Beruflich Dokumente
Kultur Dokumente
======================================================================
Excution de la Console de rcupration partir du
CD-ROM
` Infos.
======================================================================
1. Insrez le CD-ROM Windows Server 2003 dans votre lecteur, puis redmarrez l'ordinateur.
2. Lorsque le message Appuyez sur n'importe qu'elle touche pour dmarrer du CD-ROM s'affiche, appuyez
sur ENTRE.
3. Attendez le chargement de tous les fichiers.
4. Dans l'cran Bienvenue !, tapez r pour la rcupration.
5. Choisissez une installation rparer, puis tapez le mot de passe pour le compte Administrateur.
======================================================================
L A C O N S O L E D E R C U P R A T I O N
CENTRE DE FORMATION G E F I - CRETEIL
75
` TP raliser.
Cration et convertion dun disque en NTFS
======================================================================
1. Bouton dmarrer, Proprits de Poste de travail, puis Grer
2. Choisir Gestion des disques
3. Faites un clic droit sur la partie reprsentant l'espace non allou, et slectionnez Nouvelle partition.
4. Cliquez sur Suivant pour ouvrir l'assistant de cration de partition.
5. Cochez Partition tendue et cliquez sur Suivant.
6. Faites un clic droit sur votre partition tendue et cliquez sur Crer un nouveau lecteur logique.
7. Cliquez sur Suivant.
Rentrez la taille de la partition que vous voulez crer : 1000 pour 1Go.
8. Une fois la taille slectionne, cliquez sur Suivant.
9. Slectionnez la lettre que vous voulez affecter votre nouvelle partition (E dans notre exemple) puis cliquez sur
Suivant.
10. Slectionnez le systme de fichiers FAT32, donnez un nom votre lecteur (ici mettre DATAS) et cliquez sur
Suivant.
11. Cliquez sur Terminer et Windows lancera le formatage de votre nouvelle partition.
12. Ouvrez une invite de commande, puis saisissez : C:\> Convert E : /fs :NTFS, puis O pour valider laction,
affecter lorsque demand comme nom de volume DATAS .
13.. Vrifiez que dans les proprits (explorateur = + E) du disque E: celui-ci est bien en ntfs.
======================================================================
` TP raliser.
Vrifier que Autoriser louverture de session
dadministration automatique est Dsactiver
======================================================================
1. Bouton Dmarrer, puis Excuter, puis saisir mmc , menu Fichier et ajouter/supprimer.., puis Ajouter,
ajoutez le composant logiciel "Editeur de Stratgie de groupes ", puis Terminer, puis Fermer et OK de nouveau.
2. Parcourez dans la console dadministration :
Racine de la console/Stratgie ordinateur local/Configuration ordinateur/Paramtres Windows/Paramtres
de scurit/Stratgies locales/Options de scurit
Double-cliquez sur " autoriser l' ouverture de session d'administration automatique " catgirie : Console de
rcupration et cochez l' option " Activ " ou " Dsactiv " (ici pour des questions de scurit, il vaut mieux laisser
la valeur par dfaut, c'est--dire Dsactiver).
3. Fermer la console sans enregistrer dans console1 comme propos.
======================================================================
T Y P E S D O U V E R T U R E D E S E S S I O N
CENTRE DE FORMATION G E F I - CRETEIL
76
TYPES DOUVERTURE DE SESSION
L'authentification de l'identit des utilisateurs pendant la connexion est la premire
tape pour l'obtention de l'accs au systme. Pour des machines locales ne participant
pas activement un domaine, le protocole Windows NT LAN Manager (NTLM) est
toujours utilis pour vrifier le nom d'un utilisateur et le mot de passe. Cependant,
dans des environnements de domaine Microsoft a coupl des services Active
Directory avec la norme d'industrie naissante pour l'authentification du MIT connu
sous le nom de Kerberos. Une fois que l'on accorde l'accs, des clefs sont changes
qui permettent l'accs spcifique d'autres ressources du systme sur le domaine.
Cela combine la technologie Kerberos sous-jacente avec l'Infrastructure Clef
Publique (PKI).
Les concepts entourant tant Kerberos que PKI sont relativement nouveaux dans des
environnements Microsoft et ils sont des technologies importantes pour des
administrateurs de systme pour comprendre
Interactive : Ouverture de session sur un ordinateur local auquel vous avez des accs
physiques directs (de mme que les ouvertures de sessions distance ou par
Terminal Server).
Rseau : Accs un systme excutant un accs par le rseau, depuis lequel la
session a t ouverte. Dans ce cas la LSA de votre station tentera dtablir votre
identit avec la LSA de lordinateur distant.
Service : Quand un service bas sur WIN32 dmarre, il ouvre une session sur
lordinateur local avec les informations didentification du compte dutilisateur local
ou de domaine.
En utilisant soit :
Compte de domaine : Un utilisateur se connecte au rseau avec un mot de passe ou
une carte puce en utilisant les informations didentification stocke dans lActive
Directory.
Compte dutilisateur local : Un utilisateur ouvre un compte sur un ordinateur local
en utilisant les informations didentification stockes dans la base de donnes SAM.
Processus d'ouverture de session de rseau
Une ouverture de session de rseau se produit lorsqu'un utilisateur tablit une connexion
rseau un ordinateur distant excutant Windows 2000/2003, par exemple lors d'une
connexion un dossier partag. Le processus d'authentification est trs similaire un
processus interactif d'ouverture de session.
L'ordinateur client obtient un ticket de session serveur auprs du service Kerberos
s'excutant sur un contrleur de domaine dans le domaine de l'utilisateur. L'ordinateur
client envoie alors un ticket de session serveur au sous-systme de scurit local sur le
T Y P E S D O U V E R T U R E D E S E S S I O N
CENTRE DE FORMATION G E F I - CRETEIL
77
serveur qui extrait les informations d'identification de scurit de l'utilisateur et tablit un
jeton d'accs pour l'utilisateur distant. Ce jeton d'accs sert authentifier l'utilisateur
lorsqu'une ressource du serveur est accde.
Processus d'ouverture de session secondaire
L'ouverture de session secondaire donne la possibilit de dmarrer ou d'excuter une
application au moyen d'informations d'identification de scurit d'un autre utilisateur, sans
pour autant terminer la session en cours. Par exemple, vous pouvez excuter les outils
d'administration alors qu'une session est ouverte avec un compte d'utilisateur standard.
T Y P E S D O U V E R T U R E D E S E S S I O N
CENTRE DE FORMATION G E F I - CRETEIL
78
Intgration dune machine en Workgroup dans un DC
` TP raliser.
a). Travail sur la machine qui fera office de DC,
( machine du formateur) (installer Active Directory + DNS sans le configurer)
attendre que cela soit ralis afin de raliser votre partie.
a1) Installation de Active Directory
==============================================================================
A1) Installation dActive Directory
Bouton Dmarrer , puis Excuter , puis taper DCPROMO .
Dans Assistant Installation de Active directory, cliquez sur Suivant , dans la boite Compatibilit du
systme d'exploitation cocher sur "Suivant" (les machines Windows 95 et NT 4.0 SP3 ne pourront pas se
connecter au Domaine windows 2003), dans le boite Type de contrlleur de domaine, cochez Contrlleur de
domaine pour un nouveau domainepuis sur Suivant.
Dans la boite Crer un nouveau domaine, cocher : Domaine dans une nouvelle fort (premier domaine dans
l'organisation) puis sur Suivant..
Dans la boite Installer ou configurer le service DNS cochez la case "Non, je veux installer et configurer le
service DNS sur cet ordinateur" puis sur "Suivant", dans la boite Nouveau nom de domaine, taper dans Nom
DNS complet pour le nouveau domaine : bourges.eds
Puis sur Suivant, taper comme Nom de domaine NetBIOS : BOURGES
Puis sur Suivant, dans la boite Dossiers de la base de donnes et du journal
- Ou voulez-vous stocker la base de donnes Active Directory : C:\WINDOWS\NTDS
- Ou voulez-vous stocker le journal Active Directory : C:\WINDOWS\NTDS
puis Suivant, Dans la boite Volume systme partag entrer un emplacement pour le volume sysvol :
E:\SYSVOL (attention ce volume doit tre en NTFS).
Cliquez sur Suivant, dans la boite Autorisations, cocher la case Autorisations compatibles uniquement
avec les systmes d'exploitation serveurs Windows 2000 ou Windows Server 2003, puis Suivant.
Dans la boite Mot de passe administrateur de restauration des services d'annuaire Pas de mot de passe pour
la restauration dActive Directory, puis faire Suivant , dans la boite rsum faire Suivant (attendre, cela peut
prendre quelques mn, il faut une @IP statique sur votre Serveur AD et DNS), puis Terminer et Redmarrer
maintenant.
==============================================================================
A2) Cration dun compte utilisateur
Lorsque la machine vous propose, ouvrir une session en tant : Attention ce premier redmarrage est un peu long
Nom : Administrateur
Mot de passe : P@sswrd1
Bouton Dmarrer , puis Outils dadministration , Utilisateurs et ordinateurs Active Directory
Dvelopper bourges.eds, puis bouton droit sur Utilisateur ou Users, puis Nouveau , puis Utilisateur .
Prnom : Marcel
Initiales : aucun
Nom : Dupond
Nom complet : ne rien modifier (Marcel Dupont)
Nom d'ouverture de session utilisateur : Marcel@ bourges.eds
Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000) : BOURGES\ Marcel
Puis Suivant,
Mot de passe : P@sswrd1
Confirmer le mot de passe : P@sswrd1
Dcocher la case : L'utilisateur doit changer le mot de passe la prochaine ouverture de session
Cocher la case : L'utilisateur ne peut pas changer de mot de passe
Cocherla case : Le mot de passe n'expire jamais
Puis sur Suivant, et sur Terminer.
Remarque : Normalement il ne faut pas dclarer de station de travail comme sous NT4.0 cela sera
automatique lors de la jonction au domaine de la station de travail.
Voir dans : "Dmarrer" puis "Outils d'administration" puis " Stratgie de scurit du domaine",
"Paramtres Windows", "Paramtres de scurit", "Stratgies locales", "Attribution des droits
utilisateurs", double click sur Ajouter des stations de travail au domaine, cocher la case
"Dfinir ces paramtres de stratgies", bouton "Ajouter un utilisateur ou un groupe", Parcourir
Avanc, Rechercher et vrifier que vous avez Utilisateurs authentifis (sinon ajouter le), valider
toutes les boites par "OK" et fermer la boite.
==============================================================================
T Y P E S D O U V E R T U R E D E S E S S I O N
CENTRE DE FORMATION G E F I - CRETEIL
79
b). Sur la station de travail (stagiaires)
Ouvrez une session en tant que :
Nom : Administrateur
Mot de passe : P@sswrdXXXX
Domaine : Nom de votre machine (SAM local)
Bouton droit sur Connexion au rseau local , puis Ouvrir les connexions rseau , proprits de
Connexion au rseau local (bouble-click sur ordinateur dans la zone de notification), puis proprits de
TCPIP , bouton Avanc , onglet DNS , cliquez sur Ajouter , mettre l@IP du serveur
DNS :192.168.x.200, puis Ajouter puis OK , OK , OK , puis Fermer la boite.
Ouvrez une ligne de commande et saisir : net time \\Servnet /set /yes (votre machine sera la mme heure que le
DC du domaine bourges.eds), puis fermer linvite de commande.
Bouton Dmarrer , bouton droit Proprits sur Poste de travail , Onglet Nom de lordinateur , bouton
Modifier , puis bouton Autres .
Dans Suffixe DNS principal de cet ordinateur , mettre : bourges.eds
Cliquez sur OK
Slectionnez dans membre de : Domaine et mettre comme nom de domaine Bourges , puis OK.
Lorsque votre machine vous le propose, ouvrez une session entant :
Nom : Marcel
Password : P@sswrd1.
Puis, OK (message = Bienvenu dans le domaine de bourges), puis OK , OK , OK , OK
(redmarrer).
Ouvrez une session en tant quutilisateur du domaine Bourges (faire CTRL+ALT+SUPPR ) :
Eventuellement cliquez sur le bouton Options (voir le champ Domaine)
Utilisateur : Marcel
Mot de passe : P@sswrd1
Se connecter : Bourges,
Puis sur OK (attendre, cela peu prendre plusieurs mn la premire fois).
==============================================================================
Remarque : attention le simple utilisateur ne peut intgrer que 10 stations au niveau du
domaine
Quand des utilisateurs disposant de comptes d'utilisateur de domaine ouvrent une session
sur un ordinateur, une copie de leurs informations d'identification est mise en cache dans
une zone scurise du Registre de l'ordinateur local. Ces informations d'identification
mises en cache sont utilises pour permettre l'utilisateur d'ouvrir une session sur
l'ordinateur si Active Directory n'est pas disponible pour authentifier l'utilisateur. Active
Directory risque de ne pas tre disponible quand le contrleur de domaine est hors
connexion, d'autres problmes se produisent au niveau du rseau ou l'ordinateur n'est pas
connect au rseau, par exemple, quand les utilisateurs itinrants sont en dplacement.
Si un contrleur de domaine est indisponible et que les informations d'ouverture de
session d'un utilisateur se trouvent dans le cache, l'utilisateur reoit une invite avec le
message suivant :
Le contrleur de domaine pour votre domaine n'a pu tre contact. La session a t
ouverte en utilisant les informations caches de votre compte. Les changements
effectus sur votre profil depuis votre dernire session ne sont peut-tre pas disponibles.
Si un contrleur de domaine est indisponible et que les informations d'ouverture de
session d'un utilisateur ne se trouvent pas dans le cache, l'utilisateur reoit une invite avec
le message suivant :
Le systme n'a pas pu ouvrir de session car le domaine <NOM_DOMAINE> n'est pas
disponible.
REMARQUE : Vous devez possder des autorisations administratives pour l'ordinateur
local afin d'installer et d'excuter les Outils d'administration Windows 2000/2003 et des
autorisations administratives de domaine pour le domaine sur lequel vous souhaitez
excuter des tches administratives dans le but d'administrer un serveur distance.
T Y P E S D O U V E R T U R E D E S E S S I O N
CENTRE DE FORMATION G E F I - CRETEIL
80
Ouverture de session interactive : Nombre d'ouvertures de session prcdentes dans le
cache (au cas o le contrleur de domaine ne serait pas disponible).
Configuration ordinateur\Paramtres Windows\Paramtres de scurit\Stratgies
locales\Options de scurit
Valeur par dfaut : 10. La valeur maximale de ce paramtre est 50.
Af f i chage des membr es d' un r seau
Une fois la session ouverte, vous pouvez afficher la bote de dialogue Proprits systme sur votre ordinateur afin
de dterminer le type de rseau auquel vous appartenez, savoir domaine ou groupe de travail.
_ Pour afficher la bote de dialogue Proprits systme
Cliquez avec le bouton droit sur l'icne Poste de travail du bureau, puis cliquez sur Proprits.
La bote de dialogue Proprits systme comporte cinq onglets. Cliquez sur l'onglet Nom de lordinateur pour
dterminer si votre ordinateur appartient un groupe de travail ou un domaine.
============================================================
P R O T O C O L E D A U T H E N T I F I C A T I O N
CENTRE DE FORMATION G E F I - CRETEIL
81
PROTOCOLE DAUTHENTIFICATION
L'authentification est le processus qui permet de vrifier l'identit d'un utilisateur du
rseau. Lorsqu'un utilisateur est authentifi sur un rseau, celui-ci fournit un compte et un
mot de passe. Lorsque la demande d'authentification est termine, l'accs aux ressources
est autoris sur le rseau, et peut tre soumis aux restrictions d'usage. Windows
2000/Server 2003 prend en charge diffrentes mthodes d'authentification, y compris
l'authentification Kerberos version 5 base sur un certificat et le protocole NTLM, afin de
confirmer l'identit de l'utilisateur du rseau.
Protocole Kerberos V5 : Protocole dauthentification par dfaut pour Windows 2000 et
Windows XP Pro et 2003 Server.
Protocole NTLM : Protocole dauthentification par dfaut pour Windows NT 4.0.
NTLM
Le protocole NTLM authentifie les utilisateurs et les ordinateurs selon un mcanisme de
dfi / rponse. Quand le protocole NTLM est utilis, un serveur de ressources doit
contacter un service dauthentification de domaine sur le contrleur de domaine du
compte utilisateur ou dordinateur du domaine pour vrifier son identit, si un nouveau
jeton daccs est ncessaire.
NTLM est support pour la compatibilit ascendante avec Windows NT mais nest pas
conseill (mode mixte) !
Windows NT 4.0 et les versions antrieures de Windows ne prennent pas en charge les
nouveaux protocoles d'authentification tels que Kerberos version 5. Windows 2000/2003
prend en charge le protocole NTLM et garantit ainsi la compatibilit avec les clients et les
serveurs qui excutent des versions antrieures de Windows. Le protocole NTLM est
galement utilis pour authentifier les demandes d'ouverture de session sur des
ordinateurs autonomes excutant Windows 2000/2003.
Le protocole NTLM est utilis dans les cas dcrits ci-dessous.
_ Un ordinateur Windows 2000/XP est authentifi avec un serveur autonome Windows
2000/2003.
_ Un ordinateur Windows 2000/XP est authentifi avec un serveur Windows NT 4.0.
_ Un ordinateur excutant Microsoft Windows 95, Microsoft Windows 98 ou Windows
NT, et configur avec le logiciel Windows 2000 Directory Services Client (client Active
Directory), est authentifi avec un contrleur de domaine Windows 2000/2003.
P R O T O C O L E D A U T H E N T I F I C A T I O N
CENTRE DE FORMATION G E F I - CRETEIL
82
_ Un client Windows 2000/XP ne peut pas tre authentifi avec un contrleur de domaine
Windows 2000 l'aide de Kerberos. Le client Windows 2000/XP tentera alors de
procder une authentification en utilisant le protocole NTLM.
NTLM Version 1
Forme plus scurise dauthentification dfi / rponse que LM, disponible pour les
ordinateurs qui se connectent aux serveurs de domaine Windows NT ayant au moins un
contrleur de domaine excutant Windows NT 4.0 Service Pack 3 ou prcdent (56 bits).
NTLM Version 2
Forme dauthentification dfi / rponse la mieux scurise prise en charge par Windows,
utilise quand les ordinateurs se connectent aux serveurs dun domaine NT dans lequel
tous les contrleurs de domaines ont volus vers Windows NT 4.0 Service Pack 4 ou
ultrieur.
Le protocole NTLM version 2 est disponible sur les ordinateurs excutant Windows 95 et
Windows 98, une fois le logiciel Windows 2000 Directory Services Client install (128
bits).
Depuis Windows 2000 le chiffrage est activ d'office (Syskey)
Sil n'est pas chiffr, on peut voler le fichier SAM en rebootant le serveur avec une
disquette cre cet effet.
Sil est chiffr, il faut tre administrateur pour pouvoir voler les hashs avec des outils
comme pwdump2
Le crackeur doit d'abord se procurer une copie des hash de mots de passe
Comme il ne peut pas inverser les hashs il va
deviner des mots de passe (dictionnaire)
gnrer les hashs de ces mots (force brute)
comparer avec les hashs vols pour savoir s'il a bien devin
Les programmes de crackage gnrent des hashs partir des mots d'un dictionnaire ou en
numrant toutes les combinaisons de caractres.
Un PC puissant peut gnrer de 200000 2000000 de hashs par seconde suivant le type
de hash.
Utiliser des rseaux Windows 2000 (AD) ou Unix purs (pas de Win9X)
Dsactiver le LanMan hash sous Windows 2000 SP2 ou XP
Scuriser le fichier qui contient les hash
" NT: utiliser syskey (dfaut sous win2k)
" Unix: utiliser fichier /etc/shadow
Utiliser Kerberos dans win2k
Scuriser l'accs physique aux serveurs contenant les hashs
Appliquer les derniers patchs de scurit
Appliquer des outils qui obligent les utilisateurs avoir des bons mots de passe (voir
stratgie de mot de passe).
Auditer les mots de passe rgulirement
Utiliser des mots de passe difficiles (au moins 8 caractres, casse mixte, avec des chiffres
et des caractres spciaux)
P R O T O C O L E D A U T H E N T I F I C A T I O N
CENTRE DE FORMATION G E F I - CRETEIL
83
Mettre les caractres spciaux dans les 7 premiers caractres du mot de passe
Utiliser des mots de passe diffrents pour diffrents systmes.
Changer de mot de passe rgulirement
Ne pas vous fier aux mots de passe stocks sur votre machine Win9X
` TP raliser.
VERIFICATION DE VOTRE POSTE POUR EXIGER NTLM
======================================================================
1. Dmarrer, puis Excuter, puis mmc.
2. Menu Fichier, puis Ajouter/Supprimer, puis Ajouter, puis choisir Editeur dobjets de stratge de groupe.
3. Puis Ajouter, Terminer, Fermer, OK.
4. Vous pouvez inhiber les authentifications utilisant les variantes les plus faibles en paramtrant loption de scurit
rseau, catgorie Scurit rseau Niveau dauthentification Lan Manager dans Stratgie ordinateur
local\Configuration ordinateur\Paramtres Windows\Paramtres de scurit\Stratgies locales\Options de
scurit ou dans le modle de scurit appropri. Double-cliquez sur Niveau dauthentification Lan
Manager puis noter quelle est la mthode ici utilise par dfaut : _____________________________________.
5. Faire OK, Ok Fermer la console sans enregistrer celle-ci.
======================================================================
L'installation du dsclient pour obtenir le support de NTLMV2 est peut-tre la
raison la plus importante installez-le sur les postes clients. Par dfaut, Windows
2000 permet aux clients d'utiliser leurs protocoles d'identification par dfaut (LM
pour Windows 9.x et NTLM pour Windows NT 4.0).
CONFIGURATION DES SERVEURS POUR EXIGER NTLMV2
1. Ouvrir Active Directory Users and Computers.
2. Cliquer avec le bouton droit sur l'Unit d'Organisation du Contrleurs de Domaine et choisir Proprits. Vous
verrez la fentre de Proprits de Contrleurs de Domaine
3. Dans la fentre Proprits du Contrleurs de Domaine, cliquez sur Group Policy.
4. Selectionner le Contrleurs de Domaine par Dfaut et cliquer Edit.
5. Une fois dans la fentre de Group Policy, naviguez Computer Configuration | Windows Settings | Security
Settings | Local Policies | Security Options
6. Dans la partie dtails (a droite), double cliquez sur LAN Manager Authentication (Niveau dauthentification Lan
Manager) Level
7. Choisir le paramtre de la stratgie de Scurit et cliquez sur OK.
8. Fermer la fentre de la stratgie de Groupe et fermer Active Directory and Computers.
- Send LM & NTLM responses
- Send LM & NTLM - use NTLMv2 session security if negotiated
- Send NTLM response only
- Send NTLMv2 response only
- Send NTLMv2 response only\refuse LM
- Send NTLMv2 response only\refuse LM & NTLM
!!!!!!!!! Ouverture de sessions interractives : Nombres douverture de sessions prcdantes ralises en utilisant le cache
(lorsque aucun DC nest prsent)
CONFIGURATION DES CLIENTS WINDOWS NT 4.0 POUR UTILISER
NTLMV2
1. Ouvrir le registre, comme regedit ou regedt32.
2. Naviguer HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\Lsa.
3. Ajouter la valeur suivante (si la valeur est dj prsente, vrifiez-le) :
Nom : de Valeur LMCompatibilityLevel
Type de Donnes : REG_DWORD
Valeur : 3 (des valeurs possibles sont 0 5)
P R O T O C O L E D A U T H E N T I F I C A T I O N
CENTRE DE FORMATION G E F I - CRETEIL
84
CONFIGURATION DES CLIENTS WINDOWS 9. X POUR UTILISER
NTLMV2
1. Installer Internet Explorer 4.x ou plus s'il n'est pas dj install.
Microsoft recommande de mettre niveau le support 128 bits si la loi d'exportation le permet.
Pour des clients Windows 95, vous avez besoin de la fonction active desktop activee avant de passer a la
prochaine etape.
2. Installer le client de services. Il peut tre trouv sur le CD de Windows 2000 client\Windows9x\dsclient.exe.
3. Ouvrir le registre, comme regedit ou regedt32.
4. Naviguer HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\Lsa.
5. Ajouter la valeur suivante (si la valeur est dj prsente, vrifiez-le) :
Nom : de Valeur LMCompatibilityLevel
Type de Donnes : REG_DWORD
Valeur : 3 (des valeurs Possibles sont 0 5)
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
85
CONNEXION AVEC KERBEROS
Deux chercheurs du Xerox Palo Alto Center, Roger Needham et Michael Schroeder,
ont dfini, vers la fin des annes 70, une plateforme scurise permet tant d'authentifier
les utilisateurs. Ils ont mis en place deux protocoles, dont l'un utilisant des cls prives de
cryptage, et qui est la base de Kerberos.
Kerberos a t conu dans le but de proposer un protocole d'authentification multi -
plateforme, disposant d'un systme de demande d'identification unique, et permet tant de
contacter ensuite autant de services que souhait. Il s'agit d'un protocole scuris, dans le
sens o il ne transmet jamais de mot de passe en clair sur le rseau. Il transmet des
messages crypts dure de vie limite.
Le terme single sign- on , dcrit le fait que l'utilisateur final n'a besoin de s'authentifier
qu'une fois pour utiliser toutes les ressources du rseau supportant Kerberos au cours de
sa journe de travail (en ralit, au cours du temps de session spcifi par l'administrateur
: environ vingt heures, en gnral).
Le systme Kerberos repose sur un tiers de confiance (Trusted thirdparty), dans le
sens o il s'appuie sur un serveur d'authentification centralis dans lequel tous les
systmes du rseau ont confiance. Toutes les requtes d'authentification sont ainsi routes
au travers de ce serveur Kerberos centralis.
Le systme d'authentification mutuelle utilis permet non seulement de prouver que
l'utilisateur derrire son clavier est bien qui il prtend tre, mais aussi que le service qu'il
tente d'utiliser correspond galement. De cette manire, la communication instaure
assure la confidentialit des donnes sensibles.
Avec Windows 2000/XP/2003 Server, Microsoft a dcid de ne plus miser sur NTLM
(NT Lan Manager) pour le protocole daccs au rseau (le systme offre toujours le
soutien de NTLM). Kerberos (nom grec du gardien des enfers Cerbres) est un protocole
retenu dauthentification entre une station client et un serveur dauthentification rseau
nomm KDC ( Key Distribution Centrer Centre de distribution de cl).
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
86
Un grand nombre de nouveaux services distribus dans Windows 2000/2003 utilisent
lauthentification Kerberos dont notamment :
- les mcanismes dauthentification auprs dActive Directory utilisant LDAP
pour les requtes ou la gestion dannuaire ;
- le protocole daccs des fichiers distants CIFS/SMB ;
- la gestion et les rfrences de systme de fichiers distribus ;
- les mises jour dadresses DNS scurises ;
- les services de spouleur dimpression ;
- les mcanismes dauthentification IPsec facultative dhte hte dans
ISAKMP/Oakley ;
- les demandes de rservation pour la qualit de service (QoS) rseau ;
- les mcanismes dauthentification Intranet auprs dInternet Information Server ;
- les mcanismes dauthentification des demandes de certificats de cls publiques
auprs de Microsoft Certificate Server pour des utilisateurs et des ordinateurs du
domaine ;
- les processus de gestion de serveur ou de poste de travail distant utilisant une
connexion RPC authentifie et DCOM.
Remarque : Il faut noter que l'implmentation de ce protocole par Microsoft inclut
des extensions autorises de la norme. Cela signifie que, dans la pratique, cette
implmentation prend en charge tous les clients compatibles avec la RFC 1510, mais
qu'il sera ncessaire d'utiliser cette implmentation semi-propritaire pour une prise
en charge totale des rseaux Windows 2003, au sens ou l'entend Microsoft.
Par dfaut, Windows 2000/2003 utilise le protocole d'authentification par ticket Kerberos
version 5. Le centre de distribution de cls (KDC, Key Distribution Center) de Kerberos
met aux clients des tickets d'accord de tickets (TGT, Ticket-Granting Ticket) et des
tickets de service (ST, Service Tickets) en vue d'une authentification (le client qui
interroge un serveur DNS sur l'enregistrement de ressource SRV Kerberos).
Avec l'apparition d'Active Directory, Kerberos V5 est devenu le principal protocole
d'authentification des rseaux Windows. Il est dsormais possible grce ce nouveau
protocole de mettre en interaction des domaines Windows et des services d'annuaire
de type Linux ou Mac. Concrtement, il s'agira de relier Active Directory avec par
exemple Open LDAP sous Linux ou Open Directory sous Mac Os X
L'utilisation de l'authentification Kerberos version 5 dans Windows 2000/2003 fournit les
fonctions suivantes :
_ ouverture de session unique ;
_ authentification mutuelle ;
_ mise en cache des tickets.
Remarque : La dure de vie maximale des tickets de service et des tickets utilisateur est
dfinie dans la stratgie de groupe d'un domaine. Kerberos ncessite que l'utilisateur et le
service bnficient de cls enregistres auprs du KDC, et requiert la synchronisation des
horloges des clients et des serveurs du rseau.
Authentification de connexion initiale
Le protocole Kerberos est un protocole d'authentification sur un rseau non
scuris, grce auquel il est possible de faire partager des clefs de cryptage entre
un utilisateur et un service.
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
87
Ce protocole repose sur l'change de blocs de donnes nomms tickets. Un ticket est
un ensemble d'informations, dlivres par une autorit de (KDC), pour un client
donn, destination d'un service donn.
Ceci est un gros avantage car du coup les mots de passes des utilisateurs ne circulent
pas sur le rseau, ou bien dans certains cas particuliers, comme le changement de
mot de passe mais dans ce cas le transport se fait de faon scurise.
Si un pirate arrivait se procurer un ticket et tentait de le dcrypter, cela ne lui
servirai a rien, car Kerberos utilise une notion de premption de ticket ce qui les
rend inutilisable au bout d'une dure fix par l'autorit de confiance. Voici les tapes
de fonctionnement du protocole Kerberos
Lorsqu'un utilisateur ouvre une session pour la premire fois sur le rseau, il doit fournir
des informations d'identification. Comme le montre l'illustration prcdente,
l'authentification de connexion utilisateur initiale Kerberos version 5 suit la procdure ci-
dessous.
======================================================================
1. Au moment de l'ouverture de session, l'utilisateur s'authentifie auprs d'un centre KDC.
2. Le centre KDC fournit l'utilisateur un ticket TGT crypt. Ce ticket TGT contient un dateur
et les informations d'authentification de l'utilisateur.
3. Le client dcrypte le ticket TGT l'aide de la cl prive de l'utilisateur, puis place le ticket
TGT dcrypt localement un emplacement protg. Le ticket TGT contient une cl de
service pour les prochaines transactions avec le centre KDC.
=====================================================================
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
88
Demande de service
Une demande de service Kerberos version 5 est utilise lorsqu'un utilisateur tente de se
connecter des serveurs d'impression ou d'applications sur le rseau.
Comme le dcrit l'illustration prcdente, les demandes de service fonctionnent comme
suit.
======================================================================
1. L'utilisateur fournit des informations d'identification en envoyant le ticket TGT obtenu
auparavant au centre KDC et demande un ticket de service pour un serveur cible.
2. Le centre KDC vrifie les informations d'identification de l'utilisateur en dcryptant le ticket
TGT et transmet de manire scurise le ticket de service l'ordinateur de l'utilisateur, o il
sera mis en cache localement, dans un emplacement protg.
3. L'utilisateur prsente le ticket de service au serveur cible qui lui accorde l'accs en
fonction des autorisations d'accs demandes et des autorisations qui lui sont attribues.
4. Une session est tablie entre l'ordinateur client et le serveur cible.
=====================================================================
Centre de distribution des cls
KDC sexcute avec Active Directory en tant que processus privilgi.
KDC stocke les informations relatives la scurit, dont les cls secrtes long terme.
KDC gnre et gre les cls de session.
Deux services Windows Server 2003 :
Service dauthentification : Authentication Service
Service doctroi de tickets : Ticket Granting Service
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
89
Lorsque le client demande laccs au rseau, le client Kerberos prend le mot de passe de
lusager et lui applique un code hach pour crer une cl de chiffrement. Cette cl est
unique lusager et valide pour la seule session en cours.
Outre son seuil de scurit beaucoup plus lev que la simple procdure daccs
traditionnel, le protocole Kerberos revt galement un autre avantage stratgique. Une
fois que le client possde un billet de session, il na qu prsenter ce billet directement
la ressource pour pouvoir lutiliser immdiatement. Le processus, en liminant de passer
chaque fois par un contrleur, est donc plus rapide.
D'un ct le serveur d'authentification ( Authentication Server ) ; de l'autre, le serveur
d'obtention de ticket ( Ticket - Granting Server ). Le serveur d'authentification est
charg de produire les tickets pour le TGS.
Le client fourni un mot de passe, en change duquel le TGS lui donne un ticket ( Ticket -
Granting Ticket ) et la cl de session associe.
Celui-ci est valable en gnral pendant huit heures. Il s'agit de la seule communication
entre le client et le serveur d'authentification. Comme le TGT est le premier ticket obtenu,
il est aussi appel ticket initial . Ensuite, quel que soit le service dont voudra bnficier
le client, il enverra le TGT au TGS afin d'obtenir un ticket ordinaire. Il n'aura donc plus
besoin d'entrer son mot de passe, puisque le KDC et lui- mme partagent la cl de session.
L'utilisateur peut donc simplement adresser un message au TGS, contenant le TGT ainsi
qu'un nouvel authenticator , ce qui l'identifiera immdiatement.
Une cl de session nest valable que pendant la dure de session et est renouvele
chaque nouvelle connexion.
Authentification Kerberos :
Rsolution de nom DNS du KDC
Limplmentation Kerberos de Microsoft utilise la rsolution DNS pour localise le
KDC du domaine (par dfinition, tout contrleur de domaine Windows Server 2003 est
un KDC).
Un KDC Windows Server 2003 est repr par un enregistrement SRV (Service location)
dans le DNS, sous la forme _kerberos._udp.NomDuDomaine.
