Toolkit http://www.funduc.com
Resplendent Registrar http://www.resplendence.com
Registry Detective http://www.pcmagazine.com

REMARQUE :
A la diffrence de l'audit ralis sur les fichiers et dossiers, l'audit du Registre est
effectu quel que soit le systme de fichiers utilis. Que Windows soit install sur une
partition FAT ou une partition FAT32, l'administrateur sera toujours en mesure de
modifier les paramtres de scurit du Registre.
L E R E G I S T R E
312

========================================================================
Pour activer l'audit d'une cl spcifique du Registre, slectionnez cette cl, puis l'Editeur du Registre,
regedit.exe, puis la commande Autorisations du menu Edition. Une bote de dialogue s'affiche. Pour
consulter ou dfinir les options d'audit, cliquez sur Paramtres Avancs.
========================================================================

La bote de dialogue Paramtres de scurit avancs apparat l'cran. Cliquez sur
longlet Audit pour consulter les paramtres d'audit en cours dans la bote de
dialogue Audit.

========================================================================
Effectuer une sauvegarde de la base de registre :
Cliquez sur " Dmarrer " puis " Excuter ". Tapez : msinfo32.exe puis validez par OK. S'ouvre les "
Information systme Microsoft ". Cliquez sur " Outils " puis sur " Vrification du registre " et
validez encore par OK. Windows vient de sauvegarder votre registre. C' est le genre de manipulation
faire avant toute manuvre dlicate !
========================================================================

L E R E G I S T R E

313

Exportation et Importation
Exporter le registre cre un fichier texte avec l'extension .reg que vous pouvez
diter via n'importe quel diteur de texte. Ce fichier contient toute l'information
exige pour dcrire les sous cls et des valeurs de ces sous cl que vous exportez; en
fait, vous pouvez importer un fichier .reg de nouveau vers le registre.
Jusqu' ce point, vous avez employ Regedit pour travailler avec le registre. Vous
pouvez aussi exporter des sous cls vers un fichier .reg et les diter en
employant un diteur de texte comme le Bloc-notes de Microsoft.
Exportation
Voici comment exporter tous ou une partie du registre :
========================================================================
1. Lancer Regedit, cliquez sur la sous cl au sommet de la branche que vous voulez exporter vers un
fichier .REG .
2. Dans le menu du registre, cliquez sur Fichier puis sur Exportation....
3. Dans le Nom de fichier, taper le nom du fichier dans lequel vous voulez exporter le registre.
4. Dans la bote d'exportation, choisir un des lments suivants :
Pour exporter le registre entier, cliquez sur Tous.
Pour exporter la sous cl, cliquez sur Branche slectionne.

Regedit supporte deux formats pour les fichiers .REG , la version 4 et la version 5. Les versions
prcdentes de Regedit supportent seulement la version 4 alors que Windows 2000/2003 supporte
l'Unicode pour la Version 5. La version 4 pour les fichiers .REG supporte elle des fichiers texte
type ANSI.
========================================================================

L E R E G I S T R E
314

Voici un exemple de fichier .reg pour la version 5 :

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Sample]
"String"="Jerry Honeycutt"
"Binary"=hex:01,02,03,04,05,06,07,08
"DWORD"=dword:00004377
"Expandable String"=hex(2):25,00,55,00,53,00,45,00,52,00,00,00
"MultiString"=hex(7):48,00,65,00,6c,00,6c,00,6f,00,00,00,00
[HKEY_CURRENT_USER\Sample\Subkey]

Voici un exemple de fichier .reg pour la version 4 :

REGEDIT4
[HKEY_CURRENT_USER\Sample]
"String"="Jerry Honeycutt"
"Binary"=hex:01,02,03,04,05,06,07,08
"DWORD"=dword:00004377
"Expandable String"=hex(2):25,55,53,45,52,00
"MultiString"=hex(7):48,65,6c,6c,6f,00,00
[HKEY_CURRENT_USER\Sample\Subkey]

La premire ligne d'une version 5 pour le fichier .REG contient toujours
"Windows Registry Editor version 5.00" qui identifie le fichier comme un fichier
.REG. La version 4 le fichier .REG commence par "REGEDIT4".
Importation
Typiquement dans Windows 2000/2003, vous pouvez importer un fichier .REG de
plus d'une manire. Le premier est le plus pratique et vous permet d'importer le
fichier sans dmarrer Regedit. A partir du menu contextuel cliquer sur Fusionner sur
ou, encore plus facile, double cliquez sur le fichier. Si vous employez cette mthode
pour importer un fichier .REG tandis que Regedit est ouvert, assurez-vous que vous
avez appuy sur la touche F5 pour rafrachir l'affichage pour que Regedit reflte ces
changements. La deuxime mthode emploie Regedit :
========================================================================
1. Dans le menu Fichier, cliquez sur Importation.
2. Dans la bote d'Importation, choisissez le fichier .REG que vous voulez importer vers le registre.
3. Cliquer sur Ouvrir.
Regedit affiche un message qui dit "says Information in filename has been successfully entered into
the Registry " aprs importation du fichier .REG.
Soyez prudent ne pas double-cliquer accidentellement sur un fichier .REG. Regedit le fusionnera
automatiquement dans le registre.
========================================================================

Les fichiers .REG ressemblent beaucoup aux fichiers classiques .INI et sont faciles
diter. Ouvrez les fichiers .REG avec le Bloc-notes en cliquant sur dition du
menu contextuel.

Valeur Existe dans le .reg ? Valeur Existe dans le Registre? Action
NON NON AUCUNE
NON OUI AUCUNE
OUI NON Regedit
ajoute la
valeur
OUI OUI Regedit
change la
valeur

L E R E G I S T R E

315
La commande Regedit
La manire suivante vous donne un bref rsum des options en ligne de commande :
REGEDIT [/S] nom de fichier
REGEDIT /E nom de fichier [sous cl]
filename : Chemin et nom du fichier du fichier .REG vous voulez Exporter ou
importer.
/E : Exporte la sous cl vers le fichier .REG.
/S : Importe un fichier .REG sans confirmation de cet opration et sans montrer un
message quand est excut.

Importer un fichier de registre (.reg) vers lditeur de registre :
REGEDIT [/L:system] [/R:user] filename1
Comment crer un objet de registre partir dun fichier :
REGEDIT [/L:system] [/R:user] /C filename2
Comment exporter le registre (ou une partie du registre):
REGEDIT [/L:system] [/R:user] /E filename3 [regpath1]
Comment supprimer une partie du registre:
REGEDIT [/L:system] [/R:user] /D regpath2

/L:system Specifies the location of the system.dat file. Note that there is a
colon
between the /L and the parameter system.
/R:user Specifies the location of the user.dat file. Note that there is a colon
between the /R and the parameter user.
filename1 Specifies the file(s) to import into the registry.
/C filename2 Specifies the file to create the registry from. Note that there is a
space
between the /C and the parameter filename2.
/E filename3 Specifies the file to export the registry to. Note that there is a space
between the /E and the parameter filename3.
regpath1 Specifies the starting registry key to export from (defaults to
exporting
the entire registry).
/D regpath2 Specifies the registry key to delete. Note that there is a space
between the
/D and the parameter regpath2.

Employez l'option ligne de commande /E pour exporter une sous cl. Omettez la sous
cl et Regedit exporte le registre entier.
Regedit cre des fichiers .REG version 5, qui sont seulement compatibles avec
Windows 2000/2003. Notez que la sous cl doit tre un nom entirement qualifi et il
doit commencer par le nom de la cl racine, pas son abrviation. Par exemple, la
commande suivante exporte HKCU\CONTROL Panel\desktop :

Regedit /E Docfiles.reg "hkey_classes_root\Control Panel\desktop"

Pour importer un fichier .REG, spcifiez son nom de fichier sans autres options de
ligne de commande : regedit filename.
Regedit importe le fichier .REG de la mme manire qu'il le ferai par le biais de
l'diteur de registre.
Quand vous importez un fichier de REG, Regedit confirme si vous voulez vraiment
fusionner le fichier dans le registre.
Le message dit "Are you sure you want to add the information in filename to the
registry? ". Cliquez sur Oui pour achever l'opration.
L E R E G I S T R E
316

C'est une amlioration qui par rapport aux versions prcdentes de Regedit, qui vite
les accidents en important aveuglment n'importe quels fichiers .REG sur lequel des
utilisateurs ont accidentellement double cliqu. Aprs qu'il finit la fusion du fichier,
Regedit montre un message qui dit
"Information in filename has been successfully entered into the registry".
Vous pouvez supprimer les deux messages (mode silencieux) en employant l'option
de ligne de commande /S. Cette option, qui doit tre la premire option sur la ligne
de commande.
Cela vous permet d'utiliser l'diteur dans des fichiers Batchs.
L E R E G I S T R E

317

Sauvegarder une Ruche
Le fichier de ruche est une meilleure solution que des fichiers de .REG pour
sauvegarder le registre. Quand vous importez un fichier de ruche contenant une cl,
Regedit remplace compltement la cl actuelle et toutes ses sous cls par le contenu
du fichier de ruche. Cela signifie que Regedit enlve n'importe quelle valeur que
vous avez ajout depuis la sauvegarde du registre vers le fichier de ruche.
C'est une bonne manire de sauvegarder des branches avant de les diter.