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
90
Dans un systme Kerberos diffrent dun domaine Windows Server 2003, chaque
machine Windows Server 2003 stocke le nom du serveur KDC dans son registre puis
retrouve ladresse IP par un enregistrement A (hte) dans le DNS.
Le tableau suivant rcapitule les ports utiliss par le serveur Kerberos, ainsi que la
description du service correspondant.
Le protocole V5 permet de grer les algorithmes de manire modulaire, et intgre par
dfaut Triple- DES (cls de 168 bits, contre 56 bits avec DES), qui est bien plus
scurisant et solide. Cependant, le systme de cryptage DES est gard pour des raisons de
compatibilit avec le protocole V4 de Kerberos.
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
91
Architecture de multiples services dauthentification
Le protocole SSL
(Secure Sockets Layer) permet de protger diverses applications, notamment celles
servant naviguer sur le Web, aux requtes LDAP (Lightweight Directory Access
Protocol) et la lecture des News. Ce protocole permet galement aux clients de
messagerie d'authentifier et de rcuprer du courrier lectronique. Il assure la
confidentialit des communications, l'authentification et l'intgrit des messages grce
une combinaison de cls publiques et de cryptage symtrique.
Ce protocole est galement destin aux applications Web qui ont besoin d'une liaison
scurise, telles que les applications de commerce lectronique, ou pour contrler l'accs
aux services Web rservs des abonns.
Protocole TLS
Le protocole TLS (Transport Layer Security) ressemble beaucoup au protocole SSL en ce
qu'il assure aussi la confidentialit des communications, l'authentification et l'intgrit des
messages grce une combinaison de cls publiques et de cryptage symtrique. Il
propose une option qui permet, si ncessaire, de revenir la prise en charge de SSL. Il
existe toutefois d'importances diffrences entre ces deux protocoles. Par exemple, le
protocole TLS accepte des algorithmes de cryptage diffrents de ceux de SSL, et il s'agit
d'un projet de standard IETF (Internet Engineering Task Force). Nombreux sont ceux qui
voient en TLS le successeur vraisemblable et long terme de SSL.
Le standard S/MIME
(Secure Multipurpose Internet Mail Extension) est une extension MIME qui permet
de crypter et de signer numriquement les messages lectroniques circulant entre les
clients de messagerie. Il s'agit dun standard IETF conu pour largir le standard
MIME afin d'offrir des fonctions de messagerie scurises. Les extensions MIME
dfinissent une mthode d'insertion de donnes binaires dans un message
lectronique au format texte. Avec le standard S/MIME, vos pouvez signer
numriquement et crypter le courrier confidentiel circulant entre les clients, quelle
que soit la plate-forme et quel que soit le systme d'exploitation. Le processus de
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
92
cryptage s'effectue sur les ordinateurs clients, et les serveurs de messagerie ne
doivent pas obligatoirement prendre en charge le standard S/MIME.
Comme S/MIME, le protocole PGP
(Pretty Good Privacy) permet de crypter et de signer numriquement le courrier
lectronique circulant entre les clients de messagerie. Ce protocole assure la
confidentialit et l'authentification l'aide de paires de cls prives/publiques. Il est
offert gratuitement ceux qui s'en servent des fins personnelles. Contrairement
S/MIME, le protocole PGP n'est pas contrl par un organisme de standardisation.
Un paquet SMB
(Server Message Block) transporte les donnes d'un fichier entre un client et un
serveur Windows 2000/2003. La signature SMB (ou systme commun de fichiers
Internet [CIFS, Common Internet File System]) assure une authentification
rciproque d'un client et d'un serveur au cours d'une session de communication en
plaant une signature numrique dans chaque bloc SMB. Vous tes ainsi certain que
le client se connecte au serveur appropri et non celui qui tient lieu de serveur
original. La signature SMB permet l'authentification rciproque des ordinateurs
Windows 2000/2003 et Microsoft Windows NT version 4 (Service Pack 3 [SP3] ou
version ultrieure).
La scurit, ce nest pas une technologie, encore moins un
produit, mais un processus sans cesse recommenc.
Quimporte, en effet, la licence de votre logiciel si vous navez pas remplac une
version prsentant des failles ou si vous neffetuez pas rgulirement des
sauvegardes.
La scurit est avant tout affaire de procdures, de comptences et dducation des
utilisateurs.
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
93
` TP raliser.
=======================================================================================
Ouvrez une session en tant que :
Nom : Administrateur
Mot de passe : P@sswrdXXXX
Se connecter : choisir le nom de votre PC (SAM local)
Installer les outils du ressource kit de Windows serveur 2003 (rktools.exe) partir dun partage situ sur la
machine du formateur (lui demander si le partage est ok).
Dmarrer\Excuter : \\ServNet\temp, excuter rktools.exe.
Dmarrer\Excuter : \\ServNet\temp, excuter kerbtray_setup.exe.
Fermer la session et ouvrez de nouveau la session sur le domaine en tant que Marcel, mot de passe P@sswrd1
Menu Dmarrer, puis Excuter, puis Kerbtray.exe (voir icne dans la zone de notification, et le lancer)
Ouvrez une invite de commande et saisissez : klist tickets, puis klist tgt.
Dans la zone de notification faire bouton droit sur le programme kerberos puis list tickets.
Toujours en invite de commande saisissez : setspn L servnet (permet de voir les diffrents spn enregistrs sur le
domaine de bourges (la commande setspn => voir dans CD-ROM dossier Support tools, Suptools.msi).
=======================================================================================
C O N N E X I O N A V E C K E R B E R O S
CENTRE DE FORMATION G E F I - CRETEIL
94
Questions / Rponses
1. Quels sont les risques lis aux donnes sur un rseau ?
Ces risques sont la perte ou la destruction de donnes, ainsi que le vol ou l'utilisation non
autorise de donnes. La perte ou l'utilisation non autorise de donnes entranent une
perte de confiance vis--vis de l'entreprise et une perte de prestige.
2. Quels sont les risques lis aux services sur un rseau ?
Les risques lis aux services sont les attaques de type refus de services qui peuvent
entraner une interruption des accs aux services internes et externes. Ces attaques de type
refus de services peuvent se traduire par une perte en termes de chiffre d'affaires et par
consquent nuire l'image et au prestige de l'entreprise.
3. Quels sont les protocoles utiliss par un systme Windows 2003 Serveur pour
lauthentification des utilisateurs pendant la connexion ?
L'authentification de l'identit des utilisateurs pendant la connexion est la premire tape
pour l'obtention de l'accs au systme. Pour des machines locales ne participant pas
activement un domaine, le protocole Windows NT LAN Manager (NTLM) est toujours
utilis pour vrifier le nom d'un utilisateur et le mot de passe. Cependant, dans des
environnements de domaine Microsoft a coupl des services Active Directory avec la norme
d'industrie naissante pour l'authentification du MIT connu sous le nom de Kerberos.
4. Par quel type denregistrement est reconnu un Serveur AD Windows 2003 ?
Un KDC Windows Server 2003 est repr par un enregistrement SRV (Service location)
dans le DNS, sous la forme _kerberos._udp.NomDuDomaine.
5. Citez quelques caractristiques sur Kerberos ?
Kerberos V est le protocole dauthentification rseau dans AD
Kerberos repose sur la notion de tickets
Cryptographie base de cls secrtes (symtriques)
Authentification mutuelle (client serveur)
Authentification limite dans le temps et anti re-jeux
Amliorations par rapport la V.4 : prise en charge de tickets transfrables, renouvelables
et post-datables
Normalisation IETF
Remplace avantageusement, et est plus performant que NTLM
Supporte la dlgation dauthentification
Permet la mise en uvre de relations dapprobation transitives
Protocoles rseaux mentionns ont t modifie pour supporter Kerberos
Authentification des sessions SMB/CIFS
Authentification des sessions LDAP
Authentification des appels MSRPC
Authentification des mises jour dynamiques de DNS
6. Quel type d'informations un jeton d'accs contient-il ?
Un jeton d'accs contient les identificateurs de scurit (SID, Security Identifier) qui
dfinissent les droits et les privilges des utilisateurs.
Outre votre SID unique, les SID des groupes dont vous tes membre sont stocks dans le
jeton d'accs qui contient toutes les informations associes votre identit et au contexte de
scurit au cours d'une session.
C O N F I G U R A T I O N D E L A M M O I R E V I R T U E L L E
CENTRE DE FORMATION G E F I - CRETEIL
95
CONFIGURATION DE LA MMOIRE VIRTUELLE
Avec la mmoire virtuelle, employez lespace disque pour augmenter la quantit de
mmoire disponible pour le systme. Cette fonctionnalit pour effet de copier le contenu
de la mmoire RAM sur un disque selon un processus nomm pagination : segment de la
RAM, 32 Mo par exemple, est crit sur le disque sous la forme dun fichier dchange
(pagefile.sys) ou il restera accessible en cas de besoin.
Microsoft recommande de crer un fichier dchange pour chaque volume physique du
systme, sur la plupart des systmes lexistance de plusieurs fichiers dchange peut
amliorer les performances de la mmoire virtuelle.
Les disques amovibles nont pas besoin de fichiers dchange.
Pour otimiser les performances du systme, donnez la mme valeur la taillle initiale et
la taille maximale.
Afin dviter les dfragmentations, les tailles maximale et minimale de la mmoire
virtuelle seront identiques, soit 384 (1,5x256) Mo pour 256 Mo de mmoire vive et 192
pour 128 Mo de mmoire vive, toutefois pour les volumes de mmoire RAM plus
important (notamment au-del de 2 Go), il est prfrable de suivre les recommandations
du constructeur.
De cette manire la structure du fichier dchange ne sera jamais modifie et il sera
toujours crit sous forme dun fichier dun seul tenant (si lespace disponible sur le
volume le permet).
C O N F I G U R A T I O N D E L A M M O I R E V I R T U E L L E
CENTRE DE FORMATION G E F I - CRETEIL
96
Microsoft recommande de crer un fichier dchange pour chaque volume physique du
systme. Sur la plupart des systmes, lexistence de plusieurs fichiers dchange peut
amliorer les performances de la mmoire virtuelle. Crez plutt plusieurs petits fichiers
dchange, quun unique fichier de grande taille.
Toutefois, vous amliorerez les performances de Windows en plaant le fichier dchange
sur une partition rserve. Si vous disposez de deux disques durs, mieux vaut crer cet
espace sur lunit la plus vloce. Cette partition sera formate en Fat16 et non NTFS.
C O N F I G U R A T I O N D E L A M M O I R E V I R T U E L L E
CENTRE DE FORMATION G E F I - CRETEIL
97
` TP raliser.
Pour configurer la mmoire virtuelle
======================================================================
1. Ouvrez Gestion de l"ordinateur (local). Pour ouvrir Gestion de l"ordinateur, cliquez sur Dmarrer, puis sur
Panneau de configuration. Cliquez sur Performances et maintenance, sur Outils d"administration, puis
double-cliquez sur Gestion de l"ordinateur.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Gestion de l'ordinateur (local), puis
slectionnez Proprits.
3. Sous l'onglet Options avances, cliquez sur Options de performances et, sous Mmoire virtuelle, cliquez sur
Modifier. 4. Dans la liste Lecteur, cliquez sur le lecteur contenant le fichier de pagination ou fichier d'change
modifier.
5. Sous Taille du fichier d'change pour le lecteur slectionn, entrez la nouvelle taille du fichier d'change en
mgaoctets dans la zone Taille initiale (Mo) ou Taille maximale (Mo) et cliquez sur le bouton Fixer la valeur.
6. Pour de meilleurs rsultats, spcifiez une taille initiale suprieure ou gale la taille recommande figurant sous
Taille totale du fichier d'change pour tous les lecteurs. La taille recommande quivaut 1,5 fois la mmoire
vive de votre systme.
======================================================================
Il est gnralement conseill de laisser au fichier d'change sa taille recommande, mais vous pouvez
l'augmenter pour une utilisation frquente d'applications qui ncessitent une grande quantit de
mmoire. Pour supprimer un fichier d'change, attribuez la valeur zro la taille initiale et la taille
maximale. Si vous diminuez la taille minimale ou maximale du fichier d'change, vous devez
redmarrer votre ordinateur pour vous rendre compte des effets de ces modifications. L'augmentation
de la taille ne demande gnralement pas de redmarrage.
======================================================================
Le fichier dchange est galement utilis pour le dbogage en cas derreur STOP dans le
systme. Si la taille du fichier dchange du disque du systme dexploitation est
infrieure au volume minimal ncessaire pour crire les informations de dbogage, cette
fonction sera dsactive.
Pour pouvoir utiliser le dbogage, vous devez dfinir un fichier dchange de taille au
moins gale la RAM du systme.
Remarque : La mmoire virtuelle est aussi employe pour le stockage dinformations et
notamment le stockage temporaire des mots de passe et dautres donnes rputes
confidentielles. Si vous craignez que quelquun accde ces donnes votre insu, vous
pouvez faire en sorte que le systme les supprime chaque fermeture de session.
Pour cela, ouvrez lditeur de registre :
` TP raliser.
======================================================================
1. Bouton Dmarrer, puis Excuter, puis Regedit, puis localiser la cl
HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagment, puis double-cliquez sur
ClearPageFileAtShutdown et lui donner la valeur de 1.
2. Redmarrer votre PC.
======================================================================
C O N F I G U R A T I O N D E L A M M O I R E V I R T U E L L E
CENTRE DE FORMATION G E F I - CRETEIL
98
Et pour viter que Windows nutilise pour lui-mme cette mmoire virtuelle, affectez la
valeur 1 la cl DisablePagingExecutive (HKEY_LOCAL_MACHINE \SYSTEM\
CurrentControlSet\ Control\ Session Manager\ Memory Manangement\). Toujours
laide de lditeur de registre.
Le noyau de Windows XP/2000/2003 reste alors constamment charg en mmoire vive et
ne souffre plus des lenteurs du disque dur. vitez cette manipulation si vous ne disposez
pas de suffisamment de mmoire vive, car le systme risque de devenir instable: 256 Mo
au minimum, 512 Mo idalement.
C O N F I G U R A T I O N D E L A M M O I R E V I R T U E L L E
CENTRE DE FORMATION G E F I - CRETEIL
99
Questions/Rponses
1. Comment sappelle le fichier dchange pour un systme Windows 2000 et 2003 Server ?
PageFile.sys
2. Que devez vous faire afin doptimiser les performances de votre systme, et limiter les accs
au disque dur ?
Pour otimiser les performances du systme, donnez la mme valeur la taillle initiale et la
taille maximale pour le fichier dchange (de 1,5 2,5 fois la RAM) sur votre disque le plus
rapide, ventuellement vous pouvez ddier une partition au fichier dchange (faon
linux !!) ou bien encore crer plusieurs fichiers dchanges sur plusieurs disques
I N S T A L L E R L E S O U T I L S D ' A D M I N I S T R A T I O N
CENTRE DE FORMATION G E F I - CRETEIL
100
INSTALLER LES OUTILS D'ADMINISTRATION
Le fichier Adminpak.msi installe les outils d'administration Active Directory et d'autres outils
d'administration, y compris le Client Terminal Server et l'Administrateur de cluster. Cela
permettra lutilisateur dadministrer un domaine Active Directory, le serveur DNS, DHCP,
WINS, etc, partir de son poste client.
Domaines et approbations Active Directory
Schma Active Directory
Sites et services Active Directory
Utilisateurs et ordinateurs Active Directory
Autorit de certification
Administrateur de cluster
Kit d'administration de Connection Manager
DHCP
Systme de fichiers distribus
DNS
Service d'authentification Internet
Gestionnaire des services Internet
Contrle d'admission QoS
Gnrateur de disquette d'accs distance (faisant partie des services d'installation
distance)
Stockage tendu
Routage et accs distant
Tlphonie
Gestionnaire des services Terminal Server, Gestionnaire de licences et Gestionnaire
de connexion client
WINS
Installer les Outils d'administration Windows en local.
` TP raliser.
======================================================================
1. Ouvrez une session en local :
Nom administrateur
Mot de passe : P@sswrdXXXX
Se connecter : choisir le nom de votre machine (SAM local)
2. Ouvrez le dossier I386 du CD-ROM Windows 2000/2003 Server appropri. La dernire version des Outils
d'administration Windows 2000/2003 se trouve sur le CD-ROM du Service Pack de Windows 2000/2003 le plus
rcent.
2. Double-cliquez sur le fichier Adminpak.msi (14Mo).
3. Cliquez sur Suivant, puis sur Terminer.
4. Vrifier dans le menu Outils dadministration la prsence de nouveaux programmes pour ladministration du
domaine
======================================================================
U T I L I S A T I O N D U S E C O N D L O G I N
CENTRE DE FORMATION G E F I - CRETEIL
101
UTILISATION DU SECOND LOGIN
l'aide de la commande Excuter en tant que, qui correspond l'ouverture d'une
session secondaire, les administrateurs peuvent ouvrir une session avec un compte non
administratif et, sans fermer la session, effectuer des tches en excutant des programmes
approuvs pour la ralisation de tches administratives.
Pour utiliser la commande Excuter en tant que dans le cadre de l'excution de
tches administratives, les administrateurs systme doivent disposer de deux comptes
d'utilisateur : un compte normal disposant des privilges de base et un compte
administratif. Les administrateurs peuvent avoir chacun un compte administratif
diffrent ou partager le mme compte administratif.
Utilisez la commande Excuter en tant que pour la plupart des activits.
L'ouverture d'une session en tant que membre du groupe Administrateurs peut poser
un problme de scurit. Certains lments, tels que l'Explorateur Windows, le
dossier Imprimantes et les lments du Bureau, sont lancs indirectement par
Windows ; ils ne peuvent pas tre activs l'aide de la commande Excuter en tant
que.
Pour effectuer cette action sans fermer la session et en rouvrir une autre, ouvrez une
session avec un compte d'utilisateur normal et utilisez la commande runas pour
excuter les outils qui ncessitent des autorisations plus tendues.
Pour cela :
Clic droit sur le raccourci de lapplication lancer, slectionnez ensuite dans le menu
contextuel Excuter en tant que afin de lancer lapplication avec des privilge
dadministrateur.
User Account
Process
User Account
Process
User Account
Process
Administrative
Account
Process
User Account
Process
User Account
Process
User Account
Process
Administrative
Account
Process
U T I L I S A T I O N D U S E C O N D L O G I N
CENTRE DE FORMATION G E F I - CRETEIL
102
Vous pouvez aussi utiliser cette commande en invite de commande :
Bouton Dmarrer , puis Excuter
runas /user: domain_name\administrator_account program name
ex : runas /user:GEFIDOM\administrator mmc
ex : runas /user:GEFIGROUP\administrator eventvwr
(Observateur dvenements), saisir le password pour lAdministrateur.
runas [/profile] [/env] [/netonly] /user:nom_compte_utilisateur
program
Paramtres
/profile
Indique le nom du profil de l'utilisateur, s'il doit tre charg.
/env
Spcifie l'emploi de l'environnement rseau actuel au lieu de l'environnement local de
l'utilisateur.
/netonly
Indique que les informations utilisateur spcifies ne servent qu' l'accs distant.
/user:nom_compte_utilisateur
Indique le nom du compte d'utilisateur sous lequel le programme doit tre excut. Le
compte d'utilisateur doit tre spcifi sous le format utilisateur@domaine ou
domaine\utilisateur.
program
Indique le programme ou la commande excuter l'aide du compte spcifi par /user.
U T I L I S A T I O N D U S E C O N D L O G I N
CENTRE DE FORMATION G E F I - CRETEIL
103
Pour gagner du temps, vous pouvez configurer des raccourcis sur le Bureau, associs
la commande Excuter en tant que, vers les outils d'administration que vous
utilisez le plus souvent.
` TP raliser.
========================================================================
Pour configurer un raccourci associ la commande Excuter en tant que vers l'outil Performances :
1. Ouvrez une session ent tant que :
Utilisateur : Administrateur
Mot de passe : P@sswrdXXXX
Domaine : Nom de votre machine (SAM local)
2. Cliquez avec le bouton droit sur le Bureau, pointez sur Nouveau, puis cliquez sur Raccourci.
3. Sur la page Cration d'un raccourci, tapez runas /user:Bourges\administrateur mmc
%windir%\system32\perfmon.msc dans le champ Entrez l'emplacement de l'lment, puis cliquez sur
Suivant. tapez Performances dans le champ Entrez un nom pour ce raccourci, puis cliquez sur Terminer.
4. Double-cliquez sur le raccourci Performance, puis lorsque vous y tes invit, saisir la mot de passe pour
ladministrateur du domaine Bourges.eds : P@sswrd1.
5. Cela fonctionne til ? _______________________________
6. Supprimer le raccourci Performance de votre bureau.
========================================================================
Gestion de l'ordinateur runas /user:bourges\administrateur mmc %windir%\system32\compmgmt.msc
Gestionnaire de runas /user:bourges\administrateur mmc %windir%\system32\devmgmt.msc
priphriques
Utilisateurs et ordinateurs runas /user:bourges\administrateur mmc %windir%\system32\dsa.msc
Active Directory
MMC runas /user:bourges\administrateur mmc
Invite de commandes runas /user:bourges\administrateur cmd
Gestion des disques runas /user:bourges\administrateur mmc %windir%\system32\diskmgmt.msc
Utilisation des Outils dadministration, et utilisation de
Runas
` TP raliser.
======================================================================
a. Ouvrez une session ent tant que :
Utilisateur : Administrateur
Mot de passe : P@sswrdXXXX
Domaine : Nom de votre machine (SAM local)
b. Essayez de lancer lutilitaire Utilisateurs et ordinateurs Active Directory
c. Y parvenez-vous ?
d. Essayez de nouveau, en faisant bouton droit avec la touche SHIFT sur Utilisateurs et ordinateurs Active
Directory, puis en choisissant Excuter en tant que :
Choisir : Lutilisateur suivant
Utilisateur : BOURGES\Administrateur
Mot de passe : P@sswrd1
e. Y parvenez-vous ?
f. Fermer lapplication Utilisateurs et ordinateurs Active Directory
g. Essayez de nouveau, en faisant, Dmarrer, Excuter,
runas /user:bourges\administrateur mmc /a dsa.msc
(saisir le password pour lAdministrateur de bourges)
Remarque : vrifier que le service Ouverture de session secondaire est bien dmarr si cela ne fonctionne
pas (Outils dadministration, icne Services).
======================================================================
C O N F I G U R A T I O N D E L H O R L O G E W I N D O W S
CENTRE DE FORMATION G E F I - CRETEIL
104
CONFIGURATION DE LHORLOGE WINDOWS
La synchronisation des machines et serveurs est assure par l'utilisation du protocol NTP.
L'une des caractristiques principales d'un rseau NTP est sa structure pyramidale. Des
rfrences de temps (signaux radio, GPS) synchronisent des serveurs NTP qui leur sont
directement raccords. Les serveurs de strate 0, qui sont des horloges atomiques. Ce sont
les serveurs de rfrence. Les serveurs de strate 1. Ils se synchronisent sur les serveurs de
strate 0. Leur drive est de 1 seconde pour 10 000 ans... Les serveurs de strate 2. Ils se
synchronisent sur les serveurs de strate 1. Ce sont gnralement des serveurs publics. Les
serveurs de strate 3. Ils se synchronisent sur les serveurs de strate 2. Ce sont gnralement
les serveurs que l'on installe dans une entreprise pour synchroniser tous les ordinateurs du
rseau Les machines de votre rseau local se synchroniseront sur ce serveur NTP de strate
3.Il est recommand de se synchroniser sur trois serveurs. Si la synchronisation sur un des
serveurs choue, votre serveur NTP en utilisera un autre.
Lheure dun systme informatique joue un rle croissant dans linformatique moderne en
raison des mcanismes de cryptage et dauthentification, comme Kerberos qui est utilis
par dfaut dans Windows Server 2003. Avec Kerberos, tous les systmes dun mme
rseau doivent tre rgls sur la mme heure.
C O N F I G U R A T I O N D E L H O R L O G E W I N D O W S
CENTRE DE FORMATION G E F I - CRETEIL
105
Si lcart est trop important entre les horloges, les tickets dauthentification seront
invalids ds quils parviendront leur destination.
Lhorloge interne de chaque ordinateur se drgle toujours lgrement avec le temps et
lutilisateur ou une application peut accidentellement la modifier.
Pour rsoudre ce problme, le service Horloge Windows permet de synchroniser
lordinateur sur une horloge de rfrence (cadence par une horloge atomique comme
time.window.com ou encore comme www.time.gov , ntp.unice.fr etc) ; il en
existe plusieurs accessibles par Internet. Ainsi tous les ordinateurs dune entreprise
peuvent tre synchroniss de faon trs prcise sur lheure internationale (GMT). Voir
dans
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Para
meters\NtpServer = time.windows.com,0x1 et Type = NTP.
***Le service Horloge Windows 2000 utilise une version simplifie du protocole NTP
(Network Time Protocol) nomme SNTP (Simple Network Time Protocol), Windows
Serverveur 2003 utilise quand lui le protocol NTP***.
Par dfaut, il interroge le serveur dautorit toutes les quatres heures. Les valeurs
MinPolInterval et MaxPolInterval, places dans le Registre sous
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Confi
g contrlent cette priodicit.
Les paramtres UpdateInterval et FrequencyCorrectRate, placs dans le Registre
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Confi
g contrlent la vitesse du rattrapage.
Valeurs de Registre pour le service W32Time
AvoidTimeSyncOnWan : REG_DWORD (facultatif)
Empche l'ordinateur de se synchroniser avec un ordinateur d'un autre site.
0 = le site de la source de temps est ignor [valeur par dfaut]
1 = l'ordinateur ne se synchronise pas avec une source de temps d'un autre site
GetDcBackoffMaxTimes : REG_DWORD (facultatif)
Nombre maximum de fois que l'intervalle de recul est doubl lorsque plusieurs tentatives successives de
recherche d'un contrleur de domaine chouent. Un vnement est consign chaque attente de dure
maximale.
0 = l'attente entre plusieurs tentatives successives est toujours minimale et aucun vnement n'est
consign.
7 = [valeur par dfaut]
GetDcBackoffMinutes : REG_DWORD (facultatif)
Nombre initial de minutes attendre avant de rechercher un contrleur de domaine en cas d'chec de la
dernire tentative.
15 = [valeur par dfaut]
LocalNTP : REG_DWORD
Permet de dmarrer le serveur SNTP.
0 = ne dmarre pas le serveur SNTP sauf si l'ordinateur est un contrleur de domaine [valeur par dfaut]
1 = dmarre toujours le serveur SNTP
NtpServer : REG_SZ (facultatif)
NtpServer : REG_SZ (facultatif) Permet de configurer manuellement la source de temps. Utilisez le
nom DNS ou l'adresse IP du serveur NTP qui sert de rfrence lors de la synchronisation. Vous pouvez
C O N F I G U R A T I O N D E L H O R L O G E W I N D O W S
CENTRE DE FORMATION G E F I - CRETEIL
106
modifier cette valeur partir de la ligne de commande l'aide de la commande net time. La valeur par
dfaut est : time.windows.com.
Period : REG_DWORD ou REG_SZ
Permet de contrler la frquence laquelle le service de temps procde une synchronisation. Si vous
spcifiez une valeur de chane, vous devez utiliser l'une des valeurs rpertories ci-dessous. Si vous
spcifiez la valeur de chane sous forme d'un nombre (65535 par exemple), crez une entre
REG_DWORD. Si vous spcifiez la valeur de chane sous forme d'un mot (Bidaily par exemple), crez
une entre REG_SZ.
0 = une fois par jour
65535, "BiDaily" = une fois tous les 2 jours
65534, "Tridaily" = une fois tous les 3 jours
65533, "Weekly" = une fois par semaine (7 jours)
65532, "SpecialSkew" = une fois toutes les 45 minutes jusqu' obtenir 3 synchronisations, puis une fois
toutes les 8 heures (3 par jour) [valeur par dfaut]
65531, "DailySpecialSkew" = une fois toutes les 45 minutes jusqu' obtenir une synchronisation, puis
une fois par jour
freq = frquence fois par jour
ReliableTimeSource : REG_DWORD (facultatif)
Permet d'indiquer que le temps de cet ordinateur est fiable.
0 = n'indique pas que cet ordinateur est une source de temps fiable [valeur par dfaut]
1 = indique que cet ordinateur est une source de temps fiable (utile sur un contrleur de domaine)
Type : REG_SZ
Permet de contrler la manire dont l'ordinateur se synchronise.
Nt5DS = se synchronise avec la hirarchie du domaine [valeur par dfaut] (machine client du domaine
se synchronise avec le contrleur du domaine)
NTP = se synchronise avec une source configure manuellement (machine non client du domaine),
voir entre NtpServer
NoSync = ne synchronise pas le temps
Le paramtre Nt5DS ne peut pas utiliser une source configure manuellement.
Les valeurs Adj et msSkewPerDay permettent de prserver les informations relatives
l'horloge d'un ordinateur entre chaque redmarrage. Ne modifiez pas ces valeurs
manuellement.
Le protocole SNTP et NTP emploie UDP comme couche transport, sur le port 123.
Si ce port nest pas ouvert sur Internet au niveau du pare-feu, il ne sera pas possible
de synchroniser lordinateur sur une horloge de rfrence sur Internet.
Ici 992, correspond linstance svchost.exe lie au service w32time.
Dans un domaine, un contrleur de domaine est automatiquement slectionn pour
devenir source dautorit de lheure sur le domaine.
Si ce serveur devient indisponible, un autre contrleur de domaine prend le relais. Il nest
pas possible de modifier la configuration de lHorloge Windows. Si vous souhaitez avoir
un meilleur contrle de lheure dans un domaine, vous devez installer des composantes
C O N F I G U R A T I O N D E L H O R L O G E W I N D O W S
CENTRE DE FORMATION G E F I - CRETEIL
107
complmentaires, il en existe deux principaux qui sont : Client Windows NTP et
Serveur Windows NTP.
Tout systme Windows Server 2003 peut fonctionner comme client Windows NTP ou
comme serveur Windows NTP, ces deux rles pouvant tre jous simultanment.
Le mme serveur Windows NTP peut tre configur comme client afin quil puisse se
synchroniser sur un serveur de rfrence sur Internet.
Lactivation et la configuration des rles client Windows NTP et serveur Windows NTP
seffectuent via la stratgie de groupe, sous Configuration ordinateur\Modles
dadministration\Systme\Service Horloge Windows.
Ou dans le registre :
Pour activer/dsactiver le service Horloge Windows
======================================================================
1). Double-cliquez sur Date et heure dans le panneau de configuration et slectionnez longlet Temps Intenet.
2). Pour activer le service de synchronisation, cochez la case Synchroniser automatiquement avec un serveur
de temps Internet, et choisissez le serveur que vous souhaitez utiliser. Pour spcifier un serveur, tapez
simplement son nom DNS complet dans le champ Serveur. Vrifiez ensuite dans lutilitaire Services que le
service Horloge Windows fonctionne.
3). Cliquez sur OK
C O N F I G U R A T I O N D E L H O R L O G E W I N D O W S
CENTRE DE FORMATION G E F I - CRETEIL
108
Remarque : longlet Temps Internet napparat plus si vous tes en Domaine => il faudra passer
par une stratgie de groupe et la base de registre.
====================================================================
L'mulateur PDC du domaine racine de la fort devrait synchroniser son horloge avec un
serveur de temps externe ou vous pouvez le laisser "tel quel".
Afin de spcifier un serveur de temps externe, utiliser la commande net time
/SETSNTP: liste_serveurs_NTP.
Cette liste peut contenir des adresses IP ou des noms DNS, spars par des espaces. Si
vous utilisez plusieurs serveurs de temps, vous devez entourer la liste de guillemets
Sur les Windows 2003 DCs, vous pouvez utiliser la commande
C:\>w32tm /config /manualpeerlist: timeSrvName /update
Sur des DC Windows 2003, pour mettre hors service la synchronisation avec un serveur
de temps externe, vous pouvez mettre la valeur dans le registre Parameters\Type
Nosync, effacer la valeur Parameters\NtpServer et arrter le Client NTP en mettant la
valeur TimeProviders\NtpClient\Enabled a zro).
Sous Windows, les stratgies correspondantes se retrouvent en parcourant :
- Racine de la console/Stratgie ordinateur local/Configuration ordinateur/Modles
dadministration/Systme/Service de temps Windows
Remarque : Les serveurs DHCP peuvent fournir aux clients DHCP loption NTP
Servers (42).
Qui permet de spcifier en ordre de prference ladresse IP des serveurs Network Time
Protocol (NTP) pour les clients.
Votre pare-feu personnel ou celui du rseau empche la synchronisation de l'horloge. La
plupart des pare-feu d'entreprise ou d'organisation empchent la synchronisation de
l'horloge, de mme que certains pare-feu personnels. Pour les ordinateurs domicile, il
est conseill de lire la documentation du pare-feu pour plus d'informations sur le
dblocage du protocole de temps rseau (NTP). En principe vous devriez tre en mesure
de synchroniser l'horloge si vous basculez vers le pare-feu de connexion Internet
Microsoft.
C O N F I G U R A T I O N D E L H O R L O G E W I N D O W S
CENTRE DE FORMATION G E F I - CRETEIL
109
Sur les machines Windows 2000 ou XP :
Par dfaut le "Windows Time Service" est lanc (W32Time)
Il lance en fait la commande : svchost.exe -k netsvcs
Ce service est capable de "causer" le protocole SNTP (simple network time protocol)
Pour configurer un serveur de temps NTP, il faut utiliser la commande (en admin) :
c:\>NET TIME /SETSNTP:"ip_serveur1 ip_serveur2 ...."
Cette command va juste modifier la registry en ajoutant ces serveurs. Vous pouvez mettre
l'ip de votre passerelle comme serveur, puisque le routeur est serveur NTP)
ex: NET TIME /SETSNTP:195.220.226.254 (les " sont ncessaires si vous avez + d'un
serveur)
ensuite, pour lancer une synchro, redmarrez le service :
c:\>NET STOP W32Time
c:\>NET START W32Time
la machine devrait ce synchroniser en quelques secondes si le serveur est accessible.