Ne confondez pas ce que vous avez juste appris au sujet de l'exportation et de
l'importation de fichiers de ruche avec le chargement et le dchargement de ceux-ci.
Quand vous importez un fichier de ruche, vous faites des changements aux parties
qui sont utilises par le registre.
Quand vous chargez un fichier de ruche, vous crez une nouvelle branche entire que
Windows n'emploient pas. Cela ne lit pas ou change ces paramtres, mais ils sont
visibles dans Regedit, donc vous pouvez les examiner.
La dcharge du fichier de ruche enlve juste le fichier du registre. Vous pouvez
dcharger seulement des fichiers de ruche que vous avez manuellement charg, pas
ceux chargs par Windows.

Tandis que l'importation d'un fichier de ruche est une bonne faon de rtablir une
branche entire, alors que charger un fichier de ruche est un bonne mthode de
restaurer des paramtres trs prcis ou juste vrifier une valeur particulire. D'abord
chargez le fichier dans le registre : Cliquez sur HKLM ou bien HKU dans Regedit;
dans le menu Fichier, cliquer sur charger, taper le nom du fichier de ruche qui
contient vos paramtres et cliquer ensuite sur Ouvrir. Regedit vous propose un nom
de cl et vous pouvez taper n'importe quel nom arbitraire qui vous aidera identifier
L E R E G I S T R E
318
la ruche. Vous verrez alors ce fichier de ruche sous la cl racine dans lequel vous
l'avez charg.
La cl Backup Desktop Settings est une ruche contenant une copie de secours
d'HKCU\CONTROLPanel\Desktop\ que j'ai charg dans le registre.

Outil d'Enregistrement de Console pour Windows (Reg.exe). Cet outil en ligne de
commande est inclus dans Windows et fournit la plupart des particularits de Regedit
plus d'autres.
Vous pouvez l'employer pour sauvegarder des cls vers fichiers de ruche. Vous
pouvez aussi l'employer pour restaurer, charger et dcharger des fichiers de ruche.

Reg.exe offre les fonctions suivantes :
Ajouter
Sauvegarder (seulement dans les versions antrieur Windows 2000)
Comparer (seulement dans des versions de 2000 et plus ancien)
Copier
Supprimer
Exportation (seulement dans des versions de 2000 et plus ancien)
Importation (seulement dans des versions de 2000 et plus ancien)
Charger
Interroger
Restaurer
Sauvegarder
Dcharger
Mise jour (seulement trouv dans versions avant Windows 2000)

Avec Reg.exe , sauvegarder un fichier de ruche est la mme chose que
l'exportation alors que la restauration d'un fichier de ruche est la mme chose que
l'Importation. La meilleure partie est une des particularits uniques de l'outil : la
capacit de copier une cl vers une autre cl, crant une copie rapide de secours dans
le registre. Si par exemple, je peux copier HKCU\Control Panel\Desktop\ vers
HKCU\CONTROLPanel\JH_Backup\ avec une commande simple.

Quand un priphrique ne fonctionne pas juste , votre meilleure option est bien
souvent d'enlever et de redtecter le priphrique. Vous enlevez un priphrique en
employant le Gestionnaire de Priphriques.
L E R E G I S T R E

319
Redmarrer l'ordinateur et ensuite laisser Windows le redtecter. Si le systme
d'exploitation ne fait pas automatiquement, utiliser l'assistant pour le dtecter.

REG ADD RegistryPath=value [data type][\\Machine]
C:\ REG ADD HKLM\Software\MyCo\MyApp\Version=1.00
The operation completed successfully.

C:\ REG query HKLM\Software\MyCo\MyApp\Version
REG_SZ Version 1.00
C:\

REG BACKUP RegistryPath OutputFileName [\\Machine]
C:\ REG backup HKLM\Software\MyCo\MyNewApp c:\temp\MyCo

C:\ dir c:\temp\myco.*
Volume in drive C is (c) - Boot drive
Volume Serial Number is CC56-5631
Directory of c:\temp
07/17/99 09:34a 8,192 MyCo
1 File(s) 8,192 bytes
183,407,104 bytes free
C:\

REG QUERY Keyname1 Keyname2 [/v valuename or /ve] [/oa | /od | /os | /on] [/S]
REG COPY OldPath [\\Machine] Newpath [\\Machine]
C:\ REG query HKLM\Software\MyCo\MyApp\
Listing of [Software\MyCo\MyApp\]
REG_SZ Version 1.00
C:\ REG copy HKLM\Software\MyCo\MyApp\ HKLM\Software\MyCo\MyNewApp

C:\ REG query HKLM\Software\MyCo\MyNewApp
Listing of [Software\MyCo\MyNewApp]
REG_SZ Version 1.00
C:\

REG DELETE RegistryPath [\\Machine] [/F]\
REG_SZ Version 2.00
C:\ REG delete HKLM\Software\MyCo\MyApp\Version
Permanently delete registry value Version (Y/N)? y
The system was unable to find the specified registry key.
C:\

REG EXPORT keyname filename
C:\ REG export HKLM\TEMP\ myreg.exp
C:\

REG IMPORT filename
C:\ REG import myreg.exp
C:\

REG LOAD FileName keyname [\\Machine]\
C:\ REG load c:\temp\myco HKLM\TEMP\
C:\ reg query HKLM\TEMP /s
L E R E G I S T R E
320
Listing of [TEMP\]
REG_SZ Version 1.00
C:\

REG QUERY Keyname [/v valuename or /ve] [/s]

REG QUERY FileName RegistyPath [\\Machine]
C:\ REG backup HKLM\Software\MyCo\MyNewApp c:\temp\MyCo
C:\ REG restore c:\temp\myco HKLM\Software\MyCo\MyNewApp
Are you sure you want to replace Software\MyCo\MyNewApp (Y/N) y
C:\

REG SAVE RegistryPath OutputFileName [\\Machine]
C:\ REG save HKLM\Software\MyCo\MyNewApp c:\temp\MyCo.reg
C:\ dir c:\temp\myco.reg
Volume in drive C is (c) - Boot drive
Volume Serial Number is CC56-5631
Directory of c:\temp
07/17/99 09:18a 8,192 MyCo.reg
1 File(s) 8,192 bytes
183,407,104 bytes free
C:\

REG UNLOAD keyname [\\Machine]
C:\ REG unload HKLM\TEMP\
C:\ reg query HKLM\TEMP /s
The system was unable to find the specified registry key.
C:\

REG UPDATE RegistryPath=value [\\Machine]
REG_SZ Version 1.00
C:\ REG update HKLM\Software\MyCo\MyApp\Version=2.00
REG_SZ Version 2.00
C:\

L E R E G I S T R E

321

Utilisation de "System Restore" ou Restauration
du Systme
Le systme de restauration permet de mettre votre ordinateur dans un tat prcdent
sans perdre les informations personnelles rcentes, comme les documents, listes
d'historiques, favoris, ou courrier lectronique. Il contrle l'ordinateur et beaucoup
d'applications et cre reconstituent des points de restauration. Par dfaut, les
Windows cre des points de restauration quotidiennement et quand des vnements
significatifs comme l'installation d'une application ou pilotes de priphriques
surviennent.

Le systme de restauration cre diffrents types de points de restauration :
Initial system checkpoints. Le systme cre des points de contrle de systme
initiaux quand Windows dmarre pour la premire fois. La restauration ce point
rtablie Windows et ses programmes leur tat immdiatement aprs installation de
celui-ci.
System checkpoints. Le systme de restauration cre des points de restauration
rgulirement, mme si le systme ne change pas. Par dfaut, il cre des points de
contrle systme chaque 24 heures. Si vous arrtez l'ordinateur pendant plus de 24
heures, le Systme de Restauration crera un point de contrle systme la prochaine
fois vous dmarrerez Windows.
Installation checkpoints. Le systme de Restauration cre des points de contrle
d'installation quand vous installez des programmes qui emploient des technologies
d'installation rcentes, donc vous pouvez rtablir l'ordinateur son tat avant
installation des programmes. Pour changer compltement les changements faits par
d'autres programmes rtablissez le point de contrle le plus rcent.
Automatic update checkpoints. Le systme de Restauration cre un point de
restauration avant la mise jour Windows (Automatic Update ou Windows Update).
Manual checkpoints. Le systme de Restauration ou un script peut tre employ
pour crer votre propre point de restauration.
Restore operation checkpoints. Le systme de Restauration des points de contrle
d'opration chaque fois vous rtablissez un point de contrle. Vous employez des
points de contrle d'opration pour dfaire la restauration si vous n'aimez pas les
rsultats.
Unsigned device driver checkpoints. Le systme de Restauration cre un point se
restauration quand vous installez un pilote non sign.
Si le pilote non sign remet en cause la stabilit de votre ordinateur, vous pouvez
rtablir l'ordinateur son tat avant l'installation de ce pilote de priphrique.
Backup utility recovery checkpoints. Le systme de Restauration cre un point se
restauration avant que vous utilisiez Backup (sauvegarde) pour excuter une
restauration. Vous pouvez rtablir l'ordinateur si la restauration laisse votre
ordinateur dans un tat douteux.
Le systme de Restauration exige au moins 200 Mo d'espace disque disponible. Si
200 Mo d'espace n'est pas disponible, Windows dsactive le Systme de
Restauration. Par dfaut, Windows alloue 12 pour cent du disque dur (ou 400 Mo sur
les disques durs qui sont plus petits que 4 GB). Vous pouvez aussi configurer la
quantit d'espace disque que le Systme consomme.
(voir : Panneau de Configuration, puis onglet restauration du systme, puis
Paramtres.).