Vous pouvez lister les serveurs de temps configur avec un :
c:\>NET TIME /QUERYSNTP
Apres ca, il n'y a plus rien a faire et le service ce lancera a chaque dmarrage de la
machine (avec le compte system, donc pas de problme de droit)
Sous XP :
C'est encore plus simple mettre en place, puisque lorsque vous double-cliquez sur
l'horloge, la fentre qui s'ouvre possde un onglet "Temps Internet". Il suffit de mettre son
serveur cet endroit.
Le service "W32Time" est configur par dfaut pour ce re-synchroniser toutes les 45
minutes cela 3 fois de suite.
Si les 3 fois le serveur a rpondu la requte, le service passe une synchro toutes les 8
heures. (si le serveur ne rpond plus, il repasse en "mode" 45 minute).
Synchroniser lhorloge de son ordinateur
` TP raliser.
======================================================================
****Le serveur du domaine Bourges (ServNet) doit avoir au dpart une heure diffrente de votre machine, indiquer
ici lheure : ______________________
a. Ouvrez une session ent tant que :
Utilisateur : Administrateur
Mot de passe : P@sswrd1
Domaine : Bourges (Vous tes donc client du domaine)
Indiquer ici lheure de votre machine : ________________________
b. Ouvrez une ligne de commande, puis saisissez : C:\> net time /domain:bourges /set /y
c. vrifier que votre heure est identique celle du contrleur de domaine Bourges.
****Le serveur du domaine Bourges (ServNet) doit avoir au dpart une heure diffrente de votre machine, indiquer
ici lheure : ______________________
d. Ouvrez une ligne de commande, puis saisissez : C:\> w32tm /config /manualpeerlist: bourges /update
e. C:\> net stop w32time && net start w32time
f. Excutez la commande suivante sur les ordinateurs autres que le contrleur de domaine afin d'ajuster l'heure
des ordinateurs locaux sur celle du serveur de temps : w32tm -s
g. Vrifier que votre heure est identique celle du contrleur de domaine Bourges.
h. Saisir en invite de commande : net time /querysntp, vrifiervotre serveur NTP : __________________
i. Vrifier celle-ci dans le Registre : HKLM\System\CurrentControlSet\Services\W 32Time\Parameters =>
NtpServer=Bourges
C O N F I G U R A T I O N D E L H O R L O G E W I N D O W S
CENTRE DE FORMATION G E F I - CRETEIL
110
j. Vrifier dans le Registre : HKLM\System\CurrentControlSet\Services\W 32Time\TimeProviders\NtpClient =>
Enable=0x00000001 (vous tes client sntp)
k. Vrifier dans le Registre : HKLM\System\CurrentControlSet\Services\W 32Time\TimeProviders\NtpServer
=> Enable=0x00000000 (vous ntes pas serveur sntp)
Remarque : Sur le serveur SNTP (machine du formateur), NtpServer => Enable=0x00000001
l. Quaffiche la commande suivante : w32tm /tz _____________________________________________
m. Essayer la commande suivante : w32tm /stripchart /computer :Servnet permet de mesurer le dcalage horaire
entre votre machine et la machine rfrente (ici ServNet). Faire CTRL+C pour arrter la squence.
m. Essayer la commande suivante : w32tm /resync, permet de synchroniser un Client de temps avec un
serveur de temps (uniquement si vous tes client du domaine).
Remarque : La commande w32tm /config /syncfromflags:manual /manualpeerlist:PeerList puis w32tm
/config /update permet de synchroniser le serveur de temps Interne avec un serveur de temps Externe.
======================================================================
G E S T I O N D U S Y S T M E W I N D O W S
CENTRE DE FORMATION G E F I - CRETEIL
111
GESTION DU SYSTME WINDOWS
Souvent lorsque vous tes en train de travailler sur lordinateur dun utilisateur ou un serveur
distant, vous devez examiner quelques informations sur le systme, comme qui est
actuellement connect, lheure systme, localiser certains fichiers etc .
Voici quelques commandes qui pourront vous aider dans votre tche quotidienne.
` TP raliser.
======================================================================
a. Ouvrez une session ent tant que :
Utilisateur : Administrateur
Mot de passe : P@sswrd1
Domaine : Bourges (Vous tes donc client du domaine)
b. Ouvrez une ligne de commande, puis saisissez : C:\> whoami (personne actuellement connect)
c. Saisir ensuite la commande suivante : C:\> where /T /R c:\Windows *.dll (localiser un fichier)
======================================================================
d. Saisir ensuite la ligne de commande : C:\> systeminfo (affiche toutes les infos systmes)
======================================================================
Gestion des processus
e. Saisir la commande suivante : C:\> tasklist (affiche tous les processus en cours dexcution)
f. Saisir la commande suivante : C:\> tasklist /s Nom_Machine_Voisin /u Bourges\administrateur /p P@sswrd1
(affiche tous les processus en cours dexcution sur une machine distante)
g. Saisir la commande suivante : C:\> tasklist /Svc /s Nom_Machine_Voisin /u Bourges\administrateur /p
P@sswrd1 (affiche tous les processus en cours dexcution mis en relation avec les services sur une machine
distante)
h. Saisir la commande suivante : C:\> tasklist /m winspool.drv (affiche tous les processus en cours dexcution
qui utilise ce driver)
i. Saisir la commande suivante : C:\> tasklist /fi Username eq administrateur (affiche tous les processus
lancs par ladministrateur)/
j. Saisir la commande suivante : C:\> tasklist /fi MemUsage gt 2000 (affiche tous les processus lancs qui
utilisent plus de 2000 KB)
k. Saisir la commande suivante : C:\> tasklist /fi CPUTime gt 00:00:20 (affiche tous les processus lancs depuis
plus de 20 sec)
l. Saisir la commande suivante : C:\> tasklist /fi SESSIONNAME Console /fi CPUTime gt 00 :00 :20 (affiche
tous les processus lancs sur la console, et sont lancs depuis plus de 20 sec)
======================================================================
m. Saisir la commande suivante : C:\> start /MIN notepad.exe (dmarre le bloc notes rduit dans la barre de
tches).
n. Saisir la commande suivante : C:\> tasklist /fi Imagename eq notepad.exe (affiche le processus du bloc
notes), indiquer ici son PID : ________________
o. Saisir la commande suivante : C:\>taskkill /f /pid NPID (ex : taskkill /pid 2492, /f force sarrter le processus
spcifi)
Remarque :
C:\> taskkill /im cmd.exe /fi status eq not responding (arrte tous les processus ayant comme nom CMD.EXE
et ne fonctionnant plus)
C:\> taskkill /fi PID gt 4 /fi status eq not responding (arrte tous les processus ayant un PID suprieur 4
et ayant comme tat : ne fonctionnant plus)
p. Saisir la commande suivante : C:\> start /MAX notepad.exe (dmarre le bloc notes agrandi).
q. Saisir la commande suivante : C:\> tasklist /fi Imagename eq notepad.exe (affiche le processus du bloc
notes), indiquer ici son PID : ________________
r. Saisir la commande suivante : C:\>taskkill /t /pid NPID (ex : taskkill /t /pid 2492, /t (arrte le processus spcifi
ainsi que tous les processus parents et dpendances.)
s. Saisir la commande suivante : C:\> taskkill /fi modules eq winspool.drv (arrte tous les processus utilisant la
DLL Winspoll.drv, observer le rsultat )
======================================================================
a. Saisir la commande suivante : C:\> driverquery (affiche la liste des pilotes installs)
b. Saisir la commande suivante : C:\> driverquery /v (affiche la liste des pilotes installs, mode verbose)
c. Saisir la commande suivante : C:\> driverquery /SI (affiche la liste des pilotes installs, signs)
======================================================================
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
112
CONNEXION DES DOSSIERS PARTAGS
A). Pour vous connecter un dossier partag en utilisant Favoris rseau,
procdez comme suit :
1. Ouvrez Favoris rseau partir du bouton dmarrer (si pas visible : proprits du bouton dmarrer, puis
personnaliser, puis onglet Avanc, vrifier que Favoris rseau est coch) et double-cliquez sur Ajout d'un Favori
rseau.
2. Dans la page Bienvenue de l'Assistant Ajout d'un Favori rseau, cliquez sur Suivant.
3. Dans la page O voulez-vous crer cet emplacement rseau ?, cliquez sur Choisissez un autre emplacement rseau,
puis sur Suivant.
4. Dans la page Quelle est l'adresse de cet emplacement rseau ?, tapez le chemin UNC du dossier partag ou
cliquez sur Parcourir.
a. Si vous cliquez sur Parcourir, dveloppez Tout le rseau.
b. Dveloppez Rseau Microsoft Windows.
c. Dvelopper le domaine et le serveur auxquels vous voulez vous connecter.
d. Cliquez sur le dossier partag ajouter, puis sur OK.
5. Cliquez sur Suivant.
6. Dans la page Quel nom voulez-vous attribuer cet emplacement ?, tapez le nom de l'emplacement de rseau,
puis cliquez sur Suivant.
7. Dans la page Fin de l'assistant Ajout d'un Favori rseau, cliquez sur Terminer.
B). Pour vous connecter un dossier partag en utilisant Favoris rseau,
procdez comme suit :
1. Cliquez avec le bouton droit sur Favoris rseau, puis cliquez sur Connecter un lecteur de rseau.
2. Dans la zone Lecteur de la bote de dialogue Connecter un lecteur rseau, slectionnez l'unit utiliser.
3. Dans le champ Dossier, tapez le nom du dossier partag auquel vous voulez vous connecter ou cliquez sur
Parcourir.
4. S'il s'agit d'un dossier partag qui sera frquemment utilis, activez la case cocher Se reconnecter l'ouverture
de session pour vous connecter automatiquement au dossier partag ds que vous ouvrez une session.
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
113
C). Lorsque vous utilisez la commande Excuter du menu Dmarrer pour vous
connecter une ressource du rseau, aucune lettre de lecteur n'est ncessaire.
Ainsi, vous pouvez vous connecter au dossier partag un nombre illimit de fois, indpendamment des lecteurs
disponibles.
1. Cliquez sur Dmarrer, puis sur Excuter.
2. Dans la bote de dialogue Excuter, tapez un chemin UNC (\\Serveur\Partage), puis cliquez sur OK.
Lorsque vous entrez le nom du serveur, la liste des dossiers partags disponibles apparat. Windows Server 2003
vous donne la possibilit de choisir l'une des entres en fonction des dossiers partags disponibles.
Comment rendre un partage invisible ?
Lors de la cration dun partage rajouter la fin du nom de partage le signe $, ex : toto$
De mme pour y accder, ex : bouton Dmarrer , puis Excuter , Tapez un
nom UNC
\\nom d'ordinateur\toto$
Rien ne peut tre cach ladministrateur, quon se le dise. Loutil Gestion de
lordinateur permet dafficher tous les partages, sur nimporte quel ordinateur ayant
adhr au domaine. Cet outil permet aussi den crer ouden supprimer
Utilisation des dossiers partags d'administration
Les dossiers partags d'administration permettent aux administrateurs de raliser des
tches administratives : bouton droit sur la poste de travail, puis grer
Les dossiers partags d'administration sont masqus aux utilisateurs sans droits
administratifs
Par dfaut, les administrateurs disposent de l'autorisation Contrle total.
Windows cre automatiquement des partages spciaux pour les tches administratives et
le systme.
Appels ainsi car rservs aux membres du groupe Administrateurs , ces partages ont
plusieurs rles :
- Certains services sappuient sur ces partages pour changer des donnes. Il est
dconseill de les supprimer.
- Ladministrateur peut sen servir pour atteindre nimporte quel lecteur de
nimporte quel ordinateur. Cest un avantage du point de vue de ce dernier !.
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
114
- Certaines applications sen servent aussi.
- Ces partages administratifs sont automatiquement recrs sils sont supprims.
Une cl dans le registre permettra de sen affranchir tout en apportant certainement des
problmes futurs cause des utilisations cites ci-dessus.
- Plusieurs partages sont aussi possibles pour les racines des lecteurs.
Lecteur$ (C$, D$...)
Rpertoire racine d'un priphrique de stockage sur l'ordinateur (nom des disques
durs).
Seuls les membres des groupes Administrateurs, Oprateurs de sauvegarde et
Oprateurs de serveur peuvent se connecter ce type de partage.
ADMIN$
Ressource utilise par le systme pendant l'administration distance d'un ordinateur.
Seuls les membres des groupes 'Administrateurs', 'Oprateurs de sauvegarde' et
'Oprateurs de serveur' peuvent se connecter ce partage.Donne accs au rpertoire
%SystemRoot% du systme dexploitation.
IPC$
Ressource partageant les 'Canaux Nomms' essentiels la communication entre les
programmes distants et lexamen de ressources partages.
PRINT$
Ressource qui prend en charge les imprimantes partages en donnant accs aux pilotes
dimpression.
Ce rpertoire correspond \Windows\System32\Spool\Drivers, il contient tous les drivers
dimprmantes installes sur le serveur.
REPL$
Ressource cre par le systme lorsqu'un ordinateur Windows Server 2003 est configur
en tant que serveur d'exportations de duplications.
NETLOGON
Ressource utilise par le 'Service Accs rseaux' sur les 'Contrleurs de Domaine' pour
traiter les demandes de connexion aux domaines (ouverture de session et permet
dmettre des requtes entre machines pour connaitre les rssources disponibles).
Correspond au rpertoire \Windows\Sysvol\Sysvol\Scripts (pour Windows 2000/2003).
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
115
SYSVOL
Prend en charge Active Directory. Ce partage est utilis pour stocker les donnes et les
objets pour Active Directory. Cest le rpertoire \Windows\Sysvol\Sysvol, qui contient
les strategies de groupes ainsi que les classiques scripts douverture de session (logon
scripts).
FAX$
Prend en charge les tlcopies rseau, ce partage est utiliser par les clients de tlcopies
lors denvoie de tlcopies.
Remarque : Pour dsactiver les partages administratifs de Windows Server 2003,
affectez la valeur 0 au paramtre suivant
Profitons-en pour supprimer les partages "Administratif" par dfaut "C$ et ADMIN$"
Pour un serveur dans HKLM\CurrentControlSet\Services\
LanManServer\Parameters, mettez AutoShareServer 0.
Pour une station de travail mettez AutoShareWks 0.
Si l'entre n'est pas prsente dans la Base de Registres, ajoutez une valeur de type
REG_DWORD.
La valeur 0 dsactive le partage et la valeur 1 (valeur par dfaut) l'active.
Cette entre n'affecte pas les partages dfinis manuellement.
Cependant, ces partages sont l pour que votre machine puisse tre administre par les
serveurs, alors si vous les dtruisez les administrateurs systmes pourraient avoir leur mot
dire !
Affichage de sessions dutilisateurs et ordinateurs.
La console Gestion de lordinateur (bouton droit sur Poste de travail, puis Grer) peut
assurer le suivi de toutes les connexions aux ressources partages sur un systme
Windows Server 2003. Ds quun utilisateur ou un ordinateur se connecte une ressource
partage, la connexion est liste dans le nud Sessions.
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
116
Pour afficher les connexions aux ressources
partages
======================================================================
1). Dans Gestion de lordinateur, connectez-vous lordinateur sur lequel se trouve le partage.
2). Dans larborescence de la console, dvelopez Outils systme et Dossiers partages, puis slectionnez
Sessions.
3). Vous pouvez voir maintenant les utilisateurs et les ordinateurs connects aux partages.
======================================================================
Le nud Sessions vous donne des infos importantes sur les connexions des utilisateurs et des
ordinateurs. Ces infos sont les suivantes :
Utilisateur. Noms des utilisateurs ou des ordinateurs connects aux ressources
partages. Le noms dordinateurs sont affichs avec un suffixe $ que les diffrencie des
utilisateurs.
Ordinateur. Adresse IP de lordinateur utilis.
Type. Type dordinateur utilis.
Nombre de fichiers ouverts. Nombre de fichiers avec lequel lutilisateur
travaille. Pour en savoir plus, accdez au nud Ouvrir les fichiers.
Dure de connexion. Temps coul depuis la connexion.
Dure dinactivit. Temps coul depuis la dernire utilisation de la connexion.
Invit. Indique si lutilisateur a ouvert une session en tant quinvit.
L'onglet "Partage" n'est pas visible :
Rendez vous dans la configuration des services (SERVICES.MSC) et dmarrez le
service "Serveur"
Pour voir les utilisateurs connects ainsi que les fichiers ouverts :
Dmarrer > Excuter : FSMGMT.MSC
La gestion des sessions et des partages est une tche administrative courante. Av darrter
un serveur ou une application qui sexcute sur un serveur, vous pouvez dconnecter les
utilisateurs des ressources partages. Vous pouvez galement avoir besoin de dconnecter
les utilisateurs pour plusieurs raisons : modifier les autorisations daccs, supprimer
totalement un partage ou mettre fin au verrouillage des fichiers. Vous dconnectez les
utilisateurs des ressources partages en fermant leurs sessions.
Remarque : Noubliez pas que vous dconnectez les utilisateurs des ressources
partages mais pas du domaine. Vous ne pouvez obliger les utilisateurs mettre fin leur
session sur le domaine qu laide des horaires daccs et de la stratgie de groupe. Les
dconnecter ne met donc pas fin leur session sur le rseau, mais les dconnecte
simplement des ressources partages.
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
117
` TP raliser.
Crer une console MMC personnalise pour grer et
analyser les dossiers partags sur plusieurs serveurs
======================================================================
1. Ouvrez une session sur le domaine : Bourges avec le compte Marcel et le mot de passe P@sswrd1.
2. Dans le menu Dmarrer, cliquez sur Excuter.
3. Dans la bote de dialogue Excuter, tapez mmc et cliquez sur OK.
4. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter,
puis ajoutez un composant logiciel enfichable Gestion de l'ordinateur, puis Ajouter vrifier que loption ordinateur
local est slectionn, puis Terminer.
5. Slectionner de nouveau gestion de lordinateur, puis cliquez de nouveau sur Ajouter, slectionner un autre
ordinateur, cliquez sur Parcourir puis Avanc et Rechercher slectionner servnet, puis OK et OK Terminer puis
Fermer et OK.
6. Dans l'arborescence de l'outil Gestion de l'ordinateur (local), dveloppez Outils systme, dveloppez Dossiers
partags, puis cliquez sur Partages.
7. Dterminez si vous pouvez analyser les dossiers partags de votre ordinateur : _____________________
8. Dans l'arborescence de l'outil Gestion de l'ordinateur (Bourges), dveloppez Outils systme, dveloppez
Dossiers partags, puis cliquez sur Partages.
9. Dterminez si vous pouvez analyser les dossiers partags de l'ordinateur Bourges : _________________
10. Enregistrez la console sur le Bureau sous MMC1.
11. Fermez MMC1.
12. l'aide de la commande Excuter en tant que, ouvrez MMC1 en tant qu'utilisateur suivant :
bourges\administrateur de domaine.
13. Vrifiez que vous pouvez analyser les partages sur l'ordinateur local et sur l'ordinateur Bourges.
14.Fermer MMC1
======================================================================
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
118
Cration dun lecteur rseau, et se connecter une
ressource partage
` TP raliser.
Dans cet exercice, vous allez travailler avec votre partenaire (dsign par le formateur) afin
de raliser les lments ci-dessous : (exercice raliser par les 2 partenaires)
======================================================================
a. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : Administrateur
Mot de passe : P@sswrdXXXX (de votre SAM local)
Domaine : choisir le nom de votre machine
b. Lancer l'Explorateur, puis bouton droit sur le dossier C:\temp (le crer sil nexiste pas), slectionner Partage et
scurit....
c.Onglet Partage, cochez Partager ce dossier, puis mettre comme :
Nom de partage : Temp1
Description : Partage visible sur le rseau
Nombre maximal d'utilisateurs : cochez Nombre d'utilisateurs autoriss, et mettre comme valeur :2.
(ne pas toucher aux autres boutons concernant la scurit NTFS)
c. Faire Appliquer, puis OK
d. Vrifier par l'Explorateur qu'une main est apparue sur le dossier TEMP
e. Toujours via l'Explorateur, dvelopper Favoris rseau, puis Tout le rseau, puis Rseau Microsoft Windows,
slectionner le nom de votre Domaine (Bourges), puis celui de votre nom Machine.
f. Voyez-vous le partage Temp1 qui correspond votre ressource C:\Temp ?
g. Faire de nouveau Proprits de C:\temp, slectionner Partage et scurit....
h. Onglet Partage, puis Nouveau Partage
Nom du partage : Temp2$
Description : Partage invisible sur le rseau
Nombre maximal d'utilisateurs : cochez Nombre d'utilisateurs autoriss, et mettre comme valeur : 2.
i. Puis OK, et OK.
Toujours via l'Explorateur, dvelopper Favoris rseau, puis Tout le rseau, puis Rseau Microsoft Windows,
slectionner le nom de votre Domaine (Bourges), puis celui de votre nom Machine.
Voyez-vous le partage Temp2$ qui correspond votre ressource C:\Temp ? : _______________
Crer un utilisateur Bob sur votre SAM local
J. Bouton dmarrer, puis bouton droit sur Poste de travail, puis Grer, puis dvelopper Utilisateurs et groupes
locaux, puis Utilisateurs, bouton droit, Nouvel utilisateur
Nom dutilisateur : Bob
Mot de passe : P@sswrd1
Confirmer le mot de passe : P@sswrd1
Dcocher : Lutilisateur doit changer de mot de passe la prochaine ouverture de session puis cliquez sur
Crer, cliquez sur Fermer pour fermer la bote de dialogue Nouvel utilisateur, fermez la console Gestion de
l'ordinateur.
Remarque : Demander votre partenaire si celui-ci a terminer sa partie, si oui vous pouvez continuer
le TP.
j. Toujours via l'Explorateur, bouton droit sur Favoris rseau, puis Connecter un lecteur rseau.
k. Dans Lecteur choisissez une lettre pour le lecteur rseau comme par exemple Z : , dans Dossier
choissez le nom UNC de la ressource distante comme par exemple \\Nom_Machine_Partenaire\Temp1 ,
(attention si vous cochez la case Se reconnecter l'ouverture de session, le lecteur sera de nouveau
disponible au dmarrage du PC aprs authentification par le mot de passe).
l. Slectionner Se connecter sous un nom d'utilisateur diffrent, dans
Nom d'utilisateur mettre : Bob
Mot de passe : P@sswrd1
m. Puis Terminer.
Normalement dans lexploreur vous devez avoir un lecteur qui apparat (Z :) qui pointe sur la ressource distante ?.
n. Bouton Dmarrer, puis Excuter..., puis \\Nom_Machine_Partenaire\Temp2$, puis OK.
o.Identifiez-vous par
** demand : Nom d'utilisateur mettre : Bob
Mot de passe : P@sswrd1
Accdez-vous la ressource cache du partenaire?
======================================================================
Fermeture de sessions Individuelles
1). Dans Gestion de lordinateur, connectez-vous lordinateur sur lequel se trouve le partage.
2). Dans larborescence de la console, developpez Outils systme et Dossiers partags, puis slectionnez
Sessions.
3). Cliquez-droit sur les sessions dutilisateurs auxquelles mettre fin, puis choisissez Fermer la session.
4). Cliquez sur OK pour confirmer lopration.
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
119
Arrt des partages de fichiers ou de dossiers
Pour arrter le partage dun dossier :
1). Dans Gestion de lordinateur, connectez-vous lordinateur sur lequel se trouve le partage et accdez au
nud Partages.
2). Cliquez-droit sur le partage supprimer, puis choisissez Arrter le partage. Cliquez sur OK pour
confirmer lopration.
Si vous prfrez crer un rpertoire partag, en mode texte
Excutez la commande C.-\> net share.
Cette commande affiche tous les partages locaux administratifs (cachs), et non cachs.
Dans l'exemple ci-aprs, le rpertoire Projets accepte 25 connexions simultanes et le
commentaire est lgrement diffrent de celui de l'exemple prcdent :
C :\> net share projets=d:\projets /users:25/remark: Dveloppement Server 2003
Vous pouvez galement modifier les proprits d'un partage l'aide de cette mme
commande. Par exemple, le rpertoire partag projets accepte un nombre illimit de
connexions dans la premire commande, ce qui supprime la limite de 25, alors que le
partage est dsactiv dans la deuxime :
C:\> net share projets /unlimited
(Spcifie un nombre illimit d'utilisateurs autoriss accder simultanment la
ressource partage)
C:\> net share projets /delete
(supprime le partage projets)
C:\> net share liste="c:\liste images"
(Pour partager un rpertoire avec un chemin contenant un espace, placez le lecteur ainsi
que le chemin d'accs du rpertoire entre guillemets)
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
120
Utilisation de la commande NET SHARE
` TP raliser.
==============================================================================
a. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : Administrateur
Mot de passe : P@sswrdXXXX (de votre SAM local)
b. Bouton Dmarrer, puis Excuter..., puis cmd.
c. tapez net share
d. Indiquer les diffrents partages que vous voyez ?
e. Supprimer le partage Temp2$ qui correspond votre ressource C:\Temp ?
par la commande : .
f. recrez de nouveau ce partage en ligne de commande pour 12 utilisateurs maximum, ayant comme
commentaire : ceci est un partage cach.
par la commande : .
==============================================================================
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
121
UTILISATION DE LA COMMANDE NET USE
Connecte ou dconnecte une ressource partage
Pour tablir une connexion sous un nom d'utilisateur et un mot de passe valides
l'invite de commandes, ajoutez vos noms d'utilisateur et mot de passe sur la ligne de
commande en tapant ce qui suit :
/user: nom_d'utilisateur mot_de_passe
Par exemple, pour utiliser le lecteur G afin de vous connecter sous le nom Annie et le mot
de passe Guimauve au rpertoire \donnees\mesdonn du volume Thor qui se trouve sur un
serveur appel Nw4, tapez ce qui suit :
C: \> net use G: \\nw4\thor\donnees\mesdonn /user:annie guimauve
C: \> net use K: \\pele\kona /user:chavez * /persistent:Yes
Par dfaut, les connexions de lecteur rseau disparaissent d'une session une autre. Avec
l'option /persistent:yes, l'option par dfaut de la commande net use a un caractre
permanent jusqu' ce queue soit explicitement change.
La commande ci-aprs supprime la connexion du partage au lecteur j:
C: \ > net use J: /delete
La commande ci-aprs affiche la liste des ressources partages distantes auxquelles
l'ordinateur local est connect.
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
122
Exercice sur la commande NET USE
` TP raliser.
==============================================================================
a. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : Administrateur
Mot de passe : P@sswrdXXXX (de votre SAM local)
b. Bouton Dmarrer, puis Excuter..., puis cmd.
c. tapez net use
d. Indiquer les diffrents lecteurs rseau que vous voyez ?
e. Supprimer le lecteur rseau z : qui correspond votre ressource \\Nom_Machine_Partenaire\Temp1 ,?
par la commande : .
f. recrez de nouveau ce lecteur en ligne de commande ayant comme lettre de lecteur rseau r :, nom de login
Bob, mot de passe : P@sswrdXXXX sur la ressource de votre partenaire.
par la commande : .
==============================================================================
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
123
Utilisation de la commande NET VIEW
Affiche la liste des machines de votre Workgroup ou Domaine.
Comment visualisez les ressources partages d'une machine distante ?
C:\> net view \\nom de la machine
Evidemment vous ne vrer pas les partages cachs.
Comment gnrer une liste complte des comptes d'ordinateurs du domaine ?
C:\>net view /DOMAIN:nom du domaine >liste.txt
Cette syntaxe vous gnerera un fichier "liste.txt" contenant la liste complte des machines
de votre domaine.
Exercice sur la commande NET VIEW
` TP raliser.
==============================================================================
a. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : Administrateur
Mot de passe : P@sswrd1
Domaine : Bourges
b. Bouton Dmarrer, puis Excuter..., puis cmd.
c. tapez net view
Que voyez-vous ?
d. Tapez net view \\Nom_VOTRE_MACHINE
Que voyez-vous ?
e. Tapez net view /domain:bourges
Que voyez-vous ?
==============================================================================
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
124
NET START
Dmarre un service sur le systme.
net start [service]
Tapez net start sans paramtre pour afficher la liste des services en cours.
Service comprend :
alerter, client service for netware, clipbook server, content index, computer browser,
dhcp client, directory replicator, eventlog, ftp publishing service, hypermedia object
manager, logical disk manager, lpdsvc, media services management, messenger, Fax
Service, Microsoft install server, net logon, network dde, network dde dsdm, nt lm
security support provider, ole, plug and play, remote access connection manager,
remote access isnsap service, remote access server, remote procedure call (rpc)
locator, remote procedure call (rpc) service, schedule, server, simple tcp/ip services,
site server ldap service, smartcard resource manager, snmp, spooler, task scheduler,
tcp/ip netbios helper, telephony service, tracking service, tracking (server) service,
ups, Windows time service et workstation.
Les services suivants sont disponibles uniquement sur Windows Server : file service for
macintosh, gateway service for netware, microsoft dhcp service, print service for
macintosh, windows internet name service.
NET STOP
Arrte un service sur le systme.
Tapez net start sans paramtre pour afficher la liste des services en cours.
Graphiquement vous pouvez passer par Administrative Tools , Services ;
slectionner un service puis bouton droit et choisissez soit Stop ou Start (cela est
disponible galement sur la partie gauche du service slectionn).
C O N N E X I O N D E S D O S S I E R S P A R T A G S
CENTRE DE FORMATION G E F I - CRETEIL
125
Utilisation de la commande NET SEND, NET STOP,
NET START
` TP raliser.
==============================================================================
a. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : Administrateur
Mot de passe : P@sswrd1
Domaine : Bourges
b. Bouton Dmarrer, puis bouton droit sur Poste de travail, puis Grer...
c. Dvelopper Services et applications, puis Services
d. Vrifier que le service Affichage des messages (service Messenger) est dmarr, sinon pour le dmarrer =>
bouton droit sur le service Affichage des messages, puis Dmarrer (Type de dmarrage en Automatique).
(Demander votre partenaire si celui-ci aussi dmarrer le service Affichage des messages)
Remarque : Vrifier aussi que le service Terminal serveur est aussi dmarr car sinon cela pertubra le
fonctionnement de la commande net send.
d. En invite de commande tapez net send Machine_Partenaire texte_a_envoyer
Cela fonctionne t'il ? ?
e. Tapez net send /domain:bourges texte_a_envoyer
Cela fonctionne t'il ? ?
f. Bouton Dmarrer, puis Excuter..., puis cmd
g. Saisir : net stop messenger
h. Tapez net send Machine_Partenaire texte_a_envoyer, (dire votre partenaire de vous envoyer aussi un
message). Cela fonctionne t'il ?
i. Saisir nouveau : net start "Affichage des messages"
Remarque : Vous pouvez aussi recevoir les messages en silence si vous dsactivez le Priphrique Beep =>
valeur Start = 4 (voir la base de registre). Ou utiliser la commande net stop beep.
Vous pouvez utiliser la commande sc l'invite de commandes pour configurer les services et obtenir des
informations sur eux.
j. Tapez C:\> sc query type= service state= all (affiche tous les services configurs dans votre systme de faon
dtaills)
k. Tapez C:\> sc query type= service | find /v x0 (affiche tous les services configurs dans votre systme,
mais uniquement les lignes les plus importantes, c'est--dire sans les lignes contenant les chanes de caractres
x0 )
l. Tapez C:\> sc getkeyname Affichage des messages. (Affiche le nom du service spcifi)
m. Tapez C:\> sc qc Messenger. (Affiche toutes les informations sur le service Messenger)
Remplir les lments suivants :
Service_Name :
Start_Type :
Display_Name :
Dependencies :
n. Tapez C:\> sc stop Messenger. (Arrte le service messagerie)
o. Tapez C:\> sc start Messenger. (Dmarre le service messagerie)
p. Tapez C:\> sc config Messenger start= disabled. (Dsactive le service de messagerie)
q. Tapez C:\> sc qc Messenger, observer la valeur du champ Start_Type : _______________
r. Tapez C:\> sc config Messenger start= auto (positionne ce service en mode automatique)
s. Tapez C:\> sc qc messenger, observer la valeur du champ Start_Type : ________________
==============================================================================
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
126
NOTION DES GROUPES
Lorsque vous affectez des autorisations d'accs des ressources, il est conseill d'affecter
ces autorisations un groupe de scurit plutt qu' des utilisateurs individuels.
Chaque utilisateur qui est ajout un groupe de scurit reoit les autorisations dfinies
pour ce groupe.
Les groupes permettent de contrler les utilisateurs et leurs accs aux ressources. Les
problmes fondamentaux inhrents la gestion de l'accs aux ressources au niveau
utilisateur augmentent de faon significative les cots d'administration.
Les groupes sous Windows Server 2003 sont aussi des objets Active Directory qui
contiennent des utilisateurs, des contacts, des ordinateurs et, potentiellement dautres
groupes. Les groupes fournissent une mthode pour organiser logiquement dautres objets
dans Active Directory.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
127
Les administrateurs utilisent les groupes pour :
Grer laccs aux ressources partages telles que les objets Active Directory et leurs
proprits, les partages rseau, les fichiers, les rpertoires, les files dattente
dimprimantes, filtrer la stratgie de groupe, crer des listes de distribution par e-mail.
L'augmentation des cots qui rsulte de la gestion de l'accs aux ressources au niveau
utilisateur vient essentiellement du temps pass dans le suivi de la mise en place des droits
d'accs. Dans un scnario relativement courant mais simple, quand un utilisateur quitte
une entreprise, la premire chose que fait un administrateur est le plus souvent de
dsactiver ou au pire de supprimer son compte. Si une autre personne remplace ce
premier utilisateur, l'administrateur renommera l'ancien compte et le lui affectera. Cette
mthode est acceptable lorsqu'il s'agit de transfrer les droits d'accs au nouvel employ,
mais elle prsente toutefois plusieurs limitations. En particulier, si l'employ dont il est
question change de fonction au sein de la mme entreprise et s'il est remplac par une
personne devant accder aux mmes ressources, la gestion des autorisations devient un
peu plus ardue.