Voici comment crer un point de restauration
L E R E G I S T R E
322

========================================================================
1. Bouton Dmarrer.., Tous les Programmes, Accessoires, Outils Systme, restauration du
systme.
Ou "Run %SYSTEMROOT%\System32\Restore\rstrui.exe".
Choisissez Cr un point de Restauration, puis sur Suivant.
2. Dans la bote de Description du Point se Restauration, tapez un nom descriptif pour ce point de
restauration, puis sur Crer. (le Systme ajoute la date et l'heure au nom du point de restauration.)
========================================================================

Pour restaurer un point de contrle :
Dmarrer le Systme de Restauration en utilisant l'une des trois mthodes, voir la
procdure prcdente.
========================================================================
1. Choisissez Restaurer mon ordinateur une heure prcdente et cliquez ensuite sur Suivant.
2. Choisissez le point se restauration que vous voulez reconstituer et ensuite cliquer sur Suivant.
Le systme de restauration maintient pendant 90 jours les points de contrle, tant donn s'il y a assez
d'espace disque, vous pouvez vous dplacer dans le calendrier pour voir les points de restauration
crs pour chaque jour.
3. Cliquez sur une date et cliquez ensuite sur le point se restauration dans la liste.
4. Cliquez sur Suivant de nouveau et Windows redmarre, donc il peut rtablir votre configuration au
point de contrle choisi.
========================================================================

Si parfois votre configuration devient instable, vous ne serez pas capables de
dmarrer Windows normalement. Cela vous laisse la possibilit de la faire avec le
Mode sans Echec.
Dans ce mode, vous ne pouvez pas crer des points de restauration, mais vous
pouvez rtablir ceux dj crs.

Beaucoup de fichiers et de dossiers que le Systme de Restauration utilise sont super
cach, donc vous ne les verrez moins que vous ne spcifiez d'afficher les fichiers
systme et les fichiers cachs. Dans l'Explorateur de Windows, cliquez sur Outils,
puis Options des dossiers, puis onglet Affichage, choisissez Afficher les fichiers et
dossiers cachs, puis dcocher Masquer les fichiers protgs du systme
d'exploitation.
Les fichiers des diffrents points de restauration sont dans
%SYSTEMROOT%\System32\Restore.
cot d'un fichier de programme rstrui.exe, vous trouverez un autre fichier super-
cach "filelist.xml", qui inscrit les fichiers ainsi que les paramtres que le Systme
de Restauration surveille.
Double cliquez sur ce fichier pour voir l'XML dans Internet Explorer. Il exclut
quelques fichiers de configuration, comme par exemple Win.ini, System.ini,
L E R E G I S T R E

323
Autoexec.bat et Config.sys. Il exclut aussi quelques dossiers, dont la plupart ne sont
pas important pour la stabilit du systme d'exploitation. Ce qui est intressant dans
cette liste, c'est la liste des extensions de fichiers qu'il inclut. Le systme protge tout
les .EXE, .DLL, .VBS et les fichiers .VXD. Il contrle les fichiers de ruche par-
utilisateur inscrits dans la cl HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ProfileList.

Les actuels points de restauration sont dans le dossier "System Volume
Information" de chaque volume.
System Volume Information contient un sous dossier appel _restoreGUID, o
GUID est le GUID de l'ordinateur.
Par exemple, mon ordinateur a _restore{4545302B-EA51-4100-A7E2-
C7A37551AA83}. Au-dessous de ce dossier il y a un sous dossier pour chacun des
points de restauration appel RPN, o N est un nombre croissant commenant par 1.
RPN contient les copies de secours de fichiers changs et supprims.

Le systme de Restauration change les noms des fichiers, donc vous ne trouverez pas
de fichiers manquants ou de documents.

Le sous-dossier appel \snapshot est dans RPN. Il contient les copies de secours des
fichiers de ruche de l'enregistrement. Si vous avez accs System Volume
Information, vous pouvez charger ces fichiers de ruche dans Regedit, les examiner,
ou rcuprez des paramtres partir de ceux-ci.
Les fichiers de ruche d'enregistrement se trouvent dans \snapshot :

_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_SID
_REGISTRY_USER_USRCLASS_SID

Le Systme de Restauration consomme une peu de ressources de votre ordinateur
quand il contrle le systme de fichiers pour vrifier les changements et le mettant
hors service cela peut vous permettre de rcuprer des ressources.
L E R E G I S T R E
324

========================================================================
Pour dsactiver le service Systme de Restauration, Bouton Dmarrer, puis Tous les programmes,
Accessoires, puis Outils Systme, puis Restauration du Systme.
Choisissez Paramtres de la Restauration Systme.
Cochez Dsactiver la Restauration du Systme sur tous les lecteurs.
========================================================================

Deux stratgies sont disponibles pour grer le Systme de Restauration.

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\SystemRestore est la
cl o vous trouverez tous les paramtres concernant le Systme de Restauration. En
gnral tous les paramtres dans la liste suivante sont de type REG_DWORD :

CompressionBurst. Cette valeur spcifie le temps d'inoccupation en secondes utilis
pour la compression. C'est le temps utilis pour compresser des donnes aprs que
l'ordinateur devienne inoccup. Le systme de restauration peut compresser des
donnes uniquement pendant le temps indiqu et ensuite il doit s'arrter et attendre la
prochaine fois que l'ordinateur devient inoccup.

DiskPercent and DSMax. Ces valeurs spcifient ensemble combien d'espace disque
le Systme de Restauration utilisera. Pour les disques durs plus petit que 4 GB, le
Systme de Restauration utilisera 400 MO, qui est la valeur de dfaut de DSMAX.

Pour des disques durs plus grand que 4 GB, le Systme de Restauration utilisera 12
pour cent, qui est la valeur de dfaut de DiskPercent.

DSMin. Cette valeur spcifie la quantit { minima d'espace disque libre que le
Systme de Restauration exige pendant le processus d'installation. Cette valeur
spcifie aussi la quantit minima d'espace disque que le Systme de Restauration
besoins pour ractiver et reprendre la cration de points de restauration aprs
Windows l'est mis hors service en raison d'espace disque faible.

RestoreStatus. Cette valeur indique si le dernier point de restauration rencontrer
des problmes (0x00), finit avec succs (0x01), ou a t interrompu (0x02).

RPGlobalInterval. Cette valeur spcifie le temps en secondes que le Systme de
Restauration attend entre la cration de points de contrle. La valeur par dfaut est de
24 heures, ou 0x15180.

L E R E G I S T R E

325
RPLifeInterval. Cette valeur spcifie le temps en secondes que le Systme de
Restauration garde ces points de restauration avant leurs suppressions de l'ordinateur.
La valeur par dfaut est 0x76A700, ou 90 jours.

RPSessionInterval. Cette valeur indique spcifie le temps en secondes que Systme
de Restauration attend avant qu'il ne cre des points de contrle lorsque l'ordinateur
est allum. La valeur par dfaut est zro, mettant hors de service cette particularit.
Vous pouvez changer cette valeur en 0xE10 pour crer un point de restauration
chaque heure tant que l'ordinateur est allum. Sur un ordinateur que vous
personnalisez souvent, comme un ordinateur de laboratoire, vous pourriez crer un
point de restauration chaque heure.

ThawInterval. Cette valeur spcifie le temps en secondes que le Systme de
Restauration attend avant qu'il ne se ractive aprs que l'espace disque adquat
devienne disponible. Dmarrer l'interface utilisateur du Systme de Restauration et il
sera r active immdiatement.

Cependant, vous pouvez mettre hors de service le Systme de Restauration en
modifiant la valeur de DisableSR en 0x01 et faisant en sorte donc que cela n'enlve
les points de restauration existant comme cela fait quand vous mettez hors de service
le Systme de Restauration via l'interface utilisateur.

Vous pouvez aussi utiliser l'outil de sauvegarde fournit par dfaut pour Windows.
Pour ouvrir cet utilitaire de sauvegarde, Bouton Dmarrer, Tous les Programmes,
Accessoires, Outils Systme et ensuite Utilitaire de Sauvegarde (ou utiliser la
commande "ntbackup.exe").
Cette commande possde un nombre impressionnant d'options possible que vous
pourriez utiliser dans un script.
L E R E G I S T R E
326

Sauvegarder le Registre Rgulirement
L'utilitaire Backup existe depuis les premires versions de Windows.
Windows 2003 Serveur apporte quelques amliorations significatives. Le premier est
la copie fantme "shadow copy". Une ombre de volume est une copie exacte du
contenu d'un disque dur, incluant des fichiers ouverts. Les utilisateurs peuvent
continuez avoir accs aux fichiers sur le disque dur tandis que l'Utilit de
Sauvegarde les sauvegarde pendant vers un volume de "copie fantme". De cette
faon, il copie correctement des fichiers qui changent pendant le processus de
secours.
La copie assure que les programmes peuvent continuer crire vers leurs fichiers sur
le volume, des fichiers ouverts ne sont pas oublis de la sauvegarde et la sauvegarde
du systme ne bloque pas les d'utilisateurs.

Pour ouvrir l'utilitaire de Sauvegarde, cliquer sur Dmarrer..., Tous les Programmes,
Accessoires, Outils Systme et Utilitaire de Sauvegarde.
Par la ligne de commande, vous pouvez utiliser "Ntbackup". L'utilitaire de
Sauvegarde possde beaucoup d'options que vous pouvez utiliser via des scripts;
vous pouvez avoir plus d'information sur ces options avec l'Aide sur l'Utilitaire de
Sauvegarde.
Pour sauvegarder les fichiers et dossiers d'un ordinateur, les utilisateurs doivent
appartenir aux groupes : Administrateurs, Oprateur de Sauvegarde. S'ils ne sont pas
dans aucun de ces groupes, ils doivent au moins avoir comme permission "lire" sur
chaque fichier et dossier qu'ils veulent sauvegarder. Alternativement, vous pouvez
donner la permission de pouvoir restaurer ou sauvegarder les fichiers et rpertoires.

Monthly Dplacez la plus rcente sauvegarde complte hors site (enregistr sur la
bande 5).
Weekly Sauvegarder le serveur en entier sur la bande (enregistr sur les bandes de 1
4).
Daily Sauvegarde les fichiers changs sur bande et marquer ces fichiers comme
archiv (enregistr sur les bandes de 6 9).
Le jeu de sauvegarde inclut l'information systme, les dossiers de travail des
utilisateurs, des documents, des dossiers de courrier, des profils errants d'utilisateur
etc....

L E R E G I S T R E

327
Les sauvegardes "Normales" contiennent les fichiers de tout le serveur; les
sauvegardes Incrmentielles contiennent seulement les fichiers qui ont chang
depuis la dernire sauvegarde normale ou incrmentielle.

La deuxime partie d'une bonne stratgie est l'automatisation. Vous ne continuerez
jamais dans votre plan de sauvegarde si vous ne faites pas d'automatisation.
L'utilitaire de Sauvegarde intgre un gestionnaire de tches.

Dans l'Utilit de Sauvegarde, vous ne voyez pas une option qui permette de
sauvegarder le registre. En outre, si vous essayez de sauvegarder les fichiers de ruche
dans %SYSTEMROOT%\System32\config, vous chouerez. Au lieu de cela, vous
sauvegarderez des donnes systmes de Windows. Les donnes d'tat du systme
sont la combinaison des composants de systme suivants (des donnes Active
Directory, SYSVOL et plus) :

Registre
COM+ Class Registration database
Les fichiers de boot, incluant les fichiers systmes
Les fichiers systmes qui sont protgs par Windows

Pour sauvegarder le registre, vous devez copier toutes les donnes d'tat du systme.
De mme, pour restaurer le registre, vous devez rtablir toutes les donnes d'tat du
systme. Cela fait l'utilitaire de sauvegarde une manire pas trs pratique de restaurer
le registre si c'est seulement cela que vous essayez de faire.

L'utilitaire de Sauvegarde ne sauvegarde pas et ne restaure pas tout sur l'ordinateur.
La cl HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore contient
deux sous cls intressantes.
La premire sous cl, "FilesNotToBackup", contient une liste de fichiers et de
dossiers que l'utilitaire de sauvegarde ne sauvegarde pas. Chaque valeur contient un
chemin ne pas traiter, et ces valeurs contiennent souvent des caractres de
remplacement. La deuxime sous cl,
L E R E G I S T R E
328
"KeysNotToRestore", contient une liste de cls ne pas restaurer dans l'ordinateur.
De mme, chaque valeur contient une cl ne pas traiter, et vous voyez des
caractres de remplacement dans beaucoup de ces valeurs.
L'utilitaire de sauvegarde ne sauvegarde pas les points de restauration du systme,
parce que \System Volume Information \_restoreGUID\* est dans
"FilesNotToBackup". Il ne restaure pas les Informations Plug and Play, parce que
CurrentControlSet\Enum\ est dans "KeysNotToRestore".

La restauration des donnes d'tat du systme partir d'une sauvegarde est
semblable la sauvegarde des donnes d'tat de systme. Si tout ce que vous avez
sauvegard tait les donnes d'tat du systme, restaurer juste la sauvegarde
entirement.
Restaurer les fichiers vers un emplacement supplmentaire. L'utilitaire de
Sauvegarde vous dit qu'il ne restaurera pas toutes les donnes d'tat du systme vers
un emplacement alternatif, mais ne vous inquiter pas; il rtablit les fichiers de ruche
du registre.
Quand vous rtablissez des donnes d'tat du systme vers un dossier, les fichiers
de ruche sont dans le sous-dossier \Registry. Vous pouvez charger ces fichiers de
ruche dans Regedit et copier ensuite les paramtres de ceux-ci vers le registre.

Restaurer les donnes d'tat du systme vers un emplacement supplmentaire est le
meilleur choix si vous voulez rtablir un nombre limit de fichiers ou de paramtres.
Vous ne devez pas toujours restaurer une sauvegarde et en arriver la copie de
secours du registre. Si la sauvegarde la plus rcente contient les paramtres que
vous voulez restaurer, vous serez heureux de savoir que l'utilitaire de sauvegarde
copie les fichiers de ruche vers %SYSTEMROOT%\repair. N'essayez pas de
remplacer les fichiers de ruche qui sont dans %
SYSTEMROOT%\System32\config avec la copie qui est dans
L E R E G I S T R E

329
%SYSTEMROOT %\repair parce que ces fichiers sont actuellement utiliss par
Windows. Vous pouvez charger les fichiers de ruche de sauvegarde dans Regedit
pour modifier les paramtres, ou vous pouvez dmarrer la Console de Rcupration
et copier ensuite les fichiers de ruche de sauvegarde vers
%SYSTEMROOT%\System32\config.

L'utilitaire de sauvegarde met les paramtres par ordinateur dans les donnes d'tat
du systme, mais il ne sauvegarde pas les paramtres par utilisateur partir des
dossiers de profil des utilisateurs. Ces paramtres sont dans chaque dossier de profil
dans le fichier "Ntuser.dat". N'oubliez pas les enregistrements de classe par-
utilisateur que Windows stocke sont dans %USERPROFILE%
\LocalSettings\Application Data\Microsoft\Windows\UsrClass.dat. Vous devez
choisir ceux-ci manuellement ou bien en les choisissant dans la Sauvegarde ou bien
la Restauration par le biais de l'assistant.

Vous pouvez employer le Systme de Restauration pour fixer les profils des
utilisateurs parce qu'il sauvegarde les paramtres des profils dans la cl
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

Options de Menu Avanc
Windows vous offre quelques options pour dmarrer l'ordinateur. Le mode Sans
Echec est l'exemple le plus commun. Dans le Mode Sans Echec, Windows emploie
des paramtres par dfaut avec un jeu minimum de pilotes de priphriques exigs
pour dmarrer le systme d'exploitation. Quand vous ne pouvez pas dmarrer
Windows normalement, vous pouvez normalement dmarrer dans le Mode Sans
Echec et rparez ensuite le problme ou employez le Systme Restauration pour
rtablir un point de restauration de contrle. Vous pouvez aussi enlever des
programmes en employant Ajout ou Suppression de Programmes et dsinstaller les
pilotes qui ne fonctionnent plus.
Pour dmarrer en Mode Sans Echec ou un des autres modes, vous devez afficher le
menu d'Options Avanc.
D'abord redmarrer l'ordinateur. Quand vous voyez le message, "Please select the
operating system to start," la presser la touche F8 et choisir ensuite une des options
dans le menu :

Safe Mode. Dmarre Windows en utilisant des fichiers et des pilotes de base (souris,
moniteur, clavier, stockage de masse, vido de base et services systme par dfaut
sans connexions rseau). Si Windows ne dmarrer pas employer le mode sans
chec, vous pourriez devoir employer la Console de Rcupration pourrparer
Windows.

Safe Mode With Networking. Dmarre Windows en utilisant des fichiers et des
pilotes de base, comme dcrit ci-dessus, mais inclut des connexions rseau.

Safe Mode With Command Prompt. Dmarrer Windows en utilisant des fichiers
et des pilotes de base. Aprs le "loging" sur le systme d'exploitation, vous voyez
une invite de commande au lieu de l'interface graphique utilisateur.