En effet, la suppression des autorisations d'accs de l'ancien employ et l'attribution de
droits d'accs au nouvel embauch sont loin d'tre des oprations rapides si vous devez
procder de la sorte pour chaque objet partag et dterminer si des modifications sont
ncessaires. Le fait de renommer un compte peut conduire des problmes de
confidentialit. Le nouvel employ peut ainsi avoir accs accidentellement aux donnes
personnelles de son prdcesseur, violant ainsi sa vie prive. Lorsque de nouveaux
comptes sont crs pour chaque employ et que les permissions sont gres au travers de
groupes, les employs ont uniquement accs aux ressources explicitement accordes aux
groupes auxquels ils appartiennent. Si vous utilisez des groupes pour dfinir une
procdure gnrale ddie la gestion des contrles d'accs, vous limiterez
considrablement la charge de travail de l'administrateur et vous amliorerez du mme
coup la scurit.
Les groupes fonctionnent diffremment dans un groupe de travail et dans un domaine.
Cette diffrence concerne les emplacements auxquels ils sont crs et auxquels ils
rsident, ainsi que leur mode d'utilisation.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
128
Groupes dans un domaine
Les caractristiques des groupes dans un domaine sont prsentes ci-dessous.
_ Ils sont crs uniquement sur des contrleurs de domaine.
_ Ils rsident dans le service d'annuaire Active Directory.
_ Ils permettent d'accorder des autorisations sur des ressources et des droits pour des
tches systme sur n'importe quel ordinateur du domaine.
Type de groupe
Le type de groupe dtermine le type de tche que vous grez avec le groupe. L'tendue de
groupe dtermine si le groupe s'tend sur plusieurs domaines ou s'il est limit un seul.
Chaque type de groupe de domaine est pourvu d'un attribut tendu qui identifie dans
quelle mesure le groupe s'applique au rseau.
Remarque : Groupes locaux
Groupes dfinis sur un ordinateur local sont utiliss uniquement sur lordinateur local.
Vous crez laide de lutilitaire Groupes et utilisateurs locaux (vous ntes pas en
domaine).
Groupes de scurit
Les groupes de scurit sont trs semblables aux groupes dun domaine Windows NT. Le
groupe de scurit est un ensemble d'utilisateurs du domaine utilis par les
administrateurs pour accorder l'accs aux ressources rseau ; il est employ de faon
intensive sur tout le rseau pour contrler l'accs aux ressources. Vous les dfinisez dans
les domaines laide de Utilisateurs et ordinateurs Active Directory.
Listes de distribution
Une liste de distribution est un ensemble d'utilisateurs Active Directory que les
applications peuvent utiliser. L'exemple le plus courant d'une application utilisant des
listes de distribution est Microsoft Exchange Server. Les administrateurs peuvent grer
des listes de distribution pour informer les utilisateurs en cas de problmes. Des listes de
distribution peuvent galement tre utilises pour l'envoi de bulletins d'information
d'entreprise.
Vous les dfinissez dans les domaines laide des Utilisateurs et ordinateurs Active
Directory.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
129
Porte des groupes (tendue de groupe)
En dfinissant un groupe, l'administrateur contrle galement sa porte. L'utilisation d'un
groupe peut se limiter au contrleur de domaine local, ou il peut tre mis la disposition
d'autres serveurs du domaine ou de la totalit du rseau. Il existe trois types de groupes :
les groupes locaux du domaine , les groupes globaux et les groupes
universels .
Groupes Locaux prdfinis
Les serveurs membres, les serveurs autonomes et les machines Windows 2000 Server
(Service Pack 3 ou suivant), Windows 2000 Pro (Service Pack 3 ou suivant ou Windows
XP PRO (Service Pack 1 ou suivant) ont des groupes locaux prdfinis permettant de
faire certaines tches sur la machine locale.
C'est un groupe de scurit sur lequel on peut accorder des droits et des permissions
seulement pour des ressources sur l'ordinateur sur lequel le groupe est cr. Des groupes
locaux peuvent avoir n'importe quels comptes d'utilisateur qui sont locaux l'ordinateur
comme membres, aussi bien des utilisateurs, des groupes et des ordinateurs d'un domaine
auquel l'ordinateur appartient.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
130
Groupes locaux du domaine prdfinis
Ses membres peuvent provenir de nimporte quel domaine, mais vous ne pouvez lui
accorder des permissions que sur des ressources du domaine dans lequel vous avez
cr le groupe.
Les membres dun groupe local du domaine ont un besoin commun daccder
certaines ressources dun certain domaine.
Un groupe local de domaine peut avoir les membres suivants :
Autres groupes locaux de domaine appartenant au mme domaine
Gorupes globaux de tous les domaines
Groupes universels de tous les domaines
Utilisateurs de tous les domaines
Pour simplifier et raccourcir le temps dintgration dun domaine Active Directory,
Microsoft donne doffice des groupes par dfaut qui sont avec ou sans membres et
avec un certain nombre de droits utilisateurs. Les listes des groupes par dfaut ci-
dessous sont exhaustives (liste complet en annexe, lien ci dessous), vous y trouverez
le nom, le SID par dfaut (identifiant unique), un bref descriptif, les droits par dfaut
et les membres par dfaut.
Les groupes prsents dans BUILTIN possdent des droits utilisateurs seulement sur
les contrleurs de domaine du domaine. Donc ils ne pourront effectuer aucune action
sur les autres ordinateurs (exemple: ne pourront pas ouvrir une session locale sur un
ordinateur). Si l'utilisateur 'Administrateur' possde des droits sur les contrleurs de
domaine et sur le domaine, c'est parce qu'il est membre du groupe 'Administrateurs'
du container BUILTIN et membre du groupe 'Administrateur du domaine' du
container USERS. On peut comparer les groupes du container BUILTIN aux
groupes locaux "classique".
La porte des groupes prsents dans le conteneur USERS sapplique tous les objets
du domaine sauf les contrleurs de domaine. Un certain nombre de groupe
permettent de lister les membres prsent dans le domaine (exemple: groupe
'ordinateur du domaine' liste tous les ordinateurs du domaine). Il existe des groupes
qui sont prsents seulement sur le domaine root (domaine qui ne possde pas de
parents).
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
131
Un certain nombre de groupes spciaux existe. Ils ne sont pas lists dans Active
Directory. Mais on peut leur attribuer des autorisations ces groupes lors d'un
partage d'une ressource. Les membres de ce groupe sont dynamiques donc on ne peut
les lister.
Nom Descriptif Droit(s) par dfaut
Tout le monde
(ne possde pas de
SID)
Liste tous les utilisateurs actuels du rseau, y
compris les invits, sauf ceux du groupe
Anonymous logon et les utilisateurs des
autres domaines. Toute fois, du fait que le
groupe Session anonyme peut devenir membre
du groupe Tout le monde, il nest pas
recommand dutiliser ce groupe pour accorder
des autorisations suprieures lautorisation
Lecture seule.
Accder cet ordinateur partir
du rseau.
Rseau
(SID : S-1-5-2)
Liste tous les utilisateurs qui accdent des
ressources via le rseau.
Aucun.
Interactif
(SID : S-1-5-4)
Liste tous les utilisateurs qui accdent des
ressources en local.
Aucun.
Anonymous logon
(SID : S-1-5-7)
Liste tous les utilisateurs qui accdent une
ressource sans authentification
Aucun.
Enterprise Domain
Controllers
(SID : S-1-5-9)
Liste tous les contrleurs de domaine de toute
la fort.
Accder cet ordinateur partir
du rseau
Utilisateurs
Authentifis
(SID : S-1-5-11)
Liste tous les utilisateurs et ordinateurs
authentifis par les contrleurs de domaine de
la fort.
Accder cet ordinateur partir
du rseau, Ajouter des stations
de travail au domaine.
Remote Interactive
Logon
(SID : S-1-5-14)
Liste tous les utilisateurs qui ouvrent une
session via Bureau Distance
Aucun.
System Le systme dexploitation Windows Server
2003 lui-mme possde cette identit. Elle est
employe lorsque le systme doit excuter une
fonction au niveau systme.
Aucun
Session anonyme Le groupe Session anonyme reprsente les
utilisateurs et services qui accdent un
ordinateur et ses ressources via le rseau
sans un nom de compte, un mot de passe ou
un nom de domaine.
Si vous voulez crer un partage de fichier pour
les utilisateurs anonyme, accordez les
autorisations au groupe anonyme.
Aucun
Crateur
Propritaire
Le groupe systme Crateur propritaire inclut
le compte de l'utilisateur qui a cr et pris
possession d'une ressource.
Si un membre du groupe Administrateurs cre
une ressource, ce groupe devient propritaire
de la ressource.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
132
Groupes globaux prdfinis
Cest un groupe de scurit ou de distribution qui peut contenir des utilisateurs, des
groupes et des ordinateurs de son propre domaine comme membres. On peut
accorder aux groupes de scurit globaux des droits et des permissions sur des
ressources dans n'importe quel domaine dans sa fort.
Des groupes globaux ne peuvent pas tre crs ou maintenus sur des ordinateurs
excutants Windows XP Pro. Cependant, pour des ordinateurs sous Windows XP Pro
qui participent un domaine, les groupes globaux du domaine peuvent avoir des
permissions et des droits sur ces postes de travail et peut devenir membres de
groupes locaux sur ces postes de travail.
Les groupes globaux intgrs par Windows pendant linstallation nont pas de
privilges intrinsques ; cest ladministrateur daffecter les privilges aux groupes.
En revanche, ces groupes reoivent automatiquement certains membres.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
133
Universal group (groupe universel)
C'est un groupe de scurit ou de distribution qui peut contenir des utilisateurs, des
groupes et des ordinateurs de n'importe quel domaine dans sa fort comme membres.
On peut accorder aux groupes de scurit Universels des droits et des permissions sur
des ressources dans n'importe quel domaine dans la fort. Des groupes de scurit
universels sont disponibles seulement dans des domaines mode natifs (Full Active
Directory).
Remarque : Les groupes universels sont trs utiles dans les grandes entreprises
disposant de plusieurs domaines. Si votre rseau est conu correctement, utilisez ces
groupes pour simplifier ladministration du systme. Les membres des groupes
universels ne devraient pas changer frquemment. Chaque fois que vous modifiez
leurs membres, rpliquez ces modifications sur tous les catalogues globaux de
larborescence de domaines ou de la fort. Pour viter ces modifications, assignez
les autres groupes au groupe universel plutt qu des comptes.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
134
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
135
Les proprits des groupes de scurit figurent dans le tableau suivant :
Domaine en mode natif Domaine en mode mixte
Groupe
Universel
Peut contenir
Utilisateurs de nimporte quel
domaine de la fort
Groupes globaux de nimporte
quel domaine de la fort
Reoit des
permissions
Dans nimporte quel domaine
Conversions
possible
Groupe
Global
Peut contenir
Utilisateurs du mme domaine
que ce groupe
Groupes globaux du mme
domaine
Utilisateurs du mme domaine que
ce groupe
Reoit des
permissions
Dans nimporte quel domaine de
la fort
Dans nimporte quel domaine de la
fort
Conversion
possible
Groupe Universel
Groupe de
Domaine
Local
Peut contenir
Utilisateurs de nimporte quel
domaine de la fort
Groupes universels et groupes
globaux de nimporte quel
domaine de la fort, ainsi que des
groupes loacaux du domaine du
mme domaine
Utilisateurs de nimporte quel
domaine de la fort
Groupes globaux de nimporte
quel domaine de la fort
Reoit des
permissions
Uniquement dans le domaine du
groupe
Uniquement sur les contrleurs de
domaine du mme domaine que ce
groupe
Conversion
possible
Groupe Universel
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
136
La liste ci-dessous donne la liste des groupes prsents dans le conteneur BUILTIN, leur
descriptif, les droits utilisateurs par dfaut ainsi leur membre par dfaut.
Nom Descriptif Droit(s) par dfaut Membre par dfaut
Accs compatible avec
les versions
antrieures Windows
2000
(SID : S-1-5-32-554)
Ce groupe permet une
comptabilit avec les versions
antrieurs Windows 2000. Ils
permettent la consultation en
lecture seul la foret Active
Directory
Accder cet ordinateur partir du rseau,
Ignorer le contrle de parcours.
Utilisateurs authentifis (G).
Administrateurs
(SID : S-1-5-32-544)
Le groupe Administrateurs
possde la majorit des droits
sur les contrleurs de domaine.
A utiliser avec beaucoup de
parcimonie.
Accder cet ordinateur partir du rseau,
Changer les quotas de mmoire d'un
processus, Sauvegarder des fichiers et des
rpertoires, Outrepasser le contrle de
parcours, Modifier l'heure du systme, Crer
un fichier pagin, Dboguer des programmes,
Permettre aux comptes d'ordinateurs et
d'utilisateurs d'tre approuvs pour la
dlgation, Forcer l'arrt partir d'un systme
distant, Augmenter la priorit de planification,
Charger et dcharger les pilotes de
priphrique, Permettre l'ouverture d'une
session locale, Grer le journal d'audit et de
scurit, Modifier les valeurs d'environnement
de microprogrammation, Optimiser un
processus, Optimiser les performances
systme, Retirer un ordinateur d'une station
d'accueil, Restaurer des fichiers et des
rpertoires, Arrter le systme, Prendre
possession des fichiers ou d'autres objets.
Administrateur (U), Administrateur de
lentreprise (G) , Admins du domaine
(G).
Duplicateurs
(SID : S-1-5-32-552)
Ce groupe ne doit possder
aucun utilisateur. Il permet juste
le bon droulement de la
duplication de la fort Active
Directory.
Aucun. Aucun.
Gnrateurs
dapprobation de fort
entrante
(SID : S-1-5-32-557)
Ce groupe permet aux membres
de donner lapprobation
dinsertion dune nouvelle fort
dans la fort existante. Ainsi, les
ressources de la nouvelle fort
seront disponibles dans la fort.
Aucun Aucun.
Groupe daccs
dautorisation
Windows
(SID : S-1-5-32-560)
Les membres de ce groupe
pourront lire lattribut
tokenGroupsGlobalAndUniversal
(TGGAU) sur les objets
utilisateurs, ordinateurs et
groupes. Gnralement utilis
dans les applications
dcisionnelles pour Active
Directory.
Aucun. ENTERPRISE DOMAIN
CONTROLLERS (U).
Invits
(SID : S-1-5-32-546)
Idem que le compte utilisateurs
mais avec encore plus de
restriction.
Aucun. Invit (U), Invits du domaine (G),
IUSER_X (U).
Oprateurs de compte
(SID : S-1-5-32-548)
Ce groupe permet de manager
tous les objets (Ajout,
Modification, Suppression) dans
la fort. Leurs limites se situe
quils ne peuvent accder au
conteneur Domain Controllers
et ne peuvent modifier le groupe
Administrateurs et Admins du
domaine
Permettre l'ouverture d'une session locale,
Arrter le systme.
Aucun.
Oprateurs de
configuration rseau
(SID : S-1-5-32-556)
Les membres de ce groupe
peuvent configurer toute la
configuration des paramtres
TCP/IP des contrleurs de
domaine
Aucun. Aucun.
Oprateurs de
sauvegarde
(SID : S-1-5-32-551)
Les membres de ce groupe
peuvent sauvegarder et
restaurer les fichiers des
contrleurs de domaine et ceci
Sauvegarder des fichiers et des rpertoires,
Permettre l'ouverture d'une session locale,
Restaurer des fichiers et des rpertoires,
Arrter le systme.
Aucun.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
137
en outrepassant les droits
NTFS.
Oprateurs de serveur
(SID : S-1-5-32-549)
Les membres de ce groupe
possdent que des droits
simples sur les contrleurs de
domaine. Ouverture de session,
Sauvegarde et Restauration de
fichiers, formatage de disque,
cration et suppression de
ressources partages.
Sauvegarder des fichiers et des rpertoires,
Modifier l'heure du systme, Forcer l'arrt
partir d'un systme distant, Permettre
l'ouverture d'une session locale, Restaurer
des fichiers et des rpertoires, Arrter le
systme.
Aucun.
Oprateurs
d'impression
(SID : S-1-5-32-550)
Les membres de ce groupe
auront leur charges toute la
gestion des imprimantes sur un
contrleur de domaine
(installation de pilote, cration
de partage imprimantes, gestion
des spool, objet imprimantes
dans le domaine)
Permettre l'ouverture d'une session locale,
Arrter le systme.
Aucun.
Serveurs de licences
des services Terminal
Server
(SID : S-1-5-32-561)
Ce groupe est exclusivement
rserv la gestion des licences
Terminal Server.
Aucun. Aucun.
Utilisateurs
(SID : S-1-5-32-545)
Les membres de ce groupe ne
peuvent effectuer que des
tches simples sur les
contrleurs de domaine.
Aucun. DHCP Viewer (U), INTERACTIF (U),
Utilisa. du domaine (G), Utilisateurs
Authentifis (G)
Utilisateurs de
l'Analyseur de
performances
(SID : S-1-5-32-558)
Les membres de ce groupe
peuvent surveiller les compteurs
de surveillance des contrleurs
de domaine via la console
Performances.
Aucun. Aucun.
Utilisateurs du Bureau
distance
(SID : S-1-5-32-555)
Les membres de ce groupe
peuvent ouvrir une session
distance.
Aucun. Aucun.
Utilisateurs du journal
de performances (SID :
S-1-5-32-559)
Idem que le groupe Utilisateurs
de l'Analyseur de performances
avec laccs supplmentaire aux
journaux et aux alarmes de
performances
Aucun. SERVICE RESEAU (SID : S-1-5-20).
x = combinaison de chiffre identifiant le domaine
y = combinaison de chiffre identifiant le domaine source (root domain)
z = nom NETBIOS de la machine
U = Utilisateurs
G = Groupe
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
138
La liste ci-dessous donne la liste des groupes prsents dans le conteneur USERS, leur
descriptif, les droits utilisateurs par dfaut ainsi leur membre par dfaut.
Nom Descriptif Droit(s) par dfaut Membre par dfaut
Administrateurs de
lentreprise
(SID : S-1-5-y-519)
Les membres de groupe ont
un contrle total sur toute la
fort Active Directory (donc
sur tous les objets de tous
les domaines). Il est
dconseill dajouter un
membre ce groupe. Il vaut
mieux utiliser des groupes
pour la fort avec des droits
plus restreints. Ce groupe
nexiste que sur un
contrleur de domaine
racine.
Accder cet ordinateur partir du rseau,
Changer les quotas de mmoire d'un processus,
Sauvegarder des fichiers et des rpertoires,
Outrepasser le contrle de parcours, Modifier
l'heure du systme, Crer un fichier pagin,
Dboguer des programmes, Permettre aux
comptes d'ordinateurs et d'utilisateurs d'tre
approuvs pour la dlgation, Forcer l'arrt partir
d'un systme distant, Augmenter la priorit de
planification, Charger et dcharger les pilotes de
priphrique, Permettre l'ouverture d'une session
locale, Grer le journal d'audit et de scurit,
Modifier les valeurs d'environnement de
microprogrammation, Optimiser un processus,
Optimiser les performances systme, Retirer un
ordinateur d'une station d'accueil, Restaurer des
fichiers et des rpertoires, Arrter le systme,
Prendre possession des fichiers ou d'autres objets.
Administrateur (U) (SID: S-1-5-x-
500).
Administrateurs DHCP
(SID : S-1-5-x-1004)
Les membres de ce groupe
pourront administrer les
services DHCP du domaine.
Aucun. Aucun.
Administrateurs du
schma
(SID : S-1-5-y-518)
Ce groupe permet aux
membres de pouvoir utiliser
le logiciel Schma Active
Directory. Il nest utiliser
avec beaucoup de
prcaution et destin
principalement aux
programmeurs. Ce groupe
nexiste que sur un
contrleur de domaine
racine.
Aucun. Administrateur (U) (SID: S-1-5-x-
500).
Admins du domaine
(SID : S-1-5-x-512)
Les membres de ce groupe
ont un contrle total sur les
ordinateurs, les contrleurs
de domaine et les serveurs
du domaine.
Accder cet ordinateur partir du rseau,
Changer les quotas de mmoire d'un processus,
Sauvegarder des fichiers et des rpertoires,
Outrepasser le contrle de parcours, Modifier
l'heure du systme, Crer un fichier pagin,
Dboguer des programmes, Permettre aux
comptes d'ordinateurs et d'utilisateurs d'tre
approuvs pour la dlgation, Forcer l'arrt partir
d'un systme distant, Augmenter la priorit de
planification, Charger et dcharger les pilotes de
priphrique, Permettre l'ouverture d'une session
locale, Grer le journal d'audit et de scurit,
Modifier les valeurs d'environnement de
microprogrammation, Optimiser un processus,
Optimiser les performances systme, Retirer un
ordinateur d'une station d'accueil, Restaurer des
fichiers et des rpertoires, Arrter le systme,
Prendre possession des fichiers ou d'autres objets.
Administrateur (U) (SID: S-1-5-x-
500).
Contrleurs du domaine
(SID : S-1-5-x-516)
Ce groupe regroupe tous
les contrleurs de domaine
prsent dans le domaine.
Aucun. Liste de tous les contrleurs de
domaine du domaine.
DnsAdmins
(SID : S-1-5-x-1007)
Les membres de ce groupe
pourront administrer les
services DNS du domaine.
Aucun. Aucun.
DnsUpdateProxy
(SID : S-1-5-x-1108)
Les membres de ce groupe
peuvent effectuer des mises
jour DNS.
Aucun. Aucun.
Editeurs de certificats
(SID : S-1-5-x-517)
Les membres de ce groupe
peuvent accepter, refuser la
cration de certificat mais
aussi les rvoquer pour un
utilisateur ou un ordinateur.
Aucun. Aucun.
HelpServicesGroup
(SID : S-1-5-x-1003)
Ce groupe ne permet
quaux administrateurs de
fixer des droits tous les
applications de support aux
Aucun. SUPPORT_z (U) (SID: S-1-5-x-
1001).
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
139
utilisateurs. Ne pas y
ajouter de membres.
IIS_WPG
(SID : S-1-5-x-1000)
Ce groupe permettra aux
processus de pouvoir
excuter des applications
internet.
Aucun. IWAM_z (U).
Invits du domaine
(SID : S-1-5-x-514)
Ce groupe contient la liste
de tous les invits du
domaine
Aucun. Invit (U) (SID : S-1-5-x-501).
Ordinateurs du domaine
(SID : S-1-5-x-515)
Ce groupe contient la liste
de tous les ordinateurs du
domaine
Aucun. Liste de tous les ordinateurs du
domaine.
Propritaires crateurs de
la stratgie de groupe
(SID : S-1-5-x-520)
Les membres de ce groupe
peuvent modifier les
Stratgies de groupe du
domaine.
Aucun. Administrateur (U) (SID: S-1-5-x-
500).
Serveurs RAS et IAS (SID :
S-1-5-x-520)
Les membres de ce groupe
sont des ordinateurs. Ils
permettent ceux qui y sont
list de pouvoir consulter la
stratgie daccs distant
des utilisateurs du domaine.
Aucun. Aucun.
Telnet Clients
(SID : S-1-5-x-1002)
Les membres de ce groupe
peuvent accder aux
serveurs Telnet du domaine
Aucun. Aucun.
Utilisa. du domaine
(SID : S-1-5-x-513)
Ce groupe contient la liste
de tous les utilisateurs du
domaine.
Aucun Liste de tous les utilisateurs du
domaine.
Utilisateurs DHCP
(SID : S-1-5-x-1003)
Les membres de ce groupe
peuvent accder en lecture
aux outils DHCP du
domaine.
Aucun. Aucun.
Utilisateurs WINS
(SID : S-1-5-x-1109)
Les membres de ce groupe
peuvent accder en lecture
aux outils WINS du
domaine.
Aucun. DHCPViewer (U) (SID: S-1-5-x-
1005).
x = combinaison de chiffre identifiant le domaine
y = combinaison de chiffre identifiant le domaine source (root domain)
z = nom NETBIOS de la machine
U = Utilisateurs
G = Groupe
Par dfaut, plusieurs conteneurs existent la cration dun domaine ; lun est une OU (et
contient mme une GPO par dfaut) mais la plupart sont des conteneurs par dfaut qui ne
permettent ni de leur appliquer directement des stratgies de groupe, ni de crer des OU
filles.
On trouve ainsi :
Builtin
Contient les utilisateurs et groupes de scurit existant par
dfaut.
Computers
Reoit par dfaut les comptes dordinateur.
Domain Controllers
(OU)
Reoit par dfaut les comptes dordinateurs Contrleurs de
Domaine.
Une GPO est applique par dfaut ce conteneur.
ForeignSecurityPrincipal
Contient les identificateurs de scurit (SID).
Users
Reoit par dfaut les comptes dutilisateurs.
LostAndFound
Accueille les objets orphelins dont le conteneur nexiste
plus.
System
Contient des paramtres systmes.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
140
Des diffrences notables selon les situations et
encore de grosses volutions par rapport Windows
NT 4.0.
Windows 2000 Pro
ou XP ou
autonome
Contrleur de domaine Windows 2000/Server 2003
Une seule sorte
de groupe :
groupes locaux
Il y a plusieurs sortes de groupes dans un domaine et plus encore sous
Windows 2000 que sous Windows NT.
Une nouvelle notion apparat, dans Windows 2000, la notion de groupe de
distribution.
Nouvelle tendue pour les groupes de distribution, l'tendue universelle.
En rsum...
Types de groupes de scurit de distribution
tendues
Domaine locale
Globale
Domaine locale
Globale
Universelle
De plus, selon le type d'installation d'Active Directory, les combinaisons
d'inclusion de groupe dans des groupes sont infiniment plus varies et
rcursives.
Rappel : dans Windows NT, un seul niveau d'inclusion et exclusivement de
groupe global dans groupe local.
Cration de groupe
Windows 2000 ou XP Pro ou autonome Contrleur de domaine Windows 2000/Server 2003
Ouvrir Gestion de l'ordinateur
Dvelopper Outils systme
Dvelopper Utilisateurs et groupes locaux
Clic droit sur Groupes, puis Nouveau groupe...
Donner un Nom de groupe et, ventuellement,
une Description
Vous pouvez tout de suite y mettre des
utilisateurs en cliquant sur le bouton Ajouter
Quant c'est fini, cliquez sur Crer pour valider la
cration du groupe.
Si vous cliquez sur Fermer vous perdez tout
ce que vous venez de faire. Le groupe n'est pas
cr.
Ouvrir Utilisateurs et ordinateurs Active
Directory
Dvelopper votre domaine administrer
Clic droit sur Users, puis Nouveau, puis Groupe
Saisir le Nom de groupe (le Nom de groupe avant
l'installation de Windows 2000/Server 2003 se
remplit tout seul)
Spcifier le type et l'tendue du groupe
Cliquer sur Ok
Ici, le remplissage du groupe se fait aprs la
cration.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
141
On peut faire la mme chose en ligne de
commande avec : net group
Syntaxe complte avec : net help localgroup |
more
Exemple :
net localgroup Gp_totos /add
/comment:"Groupe des totos"
On peut faire la mme chose en ligne de
commande avec :
net localgroup pour les groupes locaux
net group pour les groupes globaux
Syntaxe complte avec : net help localgroup |
more
ou net help group | more
Exemple :
net localgroup Lp_totos /add
/comment:"Groupe local des totos"
net group Gp_totos /add /comment:"Groupe
global des totos"
Les groupes ainsi crs sont des groupes de
scurit.
La porte de groupe dfinit galement les rgles d'adhsion un groupe. Ces
rgles d'adhsion dterminent les types de comptes pouvant tre placs dans ce
groupe.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
142
Lors de l'utilisation de groupes globaux et de groupes locaux de domaine, il est
recommand d'opter pour la stratgie suivante : placez les comptes d'utilisateur dans
les groupes globaux, puis placez les groupes globaux dans les groupes locaux de
domaine, et accordez aux groupes locaux de domaine des autorisations sur les
ressources. Cette stratgie offre une grande souplesse tout en simplifiant l'octroi
d'autorisations d'accs aux ressources du rseau.
Si vous configurez les ACLs pour des groupes de ressource ou des groupes de scurit,
ajoutez ou enlevez des utilisateurs ou des ressources des groupes appropris quand votre
organisation change, il est plus facile de contrler et vrifier des droits utilisateur et
permissions cela rduit le besoin de changer les ACLs.
Il y a deux types d'ACLs - Discretionary Access Control Lists (DACLs), qui identifie les
utilisateurs et les groupes dont on permet ou refuse l'accs et des System Access Control
Lists (SACLs), qui contrle comment l'accs est audit.
Utilisez des groupes universels pour intgrer des groupes qui couvrent des domaines
multiples. Excutez la procdure ci-dessous.
1. Dans chaque domaine, ajoutez aux groupes globaux des comptes d'utilisateur ayant la
mme fonction.
2. Imbriquez des groupes globaux dans un seul groupe global pour intgrer les
utilisateurs. Cette tape est facultative, mais elle est trs utile si vous souhaitez grer des
groupes importants d'utilisateurs.
3. Imbriquez en un seul groupe universel le groupe global ou plusieurs groupes globaux
de chaque domaine.
4. Ajoutez les groupes universels aux groupes locaux du domaine qui sont crs pour
chaque ressource.
5. Affectez aux groupes locaux du domaine les autorisations appropries pour que les
utilisateurs du groupe puissent accder aux ressources.
Grce cette stratgie, les modifications d'appartenance dans les groupes globaux
n'affectent pas l'appartenance aux groupes universels.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
143
Appliquez la stratgie C G A aux forts contenant un domaine unique et trs
peu d'utilisateurs et auxquelles vous n'ajouterez jamais aucun autre domaine.
La stratgie C G A prsente les avantages suivants :
- Les groupes ne sont pas imbriqus et la rsolution des problmes peut
s'avrer plus simple.
- Les comptes appartiennent une seule tendue de groupe.
La stratgie C G A prsente les inconvnients suivants :
- Chaque fois qu'un utilisateur s'authentifie auprs d'une ressource, le serveur
doit contrler l'appartenance au groupe global pour dterminer si l'utilisateur
est encore membre du groupe.
- Les performances diminuent car un groupe global n'est pas mis dans le cache.
Appliquez la stratgie C G DL A une fort comprenant un ou plusieurs
domaines et laquelle vous tes susceptible d'ajouter d'autres domaines par la
suite.
La stratgie C G DL A prsente les avantages suivants :
- Les domaines sont flexibles.
- Les propritaires des ressources ncessitent moins d'accs Active Directory
pour scuriser en souplesse leurs ressources.
La stratgie C G DL A prsente les inconvnients suivants :
- Une structure d'administration multiniveau est plus complexe configurer au
dpart, mais plus facile administrer par la suite.
Appliquez la stratgie C G U DL A une fort comprenant plusieurs domaines
et o les administrateurs ncessitent de centraliser l'administration de
nombreux groupes globaux.
La stratgie C G U DL A prsente les avantages suivants :
- Elle offre une grande flexibilit dans l'ensemble de la fort.
- Elle permet une administration centralise.
La stratgie C G U DL A prsente l'inconvnient suivant :
- L'appartenance aux groupes universels est enregistre dans le catalogue
global.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
144
Active Directory sur Windows Server 2003 permet d'affecter un responsable
un groupe sous la forme d'une proprit du groupe. Vous pouvez ds lors :
- identifier le responsable des diffrents groupes ;
- dlguer au responsable du groupe l'autorisation d'ajouter et de
supprimer des utilisateurs dans le groupe.
tant donn que dans les grandes entreprises, des employs entrent et sortent
continuellement des groupes, certaines entreprises distribuent la responsabilit
d'administration de l'ajout d'utilisateurs aux groupes aux personnes qui ont demand
le groupe.
Pour affecter un responsable un groupe, procdez comme suit :
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur le groupe
auquel vous voulez affecter un responsable.
2. Sous l'onglet Gr par de la bote de dialogue Proprits, cliquez sur Modifier pour affecter un
responsable au groupe ou pour changer le responsable du groupe.
3. Dans la zone Entrer le nom de l'objet slectionner de la bote de dialogue Slectionnez Utilisateur
ou Contact, nom de l'utilisateur responsable du groupe, puis cliquez sur OK.
4. Activez la case cocher Le gestionnaire peut mettre jour la liste des membres si vous voulez que le
responsable puisse ajouter ou supprimer des utilisateurs et des groupes.
5. Dans la bote de dialogue Proprits, cliquez sur OK.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
145
Questions/Rponses
1). Le sige social de Contoso, Ltd. comporte un seul domaine, situ Paris. Les gestionnaires de
Contoso, Ltd. doivent accder la base de donnes Inventory pour leur travail.
Que pouvez-vous faire pour qu'ils disposent de l'accs ncessaire la base de donnes
Inventory ?
a) Placer tous les gestionnaires dans un groupe global.
b) Crer un groupe local de domaine pour accder la base de donnes Inventory.
c) Ajouter le groupe global au groupe local de domaine et affecter des autorisations d'accs
la base de donnes Inventory du groupe local de domaine.
2). Contoso, Ltd. dsire tre en mesure de ragir plus rapidement aux demandes du march. Il a
t dtermin que les donnes comptables doivent tre disponibles pour la totalit du personnel
de la comptabilit. Contoso, Ltd. dsire crer la structure de groupe pour toute la division
Accounting, qui comprend lui-mme les services Accounts Payable et Accounts Receivable.
Que pouvez-vous faire pour garantir que les directeurs ont l'accs requis et que l'administration
est rduite au strict minimum ?
a) Vrifiez que votre rseau fonctionne en mode natif. Si ce n'est pas le cas, vous devrez tout
d'abord le convertir en rseau en mode natif.
b) Crez trois groupes globaux. Un groupe appel Accounting Division reprsentera tout le
personnel de la comptabilit. Nommez les deux autres groupes Accounts Payable et
Accounts Receivable, pour reprsenter la structure de l'organisation interne du service
Accounting. Ajoutez les groupes Accounts Payable et Accounts Receivable dans le groupe
global Accounting Division de chaque domaine.
c) Placez le groupe global Accounting Division dans le groupe local de domaine, pour que
les utilisateurs puissent accder aux donnes comptables.
d) Crez un groupe local de domaine appel Accounting Data. Ajoutez ce groupe au fichier
de ressources des donnes comptables, avec les autorisations appropries.