Enable Boot Logging. Dmarrer Windows et journalise tous les pilotes et services
que le systme d'exploitation essaye de charger. Le fichier de journalisation est
L E R E G I S T R E
330
"Ntbtlog.txt" et il est dans le dossier %SYSTEMROOT%. Safe Mode, Safe Mode
with Networking, et Safe Mode with
Command Prompt ajoutent ce journal une liste de tous les pilotes et services que
Windows charg. Le journal est utile pour dterminer quel pilote ou le service
empche Windows de dmarrer correctement.

Enable VGA Mode. Dmarrer Windows en utilisant un pilote VGA de base. Ce
mode est utile aprs l'installation d'un nouveau pilote pour la carte vido quand il fait
que Windows ne dmarre pas correctement. Windows emploie toujours le pilote
VGA de base quand vous dmarrer dans le Safe Mode,
Safe Mode with Networking, ou Safe Mode with Command Prompt

Last Known Good Configuration. Windows dmarre en utilisant des fichiers de
ruche et des pilotes que Windows sauvegarder la dernire fois qu'il s'est arrt.
N'importe quels changements faits depuis le dernier dmarrage couronn de succs
est perdu. Utiliser la Dernire Bonne Configuration Connue seulement quand le
problme est dans la configuration parce qu'il ne rsout pas de problmes causs par
des fichiers manquants ou corrompus.

Directory Service Restore Mode. Restaure le rpertoire "SYSVOL" et le service
Active Directory sur un serveur. Cette option est sans effet sur Windows XP.

Debugging Mode. Dmarre Windows et envoie les informations de mise au point
"debugging " un autre ordinateur par un cble srie.

Si vous tes incapables de dmarrer Windows en utilisant l'interface graphique
utilisateur, vous pouvez normalement dmarrer en employant le Safe Mode with
Command Prompt. Pour lancer le Systme de Restauration, et rtablir un de
restauration de contrle, excuter la commande %SYSTEMROOT%
\System32\Restore\rstrui.exe.

Si le Mode Sans Echec ne vous permet pas de rsoudre le problme, essayez la
Console de Rcupration. Elle offre des commandes qui vous aide fixer une
varit de problmes lis au systme. Vous pouvez activer ou dsactiver des
services; formater des disques; lire et crire des fichiers sur un volume local en
NTFS; et excutez certains nombres d'autres tches administratives.

Vous pouvez copier des fichiers d'une disquette ou CD vers %SYSTEMROOT%
pour remplacer fichiers systme altrs. La console de Rcupration est utile
seulement si vous tes dj familiers avec la commande MS-DOS et vous devez
vous connecter l'ordinateur comme un administrateur pour pouvoir l'employer.

Console de Rcupration
Vous Dmarrez la Console de Rcupration de deux manires :
A partir du CD d'installation de Windows. Dmarrez l'ordinateur en boutant sur le
CD d'installation de Windows et le programme d'installation vous propose une
option pour dmarrer la Console de Rcupration.
A partir de la liste du systme d'exploitation quand l'ordinateur dmarrer.
D'abord installez la Console de Rcupration sur l'ordinateur en tapant
"D:\i386\winnt32.exe /cmdcons" dans la bote de dialogue Excuter,
L E R E G I S T R E

331
Redmarrer l'ordinateur et choisissez la Console de Rcupration dans la liste du
systmes d'exploitation.
La stratgie que vous pouvez activer pour ajouter plus de possibilit la Console de
Rparation est nouvelle pour Windows XP et 2003.
The policies Recovery console : Permettez la connexion automatique
administrative.
Recovery console : Permettre la copie sur disquette et l'accs tout les lecteurs et
dossiers qui sont dans la stratgie administrative pour cet ordinateur dans \Windows
Settings\Security Settings\Local Policies\Security Options.
Enable Recovery console : Permet la connexion automatique administrative la
Console de Rparation comme l'Administrateur.
Set Recovery console : Permet la copie sur disquette et l'accs tout lecteurs et
dossiers (l'accs est limit la Console de Rparation dossier %SYSTEMROOT%
par dfaut). Aprs avoir activer cette stratgie, vous configurez la Console de
Rparation en positionnant les variables d'environnements.
Taper set variable = true | false l'invite de commande.

Setting Default Description
AllowWildCards False Enable wildcards for some
commands
AllowAllPaths False Allow access to all files and
folders
AllowRemovableMedia False Allow file copying to removable
media
NoCopyPrompt False Don't prompt to overwrite existing
files

Automated System Recovery
Crez des sauvegardes ASR frquemment comme faisant partie de votre stratgie.
C'est le dernier recours pour le rtablissement du systme, utile seulement si vous
avez puis les autres options que j'ai dcrit dans ce chapitre, incluant le Mode Sans
Echec, la Dernire Bonne Configuration Connue et la Console de Rparation.
Le rtablissement du Systme Automatis (ASR) est un processus en deux parties.
La premire partie doit sauvegarder le contenu de l'ordinateur en utilisant l'assistant
ASR, qui est dans l'utilitaire de sauvegarde. L'assistant sauvegarde les donnes d'tat
du systme, les services et tous les composants de systme d'exploitation. Il cre
aussi un fichier qui contient l'information sur les donnes sauvegardes, la
configuration des disques et comment restaurer l'ordinateur. ASR ne supporte pas la
restauration des fichiers de donnes, des programmes, etc...
Il sauvegarde seulement les fichiers ncessaires au dmarrage de l'ordinateur en cas
d'chec. Voici comment se prparer pour un Rtablissement du Systme Automatis

========================================================================
Dmarrer l'utilitaire de sauvegarde.
1. Cliquez sur Dmarrer, puis Tous les Programmes, puis Accessoires, Outils Systme et Utilitaire
de Sauvegarde. Cliquez sur Menu Avanc.
2. Suivre les instructions affiches.
========================================================================

La deuxime partie du processus est de restaurer l'ordinateur. Vous employez ASR
par pression la touche F2 quand le programme d'installation vous y incite. Le
rtablissement du Systme Automatis lit la configuration du disque partir du
fichier cr plus tt et restaure toutes les signatures des disques, tous les volumes et
L E R E G I S T R E
332
disques contenant les fichiers du systme d'exploitation. (Il essaye de restaurer tous
les disques de l'ordinateur, mais ne peut tre capable de le faire avec succs.) le
Rtablissement du Systme Automatis installe alors un Windows minimum et
ensuite rtablit la sauvegarde cre par l'assistant de Prparation de Rtablissement
du Systme

Automatis. Le processus est semblable une rinstallation de Windows
manuellement et ensuite restaure votre propre sauvegarde. Cela est automatis.
L E R E G I S T R E

333

Renommez une icne
Vous renommez une icne sans la commande "Renommer" du menu contextuel en
ditant son enregistrement de "class". Changez la valeur de "LocalizedString".
Vous voyez que l'ID de classe de la Corbeille est {645FF040-5081-101B-9F08-
00AA002F954E}. Renommer l'icne en Poubelle aux Ordures, positionner la valeur
de la cl HKCR\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}. Puis,
cliquer sur le bureau et presse F5 pour rafrachir son contenu. La valeur
"LocalizedString" contient d'habitude quelque chose comme
@%SystemRoot%\system32\SHELL32.dll,-8964, ce qui signifie que Windows
emploie la chane avec l'ID 8964 du fichier Shell32.dll. Remplacez tout cela par le
nouveau nom.

LocalizedString est une valeur de type REG_EXPAND_SZ, donc vous pouvez
employer des variables d'environnement.
Par exemple, positionner LocalizedString "Les dchets de%USERNAME" et
l'utilisateur Jerry voit les Dchets de Jerry au-dessous de l'icne. Vous pouvez faire
cela pour d'autres icnes aussi. Mon Ordinateur dont la classe ID est {20D04FE0-
3AEA-1069-A2D8-08002B30309D}. Changer LocalizedString de
HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} "lOrdinateur
de %USERNAME" et l'utilisateur Jerry voit l'Ordinateur de Jerry.

Vous ne voyez pas la valeur LocalizedString dans quelques enregistrements de
classe. L'absence de cette valeur indique que Microsoft n'a pas eu l'intention de
montrer les noms de ces objets dans l'interface utilisateur. Pour renommer une
classe qui ne contient pas cette valeur, change la valeur de dfaut d'HKCR\CLSID\
classID ou encore mieux, ajoutez-y la chane LocalizedString.

Personnaliser les icnes
Chaque enregistrement de classe contient la sous cl "DefaultIcon". La valeur par
dfaut de cette sous cl est l'icne que Windows emploie quand il affiche des objets
bass sur cette classe. Par exemple, la valeur par dfaut de "DefaultIcon" dans
HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} est l'icne que
Windows affiche quand il cre l'objet "Mon Ordinateur" dans l'interface utilisateur,
comme Explorateur Windows sur le bureau.
Pour employer une icne diffrente, changez la valeur par dfaut de "DefaultIcon".
Vous pouvez employer un chemin et le nom du fichier du fichier d'icnes, qui a une
extension ".ico", ou vous pouvez employer un chemin de ressource. Un chemin de
ressource est ou bien un "Nom, Index" ou bien "Nom, - reSid". Nom est le chemin
et le nom du fichier contenant l'icne, qui est d'habitude un fichier ".DLL" ou
".EXE". La plupart des icnes que Windows utilise viennent de
%SystemRoot%\System32\Shell32.dll. L'index est le numro d'index de l'icne,
commenant par 0.
ReSid est l'identificateur de ressource de l'icne. Les programmeurs assignent la
ressource IDs aux ressources qu'ils dposent dans des fichiers de programme,
incluant icnes, chanes, botes de dialogue, etc...

Addition d'Icnes au Bureau
Windows possde un bureau beaucoup plus sobre que les versions prcdentes. Par
dfaut, vous voyez seulement l'icne de la corbeille. Vous pouvez ajouter les icnes
L E R E G I S T R E
334
typiques, quoique : Sur Proprits de l'Affichage du bureau, cliquer sur
Personnalise le Bureau de l'onglet Bureau. Dans la bote de dialogue d'Articles de
Bureau, choisissez les icnes que vous voulez montrer sur le bureau.

Si l'icne que vous voulez ajouter n'est pas un de ces quatre choix, si vous voulez
scripter ces changements, ou si vous voulez ajouter des icnes d'autres dossiers
spciaux, vous devez diter le registre. Tout les changement sont situs dans la
branche SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer.
Changez cette branche dans HKLM pour affecter tous les utilisateurs; changez le
dans HKCU pour affecter un utilisateur individuel.

Les sous cls "NameSpace" d'Explorer\ControlPanel, Explorer\Desktop et
Explorer\MyComputer dterminent le contenu de chaque dossier correspondant.
Vous ajoutez des icnes au Panneau de configuration, en ditant les sous cls
correspondantes.
Crer une nouvelle sous cl dans "NameSpace" et nommer le du nom de la classe ID
de l'objet que vous voulez ajouter.
Par exemple, pour ajouter une icne au bureau qui ouvre la bote de dialogue
"Excuter...", ajoute une nouvelle sous cl appele {2559A1F3-21D7-11D4-BDAF-
00C04F60B9F0} dans Desktop\Namespace. Puis rafrachissez le bureau en en
cliquetant et appuyant sur F5.
Vous pouvez ajouter des dossiers Mon Ordinateur, aussi. Dans ce cas, j'ai ajout
les Outils d'Administration et Connexion Rseau Mon Ordinateur.

L E R E G I S T R E

335

Folder Subkey
Control Panel ControPanel\NameSpace
Desktop Desktop\NameSpace
My Computer MyComputer\NameSpace
My Network Places NetworkNeighborhood\NameSpace
Remote Computer RemoteComputer\NameSpace

Dissimulation d'Icnes du Bureau
Avec les versions prcdentes de Windows, vous enleviez des icnes du bureau en
enlevant leurs sous cls de la cl "NameSpace". Cela causs souvent problmes ,
particulirement en enlevant le Voisinage Rseau du bureau.
Windows possde une disposition spciale pour la dissimulation d'icnes du bureau.
Vous enlevez des icnes du Bureau ou Mon Ordinateur en ditant dans HKLM ou
HKCU la branche SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer.
Pour cacher icnes dans Mon Ordinateur, ajoutez une valeur de type REG_DWORD
"HideMyComputerIcons" le nom est la classe ID de l'icne que vous voulez
cacher et mettre 0x01 cette valeur. Rafrachissez l'Explorateur pour voir vos
changements.
La dissimulation d'icnes du bureau est un peut plus complique. Dans
"HideDesktopIcons", vous voyez deux souscls :
"ClassicStartMenu" et "NewStartPanel". La premire sous cl dtermine les icnes
cacher quand Windows emploie le Menu Dmarrer classique. Le deuxime
dtermine les icnes se cacher quand Windows emploie le nouveau Menu Dmarrer.
Ajoutez une valeur de type REG_DWORD nomme pour la classe de l'icne ID
l'une ou l'autre sous cl pour le cacher dans cette vue. Mettez la valeur 0x01.
Par exemple, pour cacher la Corbeille quand le nouveau Menu Dmarrer est utilise,
cre une valeur de type REG_DWORD appele {645FF040-5081-101B-9F08-
00AA002F954E} dans la sous cl "HideDesktopIcons\NewStartPanel", et ensuite
mettre cette valeur 0x01. Cliquez sur le bureau et pressez ensuite sur F5 pour
rafrachir.

Personnalisation d'Associations de Fichier
Les associations de fichier contrlent les aspects comment Windows traite des
fichiers :
Quelles icnes Windows affiche pour un fichier
Quels applications sont lances quand les utilisateurs double cliquent sur des
fichiers
Comment l'Explorateur montre les types particuliers de fichiers
L E R E G I S T R E
336
Quelles commandes apparaissent sur les menus contextuelles des fichiers
D'autres particularits, comme "InfoTips"

La valeur par dfaut d'une cl d'extension de fichier indique la classe de programme
avec laquelle il est associ. La sous cl "shell" de la classe de programme contient
des commandes que vous voyez sur le menu de contextuel.

Dans la figure ci-dessus, vous voyez les cls que Windows consulte quand vous
cliquez avec le bouton droit sur un fichier texte et cliquer ensuite Ouvrir. D'abord le
systme d'exploitation regarde l'extension du fichier dans HKCR.
La valeur par dfaut, montre dans la Figure ci-dessus, indique que la classe de
programme s'associ au fichier d'extension ".txt" est "txtfile". Donc le systme
d'exploitation regarde dans HKCR\TXTFILE pour la sous cl "shell" pour trouver
les commandes ajouter au menu contextuel. Par exemple, comme indiqu dans la
Figure ci-dessus, Windows ajoute Ouvrir au menu de raccourci et quand les
utilisateurs choisissent Ouvrir, il dirige la commande dans la commande sous cl.
La commande dans la commande sous cl est par dfaut "program" options "%1 ".
Le program est le chemin et le nom du fichier du programme qu'on veut lancer.
Vous employez %1 comme un lment de remplacement pour le fichier cible.
Windows ajoute le chemin et le nom du fichier cible la fin de la commande.

Une autre personnalisation prfre et celui que j'emploie probablement le plus, me
permet de rapidement ouvrir une invite ligne de commande avec comme dossier
courant le dossier sur lequel je travaillais.
J'ajoute la commande C:\WINDOWS\System32\cmd.exe /k cd "%1" la classes de
programme de commande.
Alors je clique avec le bouton droit sur un dossier et clique sur "CMD Prompt Here
" pour ouvrir une invite de commande sur ce dossier. C'est un temps rel gain de
temps. Voici les paramtres ajouter HKCR\Directory (rptez ces lments dans
HKCR\DRIVE) :

Dans HKCR\DIRECTORY\SHELL, crez la sous cl cmdhere.
Dans HKCR\DIRECTORY\SHELL\cmdhere, mettez la valeur par dfaut CMD Prompt
Here , ceci est le texte que vous verrez dans le menu contextuel.
Dans HKCR\DIRECTORY\SHELL\cmdhere, crez la sous cl "command".
Dans HKCR\Directory\shell\cmdhere\command, mettre C:\Windows\System32\cmd.exe
/k cd "%1".

L E R E G I S T R E

337
Dmarrer l'Explorateur de Windows dans un
Dossier particulier
L'ide est d'ouvrir l'Explorateur de Windows sans tout le dsordre habituel, aussi
vous pouvez vous concentrer sur un simple dossier. Ajoutez la commande
explorer.exe /e, /root, /idlist, %I au programme de dossier de classe shell. Cliquez
avec le bouton droit dans n'importe quel dossier, choisissez la commande que vous
avez ajoute.
L'Explorateur de Windows s'ouvre avec ce dossier comme racine.
Voici paramtres que vous ajoutez au dossier de programme class :
Dans HKCR\FOLDER\SHELL, crez la sous cl fromhere.
Dans HKCR\FOLDER\SHELL\FROMHERE, faites en la valeur par dfaut de l'Explorer
partir d'ici, c'est le texte qui apparatra dans le menu contextuel.
Dans HKCR\FOLDER\SHELL\FROMHERE, crez la sous cl command.
Dans HKCR\FOLDER\SHELL\FROMHERE\COMMAND, mettez la valeur par dfaut
explorer.exe /e, /root, /idlist, %I.

Configuration du Contenu du Menu de Dmarrage
Si vous voulez modifier certains paramtres, vous devez savoir o les trouver dans le
registre.
Pour cela, aller dans
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Le
tableau ci-dessous dcrit les valeurs que vous pouvez ajouter cette cl s'ils ne sont
pas dj le prsent. Vous voyez deux sections dans ce tableau, la premire section,
"Class Start Menu", contient les valeurs qui affectent de Menu Dmarrer classique.
Le deuxime, "New Start Menu", contient les valeurs qui affectent le nouveau Menu
de Dmarrer, mieux connu comme Menu Dmarrer.

La plupart de ces paramtres sont de type REG_DWORD, mais certains sont de
type REG_SZ.
La valeur des donnes possibles pour l'un des paramtres seront 0x01, 0x02, etc, de
type REG_DWORD. Si les donnes possibles incluent NO ou YES, c'est une valeur
de type REG_SZ.