3). Dans cet exemple, Contoso, Ltd. veut ragir plus rapidement pour commercialiser les
demandes. Les donnes comptables relatives aux domaines multiples de l'entreprise doivent tre
disponibles pour l'ensemble du personnel de la comptabilit, qui se trouve galement dans des
domaines multiples.
Contoso, Ltd. souhaite crer la structure des groupes pour la division Comptabilit, qui inclut les
services Compte clients et Compte fournisseurs.
1. Que pouvez-vous faire pour garantir que les responsables ont l'accs requis et que
l'administration est rduite au strict minimum ?
a) Assurez-vous que le rseau fonctionne en mode natif. Si ce n'est pas le cas, vous devez
d'abord le convertir en un rseau en mode natif.
b) Crez trois groupes globaux dans chaque domaine. Un groupe appel Comptables de
domaine va reprsenter tous les comptables de service de chaque domaine. Nommez les
deux autres groupes Compte clients et Comptes fournisseurs pour reprsenter la
structure organisationnelle du service de comptabilit. Ajoutez les utilisateurs appropris
aux groupes Compte clients et Compte fournisseurs. Imbriquez les groupes Compte clients
et Compte fournisseurs dans le groupe global Division comptable de chaque domaine.
c) Crez un groupe universel appel Tous les comptables pour intgrer tous les
employs de la comptabilit dans la fort. Ajoutez au groupe universel tous les groupes
globaux de chaque domaine appel Comptables de domaine.
d) Dans chaque domaine, crez un groupe local de domaine appel Donnes comptables .
Placez le fichier de ressources des donnes comptables dans ce groupe avec les autorisations
Contrle total pour le groupe local du domaine.
e) Ajoutez le groupe universel dans chaque groupe local du domaine pour que les
utilisateurs puissent accder aux donnes comptables.
4). Contoso, Ltd. a connu une augmentation de son chiffre d'affaires. Vous devez donc crer un
domaine. Quelles modifications allez-vous apporter la structure du groupe pour vous assurer
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
146
que tous les comptables de l'entreprise, y compris ceux du nouveau domaine, peuvent accder
toutes les donnes comptables ?
a) Crez trois groupes globaux dans le nouveau domaine. Nommez-les comme dans les
autres domaines et imbriquez les groupes globaux Compte clients et Compte fournisseurs
dans le groupe global Division comptable.
b) Crez un groupe local de domaine pour les donnes comptables et dfinissez les mmes
autorisations pour le fichier de ressources des autres domaines.
c) Ajoutez le groupe global Division comptable au groupe universel Tous les comptables.
Puis ajoutez le groupe Tous les comptables au nouveau groupe local de domaine.
Maintenant, tous les nouveaux comptables peuvent accder toutes les donnes comptables
de l'entreprise.
N O T I O N D E S G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
147
Dans cet exercice, vous allez crer un groupe global,
lui ajouter un compte d'utilisateur, puis ajouter le
groupe global un groupe de domaine local intgr.
` TP raliser.
==============================================================================
a. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : Marcel
Mot de passe : P@sswrd1
Se connecter : Bourges
b. Dans le menu Outils d'administration, lancer Utilisateurs et ordinateurs Active Directory en tant que
Administrateurs
c. Dans l'arborescence de la console, dveloppez Bourges.eds, bouton droit sur Bourges.eds, puis Nouveau puis
Unit dOrganisation, nommer l ServeurOU (o Serveur reprsente le nom affect votre ordinateur), puis
cliquez sur ServeurOU. Dans l'arborescence de la console, dveloppez Bourges.eds, bouton droit sur
Bourges.eds, puis Nouveau puis Utilisateur, Prenom : Backupx (o x reprsente le numro de stagiaire qui vous
a t affect), dans Nom douverture de session de lutilisateur : Backupx, puis sur Suivant, Mot de passe :
P@sswrd1, Confirmer le mot de passe : P@sswrd1, dcocher : Lutilisateurdoit changer le mot de passe la
prochaine ouverture de session, et cocher : Le mot de passe nexpire jamais, puis sur Suivant et Terminer
d. Cliquez avec le bouton droit sur ServeurOU, pointez sur Nouveau, puis cliquez sur Groupe.
e. Dans la zone Nom de groupe, tapez Serveur Backup Admins (o Serveur reprsente le nom affect votre
ordinateur).
f. Vrifiez que l'tendue du groupe est Globale et que le type du groupe est Scurit, puis cliquez sur OK.
Quelle tape du processus A G DL P avez-vous ralise ?
______________________________________________________________________________________
______________________________________________________________________________________
==============================================================================
a. Dans le volet de dtails, double-cliquez sur Serveur Backup Admins (o Serveur reprsente le nom affect
votre ordinateur).
b. Dans la bote de dialogue Proprits de Serveur Backup Admins, dans l'onglet Membres, cliquez sur Ajouter.
c. Dans la bote de dialogue Slectionnez Utilisateurs, Contacts, ou Ordinateurs, sous Entrez les noms des
objets slectionner, saisir Backupx (o x reprsente le numro de stagiaire qui vous a t affect), puis sur
Vrifier les noms, puis sur, puis sur OK.
d. Cliquez sur OK pour fermer la bote de dialogue Proprits de Serveur Backup Admins.
ce stade de l'atelier, quelle tape du processus A G DL P avez-vous ralise ?
______________________________________________________________________________________
______________________________________________________________________________________
==============================================================================
a. Dans l'arborescence de la console, cliquez sur Builtin, puis dans le volet de dtails, double-cliquez sur
Oprateurs de sauvegarde.
b. Dans la bote de dialogue Proprits de Oprateurs de sauvegarde, dans l'onglet Membres, essayez d'ajouter
le groupe Serveur Backup Admins (o Serveur reprsente le nom affect votre ordinateur) au groupe de
domaine local Oprateurs de sauvegarde en cliquant sur Ajouter.
c. Dans la bote de dialogue Slectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes, sous Nom, cliquez
sur Serveur Backup Admins (o Serveur reprsente le nom affect votre ordinateur), cliquez sur Ajouter, puis
sur OK.
d. Cliquez sur OK pour fermer la bote de dialogue Proprits de Oprateurs de sauvegarde, puis fermez la
console Utilisateurs et ordinateurs Active Directory.
tes-vous parvenu ajouter un membre au groupe Oprateurs de sauvegarde ?
______________________________________________________________________________________
______________________________________________________________________________________
==============================================================================
ce stade de l'atelier, quelle tape du processus A G DL P avez-vous ralise ?
______________________________________________________________________________________
______________________________________________________________________________________
Comment raliseriez-vous l'tape P du processus A G DL P ?
______________________________________________________________________________________
______________________________________________________________________________________
e. Fermez la session.
==============================================================================
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
148
PRSENTATION DES COMPTES D'UTILISATEURS
Un compte d'utilisateur est un objet qui regroupe toutes les informations dfinissant
un utilisateur sur Windows Server 2003. Ce compte peut tre un compte local ou un
compte de domaine. Il contient le nom d'utilisateur et le mot de passe avec lesquels
l'utilisateur ouvre une session, et les groupes dont le compte d'utilisateur est membre.
Vous pouvez utiliser un compte d'utilisateur pour :
- permettre un utilisateur d'ouvrir une session sur un ordinateur en fonction
de l'identit du compte d'utilisateur ;
- permettre aux processus et aux services de s'excuter sous un contexte de
scurit spcifique ;
- administrer les accs d'un utilisateur des ressources telles que des objets
Active Directory et leurs proprits, des dossiers partags, des fichiers, des
rpertoires et des files d'attente d'impression.
La cration de comptes reprsente une part importante de votre travail
dadministrateur. Lorganisation et le paramtrage sont les aspects les plus
importants de la cration de comptes. Sans les stratgies appropries, vous serez trs
rapidement amen rviser lensemble de vos comptes dutilisateurs. Dfinissez les
donc avant de crer des comptes (stratgies de noms de comptes ainsi que la stratgie
de mots de passe).
Les comptes dutilisateurs permettent aux utlisateurs individuels douvrir une session
sur le rseau et daccder ses ressources. Les comptes de groupes grent les
ressources de plusieurs utilisateurs. Les autorisations et les privilges attribus ces
comptes dterminent les actions des utilisateurs ainsi que les ressources et les
systmes auxquels ils accdent.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
149
Compte dutilisateur
Un compte d'utilisateur contient les rfrences propres un utilisateur, et lui permet
d'ouvrir une session soit sur le domaine pour accder aux ressources rseau, soit sur
un ordinateur particulier pour en utiliser les ressources. Chaque personne qui se
connecte rgulirement au rseau doit disposer d'un compte d'utilisateur.
Le compte prdfini Administrateur dispose dun accs complet aux fichiers,
rpertoires, services et autres ressources. Vous ne pouvez ni le supprimer, ni le
dsactiver. Dans AD, ce compte dispose de laccs et des privilges complets sur
lensemble du domaine. Par dfaut le compte Administrateur dun domaine fait
partie des groupes suivants : Administrateurs, Admins du domaine, Utilisateurs du
domaine, Administrateurs de lentreprise, Propritaires crateurs de la stratgie de
groupe et Administrateurs du schma.
Le compte ASPNET est utilis par .NET Framework afin que les processus
ASP.NET puissent fonctionner. Il a les mmes privilges que les utilisateurs
ordinaires du domaine.
Le compte Invit est conu pour les utilisateurs qui ont besoin dun accs
execptionnel ou ponctuel. Bien que les invits ne disposent que de privilges systme
limits, vous devez vous montrer prudent quant lutilisationde ce compte. Cest
pourquoi le compte est dsactiv lors de linstallation de Windows Server 2003.
Ce compte est membre par dfaut des groupes Invits du domaine et Invits.
Comme tous les autres comptes nomms il est aussi membre du groupe implicite
Tout le monde.
Le compte Support est utilis par le Service Aide et support. Ce compte est membre
des groupes Utilisateurs du domaine et HelpServicesGroup. Il a le droit douvrir une
session en tant que travail en mode tche (batch). Le compte Support peut aussi
excuter des mises jour en mode tche.
Le compte support refuse les ouvertures de sessions locales (autrement quen tant
que batch) et refuse laccs lordinateur via le rseau.
Groupes et identits implicites
Windows Server 2003 dfinit un ensemble didentits particulires que vous pouvez
employer pour attribuer des autorisations dans certaines situations.
Vous leurs assignez gnralement des autorisations de manire implicite.Toutefois,
vous pouvez leur en assigner lorsque vous modifiez des objets AD.
Voici quelques autres identits particulires :
Identit Entreprise Domain Controllers (S-1-5-3)
Les contrleurs de domaine dots de cette responsabilit et de rles dans toute
lentreprise possdent cette identit. Elle leur permet dexcuter certaines tches dans
lentreprise laide des approbations transitives.
Identit Ligne
Tout utilisateur accdant au systme par lintermdiaire dune connexion daccs
distance possde cette identit. Elle permet de distinguer les utilisateurs distants des
autres types dutilisateurs.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
150
Identit Proxy
Les utilisateurs et ordinateurs accdant aux ressources par lintermdiaire dun proxy
possdent cette identit. Elle est employe lorsque des proxy sont implments sur le
rseau.
Identit Restricted
Les utilisateurs et ordinateurs disposant de droits restreints possdent cette identit.
Sur un serveur membre ou une station de travail, un utilisateur local membre du
groupe Utilisateurs (au lieu du groupe Utilisateurs avec Pouvoir) possde cette
identit.
Identit Self (S-1-5-10)
Lidentit Self se rfre lobjet et autorise celui-ci se modifier lui-mme.
Identit Service
Tout sservice accdant au systme possde cette identit. Elle accorde laccs aux
processus excuts par des services Windows Server 2003.
Identit Tche
Tout utilisateur ou processus accdant au systme en tant que tche (ou par
lintermdiaire dune file dattente de tches) possde cette identit. Elle permet
lexcution de tches programmes, par exemple un travail de nettoyage nocturne
supprimant les fichiers temporaires.
Identit Utilisateur Terminal Server (S-1-5-13)
Tout utilisateur accdant au systme par lintermdiaire des services Terminal Server
possde cette identit. Elle permet aux utilisateurs de Terminal Server daccder aux
applications Terminal Server et dexcuter dautres tches ncessaires avec les
services Terminal Server.
Important : Vous ne pouvez pas crer de comptes d'utilisateurs locaux sur un
contrleur de domaine.
Remarque : Un nom d'utilisateur ne peut tre identique un autre nom d'utilisateur ou
un nom de groupe existant sur l'ordinateur administr.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
151
Tous les comptes dutilisateurs sont identifis laide dun nom douverture de
session. Dans Windows Server 2003, ce nom a deux parties : Nom dutilisateur et
Station de travail ou de domaine de lutilisateur.
Pour lutilisateur jdupont, dont le compte est cr dans le domaine gefi-sa.com, le
nom douverture de session complet de Windows Server 2003 est jdupont@gefi-
sa.com. Le nom douverture de session avant linstallation de Windows Server 2003
est GEFI-SA\jdupont.
Lorsque vous travaillez avec Active Directory, vous devez galement spcifier le
nom de domaine complet (ou totalement qualifi) de lutiisateur. Le nom de domaine
complet dun groupe est une combinaison du nom de domaine DNS, de
lemplacement du conteneur ou de lunit dorganisation, et du nom du groupe.
Pour lutilisateur Gefi-sa\Users\jdupont, Gefi-sa.com est le nom de domaine DNS,
Users lemplacement du conteneur ou de lunit dorganisation, et jdupont le nom de
lutilisateur.
Des mots de passe et des certificats publics sont galement assocos aux comptes
dutilisateurs. Les mots de passe sont des chanes dauthentification dun compte.
Les certificats publics combinent une cl publique et prive pour identifier un
utilisateur. Vous ouvrez une session avec un mot de passe de manire interactive.
Vous ouvrez une session avec un certificat public laide dune carte puce et dun
lecteur de carte puce.
Respectez les instructions ci-dessous concernant les
conventions de dnomination.
_ Les noms d'ouverture de session des comptes d'utilisateur de domaine doivent tre
uniques dans Active Directory. Les noms complets des comptes d'utilisateur de
domaine doivent tre uniques dans le domaine dans lequel vous crez le compte
d'utilisateur. Les noms des comptes d'utilisateur locaux doivent tre uniques sur
l'ordinateur sur lequel vous crez le compte d'utilisateur local.
_ Les noms d'ouverture de session de l'utilisateur peuvent contenir jusqu' 104
caractres. Toutefois, ceux qui en comportent plus de 64 ne sont pas trs prtiques.
Un nom douverture de session Microsoft Windows NT, version 4.0 ou antrieure,
est attribu tous les comptes. Par dfaut il est form des 20 premiers caractres
majuscules et minuscules l'exception des caractres suivants : / \ [ ] : ; | = , + * ?
< >
Vous pouvez utiliser une combinaison de caractres spciaux et alphanumriques
pour permettre d'identifier de faon unique les comptes d'utilisateur.
Pour affecter des mots de passe aux comptes d'utilisateur, prenez en
compte les instructions ci-dessous.
_ Affectez toujours un mot de passe au compte Administrateur pour viter tout accs
non autoris ce compte.
_ Dterminez si les mots de passe seront contrls par vous-mme ou par les
utilisateurs. Vous pouvez affecter des mots de passe uniques aux comptes
d'utilisateur, et empcher les utilisateurs de les modifier, ou vous pouvez permettre
ceux-ci d'entrer le mot de passe de leur choix lors de leur premire ouverture de
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
152
session. Dans la plupart des cas, il est conseill de laisser aux utilisateurs le contrle
de leur mot de passe.
_ Expliquez aux utilisateurs l'importance d'employer un mot de passe complexe,
difficile deviner.
_ vitez d'utiliser des mots de passe reprsentant une association vidente, par
exemple le prnom d'un membre de la famille de l'utilisateur.
_ Utilisez de longs mots de passe, ils seront d'autant plus difficiles trouver.
Les mots de passe peuvent comporter jusqu' 104 caractres avec le service dannuaire
Active Directory et jusqu 14 caractres avec le Gestionnaire de scurit Windows NT
4.0. Il est recommand d'utiliser au minimum 8 caractres.
_ Utilisez une combinaison de lettres majuscules et minuscules, ainsi que des caractres
non alphanumriques.
Prsentation des noms d'ouverture de session
d'utilisateur
Sur un rseau Windows 2000/2003, un utilisateur peut ouvrir une session avec un
nom principal d'utilisateur ou un nom d'ouverture de session d'utilisateur (pr-
Windows 2000). Les contrleurs de domaine peuvent utiliser l'un de ces noms
d'ouverture de session pour authentifier la demande d'ouverture de session.
Nom principal d'utilisateur
Le nom principal d'utilisateur est le nom d'ouverture de session qui n'est utilis que
pour se connecter un Rseau Windows 2000. Ce nom est galement appel nom
d'ouverture de session d'utilisateur.
Un nom principal d'utilisateur est compos de deux parties, qui sont spares par le
signe @; par exemple suzanf@bourges.eds. Un nom d'ouverture de session
d'utilisateur comporte les deux composants ci-dessous.
_ Le prfixe de nom principal d'utilisateur qui, dans l'exemple suzanf@bourges.eds,
est suzanf.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
153
_ Le suffixe de nom principal d'utilisateur qui, dans l'exemple suzanf@bourges.eds,
est bourges.eds. Par dfaut, le suffixe est le nom du domaine racine du rseau. Vous
pouvez utiliser les autres domaines du rseau pour configurer d'autres suffixes
destination des utilisateurs. Par exemple, si vous dsirez crer des noms d'ouverture
de session d'utilisateur qui correspondent aux adresses de messagerie lectronique,
vous pouvez configurer un suffixe en consquence.
Les avantages de l'utilisation du nom principal d'utilisateur sont dcrits ci-dessous.
_ Le nom principal d'utilisateur ne change pas si vous dplacez un compte
d'utilisateur dans un autre domaine, car ce nom est unique dans Active Directory.
_ Un nom principal d'utilisateur peut tre identique l'adresse de messagerie
lectronique de cet utilisateur, car il a le mme format qu'une adresse de messagerie
lectronique standard.
Nom d'ouverture de session d'utilisateur (pr-Windows 2000)
Si un utilisateur ouvre une session sur le rseau partir d'un ordinateur client
excutant une version de Windows antrieure Windows 2000, il devra se connecter
en utilisant le nom d'ouverture de session d'utilisateur (pr-Windows 2000).
Un nom d'ouverture de session d'utilisateur (pr-Windows 2000) est un nom de
compte d'utilisateur, tel que suzanf dans l'exemple suzanf@bourges.eds.
Lorsqu'un utilisateur ouvre une session l'aide d'un nom d'ouverture de session
d'utilisateur (pr-Windows 2000), il doit aussi indiquer le domaine sur lequel son
compte d'utilisateur existe, pour permettre au contrleur de domaine charg de
l'authentifier de trouver le compte d'utilisateur.
Si un utilisateur se connecte une ressource rseau avec un autre compte d'utilisateur
que celui avec lequel il a ouvert la session, il doit indiquer le domaine et le nom
d'ouverture de session d'utilisateur (pr-Windows 2000) pour authentification (par
exemple bourges\suzanf).
Rgles d'unicit du nom d'ouverture de session d'utilisateur
Les noms d'ouverture de session de l'utilisateur des comptes d'utilisateur de domaine
doivent respecter les rgles d'unicit d'Active Directory. Lors de la cration de noms
d'ouverture de session d'utilisateur, prenez en compte les rgles d'unicit ci-dessous.
_ Le nom complet doit tre unique dans le conteneur o vous crez le compte
d'utilisateur. Le nom complet est utilis comme nom unique relatif.
_ Le nom principal de l'utilisateur doit tre unique dans la fort.
_ Le nom d'ouverture de session d'utilisateur (pr-Windows 2000) doit tre unique
dans le domaine.
Cration d'un suffixe de nom principal d'utilisateur
Lorsque vous crez un compte d'utilisateur dans la console Utilisateurs et ordinateurs
Active Directory, vous devez slectionner un suffixe de nom principal d'utilisateur.
Si le suffixe dsir n'existe pas dans la console Utilisateurs et ordinateurs Active
Directory, vous pouvez l'ajouter. Le suffixe de nom principal d'utilisateur vous
permet de simplifier les processus d'administration et d'ouverture de session en
fournissant un seul suffixe de nom principal tous les utilisateurs.
Pour ajouter un nouveau suffixe dans la console Domaines et approbations Active
Directory, vous devez tre membre du groupe prdfini Administrateurs de
l'entreprise.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
154
Pour ajouter un nouveau suffixe, excutez la procdure ci-dessous.
1. Dans la console Domaines et approbations Active Directory, dans l'arborescence de la console, cliquez avec le bouton droit
sur Domaines et approbations Active Directory, puis cliquez sur Proprits.
2. Dans l'onglet Suffixes UPN, tapez un autre suffixe UPN pour le domaine, puis cliquez sur Ajouter.
Remarque : Si vous avez cr un compte d'utilisateur l'aide d'un autre programme
que Utilisateurs et ordinateurs Active Directory, vous n'tes pas limit aux suffixes
de nom principal d'utilisateur conservs dans Active Directory. Vous pouvez dfinir
un suffixe lorsque vous crez le compte.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
155
Cration d'un compte d'utilisateur de domaine
Pour crer un compte d'utilisateur de domaine, suivez la procdure ci-dessous.
1. partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory, puis
dveloppez le domaine dans lequel vous souhaitez ajouter un compte d'utilisateur.
2. Cliquez avec le bouton droit sur le dossier qui contiendra le compte d'utilisateur, pointez sur Nouveau, puis
cliquez sur User.
Le tableau suivant dcrit les options que vous pouvez configurer :
Option Description
Prnom Prnom de l'utilisateur.
Initiales Diminutif de l'utilisateur. Il ne s'agit pas d'une entre
obligatoire.
Nom Nom de famille de l'utilisateur.
Nom dtaill Nom complet de l'utilisateur. Ce nom doit tre
unique dans le dossier dans lequel vous crez le compte.
Windows 2000 complte automatiquement cette option si
vous avez entr des informations dans les zones Prnom
ou Nom, puis affiche ce nom dans le dossier dans lequel se
trouve le compte d'utilisateur dans Active Directory.
Nom d'ouverture Nom d'ouverture de session unique de l'utilisateur tabli en
de session de l'utilisateur fonction des conventions de dnomination. Ce paramtre est
obligatoire et doit tre unique dans Active Directory.
Nom d'ouverture Nom d'ouverture de session unique de l'utilisateur pour de session de
l'utilisateur (avant ouvrir des sessions partir de versions antrieures de l'installation de
Windows 2000) Microsoft Windows. Ce paramtre est obligatoire et doit
tre unique dans Active Directory.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
156
Dfinition des options de mot de passe
Un compte d'utilisateur de domaine rside sur un contrleur de domaine. Il est ensuite
dupliqu automatiquement sur tous les autres contrleurs de domaine.
Vous pouvez crer le compte d'utilisateur de domaine dans le dossier Users par dfaut, ou
dans un autre dossier cr pour recevoir les comptes d'utilisateur de domaine.
Le tableau suivant dcrit les options de mot de passe que vous pouvez configurer lors de
l'affectation d'un mot de passe un compte d'utilisateur de domaine :
Option Description
Mot de passe Mot de passe utilis pour authentifier l'utilisateur. Pour
plus de scurit, affectez toujours un mot de passe. Le mot
de passe est invisible lorsque vous le tapez : il es reprsent
par une suite d'astrisques (*).
Confirmer le mot de Confirmez le mot de passe en le tapant une seconde fois
passe pour vrifier qu'il a t correctement entr. Il s'agit d'une
entre obligatoire.
L'utilisateur doit Activez cette case cocher pour que l'utilisateur change de
changer de mot de mot de passe la prochaine ouverture de session. Cette
passe la prochaine opration garantit que l'utilisateur est seul connatre le
ouverture de session mot de passe.
L'utilisateur ne peut pas Activez cette case cocher si plusieurs personnes utilisent
changer de mot le mme compte d'utilisateur de domaine (Invit, par
de passe exemple) ou pour garantir le contrle des mots de passe
des comptes d'utilisateur. En procdant ainsi, seuls les
administrateurs contrlent les mots de passe.
Le mot de passe Activez cette case cocher si vous voulez que le mot de
n'expire jamais passe ne soit jamais chang (par exemple pour un compte
d'utilisateur de domaine qui sera utilis par une application
ou un service de Windows 2000).
Le compte est dsactiv Activez cette case cocher pour empcher l'utilisation de
ce compte d'utilisateur (par exemple, pour le compte d'un
nouvel employ qui n'a pas encore commenc travailler).
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
157
Dfinition des proprits personnelles
La bote de dialogue Proprits contient des informations sur chaque compte
d'utilisateur. Elles sont stockes dans Active Directory. Plus elles sont compltes, plus il
sera facile de rechercher des utilisateurs dans Active Directory. Par exemple, si toutes les
proprits de l'onglet Adresse sont compltes, vous pouvez rechercher l'utilisateur en
utilisant son adresse postale comme critre de recherche.
Onglet Objet
Gnral Permet d'indiquer le nom de l'utilisateur, une description, l'emplacement de
son bureau, son numro de tlphone, son alias de messagerie lectronique et
des informations sur sa page d'accueil.
Adresse Permet d'indiquer l'adresse postale de l'utilisateur, sa bote postale, la ville,
l'tat ou la rgion, le code postal et le pays.
Compte Permet d'indiquer le nom d'ouverture de session de l'utilisateur, de
dfinir des options de compte et d'en indiquer la date d'expiration.
Profil Permet d'indiquer le chemin d'accs du profil de l'utilisateur et de son dossier
de base.
Tlphones Permet d'indiquer le numro de tlphone personnel de l'utilisateur, celui de
son rcepteur de tlmessagerie, de son tlphone portable, de son tlcopieur
et son adresse IP, ainsi que de taper des notes contenant des informations
descriptives sur cet utilisateur.
Organisation Permet d'indiquer le titre de l'utilisateur, son service, son responsable et ses
collaborateurs directs.
Membre de Permet d'indiquer les groupes auxquels appartient l'utilisateur.
Appel entrant Permet de dfinir les autorisations d'accs distance, les options de rappel,
l'adresse IP statique et les itinraires.
Environnement Permet de dfinir les applications qui seront automatiquement excutes lorsque
l'utilisateur ouvrira une session, et les quipements auxquels il sera alors
automatiquement connect.
Sessions Permet de dfinir les paramtres des services Terminal Server.
Contrle distant Permet de dfinir les paramtres de contrle distance des services Terminal Server.
Profil de servicesPermet de dfinir le profil d'utilisateur des services Terminal Server.
Terminal Server
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
158
Dfinition des proprits de compte
Dans l'onglet Compte de la bote de dialogue Proprits, vous pouvez configurer les
paramtres que vous avez spcifis lors de la cration d'un compte d'utilisateur de
domaine, par exemple les options de nom d'ouverture de session de l'utilisateur et
d'ouverture de session. Vous pouvez modifier les options de mot de passe en activant
ou dsactivant les cases cocher appropries sous Options de compte.
Options d'ouverture de session
La dfinition des options d'ouverture de session d'un compte d'utilisateur de domaine
vous permet de contrler les heures au cours desquelles un utilisateur pourra ouvrir
une session sur le domaine, ainsi que les ordinateurs partir desquels il pourra le
faire. Ces paramtres sont accessibles dans l'onglet Comptes.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
159
Pour dfinir des heures d'ouverture de session, suivez la procdure ci-
dessous.
==============================================================================
1. Ouvrez la bote de dialogue Proprits du compte d'utilisateur. Dans l'onglet Compte, cliquez sur Horaires
d'accs.
La zone bleue indique les heures auxquelles l'utilisateur peut ouvrir des sessions. La zone blanche indique les
heures auxquelles l'utilisateur ne peut pas ouvrir de sessions.
2. Pour autoriser ou refuser l'accs, suivez l'une des procdures ci-dessous, puis cliquez sur OK.
Slectionnez les zones des jours et des heures pendant lesquels vous souhaitez refuser l'accs l'utilisateur en
cliquant sur l'heure de dbut, puis en faisant glisser la souris jusqu' l'heure de fin, et en cliquant sur Connexion
refuse.
Slectionnez les zones des jours et des heures pendant lesquels vous souhaitez accorder l'accs l'utilisateur
en cliquant sur l'heure de dbut, puis en faisant glisser la souris jusqu' l'heure de fin, et en cliquant sur Connexion
autorise.
==============================================================================
Dfinition des ordinateurs partir desquels l'utilisateur peut ouvrir
une session
Par dfaut, tout utilisateur disposant d'un compte valide peut ouvrir une session sur le
rseau partir de tout ordinateur excutant Windows 2000/2003. Sur un rseau pourvu
d'un niveau de scurit lev sur lequel des donnes stratgiques sont stockes sur les
ordinateurs locaux, vous pouvez limiter les ordinateurs partir desquels les utilisateurs
peuvent ouvrir des sessions sur le rseau. Par exemple, l'utilisateur1 peut ouvrir des
sessions uniquement partir de l'ordinateur1. Vous ne pouvez pas indiquer les ordinateurs
partir desquels il ne peut pas ouvrir de session.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
160
==============================================================================
1. Ouvrez la bote de dialogue Proprits du compte d'utilisateur, puis, dans l'onglet Compte, cliquez sur Se
connecter .
2. Cliquez sur Les ordinateurs suivants. Ajoutez les ordinateurs partir desquels cet utilisateur peut ouvrir des
sessions, en tapant leurs noms dans la zone Nom de l'ordinateur, puis cliquez sur Ajouter. Lorsque vous avez fini
d'ajouter des ordinateurs, cliquez sur OK.
==============================================================================
Remarque : Les restrictions dautorisation des stations de travail ne portent que sur
les ordinateurs Microsoft Windows NT, Windows 2000 et Windows XP du domaine.
Si ce dernier comporte des ordinateurs Microsoft Windows 95 ou Windows 98, ils ne
sont pas sujets aux restrictions, ce qui signifie quun nom dutilisateur et un mot de
passe valide suffit pour ouvrir une session sur ces systmes.
Dfinissez ci dessous, le profile utilisateur, son script douverture de session ainsi
que son rpertoire de base.
Expiration du compte
Vous pouvez dfinir une date d'expiration sur un compte d'utilisateur pour qu'il soit
dsactiv lorsque l'utilisateur concern n'a plus besoin d'accder au rseau.
Par exemple, pour des raisons de scurit, vous pouvez dfinir des comptes d'utilisateur
pour les employs temporaires de telle sorte qu'ils expirent la date de fin de leur contrat.
======================================================================
Pour dfinir la date d'expiration d'un compte, suivez la procdure ci-dessous.
1. Ouvrez la bote de dialogue Proprits du compte d'utilisateur appropri.
2. Dans l'onglet Compte, sous Date d'expiration, cliquez sur Fin.
Slectionnez une date d'expiration dans la liste, puis cliquez sur OK.
======================================================================
Droits utilisateur
Ce que les utilisateurs peuvent ou ne peuvent pas faire dpend des droits et des
permissions qui leur ont t accords. Les droits concernent, gnralement, le sytme
dans sa globalit. Par exemple, la capacit de sauvegarder des fichiers ou douvrir une
session sur le serveur est un droit que ladministrateur donne ou reprend. Vous pouvez
Profile utilisateur
Script douverture de
session
Rpertoire de base
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
161
affectez des droits de manire individuelle mais, le plus souvent, vous assignerez des
groupes, auxquels vous ajouterez ensuite des utilisateurs en fonction des droits dont ils
ont besoin.
Les permissions indiquent les accs dont peut bnficier un utilisateur (ou un groupe) sur
certains objets tels que fichiers, rpertoires et imprimantes.
Par exemple : la question de savoir si un utilisateur peut lire tel ou tel rpertoire ou
accder telle ou telle imprimante est une permission.
Les droits, quand eux, se divisent en deux types : privilges et droits douverture de
session. Les privilges sont, la possibilit dexcuter des audits de scurit ou de forcer
larrt du systme depuis une autre machine (ce qui nentre pas dans le cadre du travail de
lutilisateur ordinaire). Les droits douverture de session concernent la capacit de se
connecter une machine de certaines faons. Les groupes prdfinis de Windows Server
2003 reoivent automatiquement des droits, mais vous pouvez vous mme affecter des
droits des utilisateurs individuels ou des groupes. Mieux vaux les affecter aux groupes
afin de simplifier ladministration.
Affectation de droits un groupe
Pour assigner ou retirer des droits au niveau dun domaine, le plus simple est de passer
par la stratgie de groupe. Supposez que vous ayez un groupe dutilisateurs qui doivent
pouvoir ouvrir des sessions locales sur les serveurs Windows Server 2003, mais que vous
ne vouliez pas ces utilisateurs soient membres de lun des groupes possdant ce droit.
Une solution consiste crer un groupe appel, par exemple SessionsLocales, ajouter
les utilisateurs ce groupe, puis affecter au groupe le droits douvrir des sessions
locales.
======================================================================
1). Ouvrez loutil dadministration Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit de
la souris sur le domaine, puis choisissez Proprits.
2). Allez dans longlet Stratgie de groupe, puis cliquez sur Modifier.
Developpez la branche Configuration ordinateur, puis la branche Paramtres Windows.
3). Sous Paramtres de scurit, cliquez sur Stratgie locale puis sur Attribution des droits utilisateur. Dans le
volet de droite, cliquez deux fois sur Ouvrir une session localement.
4). Cochez Dfinir ces paramtres de stratgie, puis cliquez sur Ajouter.
5). Tapez le nom du groupe auquel vous voulez accorder ce droit. Cliquez deux fois sur OK et fermer la fentre
Stratgie de groupe.
======================================================================
Vous pouvez affecter ou supprimer des droits localement, sachant quune stratgie
dfinie au niveau du domaine a priorit sur la stratgie locale.