Classic Start Menu
Name Data
StartMenuAdminTools NOHide Administrative Tools
YES Display Administrative Tools
CascadeControlPanel NODisplay Control Panel as link
YES Display Control Panel as menu
CascadeMyDocuments NODisplay My Documents as link
YES Display My Documents as menu
CascadeMyPictures NODisplay My Pictures as link
YES Display My Pictures as menu
CascadePrinters NODisplay Printers as link
YESDisplay Printers as menu
IntelliMenus 0x00Don't use personalized menus
0x01Use Personalized Menus
CascadeNetworkConnections NODisplay Network Connections as link
YESDisplay Network Connections as menu
Start_LargeMFUIcons 0x00Show small icons in Start menu
0x01 Show large icons in Start menu
StartMenuChange 0x00Disable dragging and dropping
0x01Enable dragging and dropping
StartMenuFavorites 0x00Hide Favorites
0x01Display Favorites
StartMenuLogoff 0x00Hide Log Off
L E R E G I S T R E
338
0x01Display Log Off
StartMenuRun 0x00Hide Run command
0x01Display Run command
StartMenuScrollPrograms NODon't scroll Programs menu
YESScroll Programs menu

New Start Menu
Start_ShowControlPanel 0x00 Hide Control Panel
0x01 Show Control Panel as link
0x02 Show Control Panel as menu
Start_EnableDragDrop 0x00 Disable dragging and dropping
0x01 Enable dragging and dropping
StartMenuFavorites 0x00 Hide Favorites menu
0x01 Show the Favorites menu
Start_ShowMyComputer 0x00 Hide My Computer
0x01 Show My Computer as link
0x02 Show My Computer as menu
Start_ShowMyDocs 0x00 Hide My Documents
0x01 Show My Documents as link
0x02 Show My Documents as menu
Start_ShowMyMusic 0x00 Hide My Music
0x01 Show My Music as link
0x02 Show My Music as menu
Start_ShowMyPics 0x00 Hide My Pictures
0x01 Show My Pictures as link
0x02 Show My Pictures as menu
Start_ShowNetConn 0x00 Hide Network Connections
0x01 Show Network Connections as link
0x02 Show Network Connections as menu
Start_AdminToolsTemp 0x00 Hide Administrative Tools
0x01 Show on All Programs menu

0x02 Show on All Programs menu and Start menu
Start_ShowHelp 0x00 Hide Help and Support
0x01 Show Help and Support
Start_ShowNetPlaces 0x00 Hide My Network Places
0x01 Show My Network Places
Start_ShowOEMLink 0x00 Hide Manufacturer Link
0x01 Show Manufacturer Link
Start_ShowPrinters 0x00 Hide Printers and Faxes
0x01 Show Printers and Faxes
Start_ShowRun 0x00 Hide Run command
0x01 Show Run command
Start_ShowSearch 0x00 Hide Search command
0x01 Show Search command
Start_ScrollPrograms 0x00 Don't scroll Programs menu
0x01 Scroll Programs menu

Paramtrer la Liste des Programmes
Frquemment Employe
Chaque fois vous lancer un programme, Windows l'ajoute la liste des programmes
frquemment employs que vous voyez dans le Menu Dmarrer.
Vous pourriez ne pas vouloir que chaque programme que vous lancez apparaissent
dans cette liste. Par exemple, je ne veux pas voir le Bloc-notes dans cette liste, je ne
veux non plus voir l'Invite de Commande. Vous pouvez choisir quels programmes
font et ne font pas partie de cette liste en personnalisant HKCR\Applications.

L E R E G I S T R E

339

HKCR\Applications contient des sous cls pour une varit de programmes que
Windows connat.
Le nom de chaque sous cl est le nom du fichier de programme. Ainsi, vous voyez la
sous cl "notepad.exe" et "explorer.exe" dans HKCR\APPLICATIONS. Si vous
voulez personnaliser cela pour un autre programme, ajoutez sa sous cl cette cl.
Par exemple, pour personnaliser si l'Invite de Commande apparat dans la liste des
programmes frquemment employe, ajoutez la sous cl "cmd.exe"
HKCR\APPLICATIONS. Alors, que pour empcher le programme de s'afficher
dans cette liste, ajoutez la valeur "NoStartPage" de type REG_SZ.
L E R E G I S T R E
340

Effacer la liste d'Historique
Pour que vous puissiez rapidement ouvrir des documents et des programmes que
vous employez frquemment, Windows maintient une listes d'historique. Ceux-ci
sont "MRU" ou "most recently used lists". Le tableau ci-dessous vous expose o
dans le registre le systme d'exploitation stocke ces listes. Purger ces listes en
enlevant les cls associes. Aprs l'enlvement de la cl "RecentDocs", assurez-vous
que vous avez supprim le contenu de %USERPROFILE %\Recent, aussi.

Location Subkey
Internet Explorer's
HKCU\Software\Microsoft\Internet Explorer\TypedURLs
address bar
Run dialog box
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Documents menu
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Common dialog
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
boxes \LastVisitedMRU
Search Assistant HKCU\Software\Microsoft\Search Assistant\ACMru
5001. Internet
5603. Files and folders
5604. Pictures, music, and video
5647. Printers, computers, and people

La cl "ACMru" contient une varit de sous cls, selon les types d'lments que
vous avez cherch. Par exemple, si vous cherchez des fichiers et des dossiers, vous
verrez la sous cl 5603, qui contient une liste de chanes de recherche diffrentes. Si
vous recherchez dans l'Internet en employant l'assistant de Recherche, vous verrez la
sous cl 5001. Vous pouvez enlever chaque sous cl individuellement pour purger un
type spcifique de la liste d'historique en question, ou peut enlever la cl "ACMru"
pour purger tous les lments de la liste d'historique.

Remarque : Pour vider les documents rcents
Lancer lditeur Regedit, puis localiser la cl :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, puis crer
une nouvelle valeur DWORD ClearRecentDocsOnExit, et lui appliquer la valeur
de 1.

Quelles applications sexcutent au dmarrage
de Windows ?
Les sous cls "Run" et "RunOnce"sont utiles pour excuter des programmes
automatiquement quand l'ordinateur dmarre ou quand les utilisateurs se connectent
l'ordinateur.
Les sous cls "Run" et "RunOnce" sont dans deux endroit diffrents. D'abord vous
voyez ces sous cls dans
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion. Les commandes ici
se lance quand n'importe quel utilisateur se connecte sur l'ordinateur.
Vous pouvez aussi voir ces sous cl dans
HKCU\Software\Microsoft\Windows\CurrentVersion. Les commandes dans cette
branche s'excutent aprs qu'un utilisateur spcifique se connecte Windows. Aussi,
L E R E G I S T R E

341
Windows excute les commandes dans "Run" diffremment des commandes dans
"RunOnce".

Run. Windows excute les commandes dans cette sous cl chaque fois qu'un
utilisateur se connecter l'ordinateur.

RunOnce. Windows excute les commandes dans cette sous cl une fois et enlve
ensuite la cl de RunOnce aprs que la commande soit excute avec succs.

1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
3)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
5)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOn
ce
6) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
7) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Les commandes 4 et 5 sont excutes pendant le processus dinitialisation de
Windows.
Les cls 1 - 2 - 6 et 7 sont excutes lors de chaque connexion dun utilisateur.
La cl 3 correspond des applications excutes au dmarrage de Windows ou aprs
la dsinstallation dun programme.
Evidemment, aucune de ces cls ne sont traite lorsque Windows dmarre en mode
sans chec.

Pour ajouter une commande Run ou RunOnce dans HKLM ou HKCU, crez une
valeur de type REG_SZ qui a un nom arbitraire mais descriptif. Mettez la ligne de
commande que vous voulez excuter pour cette nouvelle valeur.
Par exemple, la cl Run dans HKCU a la valeur MSMSGS par dfaut et cette valeur
contient C:\Program Files\Messenge \msmsgs.exe" /background, qui excute
Windows Messenger chaque fois que l'utilisateur se connecte Windows.

"Logging" Automatiquement
Quelques utilisateurs n'aiment pas devoir se connecter Windows. Quand ils
redmarre l'ordinateur, ils veulent dmarrer compltement jusqu' avoir accs au
bureau sans arrter sans voir la bote de dialogue de connexion de Windows.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon est o
vous configurez le capacit de se connecter Windows automatiquement. D'abord
vous mettez la valeur REG_SZ de AutoAdminLogon 1, ce qui active cette
particularit. Rappelez-vous juste que c'est une valeur de type REG_SZ et pas
REG_DWORD.
Ensuite mettez les valeurs DefaultUserName et DefaultPassword le nom
d'utilisateur et le mot de passe que vous voulez employer pour vous connecter au
systme d'exploitation. Tous les deux sont des valeurs de type REG_SZ.
Pour finir mettez la valeur REG_SZ de DefaultDomainName au nom du domaine
qui authentifie votre nom et mot de passe.
L E R E G I S T R E
342

Name Type Data
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
AutoAdminLogon REG_SZ 0 | 1
DefaultUserName REG_SZ Name
DefaultDomainName REG_SZ Domain
DefaultPassword REG_SZ Password

Changement d'Information d'Utilisateur
C'est l'information que vous avez fourni quand vous avez install Windows. Vous
pouvez le changer. Les deux valeurs suivantes sont dans la cl :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion :
RegisteredOrganization. Le nom de l'organisation
RegisteredOwner. Le nom de l'utilisateur

Tous les deux sont des valeurs de type REG_SZ. Le changement de l'organisation
enregistre et des noms du propritaire n'affecte pas les applications installes.