Une stratgie dfinie au niveau du domaine ne peut pas tre modifie au niveau local.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
162
Les comptes d'ordinateur
Les comptes d'ordinateur sont similaires aux comptes d'utilisateur, car ils peuvent tre
utiliss pour authentifier et analyser l'ordinateur et pour accorder des autorisations d'accs
aux ressources du rseau. Les ordinateurs clients qui excutent Windows 2000/2003 ou
Windows NT 4.0 doivent disposer d'un compte d'ordinateur valide pour intgrer le
domaine.
Vous pouvez utiliser Utilisateurs et ordinateurs Active Directory sur un contrleur de
domaine quelconque disponible pour crer un compte d'ordinateur. Ds que vous avez
cr le compte, celui-ci est dupliqu par Active Directory vers tous les autres contrleurs
du domaine.
Lorsque l'administrateur systme cre un compte d'ordinateur, il peut choisir l'unit
d'organisation dans laquelle il veut crer le compte. Si un ordinateur est joint un
domaine, le compte d'ordinateur est cr dans le conteneur Computers et l'administrateur
peut dplacer, si ncessaire, le compte vers l'unit d'organisation approprie.
Par dfaut, les utilisateurs Active Directory peuvent ajouter jusqu' 10 ordinateurs au
domaine avec les informations d'identification de leur compte d'utilisateur. Cette
configuration par dfaut peut tre modifie.
Si l'administrateur systme ajoute directement un compte d'ordinateur Active Directory,
un utilisateur peut joindre un ordinateur au domaine sans utiliser aucun des 10 comptes
d'ordinateurs allous.
L'ajout d'un ordinateur au domaine avec un compte prcdemment cr s'appelle la
pr-gnration. Cela signifie que des ordinateurs sont ajouts aux units
d'organisation pour lesquelles l'administrateur systme dispose d'autorisations d'ajout
de comptes d'ordinateurs. Gnralement, les utilisateurs ne disposent pas des
autorisations appropries pour pr-gnrer un compte d'ordinateur ; ils joignent donc
un ordinateur au domaine en utilisant un compte pr-gnr.
Lorsqu'un utilisateur joint un ordinateur un domaine, le compte d'ordinateur est ajout
au conteneur Computers dans Active Directory. Cette opration s'effectue par le biais d'un
service qui ajoute le compte d'ordinateur de la part de l'utilisateur. Le compte systme
enregistre galement le nombre d'ordinateurs ajouts au domaine par chaque utilisateur.
Par dfaut, tout utilisateur authentifi a le droit d'ajouter des stations de travail un
domaine et de crer jusqu' 10 comptes d'ordinateurs dans le domaine.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
163
Lorsque vous crez le compte d'ordinateur, vous devez d'abord slectionner le conteneur
dans lequel il va tre cr. Vous pouvez crer des comptes d'ordinateur au niveau du
domaine. Cependant, cette action limite vos options de dlgation et augmente la
complexit de gestion du rseau.
Pour crer un compte d'ordinateur, suivez la procdure ci-dessous.
1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur l'unit d'organisation dans laquelle vous souhaitez
crer le compte d'utilisateur, pointez sur Nouveau, puis cliquez sur Computer.
3. Tapez le nom de l'ordinateur. Il doit tre unique au sein de la fort.
4. Pour amliorer la scurit, modifiez la slection dans la zone L'utilisateur ou le
groupe suivant peut joindre cet ordinateur un domaine. Vous pouvez spcifier
tout utilisateur ou groupe en tant que compte ayant l'autorisation de connecter
l'ordinateur au domaine. La personne qui connecte l'ordinateur au domaine doit
entrer un nom d'utilisateur et un mot de passe correspondant ceux spcifis dans
cette zone.
5. Cliquez sur OK.
Chaque compte d'ordinateur que vous crez est associ un ensemble d'attributs par
dfaut. Les attributs sont utiliss lors des recherches effectues dans Active Directory.
C'est pourquoi vous devez fournir des dfinitions d'attribut dtailles pour chaque compte
d'ordinateur que vous crez.
En tant qu'administrateur systme, vous tes parfois amen rinitialiser des
comptes d'ordinateurs. Supposons que le rseau ait compltement t sauvegard il y
a sept jours, que l'ordinateur ait relay les informations au contrleur de domaine qui
a modifi le mot de passe sur le compte d'ordinateur, que le disque dur de l'ordinateur
soit tomb en panne et que l'ordinateur ait t restaur partir de la sauvegarde.
L'ordinateur possde prsent un mot de passe obsolte et l'utilisateur ne parvient
pas se connecter car l'ordinateur ne peut pas s'authentifier dans le domaine. Vous
devez par consquent rinitialiser le compte de l'ordinateur.
Vous devez tenir compte de deux lments avant de rinitialiser le compte de
l'ordinateur :
- Pour effectuer cette procdure, vous devez tre membre du groupe Oprateurs
de compte, Admins du domaine ou Administrateurs de l'entreprise dans
Active Directory, ou bien l'autorisation doit vous avoir t dlgue. Pour des
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
164
raisons de scurit, il est prfrable d'utiliser la commande Excuter en tant
que pour effectuer cette procdure.
- Lorsque vous rinitialisez un compte d'ordinateur, vous interrompez la
connexion de l'ordinateur au domaine et vous devez donc l'y reconnecter.
Pour rinitialiser un compte d'ordinateur, procdez comme suit :
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur Computers ou sur le
conteneur qui contient l'ordinateur rinitialiser.
2. Dans le volet d'informations, cliquez avec le bouton droit sur l'ordinateur, puis cliquez sur Rinitialiser le compte.
Tches administratives courantes
Les principales tches administratives sont les suivantes : rinitialiser des mots de
passe, dverrouiller des comptes d'utilisateur; renommer, dsactiver, activer et
supprimer des comptes d'utilisateur, et dplacer des comptes d'utilisateur dans un
domaine.
Dsactivez un compte d'utilisateur s'il doit rester inutilis pendant un certain temps.
Rinitialisez un mot de passe s'il expire avant d'tre modifi par l'utilisateur, ou si ce
dernier l'a oubli.
Dplacez les comptes d'utilisateur entre units d'organisation du mme domaine si
ncessaire.
Supprimez un compte d'utilisateur inutilis.
Renommez un compte d'utilisateur si vous dsirez reprendre ses attributs et l'affecter
un autre utilisateur.
Dverrouillez un compte d'utilisateur si un paramtre de stratgie de groupe de
scurit bloque ce compte.
Localisation des comptes d'utilisateur
Au lieu de parcourir des centaines ou des milliers de comptes d'utilisateur dans
Active Directory, vous pouvez utiliser les fonctions de recherche de la console
Utilisateurs et ordinateurs Active Directory pour rechercher des comptes prcis avant
de les administrer partir des rsultats de la recherche.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
165
Pour rechercher un compte d'utilisateur, procdez comme suit :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Pour effectuer la recherche dans l'ensemble du domaine, cliquez avec le bouton droit sur le noeud de domaine
dans l'arborescence de la console, puis cliquez sur Rechercher.
Si vous savez dans quelle unit d'organisation l'utilisateur se trouve, cliquez avec le bouton droit sur cette dernire,
puis sur Rechercher.
3. Dans la bote de dialogue Rechercher Utilisateurs, contacts et groupes, tapez dans la zone Nom le nom de
l'utilisateur rechercher.
4. Cliquez sur Rechercher.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
166
Dans cet exercice, vous allez crer deux comptes
d'utilisateur locaux.
` TP raliser.
Aprs avoir ouvert une session en tant qu'Administrateur, vous allez crer le compte
LocalUserx. Pour l'autre compte, vous ouvrirez une session en tant que LocalUserx.
Comme le compte LocalUserx ne dispose pas du droit de crer des comptes d'utilisateur
locaux, vous devrez utiliser la commande Excuter en tant que pour dmarrer la console
Gestion de l'ordinateur en tant qu'Administrateur, puis crer l'autre compte.
======================================================================
a. Essayez d'ouvrir une session en utilisant les informations suivantes :
Utilisateur : LocalUserx (o x reprsente le numro de stagiaire qui vous a t affect)
Mot de passe : password
Se connecter : Serveur (o Serveur reprsente le nom affect votre ordinateur : SAM Local)
Un compte d'utilisateur qui n'existe pas dans le Gestionnaire SAM d'un ordinateur local peut-il ouvrir une session
sur cet ordinateur ?
______________________________________________________________________________________
______________________________________________________________________________________
======================================================================
a. Cliquez sur OK pour fermer le message Message d'ouverture de session.
b. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : Administrateur
Mot de passe : P@sswrdXXXX
Se connecter : Serveur (o Serveur reprsente le nom affect votre ordinateur)
c. partir du menu Outils d'administration, ouvrez la console Gestion de l'ordinateur.
d. Dans l'arborescence de la console, sous Outils systme, dveloppez Utilisateurs et groupes locaux, puis
cliquez sur Utilisateurs.
Pourquoi le compte Invit s'affiche-t-il barr d'une croix rouge dans la liste des comptes d'utilisateur ?
______________________________________________________________________________________
_________
e. Cliquez avec le bouton droit sur Utilisateurs, puis cliquez sur Nouvel utilisateur.
f. Dans la bote de dialogue Nouvel utilisateur, entrez les informations suivantes :
Utilisateur : LocalUserx (o x reprsente le numro de stagiaire qui vous a t affect)
Description : Mon compte d'utilisateur
Mot de passe : P@sswrd1
Confirmer le mot de passe : P@sswrd1
g. Dsactivez la case cocher L'utilisateur doit changer de mot de passe la prochaine ouverture de
session, puis cliquez sur Crer.
h. Cliquez sur Fermer pour fermer la bote de dialogue Nouvel utilisateur.
i. Fermez la console Gestion de l'ordinateur, puis la session.
======================================================================
J. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : LocalUserx (o x reprsente le numro de stagiaire qui vous a t affect)
Mot de passe : P@sswrd1
Se connecter : Serveur (o Serveur reprsente le nom affect votre ordinateur)
k. partir du menu Outils d'administration, ouvrez la console Gestion de l'ordinateur (ou faire Poste de travail,
bouton droit Grer..).
l. Dans l'arborescence de la console, sous Outils systme, dveloppez Utilisateurs et groupes locaux, cliquez
avec le bouton droit sur Utilisateurs, puis cliquez sur Nouvel utilisateur.
m. Dans la bote de dialogue Nouvel utilisateur, dans la zone Nom d'utilisateur, tapez Managerx (o x
reprsente votre numro de stagiaire), puis cliquez sur Crer.
Un message de refus d'accs s'affiche dans la bote de dialogue : Utilisateurs et groupes locaux.
Pourquoi le compte LocalUserx reoit-il un message d'erreur lorsque vous tentez de crer un compte d'utilisateur ?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
n. Cliquez sur OK pour fermer le message d'erreur.
o. Cliquez sur Fermer pour fermer la bote de dialogue Nouvel utilisateur, puis fermez la console Gestion de
l'ordinateur.
p. Cliquez sur Dmarrer, pointez sur Programmes, puis sur Outils d'administration, cliquez avec le bouton droit
sur Gestion de l'ordinateur, puis cliquez sur Excuter en tant que.
q. Dans la bote de dialogue Excuter en tant qu'utilisateur diffrent, vrifiez que le nom d'utilisateur est
Administrateur, et que le domaine est Serveur.
r. Dans la zone Mot de passe, tapez P@sswrd1 et cliquez sur OK.
s. Dans l'arborescence de la console, sous Outils systme, dveloppez Utilisateurs et groupes locaux, cliquez
avec le bouton droit sur Utilisateurs, puis cliquez sur Nouvel utilisateur.
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
167
t. Dans la bote de dialogue Nouvel utilisateur, entrez les informations suivantes :
Utilisateur : Managerx (o x reprsente votre numro de stagiaire)
Description : Responsable facturation
Mot de passe : P@sswrd1
Confirmer le mot de passe : P@sswrd1
u. Dsactivez la case cocher L'utilisateur doit changer de mot de passe la prochaine ouverture de
session, puis cliquez sur Crer.
v. Cliquez sur Fermer pour fermer la bote de dialogue Nouvel utilisateur, puis fermez la console Gestion de
l'ordinateur.
======================================================================
a. Cliquez sur Dmarrer, puis sur Excuter.
b. Dans la zone Ouvrir, tapez \\ServNet et cliquez sur OK.
La bote de dialogue Saisie du mot de passe rseau s'affiche et indique que le compte local LocalUserx ne
possde pas le droit d'accs l'ordinateur ServNet.
c. Dans la bote de dialogue Saisie du mot de passe rseau, tapez Administrateur dans la zone Nom.
d. Dans la zone Mot de passe, tapez P@sswrd1 et cliquez sur OK.
Pourquoi le compte LocalUserx n'a-t-il pas pu se connecter au contrleur de domaine ? Pourquoi le compte
Administrateur a-t-il pu se connecter au contrleur de domaine ?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
e. Fermez la fentre ServNet, puis la session.
======================================================================
a. Essayez d'ouvrir une session sur le domaine en utilisant les informations suivantes :
Utilisateur : LocalUserx (o x reprsente le numro de stagiaire qui vous a t affect)
Mot de passe : P@sswrd1
Se connecter : Bourges
Pourquoi le compte LocalUserx ne peut-il pas ouvrir de session sur le domaine bourges ? O le compte LocalUserx
rside-t-il ? O le compte doit-il rsider pour ouvrir une session sur le domaine Bourges ?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
b. Cliquez sur OK pour fermer le message Message d'ouverture de session.
c. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : LocalUserx (o x reprsente le numro de stagiaire qui vous a t affect)
Mot de passe : P@sswrd1
Se connecter : Serveur (o Serveur reprsente le nom affect votre ordinateur).
Pourquoi le compte LocalUserx a-t-il pu ouvrir une session sur Serveur (o Serveur reprsente le nom affect
votre ordinateur) ?
______________________________________________________________________________________
______________________________________________________________________________________
d. Fermez la session.
======================================================================
Administration des comptes d'utilisateurs
` TP raliser.
======================================================================
Crer un compte d'utilisateur
Dans Utilisateurs et ordinateurs Active Directory, crez un compte d'utilisateur avec les paramtres suivants
dans le dossier Bourges.eds\Users :
Prnom : NomOrdinateur (exemple : London)
Nom : Payrollx (o x reprsente le numro de stagiaire qui vous a t affect)
Nom complet : NomOrdinateur Payrollx (exemple : London Payroll)
Nom d'ouverture de session de l'utilisateur : NomOrdinateurPayrollx (exemple :LondonPayrollx)
Nom d'ouverture de session de l'utilisateur [pr-Windows 2000] :NomOrdinateurPayroll (exemple :
LondonPayroll)
Mot de passe : P@ssw0rd1
Dcocher Lutilisateur doit changer le mot de passe la prochaine ouverture de session
Cocher Le compte nexpire jamais
Fermer Utilisateurs et ordinateurs Active Directory
======================================================================
Modifier le compte d'utilisateur
Dans Utilisateurs et ordinateurs Active Directory, modifiez les paramtres suivants du compte d'utilisateur
NomOrdinateur Payrollx :
Description : Compte pour AD et Test Payroll
Bureau : Payroll
Numro de tlphone : 973-555-0198
Adresse de messagerie : NomOrdinateurPayroll@bourges.eds
Titre : Payroll Test Account
Service : Payroll Test
P R S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
168
Socit : Payroll Test
Gestionnaire : Marcel
Numro de tlphone Domicile : 555-0101
Adresse : 85 avenue du GL de GAULLE 94000 Crteil France
Plage horaires : du Lundi au Vendredi de 9 :00 h 18 :00h
Se connecter : uniquement depuis votre machine
======================================================================
Procdure d'activation et de dsactivation des comptes d'utilisateurs
et des comptes d'ordinateurs
Lorsqu'un compte est dsactiv, l'utilisateur ne peut pas ouvrir de session.
Le compte figure dans le volet d'informations et l'icne du compte est marque d'un X.
Pour activer et dsactiver un compte d'utilisateur ou un compte d'ordinateur via
Utilisateurs et ordinateurs Active Directory, procdez comme suit :
1. Dans l'arborescence de la console d'Utilisateurs et ordinateurs Active Directory, slectionnez le conteneur
ou Users qui contient le compte activer ou dsactiver. Ici lutilisateur cr ci-dessus =: Payrollx
2. Dans le volet d'informations, cliquez avec le bouton droit sur le compte d'utilisateur.
3. Pour le dsactiver, cliquez sur Dsactiver le compte.
4. Pour l'activer, cliquez sur Activer le compte.
Pour rinitialiser un mot de passe d'utilisateur de domaine, procdez comme
suit :
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur Users.
2. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'utilisateur ici Prnom =: Payrollx
, puis cliquez sur Rinitialiser le mot de passe.
3. Dans les zones Nouveau mot de passe et Confirmer le nouveau mot de passe, tapez le nouveau mot de
passe, puis cliquez sur OK.
Pour dverrouiller un compte, procdez comme suit :
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, slectionnez l'unit
d'organisation qui contient le compte d'utilisateur dverrouiller.
2. Dans le volet d'informations, slectionnez le compte d'utilisateur dverrouiller.ici Prnom =: Payrollx
3. Cliquez avec le bouton droit sur le compte, puis cliquez sur Proprits et cochez la case cocher Le compte
est verrouill.
Pour rechercher un compte d'utilisateur, procdez comme suit :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Pour effectuer la recherche dans l'ensemble du domaine, cliquez avec le bouton droit sur le domaine
Bourges.eds, dans l'arborescence de la console, puis cliquez sur Rechercher.
3. Dans la recherche Avanc, effectuer un filtre de recherche, afin de locatiliser un par un les lments ci-dessous :
Description : Compte pour AD et Test Payroll
Bureau : Payroll
Adresse de messagerie : NomOrdinateurPayroll@bourges.eds
Titre : Payroll Test Account
Service : Payroll Test
======================================================================
******Attention******
FIN THEORIQUE DE LA PREMIERE SEMAINE
` TP raliser.
Commencer la deuxime semaine (si semaine non conscutive), par :
Installer Windows Serveur 2003, selon les critres imposs par le formateur
Crer en invite de commande (commande diskpart) une partition tendue de 2 Go, puis
un lecteur logique de 2 Go, affectu lui la lettre E :, puis formater ce lecteur en NTFS
Dsactiver les partages administratifs
Dsactiver la possibilit de faire un Shutdown distance sur votre PC via lditeur de
stratgie
P R O F I L S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
169
PROFILS D'UTILISATEURS
Le profil d'utilisateur contient tous les paramtres que l'utilisateur peut dfinir pour
l'environnement de travail d'un ordinateur qui excute Windows 2003, savoir les
paramtres de l'affichage, les paramtres rgionaux, ceux de la souris et les
paramtres du son, outre les connexions au rseau et aux imprimantes.
Vous pouvez configurer des profils d'utilisateur pour qu'un profil suive un utilisateur
sur chaque ordinateur sur lequel il ouvre une session.
Un profil d'utilisateur est cr la premire ouverture de session de l'utilisateur sur
un ordinateur. Tous les paramtres propres l'utilisateur sont automatiquement
enregistrs dans le sous-dossier de cet utilisateur dans le dossier Documents and
Settings (C:\Documents and Settings\utilisateur).
Lorsque l'utilisateur ferme la session, son profil d'utilisateur est mis jour sur
l'ordinateur sur lequel il avait ouvert la session. Le profil d'utilisateur conserve donc
les paramtres de bureau de l'environnement de travail de chaque utilisateur sur
l'ordinateur local. Seuls les administrateurs systme sont autoriss modifier les
profils d'utilisateur obligatoires. Les types de profils d'utilisateur sont prsents ci-
dessous.
Chaque profil utilisateur commence par une copie de Default User, qui correspond
un profil utilisateur par dfaut stock sur chaque ordinateur qui excute un systme
d'exploitation de la famille Windows Server 2003. Le fichier NTuser.dat qui figure
dans Default User comporte des paramtres de configuration de la famille Windows
Server 2003. Chaque profil utilisateur utilise galement les groupes de programmes
communs qui figurent dans le dossier All Users.
Les dossiers de profil utilisateur comprennent divers lments, parmi lesquels le
Bureau et le menu Dmarrer. Le contenu de chaque dossier de profil utilisateur est
list et dcrit dans le tableau ci-dessous.
Dossier de profil
utilisateur
Contenu
Donnes
d'application
Donnes spcifiques un programme (dictionnaire personnalis, par exemple). Les diteurs de
programmes dcident des donnes qui sont stockes dans ce dossier de profil utilisateur.
Cookies Prfrences et informations utilisateur
Bureau lments du Bureau (y compris les fichiers, les raccourcis et les dossiers)
Favoris Raccourcis vers des sites favoris sur Internet
Paramtres
locaux
Donnes d'application, historiques et fichiers temporaires. Les donnes d'application suivent
l'utilisateur grce aux profils utilisateur itinrants.
Mes documents Documents et sous-dossiers utilisateur
Mes documents
rcents
Raccourcis vers les derniers documents utiliss et dossiers accds
P R O F I L S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
170
Voisinage
rseau
Raccourcis vers des lments des Favoris rseau
Voisinage
d'impression
Raccourcis vers des lments du dossier d'impression
Envoyer vers Raccourcis vers des utilitaires de traitement de documents
Menu Dmarrer Raccourcis vers des lments de programme
Modles lments de modle utilisateur
Le fichier NTuser.dat correspond la partie registre du profil utilisateur. Lorsqu'un
utilisateur ferme une session sur l'ordinateur, le systme dcharge la partie spcifique
l'utilisateur qui figure dans le registre (c'est--dire HKEY_CURRENT_USER)
dans le fichier NTuser.dat et le met jour.
Les types de profils sont prsents ci-dessous :
Profil dutilisateur par dfaut : Ce profil est la base de tous les profils
dutilisateur. Chaque profil dutilisateur est une copie du profil dutilisateur par
dfaut, qui est stock sur tous les ordinateurs excutant Windows 2000/XP/Server
2003. Stock dans le dossier %systemdrive%\Documents and Settings\Default
User.
Profil dutilisateur local : Ce profil est cr la premire fois quun utilisateur
ouvre une session sur un ordinateur, il est stock sur lordinateur local. Toutes les
modifications apportes au profil dutilisateur local sont propres lordinateur sur
lequel les changements ont t effectus. Plusieurs profils dutilisateur locaux
peuvent exister sur un ordinateur.
Profil dutilisateur itinrant : Ce profil est cr par ladministrateur systme
et stock sur un serveur. Ce profil est disponible chaque fois quun utilisateur ouvre
une session sur un ordinateur sur le rseau. Si un utilisateur apporte des
modifications aux paramtres de bureau, son profil dutilisateur est mis jour sur le
serveur lorsquil ferme la session.
Profil dutilisateur obligatoire : Crs par ladministrateur systme pour
spcifier des paramtres particuliers destins un ou plusieurs utilisateurs, les profils
errants peuvent devenir obligatoires. Il suffit pour cela de changer le nom du fichier
de profil, de renommer le fichier Ntuser.dat en Ntuser.man . Un profil
dutilisateur obligatoire ne permet pas aux utilisateurs denregistrer les modifications
apportes aux paramtres de bureau (profil errant en lecture seule).
Lutilisateur peut modifier les paramtres du bureau de lordinateur sur lequel il a
ouvert une session, mais ces modifications ne sont pas enregistres lorsquil la ferme.
Profil utilisateur temporaire Un profil temporaire est gnr chaque fois
qu'une condition d'erreur empche le chargement d'un profil utilisateur. Les profils
temporaires sont supprims la fin de chaque session. Les modifications apportes
par l'utilisateur aux fichiers et aux paramtres du Bureau sont perdues lorsqu'il ferme
la session.
P R O F I L S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
171
Remarque : en cas de conflit entre la stratgie de groupe sur le domaine et les
paramtres de profil locaux dun utilisateur, la stratgie de groupe prvaut sur tous
les paramtres locaux.
Aucun paramtre de stratgie de groupe utilis pour dfinir les environnements de
bureau ne peut tre modifi par lutilisateur.
Le fichier "ntuser.ini" est employ pour crer les composantes d'un profil utilisateur
errant qui ne sont pas copies vers le serveur. Le fichier " ntuser.dat.LOG " est
employ par le fichier "NTUSER.DAT " pour la restauration dans le cas d'une
erreur. Les dossiers complmentaires sont dans le dossier "C:\Documents et
Settings\username".
Windows
NT/2000/XP/Server
2003
Windows 95/98
Type de Profils
NTuser.dat User.dat Profil utilisateur local et errant
NTuser.dat.LOG User.da0 Sauvegarde du profil
NTuser.man User.man Profil obligatoire
Vous ne pouvez pas copier ou supprimer un profil utilisateur qui appartient
l'utilisateur actuellement connect ou un utilisateur dont le profil est en cours
d'utilisation.
Configuration du profil utilisateur
Une fois les profils itinrants configurs sur le serveur, Windows copie le profil
utilisateur local dans le chemin daccs de profil itinrant lors de la connexion
utilisateur suivante. Si cet utilisateur se connecte ensuite sur dautres machines, le
profil itinrant sera copi sur le profil utilisateur local de ces ordinateurs.
Veillez sauvegarder rgulirement les profils qui sont sur le serveur, si la perte de
donnes de configuration nest pas dramatique, il nen va pas toujours de mme pour
le contenu du dossier Mes documents .
P R O F I L S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
172
Les profils utilisateur obligatoires ne permettent pas d'apporter des modifications au
profil utilisateur stock sur le serveur.
La gestion des profils doit de prfrence suivre une stratgie. Le recours aux profils
obligatoires, mme s'il est autoris, est moins facilement grable et davantage
susceptible de crer des problmes d'administration ; il n'est par consquent pas
recommand.
Attention pour dclarer les profils utilisateurs pour le domaine il faut utiliser
Utilisateurs et ordinateurs Active directory et pas Gestion de l'ordinateur ,
sur Utilisateurs et groupes locaux .
` TP raliser.
========================================================================
***Indiquez aux clients du domaine de bien fermer leurs sessions avant de
commencer le TP***.
Partie raliser sur la machine du formateur
Permettre lutilisateur Marcel douvrir une session localement sur le serveur :
Stratgie de scurit du contrleur du domaine, paramtres de scurits, stratgies locales, attribution des
droits utilisateurs => Permettre louverture dune session locale
Ouvrir une session localement en tant que Marcel, changer le papier peint en Jaune, fermer la session Marcel.
Ouvrir une session en tant quadministrateur du domaine.
1). Sur un serveur de domaine, crer un dossier partag dot dun nom explicite, c:\profils utilisateurs par
exemple, nom de partages : Profils. Laisser les paramtres de partage par dfaut.
2). Ouvrir Utilisateurs et ordinateurs Active Directory, cliquez sur Dmarrer, puis sur Panneau de
configuration, double-cliquez sur Outils d'administration, puis double-cliquez sur Utilisateurs et ordinateurs
Active Directory.
3).Cliquez avec le bouton droit sur le compte d'utilisateur que vous souhaitez modifier (utiliser le compte Marcel),
puis cliquez sur Proprits .
4). Sous l'onglet Profil , dans le chemin d'accs du profil, tapez l'emplacement du profil que vous souhaitez
attribuer en utilisant le format \\ NomServeur \ NomPartageProfils \ NomProfilUtilisateur :
\\ServNet\profils\Marcel (nom UNC), vous pouvez utiliser la variable systme %username% pour faire rfrence
au nom de connexion rseau de lutilisateur.
5). Cliquez sur OK pour refermer et enregistrer les modifications.
6). Ouvrez la boite de dialogue proprits du Poste de travail, onglet Avanc, bouton Paramtres de Profils
utilisateurs.
\\Serveur\Partage\marcel
Les profils utilisateur
deviennent obligatoires
lorsque vous renommez le
fichier NTuser.dat du
serveur en NTuser.man.
Suite ce changement
d'extension, le profil
utilisateur passe en lecture
seule.
P R O F I L S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
173
Choisir le profil de Marcel, puis Copier dans, Parcourir, choisir C:\Profils Utilisateurs, Ok, ajouter ce chemin
\Marcel. Puis Ok, OK, OK.
O :
NomServeur correspond au nom de l'ordinateur o les profils sont stocks ;
NomPartageProfils correspond au nom du partage o les profils sont stocks ;
NomProfilUtilisateur correspond au dossier spcifique pour ce profil utilisateur, vous pouvez aussi utiliser la variable
%username% qui sera remplac par le nom de lutilisateur qui a ouvert une session.
7). Vous pouvez maintenant renommer le fichier ntuser.dat de Marcel en ntuser.MAN , et demander aux
clients du domaine de modifier le papier peint sur leurs bureaux, de fermer de nouveau leurs sessions et de
nouveau ouvrir une session en tant que Marcel sur le domaine de Bourges et de vrifier que le papier peint
est toujours le mme (pas de modification car cest un profil oblogatoire).
========================================================================
Les modifications apportes la stratgie de groupe dans la famille Windows
Server 2003 concernent les profils utilisateur :
Empcher la propagation des modifications de profils itinrants
vers le serveur Cette stratgie dtermine si les modifications
apportes par un utilisateur son profil itinrant sont fusionnes avec
la copie de son profil sur le serveur. Si cette stratgie est dfinie au
moment de l'ouverture de session utilisateur, l'utilisateur reoit alors
son profil itinrant, mais toutes les modifications qu'un utilisateur
apportera son profil ne seront pas fusionnes avec son profil
itinrant au moment de la fermeture de session.
Ajouter le groupe de scurit administrateurs aux profils
itinrants utilisateurs Cette stratgie permet un administrateur
de choisir le mme comportement que celui de Windows NT
version 4.0 et un groupe d'administrateurs de contrler pleinement
les rpertoires de profils de l'utilisateur. Dans Windows 2003, les
autorisations d'accs aux fichiers par dfaut pour les profils itinrants
venant d'tre gnrs sont le contrle total, l'accs en lecture et en
criture pour l'utilisateur et l'absence d'accs aux fichiers pour le
groupe Administrateurs.
N'autoriser que les profils d'utilisateurs locaux Ce paramtre
dtermine si les profils utilisateur itinrants sont disponibles sur un
ordinateur donn. Par dfaut, lorsque des utilisateurs profil itinrant
ouvrent une session sur un ordinateur, leur profil itinrant est copi
sur l'ordinateur local. Grce ce paramtre, un administrateur peut
empcher les utilisateurs configurs pour utiliser des profils itinrants
de recevoir leur profil itinrant sur un ordinateur spcifique.
Ne pas retenir les profils sur les stations 2000/Server 2003
Si votre serveur est un 2000/Server 2003 et que les stations sont des 2000 pro ou XP
pro, vous pouvez le faire en modifiant la stratgie par dfaut du domaine. Voici
comment :
Dans "Utilisateurs et ordinateurs Active directory" faites un clic droit sur le
domaine, puis et allez dans "Proprits". Dans longlet "Stratgie de groupe",
modifiez la stratgie par dfaut "Domaine Dfault Policy".
Dans cette stratgie de groupe recherchez dans "Configuration de l'ordinateur",
"Modles d'administration (Administrative Templates)", "Systme", "Profil
Utilisateur (User Profils)" et rendez actif "Supprimer les copies en cache des
profils itinrants (Delete cached copies of roaming profiles)".
P R O F I L S D ' U T I L I S A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
174
Paramtrer les profils utilisateur :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
- Supprimer la mise en cache des profils itinrants : DeleteRoamingCache
( Dword 1 )
Remarque : Si vous supprimez un compte, mais pas le profil associ, vous trouverez
une entre intitule Compte supprim ou Compte inconnu . Ne vous inquitez
pas, le profil reste disponible pour la copie si vous en avez besoin.
L O G O N S C R I P T
CENTRE DE FORMATION G E F I - CRETEIL
175
LOGON SCRIPT
Windows Server 2003 permet de configurer quatre types de scripts :
Dmarrage. Sexcute au dmarrage de lordinateur.
Arrter le systme. Sexcute avant larrt de lordinateur.
Ouverture de session. Sexcute lors dune ouverture de session utilisateur.
Dconnexion. Sexcute lors dune fermeture de session utilisateur.
En assignant des "logon scripts" des comptes utilisateurs ou groupes pour
Windows 2003 Serveur, vous pouvez assigner un "logon script" pour un compte
utilisateur en entrant un chemin au fichier du script de connexion. Quand un
utilisateur se connecte et que le chemin au script de connexion est prsent pour le
compte utilisateur, le fichier est localis et excut au login.
Vous pouvez aussi assigner des scripts de "logon/logoff" ainsi que des scripts
d'ordinateur de dmarrage ou d'arrt startup/shutdown en employant la stratgie
de Groupe "Group Policy snap-in". Vous pouvez aussi affecter des scripts
d'ouverture et de fermeture de session, ainsi que des scripts de dmarrage et d'arrt
de l'ordinateur en utilisant le composant logiciel enfichable Stratgie de groupe. Ces
scripts s'appliquent l'ensemble des utilisateurs et des ordinateurs auxquels
s'applique un objet Stratgie de groupe particulier.
la connexion, le serveur authentifiant la connexion localise un script de connexion
assign. Il cherche le fichier indiqu sur le chemin du script de connexion local sur le
serveur (d'habitude %SYSTEMROOT%\SYSVOL\sysvol\domain_name\scripts).
Si on fournit un chemin relatif avant le nom de fichier (par exemple,
Admins\CristalW.bat), le serveur cherche le script de connexion dans ce sous-
rpertoire du chemin de script de connexion.
L'entre dans la bote de dialogue du script de connexion indique seulement le nom
de fichier (et, facultativement, le chemin relatif) et ne cre pas le script de connexion
actuel.
L O G O N S C R I P T
CENTRE DE FORMATION G E F I - CRETEIL
176
Vous pouvez placer un script de connexion dans un rpertoire local sur l'ordinateur
d'un utilisateur. Vous emploieriez typiquement cet emplacement, cependant, quand
vous administrez les comptes d'utilisateur qui existent sur un ordinateur simple plutt
que dans un domaine. Ce script de connexion fonctionne seulement quand une
connexion utilisateur est locale l'ordinateur et ne fonctionne pas quand l'utilisateur
se connecte au domaine. Vous devez placer le script de connexion en employant le
chemin du script de l'ordinateur ou dans un sous-rpertoire de ce script de connexion.
L'emplacement par dfaut pour des scripts de connexion locaux est le dossier
%SYSTEMROOT%\System32\Repl\Imports\Scripts. Ce dossier n'est pas cr
sur pour nouvelle installation de Windows XP. Un dossier doit tre cr et partag
avec le nom netlogon . C'est fait automatiquement sur des contrleurs de
domaine, donc vous ne devez pas crer un netlogon sur un contrleur de
domaine manuellement; le systme le crera automatiquement.
Qui sera excut lors de la connexion locale votre systme. Un tel script de
connexion peut contenir n'importe quelles instructions de ligne de commande
Windows.
(Vous pouvez employer des Scripts de Connexion lors d'une connexion un
domaine)
(Il y a aussi d'autres possibilits, comme placer un fichier .BAT dans le dossier
de DMARRAGE)
La rplication des scripts douverture de session vers tous les contrleurs du domaine
est automatique sur les volumes NTFS des serveurs Windows Server 2003 et
Windows 2000. Pour ce qui concerne les volumes FAT, il faut dupliquer les scripts
manuellement.
Windows 2000/2003 Server traite plusieurs scripts de haut en bas
Windows 2000/2003 Server excute plusieurs scripts de haut en bas comme il est indiqu
dans l'onglet Script de la bote de dialogue Proprits de Script. S'il existe un conflit entre
les diffrents scripts, le script trait en dernier l'emportera.
L O G O N S C R I P T
CENTRE DE FORMATION G E F I - CRETEIL
177
Windows 2000/2003 Server traite et excute les scripts attribus aux stratgies de groupe
dans l'ordre ci-dessous.
1. Lorsqu'un utilisateur dmarre un ordinateur et ouvre une session, l'vnement ci-
dessous se produit.
a. Par dfaut, les scripts de dmarrage sont masqus et s'excutent de manire
synchronise.
Lorsque les scripts s'excutent de manire synchronise, chaque script doit tre ralis ou
interrompu avant le dmarrage du prochain.
b. Par dfaut, les scripts d'ouverture de session sont masqus et s'excutent de
manire non synchronise.
Lorsque les scripts s'excutent de manire non synchronise, un script peut commencer
s'excuter mme si un script prcdent est en cours d'excution. Plusieurs scripts peuvent
s'excuter en mme temps.
Les scripts d'ouverture de session non-stratgie de groupe associes un compte
d'utilisateur particulier s'excutent aprs que les scripts d'ouverture de session stratgie
de groupe se sont excuts pour le compte d'utilisateur.
2. Lorsqu'un utilisateur ferme une session et arrte un ordinateur, les vnements ci-
dessous se produisent.
a. Les scripts de fermeture de session s'excutent.
b. Les scripts d'arrt s'excutent.
Dfinir un Script de Connexion pour une connexion locale exige la dfinition d'un
partage rseau.
Appel "netlogon" : crez n'importe o sur le systme un dossier pour contenir les
scripts de connexion
(Exemple : scripts) et le partager ensuite en employant le nom "netlogon"
L O G O N S C R I P T
CENTRE DE FORMATION G E F I - CRETEIL
178
l'intrieur de
ce dossier
partag, crez
un fichier .BAT
(utilisez le Bloc-
notes)
contenant des
instructions de
ligne de
commande
tre excut.
Exemple :
cration d'un
mappage rseau
Pour attribuer un script d'ouverture de session un utilisateur dans Active Directory
Ouvrez Utilisateurs et ordinateurs Active Directory.
Dans l'arborescence de la console, cliquez sur Utilisateurs.
Double-cliquez sur l'utilisateur auquel vous voulez affecter le script d'ouverture de
session. Cliquez sur l'onglet Profil.
Dans le champ Script d'ouverture de session, entrez le chemin d'accs et le nom du
script d'ouverture de session que vous voulez affecter cet utilisateur, puis cliquez
sur OK.
Remarque : Dans la zone Nom de fichier, tapez un nom de ficher avec l'extension
.vbs, puis cliquez sur Enregistrer. WSH utilise l'extension .vbs pour identifier les
fichiers contenant des commandes VBScript.
L O G O N S C R I P T
CENTRE DE FORMATION G E F I - CRETEIL
179
` TP raliser.
========================================================================
Mise en place dun script local votre machine
1. Ouvrez une session en local en tant que :
Nom : Administrateur
Mot de passe : P@sswrdXXXX
Domaine : nom de votre machine (en local)
2. Crer un dossier C:\Login, nom de partage netlogon, puis valider la boite de dialogue.
3. Ouvrez le bloc-notes ouvre et saisir :
net use R : \\ServNet\temp /user:Marcel P@sswrd1
4. Enregistrer sous C:\Login\Marcel.bat.
5. Lancer loutil gestion de lordinateur, utilisateurs et groupe locaux, utilisateurs, choisir LocalUserx,
Proprits de LocalUserx, bouton profil, script douverture de session saisir : marcel.bat.
6. Fermer la boite de dialogue, se deconnecter de la session Administrateur.
7. Ouvrir une session en tant que :
Nom : LocalUserx
Mot de passe : P@sswrd1
Domaine : nom de votre machine (en local)
8. Vrifier au niveau de lexplorateur que le lecteur rseau R : apparat bien
========================================================================
Ladministrateur du domaine cre un script qui affiche les noms des utilisateurs qui
existent dans la SAM locale du PC de Marcel lors de louverture de session.
========================================================================
` TP raliser.
1. Ladministrateur cre le script suivant avec le bloc-notes :
Exemple du script raliser :
Script d'affichage de la liste des utilisateurs d'une machine (user.vbs):
'----------------------------------------------------------
' Liste des utilisateurs
' E.DOS SANTOS 2004
'----------------------------------------------------------
Dim network, computer, SAM, Item
Set network = Wscript.CreateObject("WScript.Network")
computer=network.ComputerName
wscript.echo "#Liste des utilisateurs et groupes de " & computer
set SAM=GetObject("WinNT://" & computer & ",computer")
for each Item in SAM
Classe=Item.Class
If Classe = "User" then
wscript.echo Classe & chr(9) & Item.name
End if
next
2. Enregistrer ce fichier sous : pour le moment sur le bureau, en tant que Marcel.vbs
3. Slectionner le fichier Marcel.vbs qui est actuellement sur le bureau, puis faire CTRL+C (action de copier)
4. Crer une OU OUMarcel via loutil Utilisateurs et ordinateurs Active Directory, et y dplacer dedans le
compte Marcel.
5. Dans Proprits de lOU OUMarcel, onglet Stratgie de groupe, cliquez sur Nouveau, puis comme nom :
LoginScript, puis bouton Modifier, Configuration utilisateur, Paramtres Windows, Scripts
(ouverture/fermeture de session.
6. Double-cliquez sur Ouverture de session, cliquez sur Afficher les fichiersvrifier que dans le chemin affich
est de la forme : C:\Windows\SYSVOL\sysvol\bourges.eds\Policies\{xxxxxx-xxxxxxx-xxxxxx-xxxxx-
xxxx}\User\Scripts\logon\.
7. Y coller le fichier Marcel.vbs situ sur votre bureau (CTRL+V). Fermer cette boite de dialogue.
8. Cliquez sur le bouton Ajouter, Parcourir, slectionner Marcel.vbs qui est situ sur le chemin visualis ci-dessus
sous la forme de : C:\Windows\SYSVOL\sysvol\bourges.eds\Policies\{xxxxxx-xxxxxxx-xxxxxx-xxxxx-
xxxx}\User\Scripts\logon, Ouvrir, OK, Appliquer, OK, Fermer lditeur de stratgie, Fermer la boite Proprits
de lOU OUMarcel.
9. Inviter lutilisateur du Domaine Marcel douvrir une session partir de son poste de travail
PS : Pas besoin de dclarer le script dans les Proprits de lutilisateur, Onglet Script.
========================================================================
L O G O N S C R I P T
CENTRE DE FORMATION G E F I - CRETEIL
180
En faisant maintenant une connexion au systme, les commandes dfinies dans le script
de connexion seront excuts, cela sera juste visible pendant un temps trs court comme
une fentre d'invite de commande (prompt) dans la barre de tche
L'implmentation d'un script implique l'utilisation de la stratgie de groupe en vue
d'ajouter ce script au paramtre appropri dans le modle de stratgie de groupe. Ceci
indique que le script s'excute durant le dmarrage, l'arrt, l'ouverture de session, ou la
fermeture de session.
Pour assigner un script de dmarrage ou darrt
systme
======================================================================
1. Pour faciliter lopration, copier les scripts utiliser dans le dossier Machine\Scripts\Startup ou
Machine\Scripts\Shutdown de la stratgie concerne. Les stratgies se trouvent dans le dossier
%SystemRoot%\Sysvol\domain\policies des contrleurs de domaine.
2. Accdez la console Stratgie de groupe pour le site, le domaine ou lunit dorganisation manipuler.
3. Dans le nud Configuration ordinateur, double-cliquez sur le dossier Paramtres de Windows, puis sur
Scripts.
4. Pour utiliser les scripts de dmarrage ou darrt, cliquez avec le bouton droit sur Dmarrage ou Arrter le
systme respectivement, puis slectionnez Proprits.
5. Cliquez sur Afficher les fichiers. Si vous avez copi le script dordinateur lemplacement appropri du dossier
des stratgies, il doit safficher.
6. Cliquer sur Ajouter pour assigner un script. Cette opration ouvre la bote de dialogue Ajout dun script. Dans
le champ Nom du script, tapez le nom du script copi dans le dossier Machine\Scripts\Stratup ou
Machine\Scripts\Shutdown de la stratgie concerne. Dans le champ Paramtres de script, tapez les arguments
de ligne de commande transmettre au script de ligne de commande ou les paramtres transmettre
lenvironnement dexcution de scripts Windows sil sagit dun script WSH. Rptez cette tape pour ajouter
dautres scripts.
7. Au dmarrage ou larrt de lordinateur les scripts sont excuts dans lordre dapparition dans la bote de
dialogue Proprits. Le cas chant utilisez les boutons Monter ou Descendre pour les dplacer.
8. Si plus tard, vous souhaitez modifier le nom ou les paramtres du script, slectionnez ce dernier dans la liste
Ouverture de, puis cliquez sur Modifier.
9. Pour supprimer un script, slectionne-le dans la liste Ouverture de, puis cliquez sur Supprimer.
======================================================================
Les tches frquemment accomplies par les scripts d'ouverture de session sont
notamment :
le mappage de lecteurs rseau ;
l'installation et la configuration de l'imprimante par dfaut de l'utilisateur ;
la collecte d'informations sur l'ordinateur ;
la mise jour des signatures de virus ;
la mise jour logicielle.
L O G O N S C R I P T
CENTRE DE FORMATION G E F I - CRETEIL
181
Les Windows 2003 Server de la famille Serveur soutiennent les types de scripts
suivants : Windows Script Host (incluant Visual Basic Scripting Edition [VBScript]
et Jscript, les scripts (batch) de MS-DOS. Vous pouvez employer un diteur de
texte pour crer des scripts de connexion et employer ensuite la page Proprits de
l'Utilisateur pour assigner des scripts de connexion diffrents aux diffrents
utilisateurs, ou assigner le mme script de connection des utilisateurs multiples, des
sites, des domaines et des units organisationnelles (OUs). Vous pouvez aussi crer
des scripts de connexion en VBSCRIPT et JSCRIPT.
Visual Basic Scripting Edition, (VBScript en abrg), est un langage de
programmation driv de Visual Basic for Applications (VBA), lui-mme issu de
Visual Basic.
Il est destin la conception de scripts, c'est dire des suites de commandes, destins
tre utiliss dans diffrents environnements :
Windows Script Host (WSH), sous-ensemble de Windows utilisant ces scripts pour
raliser diverses tches automatises.
VBScript est utilisable par plusieurs environnements, dont le principal est WSH
WSH admet plusieurs langages de script, dont le principal est VBScript
WSH+VBS+JS sont intgrs ds le dpart dans Windows 98, 98SE, ME, 2000, XP,
donc directement utilisables.
L'environnement WSH supporte diffrents langages de scripts :
VBS (VBscript), qui fait l'objet de ce site
JS (Jscript) une variante de JavaScript due Microsoft n'importe quel autre langage
(Perl par exemple), partir du moment o on a install un interprteur
correspondant
Les principaux types de fichiers concerns par WSH sont les suivants :
.VBS Fichier source en VBScript
.VBE Fichier source en VBScript cod (non ditable)
.JS Fichier source en JScript
.JSE Fichier source en JScript cod (non ditable)
.WSF Fichier pouvant contenir plusieurs sources en diffrents langages.
Des balises XML indique le langage de chaque source
.WSC Fichier source Windows Script Components
.WSH Feuille de proprits d'un fichier script
Un script crit en VBS est un fichier de commandes. Il doit tre interprt pour tre
utilisable.
Il existe 2 interprteurs : CSCRIPT.EXE et WSCRIPT.EXE
Ils ont tous les deux les mmes capacits d'interprtation, la diffrence rsidant
uniquement dans l'interface.
L O G O N S C R I P T
CENTRE DE FORMATION G E F I - CRETEIL
182
Interprteur Principe Utilisation Exemple
CSCRIPT.EXE Opre en
mode texte.
Les messages
apparaissent
dans une
Console.
A l'intrieur de
fichiers
de commandes
(.bat ou .cmd)
traitements
automatiques,
sans intervention
WSCRIPT.EXE Opre en
interface
graphique.
Les messages
apparaissent
dans des
fentres
(Window)
Lorsque qu'une
interaction avec
l'utilisateur est
ncessaire
Par dfaut, tout fichier script VBS est associ l'un de ces deux interprteurs.
Ainsi pour excuter un script il suffit, au choix, de :
Taper le nom du script dans une fentre de commandes.
H:\WSH>marcel.vbs (l'extension .vbs est facultative)
Effectuer un double-click sur le fichier dans l'explorateur de Windows.
Au dpart, cet interprteur est WSCRIPT (mode fentr).
En mode ligne de commande, on peut imposer l'interprteur utiliser en l'indiquant
explicitement :
H:\WSH>wscript marcel.vbs
ou
H:\WSH>cscript marcel.vbs
On peut changer d'interprteur par dfaut par l'une de ces commandes :
WSCRIPT //H:CScript
CSCRIPT //H:CScript
Dfinit CScript.exe comme interprteur par dfaut
WSCRIPT //H:WScript
CSCRIPT //H:WScript
Dfinit WScript.exe comme interprteur par dfaut
Cette commande n'est active que pour la session en cours. Si on veut la rendre
dfinitive (jusqu' un prochain changement), il faut ajouter le commutateur //S
WSCRIPT //H:CScript //S
(Rend permanent l'utilisation de CSCRIPT comme interprteur par dfaut)
L O G O N S C R I P T
CENTRE DE FORMATION G E F I - CRETEIL
183
En particulier on aura intrt utiliser CSCRIPT quand le script affiche
successivement beaucoup de messages, afin d'viter l'apparition d'un grand nombre
de boites de messages, qui exigent l'appui sur un bouton pour les fermer.
L E R P E R T O I R E D E B A S E
CENTRE DE FORMATION G E F I - CRETEIL
184
LE RPERTOIRE DE BASE
Le rpertoire de base comprend l'essentiel ou la totalit des fichiers et programmes d'un
utilisateur spcifique.
Les rpertoires de base sont normalement stocks localement sur les stations de travail
excutant Windows 2000/XP/Server 2003, mais ils peuvent tre placs sur un serveur. Le
rpertoire de base est celui dans lequel est plac l'utilisateur lorsque dmarre l'invit de
commandes. De plus, c'est galement dans le rpertoire de base qu'une opration de type
"sauvegarde de fichier" invitera sauvegarder un fichier pour les applications qui ne
fournissent pas de rpertoire de travail.
` TP raliser.
======================================================================
Pour ajouter un rpertoire de base un profil (DC)
Ladministrateur du domaine effectue les tapes suivantes :
1. Crer un dossier C:\Users et le partager, vrifier que dans longlet Partage du dossier Users : Tout le monde =
Control Total
2. Ouvrez Utilisateurs et ordinateurs Active Directory
3. Dans le volet des dtails, cliquez avec le bouton droit sur le compte d'utilisateur concern : ici le compte Marcel
qui maintenant dans lOU OUMarcel.
4. Cliquez sur Proprits .
5. Sous l'onglet Profil , cliquez sur Connecter , puis spcifiez une lettre de lecteur rseau : M :
Dans la zone A , entrez un chemin d'accs.
Vous pouvez utiliser un chemin rseau, par exemple : \\ServNet\\Users\Marcel
ou un chemin local.
6. Vous pouvez ventuellement substituer %username% au dernier sous-rpertoire du chemin, comme suit :
\\ServNet\Users\%username%, faire Appliquer puis OK.
7. Demander aux utilisateurs du domaine douvrir de nouveau une session sur le domaine en tant que Marcel, puis
de vrifier la prsence dun lecteur rseau M : via lexplorateur. Ouvrir aussi une invite de commande.
======================================================================
Points prendre en compte lors du choix de l'emplacement
du dossier de base : Capacit de sauvegarde et de
restauration Espace disponible suffisant sur le
serveur Espace disponible suffisant sur l'ordinateur de
l'utilisateur Performances du rseau
Pour crer un dossier de base :
1.Crez un dossier sur un serveur, puis partagez-
le2.Accordez l'autorisation approprie pour ce
dossier3.Fournissez au compte d'utilisateur le chemin
d'accs du dossier
L E R P E R T O I R E D E B A S E
CENTRE DE FORMATION G E F I - CRETEIL
185
Attention : Le rpertoire de base doit tre partag pour les utilisateurs puissent y stocker
leurs documents.
Sur la station cliente qui a intgr le domaine, il doit avoir (via lExplorateur), un lecteur
rseau qui est apparue (R :) qui pointe sur un rpertoire partag sur le serveur (rpertoire de
base).
De mme si vous passez en mode ligne de commande le prompt vous positionne sur le
lecteur rseau correspondant au rpertoire de base situ distance sur le serveur.
\\SERVNET\SAUVE\%username% R :
Rpertoire de base
local, lutilisateur
est responsable de
la sauvegarde de
ses donnes sur sa
machine. Mthode
qui ne sature pas la
bande passante
rseau.
Rpertoire de
base distant,
lutilisateur nest
pas responsable
de la
sauvegarde de
ses donnes.
Mthode qui
sature la bande
passante rseau
L E R P E R T O I R E D E B A S E
CENTRE DE FORMATION G E F I - CRETEIL
186
Questions/Rponses
1. Deux nouveaux employs viennent de rejoindre le service marketing.
L'administrateur rseau doit crer des comptes pour ces utilisateurs, afin qu'ils puissent accder
aux ressources rseau telles que les dossiers partags et les imprimantes. Quel type de comptes
d'utilisateur l'administrateur rseau doit-il crer pour ces nouveaux employs ?
a. Comptes d'utilisateur de domaine
b. Comptes d'utilisateur locaux
c. Comptes Administrateur prdfinis
d. Comptes Invit prdfinis
Rponse correcte : A. Avec le compte de domaine, les nouveaux employs peuvent accder
aux ressources sur l'ensemble du rseau. S'ils possdent un compte sur l'ordinateur local
uniquement, ils ne peuvent accder qu'aux ressources de cet ordinateur.
2. L'administrateur rseau a configur un ordinateur pour excuter Windows 2003 Server. Quel
compte utilise-t-il pour accder l'ordinateur, avant de crer un compte pour lui-mme ?
a. Compte d'utilisateur de domaine
b. Compte d'utilisateur local
c. Compte Administrateur prdfini
d. Compte Invit prdfini
Rponse correcte : C. Lorsque l'ordinateur vient d'tre install, il existe seulement deux
comptes : le compte prdfini Administrateur et le compte prdfini Invit. Des deux, seul
le compte Administrateur dispose des droits ncessaires pour ouvrir une session et grer
l'ordinateur.
3. Un nouveau stagiaire a rejoint l'quipe d'administration rseau.
L'administrateur rseau souhaite que ce stagiaire puisse effectuer toutes les tches administratives
courantes dans ce domaine, telles que la cration et la modification des comptes d'utilisateur et
des groupes d'utilisateurs ainsi que le partage des ressources. Il ne veut toutefois pas donner au
stagiaire le contrle total sur le systme. Le stagiaire ne doit pas tre en mesure de modifier les
groupes Administrateurs ou Oprateurs de sauvegarde, ni grer les journaux d'audit de la scurit.
Que doit faire l'administrateur ?
Slectionnez toutes les rponses appropries.
A. Accorder directement les droits appropris au stagiaire.
B. Ajouter le stagiaire au groupe prdfini Utilisateurs avec pouvoir.
C. Ajouter le stagiaire au groupe Administrateurs.
D. Crer un groupe, ajouter le stagiaire, puis accorder les droits appropris ce groupe.
Rponses correctes : A et D. L'administrateur peut accorder les droits appropris
directement au stagiaire, mais les autorisations du stagiaire seront plus facile grer s'il
cre un groupe, place les utilisateurs appropris dans le groupe, puis accorde les droits au
groupe plutt qu' chaque utilisateur. Le groupe Utilisateurs avec pouvoir existe
uniquement sur les ordinateurs qui ne sont pas des contrleurs de domaine ; il ne confre
pas de droits dans le domaine, mais uniquement sur l'ordinateur local. Si l'administrateur
ajoute le stagiaire au groupe Administrateurs, celui-ci aura un contrle total sur le
domaine.
4. Un audit annuel est sur le point d'tre effectu dans votre entreprise. Le responsable du service
financier souhaite que seuls certains utilisateurs autoriss de ce service puissent consulter les
comptes de l'entreprise, qui se trouvent dans le dossier Bilans. Quelle serait la meilleure faon
d'accorder des autorisations aux utilisateurs du service financier ?
A. Accorder tous les utilisateurs du service financier les autorisations sur le dossier.
B. Accorder au groupe Finances, contenant tous les utilisateurs du service financier, les
autorisations sur le dossier.
C. Accorder des autorisations individuelles chaque utilisateur autoris.
D. Crer un groupe d'utilisateurs autoriss, puis accorder ce groupe les autorisations
appropries sur le dossier.
L E R P E R T O I R E D E B A S E
CENTRE DE FORMATION G E F I - CRETEIL
187
Rponse correcte : D. Dans la mesure o seuls certains membres du service financier
doivent tre en mesure d'accder ces informations, l'administrateur doit crer un groupe
contenant uniquement les utilisateurs qui ncessitent un accs, puis accorder ce groupe les
autorisations sur le dossier.
5. Dans quelles circonstances devez-vous crer un mot de passe pour un nouveau compte ? Pour
quelle raison devez-vous dsactiver un compte d'utilisateur quand vous le crez ?
Pour renforcer la scurit, vous devez toujours crer un mot de passe pour les comptes
d'utilisateur. Dsactivez le compte d'utilisateur s'il n'est pas prvu de l'utiliser
immdiatement. Le fait de dsactiver les comptes inutiliss empche de les utiliser de
manire inapproprie.
6. Pourquoi devez-vous utiliser des groupes ?
Utilisez des groupes pour simplifier l'administration en accordant des droits et des
autorisations au groupe en une seule fois, au lieu d'en accorder successivement chaque
membre du groupe.
7. Les utilisateurs peuvent-ils tre membres de plusieurs groupes ?
Oui, car un groupe est une liste de membres faisant rfrence aux comptes d'utilisateur
rels. Les utilisateurs peuvent donc tre membres de plusieurs groupes.
8. Pouvez-vous affecter des utilisateurs un groupe spcial ?
Non, les administrateurs n'affectent pas d'utilisateurs aux groupes spciaux. Les
utilisateurs sont membres de groupes spciaux par dfaut ou ils deviennent membres au
cours d'une activit rseau.
9. Dcrivez les diffrents types de groupes de domaine et les diffrentes tendues de groupe.
Types de groupes : les groupes de scurit permettent d'accorder des autorisations. Les
groupes de distribution sont utiliss comme listes de distribution pour le courrier
lectronique.
tendues des groupes : les groupes globaux permettent d'organiser les utilisateurs
partageant les mmes besoins d'accs au rseau dans un mme domaine.
Les groupes de domaine local permettent d'accorder des autorisations sur des ressources.
Les groupes universels permettent d'organiser des utilisateurs appartenant diffrents
domaines.
10. Pouvez-vous crer des groupes locaux sur des contrleurs de domaine ?
Vous ne pouvez pas crer de groupes locaux sur des contrleurs de domaine, car ceux-ci ne
peuvent pas possder de base de donnes de scurit indpendante de la base de donnes
figurant dans Active Directory. Les contrleurs de domaine ne peuvent possder que des
groupes de domaine local.
11. Quelle stratgie devez-vous appliquer lorsque vous accordez des autorisations dans un
domaine ?
La stratgie A G DL P : placez des comptes d'utilisateur (A) dans des groupes globaux (G),
placez des groupes globaux dans des groupes de domaine local (DL), puis accordez des
autorisations (P) au groupe de domaine local.
12. Votre socit vient de racheter une petite filiale, et vous dsirez utiliser Utilisateurs et
ordinateurs Active Directory pour crer des comptes d'utilisateur de domaine pour les nouveaux
employs. Pour des raisons commerciales, la filiale dsire conserver son ancienne identit auprs
de ses clients. Comment pouvez-vous crer pour les nouveaux employs des noms principaux
d'utilisateurs qui correspondent leurs adresses de messagerie lectronique, sans modifier ces
adresses ?
Ajoutez dans Active Directory un suffixe de nom principal d'utilisateur qui vous permettra
de crer des noms d'ouverture de session identiques aux adresses de messagerie. Aprs
avoir cr ce nouveau suffixe, vous pouvez crer des noms principaux d'utilisateurs
comportant ce nouveau suffixe.
L E R P E R T O I R E D E B A S E
CENTRE DE FORMATION G E F I - CRETEIL
188
13. Votre socit vient d'embaucher de nombreux nouveaux employs pour travailler dans une
nouvelle filiale, qui ouvrira ses portes le mois prochain.
Vous devez dfinir des comptes d'utilisateur pour ces employs, de faon leur permettre
d'utiliser et partager les ressources du rseau. Vous savez que le service Human Resources
possde les informations ncessaires sur ces nouveaux employs. Quelle est la mthode la plus
efficace pour importer en bloc les nouveaux comptes d'utilisateur ?
Demandez au service Human Resources d'exporter les donnes dans un fichier texte
dlimit par des virgules (csv) ou par des sauts de ligne. Modifiez le fichier pour qu'il puisse
tre utilis pour une importation en bloc. Utilisez ensuite la commande csvde ou ldifde,
suivant le cas, pour crer les comptes d'utilisateur partir du fichier que vous avez modifi.
Comme cette nouvelle filiale n'est pas encore oprationnelle, dsactivez les comptes
d'utilisateur durant l'importation.
G E S T I O N D A C C S A U X R E S S O U R C E S ( R A P P E L )
CENTRE DE FORMATION G E F I - CRETEIL
189
GESTION DACCS AUX RESSOURCES (RAPPEL)
Contrle daccs
Il faut discerner les notions quenglobent les contrles daccs. Les contrles daccs
vont permettre ladministrateur de savoir dune part si un utilisateur ou un groupe
aura ou non laccs une ressource et dune autre les types de droit que cette entit
aura sur lobjet.
SID (Security IDentifier) : chaque objet entit de scurit (utilisateur, groupe et ordinateur)
aura un identificateur de scurit qui sera unique dans une fort Active Directory. Cet
identificateur est automatiquement cr lors de la cration de lentit de scurit. Ce numro
unique est compos du SID du domaine + d'un RID dfini par la matre RID du domaine.
ACE (Access Control Entrie) : un ACE est un couple : un SID et une permission,
Le SID de lentit qui lon va donner ou refuser un accs.
Les informations sur laccs (ex : Lecture, Ecriture, )
Les informations dhritage.
Lindicateur de type dACE (Autoriser ou refuser).
DACL (Discretionary Access Control List) : cest une liste dACE pour un objet. Tout objet
dans Active Directory possde une DACL. Cest grce celle-ci quon autorise ou non une
entit de scurit. Toute entit de scurit non list dans cette DACL aura de suite un accs
refus.
SACL (System Access Control Lists): cette liste dACE est particulire et trs peu utilis. Elle
permet dauditer un certain nombre dvnements (scurit, rseau) sur lobjet dune ou plusieurs
entits. On pourra ainsi dterminer les violations daccs ainsi que son tendu qu'on souhaite auditer.
G E S T I O N D A C C S A U X R E S S O U R C E S ( R A P P E L )
CENTRE DE FORMATION G E F I - CRETEIL
190
A chaque tentative daccs une ressource, cette liste sera parcourue afin de
dterminer si laction voulue peut tre ralise.
Prenons par exemple un utilisateur qui souhaite accder un partage dans un
domaine 2003 Server.
Les diffrentes notions de ACE et SID seront traits plus loin dans l'article. De plus,
certaines notions ont t modifies afin de les vulgariser On remarque de suite que le
contrleur de domaine est celui qui est le centre de toutes les transactions mais aussi qu'il
permet l'utilisateur d'unifier son authentification une unique fois. De plus, il possde un
jeton unique qui numre une fois pour toute son appartenance un certain nombre de
groupes.
Autorisations
Autorisations standard
Les autorisations permettent de fixer le niveau daccs quont les entits de scurit (pour
un compte utilisateur, groupe dutilisateurs ou ordinateur) sur une ressource.
Les ressources utilisant ce systme dautorisations pour rguler leurs accs sont multiples
(Registre, Fichiers, Imprimantes, Active Directory, )
G E S T I O N D A C C S A U X R E S S O U R C E S ( R A P P E L )
CENTRE DE FORMATION G E F I - CRETEIL
191
Autorisations spciales
Les autorisations standard sont limites aux actions de base sur un objet (ex : Lecture,
Modifier, Contrle Total, ). Aussi pour pouvoir granuler de faon plus prcise les
autorisations vous avez accs via le bouton Avanc une liste tendue dautorisations.
Vous pouvez accorder des autorisations standard et des autorisations spciales sur les
objets. Les autorisations standard sont les plus frquemment attribues.
Les autorisations spciales permettent de contrler plus prcisment les autorisations
d'accs aux objets.
Les autorisations spciales correspondent une liste plus dtaille d'autorisations.
Une autorisation de lecture standard NFTS est associe aux autorisations spciales
suivantes :
- Affichage du contenu du dossier/lecture des donnes
- Attributs de lecture
- Attribution de lecture tendue
- Autorisations de lecture
Si l'administrateur systme retire une autorisation spciale associe une autorisation
standard, la case cocher de l'autorisation standard n'est plus active. La case cocher
de l'autorisation spciale figurant sous l'autorisation standard est active.
Voici quelques-unes des caractristiques les plus communes des dossiers partags :
- Un dossier partag apparat dans l'Explorateur Windows sous la forme d'une
icne reprsentant une main tenant le dossier.
- Vous pouvez partager des dossiers, mais pas des fichiers individuels.
- Si plusieurs utilisateurs doivent accder un mme fichier, vous devez placer
le fichier dans un dossier, puis partager le dossier.
G E S T I O N D A C C S A U X R E S S O U R C E S ( R A P P E L )
CENTRE DE FORMATION G E F I - CRETEIL
192
- Lorsqu'un dossier est partag, l'autorisation de lecture est accorde par dfaut
au groupe Tout le monde. Retirez l'autorisation par dfaut et accordez aux
groupes l'autorisation de modification ou de lecture en fonction des besoins.
- Lorsque des utilisateurs ou des groupes sont ajouts un dossier partag, les
utilisateurs et les groupes reoivent par dfaut l'autorisation de lecture.
- Lorsque vous copiez un dossier partag, le dossier d'origine reste partag,
mais pas la copie. Lorsque vous dplacez un dossier partag, le dossier n'est
plus partag.
- Vous pouvez masquer un dossier partag en plaant le symbole du dollar ($)
la suite du nom du dossier. L'utilisateur ne peut alors pas voir le dossier
partag dans l'interface graphique, mais il peut y accder en tapant le nom
UNC (Universal Naming Convention), tel que \\server\secrets$.
Lorsque vous crez un dossier partag dans une partition NTFS, les autorisations de
dossier partag et NTFS sont combines pour protger les fichiers. Les autorisations
NTFS s'appliquent lorsque l'accs la ressource s'effectue localement ou via un
rseau.
Lorsque vous accordez des autorisations de dossier partag sur un volume NTFS, les
rgles suivantes s'appliquent :
Des autorisations NTFS sont ncessaires sur les volumes NTFS. Par dfaut, le
groupe Tout le monde dispose de l'autorisation de lecture.
Les utilisateurs doivent disposer d'autorisations NTFS sur chaque fichier et sous-
dossier d'un dossier partag, en plus des autorisations de dossier partag, pour
pouvoir accder ces ressources.
Lorsque vous combinez les autorisations NTFS et les autorisations de dossier
partag, l'autorisation rsultante correspond l'autorisation la plus restrictive des
autorisations de dossier partag et des autorisations NTFS combines.
G E S T I O N D A C C S A U X R E S S O U R C E S ( R A P P E L )
CENTRE DE FORMATION G E F I - CRETEIL
193
Cration de groupes et permissions NTFS
` TP raliser.
======================================================================
a). Cration de 2 comptes : Betty et Eric
Ouvrir une session en tant que :
Nom : Administrateur
Mot de passe : P@sswrdXXXX
Se connecter : choisir le nom de votre machine (SAM local)
Bouton Dmarrer , puis Outils d Administration , puis Gestion de lordinateur (sans AD), avec AD il
faudra utiliser Active Directory Users and Computers .
Developpez Utilisateurs et groupes locaux .
Bouton droit sur Utilisateurs , puis Nouvel utilisateur :
Nom dutilisateur : Betty
Nom complet : Betty de gefi
Description: Stagiaire Gefi
Mot de passe : P@sswrd
Confirmer le mot de passe : P@sswrd
Dcocher : Lutilisateur doit changer de mot de pass la prochaine ouverture de session
Cocher ensuite : Lutilisateur ne peut pas changer de mot de passe et Le mot de passe nexpire jamais
Puis cliquez sur Crer.