AutoPlay
Setting Name Type
Data
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Enable Autoplay for CD and DVD drives NoDriveTypeAutoRun
REG_DWORD Bit 0x20
Enable Autoplay for removable drives NoDriveTypeAutoRun
REG_DWORD Bit 0x04

Panneau de configuration
La catgorie Panneau de configuration vous permet de cacher des icnes spcifiques
dans le Panneau de configuration. Crez une valeur de type REG_SZ dans la cl
"HKCU\Control Panel\don't load" et nommer la en employant le nom du fichier
.CPL que vous voulez cacher. Mettez cette valeur Yes pour montrer l'icne ou No
pour cacher l'icne. Le tableau ci-dessous montre les noms de fichier des .CPL qui
viennent avec Windows. Par exemple, pour cacher l'icne Options d'Internet,
ajoutez la valeur de type REG_SZ de Inetcpl.cpl don't load et mettre sa valeur sur
No.

File name Description
Access.cpl Accessibility Options
Appwiz.cpl Add Or Remove Programs
Desk.cpl Display Properties
Hdwwiz.cpl Add Hardware Wizard
Inetcpl.cpl Internet Properties
Intl.cpl Regional and Language Options
Joy.cpl Game Controllers
Main.cpl Mouse Properties and Keyboard Properties
Mmsys.cpl Sounds and Audio Devices Properties
Nusrmgr.cpl User Accounts
Nwc.cpl Client Service for NetWare
Odbccp32.cpl ODBC Data Source Administrator
Powercfg.cpl Power Option Properties
Sysdm.cpl System Properties
Telephon.cpl Phone and Modem Options
Timedate.cpl Date and Time Properties
L E R E G I S T R E

343

Affichage de vos Favoris
Avec Windows, afficher la liste des Favoris d'Internet Explorer dans le Menu
Dmarrer vous permet de rapidement d'afficher un article de favori d'Internet
Explorer. Ouvrez simplement les Proprits de la Barre de tche, et l'tiquette
Avanced, activer l'affichage des Favoris. Faire le mme changement dans le registre,
suivez ces tapes :
1. une invite de commande, crez un nouveau dossier (utiliser la commande MD)
nomm WWW dans l'emplacement suivant : "%UserProfile %\Start
Menu\WWW". Assurez-vous de mettre "" dans cette commande parce que c'est un
long nom de fichier.
2. Copier tous vos favoris, typiquement dans %UserProfile %\Favorites, votre
nouveau dossier %UserProfile %\Start Menu\WWW.
3. Dans le registre, allez
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CurrentVers
ion\Explorer\User Shell Folders.
4. diter la valeurd'entre des Favoris, changeant sa valeur
"%UserProfile%\StartMenu\WWW". Cela forcera Internet Explorer employer
votre nouvelle liste d'adresses de Favoris au lieu de vos Favoris originaux.

MenuShowDelay
L'entre MenuShowDelay contrle combien de temps Windows s'attardera avant
l'affichage en cascade de menu dmarrer. HKCU\Control Panel\Desktop
Entre de valeur : MenuShowDelay
Type : REG_SZ
Valeur Typique : 400 (0 65534 ms)

Verrouiler le pav Numrique
(InitialKeyboardIndicators)
L'entre InitialKeyboardIndicators est employe pour activer le pav numrique,
comme la touche.
Entre de valeur : InitialKeyboardIndicators
Type : REG_SZ
Valeur typique : 0
Dans le registre, changez les paramtres de l'utilisateur dans HKEY_USERS \
<SID> \Control Panel\Keyboard ou bien dans
HKEY_CURRENT_USER\Control Panel\Keyboard. Changez l'entre
InitialKeyboardIndicators avec la valeur 2. Cela forcera la touche "Num"
s'activer.

Filename Completion
Si vous tes un administrateur Unix ou programmeur, vous aimerez ceci. Beaucoup
de shell Unix permettent de rapidement achever des noms de fichier dans le shell en
employant la touche de tabulation.
Exemple, si vous tapez "ls-l aar" puis la touche de tabulation, le shell cherche des
fichiers dont les noms commencent par "aar". S'il trouve un, il complte
automatiquement.
HKCU\Software\Microsoft\Command Processor\CompletionChar.
Valeur de type : REG_DWORD
L E R E G I S T R E
344
Valeur 0x09.

LameButtonEnabled
L'entre LameButtonEnabled indique si les commentaires? hyper lien sont affichs
dans la barre de titre de chaque fentre. Il est dans la sous cl HKEY_USERS \
<SID> \Control Panel\Desktop.
Valeur : LameButtonEnabled
Type : REG_SZ
Valeur typique : 0
La mise de cette entre 1 permet cette fonctionnalit. Une valeur 0 met hors de
service l'exposition de "Commentaires ?" hyperlien dans une fentre.

L'entre LameButtonText spcifie le texte dans l'hyper lien affich dans la barre de
titre de chaque fentre quand LameButtonEnabled est activ. Il est dans la sous cl
HKEY_USERS \ <SID> \Control Panel\Desktop.
Valeur : LameButtonText
Type : REG_SZ
Valeur typique : Commentaires ?
Une chane vide supprime l'affichage de n'importe quel texte. La valeur du texte
n'affecte pas la fonctionnalit, ou l'action prise par Windows, quand cet hyper lien est
choisi.

InsertMode
Une invite de commande permet d'utiliser le mode insertion / recopie. (ce mode par
dfaut peut tre chang en appuyant sur la touche du clavier "Insertion").
Valeur : InsertMode
Type : REG_DWORD
Valeur typique : 1
La plupart des utilisateurs active le mode insertion, avec cette valeur 1 (c'est ma
prfrence).

CachedLogonsCount
Windows XP/2000/2003 est capable de mettre en cache de 0 50 connexions
prcdentes (logon) couronnes de succs localement. C'est typiquement fait sur des
systmes o un contrleur de domaine est employ pour valider des connexions et la
scurit.
Parfois (il arrive tous d'entre nous) qu'un contrleur de domaine ne soit pas
disponible mais cela reste toujours possible pour l'utilisateur de provisoirement se
connecter, employant les informations de connexion stockes localement.
Notez le nombre de connexions par dfauts en cache est de 10; cependant, il peut tre
mis n'importe quelle valeur entre 0 et 50.
Quand le contrleur de domaine est indisponible l'utilisateur peut tre enregistr en
utilisation le cache, le message suivant apparat :
A domain controller for your domain could not be contacted. You have been logged
on using
cached account information.
L E R E G I S T R E

345

CachedLogonsCount
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Data type Range Default value
REG_SZ 0 - 50 entries (decimal) 10

Si le cache a t mis hors service ou l'information de connexion d'un utilisateur n'est
pas dans le cache, ce message est affich :
"The system cannot log you on now because the domain <name of domain> is not
available".
Le sous cl de Cache (qui n'est pas dans Windows XP dition Domestique) garde 11
entres de cache.
Une de ces entres est "NL$CONTROL", qui contient l'entre de l'utilisateur
actuellement enregistr mis en cache.
Les autres entres dans la cl de Cache sont nommes NL$1 jusqu' NL$10. Chaque
entre contient l'information de connexion pour une des 10 prcdentes personnes
qui se sont enregistres sur l'ordinateur.
Notez que les 10 utilisateurs prcdents "enregistr" sont des utilisateurs uniques.
L'entre qui n'a pas t employe contiendra des zros.

Info : Si votre application est inscrite dans la liste des Programmes ajouter /
supprimer (mais il ne supporte pas vraiment la suppression), regarder ensuite dans
l'emplacement du registre
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninst
all. Supprimer ensuite le nom des programmes que vous dsirez ne plus avoir sur
cette machine.

Changer votre chemin Source dInstallation
Vous pouvez modifier l'objet de donnes de chemin source trouv dans
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Set
up\Sourcepath. Contrler aussi pour voir si SourcePath est trouv dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Sourcepath et changer cette occurrence aussi. (Il n'y a aucun
besoin d'ajouter cet objet s'il n'est pas le prsent dans votre registre.)
Par exemple, supposez que vous avez install l'OS par dfaut depuis le CD-ROM D:,
alors que plus tard vous avez chang la lettre du CD-ROM en S:. Vous modifieriez
SourcePath de D:\ S:\. bien sr, alors mettez simplement jour SourcePath pour
reflter l'emplacement qualifi pour les fichiers source.

Gefi Support Wserver2003

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Gefi Support Wserver2003

Hochgeladen von

Copyright:

Verfügbare Formate

SUPPORT DE COURS -DOCUMENTATION

Centre de formation GEFI

Das könnte Ihnen auch gefallen