Nouvel utilisateur :
Nom dutilisateur: Eric
Nom complet : Eric de gefi
Description: Stagiaire de Gefi
Mot de passe : P@sswrd
Confirmer le mot de passe: P@sswrd
Dcocher : doit changer de mot de pass la prochaine ouverture de session
Cocher ensuite : Lutilisateur ne peut pas changer de mot de passe et Le mot de passe nexpire jamais
Puis cliquez sur Crer.
Puis cliquez sur Fermer.
b). Cration de groupes (en Wokstation uniquement des Grp locaux uniquement
Toujours dans Gestion de lordinateur , bouton droit sur Groupe , puis Nouveau groupe :
Nom du groupe : Test
Description : TP
Dans Membres cliquez sur Ajouter , dans Entrer les noms des objets slectionner taper Betty ,
puis cliquez sur Emplacement et choisir le nom de votre PC, puis OK cliquez sur Vrifier les noms ,
puis sur OK , puis sur Crer .
Nom du groupe : Test1
Description : TP1
Dans Membres cliquez sur Ajouter , dans Entrer les noms des objets slectionner taper Eric ,
puis cliquez sur Emplacement et choisir le nom de votre PC, puis OK cliquez sur Vrifier les noms ,
puis sur OK , puis sur Crer , puis sur Fermer .
***Noubliez pas dajouter Betty dans le groupe local test, et
Eric dans la groupe local test1***
Fermer Gestion de lordinateur .
Full
C l
Read
Full
C l
Read
G E S T I O N D A C C S A U X R E S S O U R C E S ( R A P P E L )
CENTRE DE FORMATION G E F I - CRETEIL
194
c).Partage de ressources plus affectation de permissions NTFS
Bouton Dmarrer , puis Explorateur Windows (developpez Poste de travail).
Vrifier que votre HDD C: est en NTFS (bouton droit sur C:, Proprits => Systme de fichiers =NTFS, OK).
Sur C : crer 2 rpertoires : C:\test et C:\test1
Slectionner le HDD C : , Menu Fichier , Nouveau dossier , puis Test.
Slectionner le HDD C : , Menu Fichier , Nouveau dossier , puis Test1.
Mettre 1 fichier dans le rpertoire Test et Test1 .
Slectionner le rpertoire Test , dans la partie de droite, bouton droit sur un espace vide, Nouveau puis
Document Texte .
Nom document : Test.txt
Double cliquez sur Test.txt , et saisir comme contenu : Blabla !!!! .
Fermer, puis valider par Oui (confirmation des changements).
Slectionner Test.txt , puis CTRL+C (copier).
Slectionner le rpertoire Test1 , partie de lcran de droite (espace vide) faire CTRL+V (coller).
Bouton droit sur le rpertoire Test , puis Partage et scurit
Onglet Partage , puis slectionner Partager ce dossier .
Nom du partage : test
Nombre dutilisateurs autoriss : 2
Vrifier par le bouton Autorisations que Tout le monde comme permission NTFS Control total, puis
cliquez sur Appliquer puis OK .
Onglet Scurit
Cliquez sur le bouton Ajouter , puis dans Entrer les noms des objets slectionner taper : test.
Cliquez sur le bouton Emplacement : choisir le nom de votre PC, puis choisir Vrifier les noms , puis sur
OK .
Slectionner le groupe test , puis cocher la case Control total puis sur Appliquer .
Cliquez de nouveau sur le bouton Ajouter , puis dans Entrer les noms des objets slectionner taper :
test1.
Cliquez sur le bouton Vrifier les noms , puis sur OK .
Slectionner le groupe test 1, puis cocher la case Lecture et Affichage du contenu du dossier , puis sur
Appliquer .
Cliquez sur le bouton Paramtres avancs , slectionner les lignes contenant Utilisateurs , puis dcocher la
case Permettre aux autorisations hrites du parent , cliquez sur Supprimer , puis sur OK
De nouveau dans lexplorateur de Windows :
Bouton droit sur le rpertoire Test1 , puis Partage et scurit
Onglet Partage , puis slectionner Partager ce dossier .
Nom du partage: test1
Nombre dutilisateurs autoriss :2
Vrifier par le bouton Autorisations que Tout le monde comme permission NTFS Control total , puis
cliquez sur OK .
Onglet Scurit
Cliquez sur le bouton Ajouter , puis dans Entrer les noms des objets slectionner taper : Betty.
Cliquez sur le bouton Emplacement choisir le nom de votre PC, puis cliquez sur Vrifier les noms , puis sur
OK .
Slectionner le compte Betty , puis cocher la case Lecture et Affichage du contenu du dossier , puis sur
Appliquer .
Cliquez de nouveau sur le bouton Ajouter , puis dans Entrer les noms des objets slectionner taper :
Eric.
Cliquez sur le bouton Vrifier les noms , puis sur OK .
Slectionner le compte Eric, puis cocher la case Control total .
Cliquez sur le bouton Paramtres avancs , slectionner les lignes contenant Utilisateurs , puis dcocher la
case Permettre aux autorisations hrites du parent , cliquez sur Supprimer , puis sur OK et de
nouveau OK .
d). Vrification de lapplication des permissions NTFS
Ouvrir une session en tant que Betty ou Eric
Faire CTRL+ALT+SUPPR , puis Logoff , puis CTRL+ALT+SUPPR , Logon
Nom user : Betty
Password : P@sswrd
Essayer de modifier le contenu du fichier test.txt situ dans le rpertoire test et test1 .
Editer le fichier : Taper le mot Blabla est enregistrer le, y tes-vous
parvenu ?
C:\test\test.txt
C:\test1\test.txt
G E S T I O N D A C C S A U X R E S S O U R C E S ( R A P P E L )
CENTRE DE FORMATION G E F I - CRETEIL
195
Faire CTRL+ALT+SUPPR , puis Logoff , puis CTRL+ALT+SUPPR , Logon
Nom user : Eric
Password : P@sswrd
Essayer de modifier le contenu du fichier test.txt situ dans le rpertoire test et test1 .
Editer le fichier : Taper le mot Blabla est enregistrer le, y tes-vous
parvenu ?
C:\test\test.txt
C:\test1\test.txt
e). Vrification de laccs au partage et des permissions NTFS travers le rseau
Connexion une ressource sur la machine de votre voisin en tant que compte Betty
Bouton Dmarrer , puis Excuter , taper le nom UNC : \\Nom_Serveur_Voisin\test
User Name : Betty
Password : P@sswrd
Vrifier si le fichier test.txt peut tre modifi ?
Faire de mme pour le compte Eric sur ce mme fichier du rpertoire test .
======================================================================
L A C O M M A N D E C A C L S
CENTRE DE FORMATION G E F I - CRETEIL
196
LA COMMANDE CACLS
La commande CACLS de Windows NT/2000/XP/Server 2003 permet d'afficher et
modifier des listes de contrles d'accs. Syntaxe :
La commande CACLS prsente de nombreuses restrictions, comme son incapacit
dfinir des accs spciaux et traiter plusieurs fichiers simultanment
Cacls.exe peut tre employ pour montrer ou modifier des listes de contrle d'accs
(ACLs) pour un ou plusieurs fichiers. Il inclut les options spcifiques qui peuvent tre
employes pour accorder (/g), rvoquer (/r), remplacer (/p), ou interdir des droits d'accs
l'utilisateur (/d). Par exemple, vous pouvez employer la commande cacls pour accorder un
droit d'accs un utilisateur. En ligne de commande, tapez la commande cacls en
employant la syntaxe suivante :
cacls nomdufichier /t /e /c
cacls nomdufichier /g /p utilisateur:autorisation
cacls nomdufichier /r /d utilisateur
Par exemple, pour accorder un contrle total et exclusif au fichier "machin" pour
l'utilisateur "Toto", tapez :
Cacls machin /g toto:f
En sens inverse, si vous ne souhaitez pas modifier les droits de scurit accords aux
autres utilisateurs, tapez :
L A C O M M A N D E C A C L S
CENTRE DE FORMATION G E F I - CRETEIL
197
cacls machin /g /e toto:f
Si vous voulez autoriser un accs total aux administrateurs pour tous les fichiers,
dossiers et sous-dossiers du lecteur C :, tapez :
cacls c:\ /t /e /g Administrateur:f
Pour ajouter une permission de lecture concernant un dossier nomm " top secret "
(mais non ses sous-dossiers) pour le groupe d'utilisateurs appel " Amis " et le
groupe des utilisateurs mais refuser toutes autorisations pour le groupe appel "
Espions ", tapez :
cacls c:\top-secret /e /g Examinateurs:r Users:r /r Espions
Pour rinitialiser l'ensemble des paramtres par dfaut du lecteur C:, tapez (en vous
plaant sur C:) :
cacls * /t /e /c /g administrateurs:f system:f
gj'ai perdu l'acces au rpertoire racine de la partition bootable et je ne peux plus
me connecter.
Si vous fixez le droit "Aucun Accs" a la partition de boot, vous ne pourrez plus
vous connectez. Dans ce cas faites :
======================================================================
1. Connectez-vous en tant qu'Administrateur.
2. Lorsque vous aurez l'ecran 'chemin trop long", cliquez sur Ok."
3. Appuyez sur Ctrl-Alt-Supp, la boite de dialogue de Windows sur la scurit apparat.
4. Appuyez sur le bouton "Gestionnaire de tache" et le gestionnaire de tache apparat.
5. Slectionnez l'onglet application et cliquez sur le bouton "Nouvelle tache".
6. Entrez le chemin "%systemroot%\system32\cmd.exe"
7. Puis la commande
CACLS d:\ /e /g tout le monde :F
Ou D: est la partition de boot.
8. Slectionnez le gestionnaire de tache et cliquez sur "Nouvelle Tache" , puis tapez "
%systemroot%\explorer.exe", le bureau apparat alors.
9. Dconnectez-vous et reconnectez pour vrifier que tous est normal.
10. Vous pouvez maintenant fixer les permissions sur la racine.
======================================================================
L A C O M M A N D E C A C L S
CENTRE DE FORMATION G E F I - CRETEIL
198
Utilisation de la commande CACLS
` TP raliser.
======================================================================
a. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : Administrateur
Mot de passe : P@sswrdXXXX
Domaine : Nom de votre Machine (SAM local)
b. Lancer lexplorateur de Windows (+E)
c. Faire bouton droit sur temp, puis Proprits
d. Onglet Scurit, observer les diffrentes permissions positionnes !!
Notez-les ici :
........................................................................................................................................................................................
........................................................................................................................................................................................
e. Dmarrer une ligne de commande, bouton Dmarrer, Excuter...., puis cmd.
f. Taper la commande C:\> cacls c:\temp
Vous devez voir ceci :
C:\temp BUILTIN\Administrateurs:(OI)(CI)F
AUTORITE NT\SYSTEM:(OI)(CI)F
BUILTIN\Administrateurs:F
CREATEUR PROPRIETAIRE:(OI)(CI)(IO)F
BUILTIN\Utilisateurs:(OI)(CI)R
BUILTIN\Utilisateurs:(CI)(accs spcial :) FILE_APPEND_DATA
BUILTIN\Utilisateurs:(CI)(accs spcial :) FILE_WRITE_DATA
g. Tapez la commande suivante C:\> cacls c:\temp /t /g administrateur:f, valider par O
Vrifier l'ACL de C:\temp ?
........................................................................................................................................................................................
........................................................................................................................................................................................
h. Tapez la commande suivante C:\> cacls c:\temp /t /g "tout le monde":r, valider par O
Vrifier l'ACL de C:\temp ? que constatez-vous ?
........................................................................................................................................................................................
........................................................................................................................................................................................
i. Tapez la commande suivante C:\> cacls c:\temp /t /e /g administrateur:f, valider par O
Vrifier l'ACL de C:\temp ? que constatez-vous ?
........................................................................................................................................................................................
.......................................................................................................................................................................................
j. Cliquez sur Paramtres avances de longlet Scirit, onglet Autorisations effectives, bouton slctionner,
saisir tout le monde, puis vrifier les noms, puis OK et observer les permissions effectives ainsi attribues ?
........................................................................................................................................................................................
.......................................................................................................................................................................................
Remarque :
Pour retirer une ACE la DACL :
C:\> cacls /t /e /r tout le monde
Voici les permissions disponibles par cette commande
Valeur Description
n Aucune
r Lecture
w criture
c Changer (crire)
f Contrle total
Le tableau suivant vous permet d'interprter les rsultats.
Sortie Porte de l'application de l'entre de contrle d'accs
OI Ce dossier et les fichiers.
CI Ce dossier et les sous-dossiers.
IO L'entre de contrle d'accs ne s'applique pas au fichier/rpertoire en cours.
Aucun message en
sortie
Ce dossier uniquement.
(IO)(CI) Ce dossier, les sous-dossiers et les fichiers.
(OI)(CI)(IO) Les sous-dossiers et les fichiers seulement.
(CI)(IO) Les sous-dossiers seulement.
(OI)(IO) Les fichiers seulement.
======================================================================
L A C O M M A N D E C A C L S
CENTRE DE FORMATION G E F I - CRETEIL
199
Questions/Rponses
1. Les utilisateurs du service Produits doivent constamment se rfrer des informations relatives
aux produits qui sont stockes dans un dossier du serveur. Ce dossier contient galement des
applications que les utilisateurs peuvent avoir besoin d'excuter. Les utilisateurs ne sont toutefois
pas autoriss apporter des modifications aux fichiers contenus dans le dossier.
Quelles autorisations faut-il accorder sur ce dossier ?
A. Lecture.
B. Lecture et excution.
C. Afficher le contenu du dossier.
D. Lecture et criture.
Rponse correcte : B. Toutes les rponses permettent aux utilisateurs de voir les
informations, mais seule la rponse B leur permet d'ouvrir les fichiers et d'excuter les
applications contenues dans le dossier sans pouvoir modifier les fichiers ni le dossier.
2. L'administrateur rseau vous demande d'administrer l'imprimante couleur qui a t mise en
place pour le service Ventes. De quelle autorisation sur l'imprimante avez-vous besoin, sachant
que vous devez pouvoir grer l'impression des documents, le partage de l'imprimante et la
modification de ses proprits ?
A. Imprimer.
B. Contrle total.
C. Gestion des documents.
D. Gestion d'imprimante.
Rponse correcte : D. L'autorisation Gestion d'imprimante permet un utilisateur
d'effectuer toutes les actions ncessaires. L'autorisation Imprimer permet l'utilisateur
d'imprimer un document.
L'autorisation Gestion des documents permet un utilisateur d'agir sur tous les documents
placs dans la file d'attente de l'imprimante.
L'autorisation Contrle total n'existe pas pour les imprimantes.
3. L'administrateur rseau du service Ingnierie doit limiter l'utilisation de l'imprimante rserve
ce service. Que doit-il faire pour que seuls les employs du groupe Ingnierie puissent accder
l'imprimante ?
A. Ajouter l'autorisation Imprimer tous les utilisateurs du service Ingnierie.
B. Ajouter l'autorisation Imprimer au groupe Ingnierie et conserver l'autorisation par dfaut du
groupe Tout le monde.
C. Supprimer l'autorisation par dfaut Imprimer du groupe Tout le monde et accorder cette
autorisation uniquement au groupe Ingnierie.
D. Supprimer l'autorisation par dfaut Imprimer du groupe Ingnierie et accorder cette
autorisation au groupe Tout le monde.
Rponse correcte : C. Les autorisations par dfaut sur une imprimante accordent
l'autorisation Imprimer au groupe Tout le monde.
L'administrateur doit d'abord supprimer ce groupe, puis ajouter uniquement le groupe qui
a besoin d'accder l'imprimante, savoir le groupe Ingnierie dans le cas prsent.
4. Un utilisateur vous tlphone pour savoir pourquoi il narrive pas crer un fichier dans le
dossier racine. Il utilise des noms de fichier longs et le dossier racine se trouve dans une partition
FAT, mais il ny a que 278 entres dans ce dossier. Do vient le problme votre avis ?
Le rpertoire racine FAT est limit par code 512 entres. Dans les partitions FAT, un
nom de fichier long cre une entre de rpertoire pour chaque squence de 13 caractres
plus une autre entre de rpertoire pour son alias. Par exemple, si un nom de fichier
comprend 15 caractres, il gnre deux entres de rpertoire pour le nom de fichier long et
une troisime pour son alias. Un nom de fichier long de 36 caractres gnre en tout quatre
entres de rpertoire : trois pour le nom de fichier et un pour son alias. Si les 278 entres du
rpertoire racine sont en majorit des noms de fichier longs, il se peut que lutilisateur ne
dispose plus dentres disponibles et ne soit donc plus en mesure dajouter des fichiers dans
le rpertoire racine.
L A C O M M A N D E C A C L S
CENTRE DE FORMATION G E F I - CRETEIL
200
5. Aprs avoir mis niveau vos ordinateurs de Windows 98 vers Windows XP Professionnel,
vous avez dcid de tirer parti des fonctionnalits dveloppes du systme de fichiers NTFS.
Comment pouvez-vous utiliser ces fonctionnalits dveloppes avec le minimum de tches
administratives et galement grer les donnes utilisateur ?
Utilisez l'utilitaire de conversion. La commande sera convert c: /FS:NTFS.
6. Un utilisateur stocke un trs grand nombre de fichiers graphiques sur un disque local. Pour des
besoins de scurit, il a t dcid que ces fichiers doivent tre stocks uniquement sur
l'ordinateur de cet utilisateur.
L'utilisateur annonce que Windows XP Professionnel affiche un message
indiquant que le lecteur C est court d'espace disque. Vous avez vrifi que le disque ne dispose
plus d'espace non allou non format. Que pouvez-vous faire pour aider cet utilisateur ?
Utilisez la compression NTFS pour compresser les dossiers contenant les fichiers
graphiques. Ces fichiers vont probablement tre compresss un pourcentage bien
infrieur l'espace utilis.
7. Un utilisateur a cr un dossier sur le lecteur D pour archiver d'anciens fichiers. Il a utilis la
compression NTFS sur le dossier. L'utilisateur vous appelle pour vous demander pourquoi
certains fichiers sont compresss lors du dplacement vers le dossier compress, tandis que
d'autres ne le sont pas.
Que rpondez-vous l'utilisateur ?
Lorsque les fichiers sont dplacs du lecteur C au lecteur D, ils hritent de l'attribut de
compression du nouveau dossier. Lorsque les fichiers sont dplacs d'un emplacement du
lecteur D vers un autre, l'attribut de compression du dossier d'origine est conserv.
8. Le responsable des ventes a rcemment t promu directeur commercial adjoint, et un
responsable des ventes rgional a t promu son poste. Le nouveau responsable des ventes a
besoin de prendre possession des fichiers des rapports de ventes mensuels. Comment la proprit
des fichiers peut-elle tre transfre au nouveau responsable des ventes l'aide d'autorisations
NTFS spciales ?
Le propritaire des fichiers peut accorder au nouveau responsable des ventes l'autorisation
NTFS Appropriation. Ainsi, le nouveau responsable des ventes peut prendre possession des
fichiers existants.
9. Votre ordinateur est utilis par plusieurs personnes. Comment pouvez-vous vrifier que les
utilisateurs autoriss de cet ordinateur puissent uniquement accder leurs propres fichiers de
donnes ?
Vous pouvez convertir le lecteur au format NTFS, crer un dossier pour chaque utilisateur,
puis configurer les autorisations NTFS de chaque dossier pour que chaque utilisateur
accde uniquement son propre dossier.
L A C O M M A N D E C A C L S
CENTRE DE FORMATION G E F I - CRETEIL
201
10. Un utilisateur appel JDRoland est membre du groupe Ingnieurs, du groupe RespING et
du groupe Utilisateurs. Les autorisations NTFS sur le dossier Drawings sont les suivantes :
JDRoland Aucune (ce nest pas une action de Aucun Accs, mais de non notifi)
Ingnieurs Contrle total
RespING Lecture seule
Utilisateurs Aucune (ce nest pas une action de Aucun Accs, mais de non notifi)
Quels sont les droits de JDRoland sur le dossier Drawings ? Pourquoi ?
Contrle total. Bien que le compte d'utilisateur ne fournisse pas de droit spcifique, il est
membre du groupe Ingnieurs. tant donn que les autorisations NTFS peuvent tre
cumules, le compte d'utilisateur JDRoland dispose de l'autorisation Contrle total.
11. Vous configurez des autorisations NTFS sur un dossier et vous remarquez que certaines des
cases cocher Autorisations sont actives mais grises et vous ne pouvez pas les dsactiver.
Quelle peut tre le problme et comment pouvez-vous les dsactiver ?
Si une case cocher est grise, cela signifie que l'autorisation qui lui est associe est hrite
de son dossier parent. Pour modifier ces droits, dsactivez la case cocher Permettre aux
autorisations pouvant tre hrites du parent d'tre propages cet objet, supprimez les
droits hrits, puis dfinissez les autorisations selon vos besoins.
12. Quelle est la meilleure faon de scuriser les fichiers et les dossiers que vous partagez sur des
partitions NTFS ?
Placez les fichiers que vous voulez partager dans un dossier partag et conservez
l'autorisation par dfaut sur le fichier partag (le groupe Tout le monde avec l'autorisation
Contrle total). Accordez ensuite aux utilisateurs et aux groupes les autorisations NTFS
appropries sur les fichiers et les dossiers du dossier partag.
13. Un utilisateur tente de se connecter un autre ordinateur en utilisant le nom UNC \\serveur\c$
pour accder tous les fichiers et dossiers du lecteur C: mais l'accs lui est refus. L'utilisateur
sait que le dossier partag C$ est automatiquement cr par dfaut. Pourquoi ne peut-il pas
accder ce dossier partag ?
L'utilisateur ne dispose pas de privilges administratifs sur l'ordinateur auquel il tente
d'accder. Un dossier partag masqu est cr la racine de chaque partition dfinie, mais
il n'est accessible qu'aux utilisateurs qui disposent de privilges administratifs.
14. Il vous a t demand de crer des comptes d'utilisateur pour une entreprise qui compte trente
employs. Elle possde un serveur qui excute Active Directory, quatre serveurs membres
auxquels tous les employs doivent pouvoir accder, et 31 ordinateurs qui excutent Windows
2000 Professionnel. Quels types de comptes d'utilisateur devez-vous crer ? Pourquoi ? Sur quels
ordinateurs ces comptes doivent-ils rsider ?
Crez des comptes d'utilisateur de domaine, car la socit utilise Active Directory pour
permettre aux utilisateurs d'accder aux ressources rseau. Les comptes d'utilisateur de
domaine doivent rsider sur le contrleur de domaine.
15. Vous tes membre du groupe Administrateurs du domaine, et vous devez crer plusieurs
comptes d'utilisateur de domaine. Toutefois, le contrleur de domaine est physiquement situ
dans un bureau ferm cl et auquel vous ne pouvez pas accder. Votre propre ordinateur
excute Windows 2000 Professionnel. Comment pouvez-vous crer les comptes d'utilisateur de
domaine partir de votre ordinateur ?
Installez les outils d'administration de Windows 2003 sur votre ordinateur, partir des
CD-ROM Windows 2003 Server ou
Windows 2003 Enterprise Server. Pour crer les comptes d'utilisateur de domaine, ouvrez
la console Utilisateurs et groupes Active Directory partir du menu Outils
d'administration.
16. Vous avez cr un compte d'utilisateur de domaine qui sera utilis par un employ charg du
traitement des donnes. Vous ne voulez pas que cet utilisateur soit en mesure d'ouvrir une session
sur l'un des autres ordinateurs. Quelle limite pouvez-vous affecter ce compte pour qu'il ne
puisse accder qu' l'ordinateur de l'utilisateur ?
Configurez le compte pour que l'accs soit possible l'ordinateur de cet utilisateur, en
cliquant sur le bouton Se connecter dans l'onglet Compte de la bote de dialogue
L A C O M M A N D E C A C L S
CENTRE DE FORMATION G E F I - CRETEIL
202
Proprits de ce compte d'utilisateur. Ajoutez le nom de cet ordinateur dans la zone Nom
de l'ordinateur.
17. Un utilisateur reoit un message d'erreur lorsqu'il tente d'ouvrir une session. Ce message
d'erreur indique que Windows n'a pas pu reprer le profil itinrant de cet utilisateur, et que le
chemin d'accs du rseau n'a pas t trouv. Vous vrifiez l'onglet Profil de la bote de dialogue
Proprits de ce compte, et le chemin d'accs du profil est dfini comme
\\partage\serveur\nom_d'ouverture_de_session_utilisateur. Pourquoi cet utilisateur ne peut-il pas
ouvrir de session ?
Le chemin d'accs est incorrect. Le chemin d'accs du profil devrait tre
\\serveur\partage\nom_d'ouverture_de_session_utilisateur.
18. Utilisateur1 dispose de l'autorisation Contrle total sur le dossier Recherche. Un
administrateur cre un compte pour Utilisateur2 en copiant le compte d'Utilisateur1.
Lorsqu'Utilisateur2 tente d'accder au dossier Recherche, il reoit un message d'erreur indiquant
que l'accs lui est refus. Pourquoi Utilisateur2 ne peut-il pas accder au dossier Recherche ?
Les autorisations et les droits affects au compte d'utilisateur de domaine d'origine ne sont
PAS copis dans le nouveau compte d'utilisateur de domaine.
19. Les employs du groupe Service aprs-vente se plaignent que leurs paramtres de bureau sont
diffrents lorsqu'ils ouvrent une session sur diffrents ordinateurs dans leur service. Comment
pouvez-vous garantir que les paramtres du bureau seront identiques, quel que soit l'ordinateur
sur lequel ils ouvrent une session ?
Crez un profil itinrant obligatoire, et indiquez que tous les utilisateurs du groupe Service
aprs-vente doivent l'utiliser.
Application dun script en local (rappel)
` TP raliser.
======================================================================
a. Ouvrez une session en utilisant les informations suivantes :
Utilisateur : Administrateur
Mot de passe : P@sswrdXXXX
Domaine : Nom de votre Machine (SAM local)
Crer un utilisateur BILL, avec comme mot de passe : P@sswrd
Mettre BILL dans le groupe administrateurs
Via le Bloc Notes, crer un fichier script nomm test.bat
Ce script doit raliser les actions suivantes :
Crer un rpertoire C:\test
Partager ce dossier C:\test en DOCS (celui-ci doit tre cach), nombre de connexion max : 5
utilisateurs, avec comme commentaire : Ceci est un partage pour un test de script
Remplacer les permissions antrieure de C:\test et sous dossier par administrateur=Contrl totale
Ajouter la permission suivante C:\test et sous dossier par Tout le monde=Lire
Crer un lecteur rseau K :, qui ponte sur le serveur ServNet (domaine de Bourges) sur le dossier Temp, ayant
comme login Nom=Marcel, Password=P@sswrd1
Fermer la session et ouvrez une nouvelle session en tant que BILL (vrifier que le script cest bien ralis)
======================================================================
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
203
STRATGIES DE GROUPES
Le service d'annuaire Active Directory utilise une stratgie de groupe pour
administrer les utilisateurs et les ordinateurs connects votre rseau. Grce la
stratgie de groupe, il suffit de dfinir une seule fois l'tat de l'environnement de
travail d'un utilisateur et de laisser ensuite la famille Windows Server 2003 appliquer
systmatiquement les paramtres de cette stratgie. Vous pouvez appliquer les
paramtres de stratgie de groupe l'chelle d'une entreprise ou des groupes
d'utilisateurs et d'ordinateurs donns.
Par dfaut, aprs installation de Windows, aucune stratgie n'est configure, et tout
est permis (aux restrictions prs lies aux groupes prdfinis d'utilisateurs :
Administrateurs, Utilisateurs, Utilisateurs avec pouvoir,...)
La console Stratgie de groupe dans Microsoft Windows 2000/2003 vous permet
de mieux contrler l'administration des utilisateurs et des ordinateurs sur votre
rseau. Vous pouvez appliquer ces paramtres sur l'ensemble d'un rseau ou vous
pouvez appliquer la stratgie de groupe dfinie uniquement pour des groupes
spcifiques d'utilisateurs et d'ordinateurs.
Par exemple, l'administrateur peut implmenter les paramtres de la console Stratgie
de groupe qui engendreront les vnements suivants :
_ Excution d'un script de dmarrage sur tous les ordinateurs d'une unit
d'organisation ;
_ Audit de toutes les tentatives d'ouverture de session infructueuses dans un
domaine.
Les paramtres prcis contenus dans un objet Stratgie de groupe (GPO, Group
Policy Object) vous permettent de contrler des configurations utilisateurs et
ordinateurs spcifiques.
Une stratgie sert mettre en place une ou plusieurs restrictions d'utilisation de
Windows et des ses composants principaux.
Par exemple :
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
204
Menu Dmarrer et Barre des tches
o Dsactiver et supprimer les liens vers Windows Update
o Supprimer le groupe de programmes communs du menu Dmarrer
o Supprimer le menu Documents du menu Dmarrer
o Dsactiver les programmes du menu Paramtres
o Supprimer les Connexions rseau et accs distant du menu Dmarrer
o Supprimer le menu Excuter du menu Dmarrer
o Dsactiver la fermeture de session dans le menu Dmarrer
o Dsactiver et supprimer la commande Arrter
o ...
Panneau de configuration
o Dsactiver le Panneau de configuration
o Masquer les applications du Panneau de configuration spcifies
o ...
Systme
o Ne pas afficher l'cran de bienvenue l'ouverture de session
o Dsactiver l'invite de commandes
o Dsactiver les outils de modifications du Registre
o Excuter seulement les applications Windows autorises
o N'excutez pas les applications Windows spcifies
o Activer les quotas de disque
o ...
Internet Explorer
o Dsactiver la personnalisation de Internet Explorer par des tiers
o Dsactiver l'importation et l'exportation des favoris
o Dsactiver la modification des paramtres de la page de dmarrage
o ...
NetMeeting
o Dsactiver le partage de Bureaux distants
o ...
Les stratgies diffrent des prfrences (utilisateur) et comparer les deux moyens
permet de mieux comprendre comment Windows utilise la stratgie. Les utilisateurs
affectent leurs prfrences, comme leurs papiers peints de bureau. Ils peuvent
changer leurs prfrences n'importe quand.
Les administrateurs positionnent la stratgie, comme l'emplacement du dossier Mes
Documents et ils ont la priorit sur la prfrence des utilisateurs.
Windows stocke la stratgie dans le registre sparment des prfrences utilisateurs.
Si la stratgie existe, le systme d'exploitation emploie les paramtres indiqus par la
stratgie. Si la stratgie n'existe pas, le systme d'exploitation emploie les
prfrences utilisateurs.
En absence de prfrence utilisateur, le systme d'exploitation emploie un paramtre
par dfaut.
Une chose importante est qu'une stratgie ne change pas la prfrence utilisateur
quivalente, s'ils les deux lments existent en mme temps, la stratgie a la
prsance. Aussi, si l'administrateur enlve la stratgie, la prfrence utilisateur est
de nouveau employe.
Windows enlve automatiquement les paramtres GPOs du registre quand les GPOs
ne s'appliquent plus l'utilisateur ou l'ordinateur. Aussi, la Stratgie de Groupe ne
recopie pas les prfrences utilisateurs. Ainsi si vous supprimez un GPO de l'Active
Directory, Windows enlve les paramtres de ce GPO du registre et revient en
arrire, aux prfrences utilisateurs. De mme, si vous enlevez une stratgie
individuelle du GPO, Windows enlve ce paramtre du registre et rtablit les
prfrences existantes de l'utilisateur. La stratgie de groupe ne fait pas de
changements permanents et irrversibles au niveau du Registre.
La Stratgie Systme fait des changements permanents et irrversibles au niveau du
registre, en d'autres termes, cela tatoue le registre. Enlever la Stratgie Systme
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
205
enlve toute les stratgies contenue dans le registre. Le seule faon de rtablir les
prfrences utilisateurs, assumant que cette stratgie ne recopie pas leurs prfrences,
est de manuellement enlever la stratgie du registre o en changant explicitement les
paramtres de la Stratgie Systme survenante.
Windows combine ensemble les stratgies dans un Group Policy object (GPO).
Un GPO peut tre considr comme un conteneur pour les stratgies que vous
appliquez et leurs paramtres. Il est possible dappliquer plusieurs GPO un seul
site, un domaine ou une unit dorganisation (OU).
Dans l'Active Directory, vous avez de multiples GPOs, qui s'appliquent aux
utilisateurs et des ordinateurs, selon o ils sont dans l'arborescence.
Les stratgies de groupes simplifient ladministration en procurant aux
administrateurs la matrise centrale des privilges, des autorisations et des
fonctionnalits des utilisateurs et des ordinateurs.
Une stratgie de groupe peut sapprhender comme un ensemble de rgles qui vous
aident grer des utilisateurs et des ordinateurs. Les stratgies de groupe sont
applicables plusieurs domaines, des domaines individuels, des sous-groupes de
domaines et des systmes individuels.
Dans ce dernier cas, elles sont dites locales et stockes sur le systme local. Les
autres stratgies de groupe sont lies en tant quobjets dans le service dannuaire
Active Directory.
La console Gestion des stratgies de groupe combine la fonctionnalit de tous ces
composants dans une interface utilisateur unique. Cette interface est organise selon
la manire dont vous utilisez et administrez la stratgie de groupe. Elle intgre, dans
un composant logiciel enfichable MMC unique, la fonctionnalit de stratgie de
groupe des outils suivants :
- Utilisateurs et ordinateurs Active Directory
- Sites et services Active Directory
- Jeu de stratgie rsultant (RSoP, Resultant Set of Policy)
Le contenu d'un objet GPO est stock dans deux emplacements diffrents. Ces
emplacements sont dcrits ci-dessous.
_ Conteneur de stratgie de groupe. Le conteneur de stratgie de groupe est un objet
Active Directory qui contient les informations de version et les attributs de l'objet
GPO. Le conteneur de stratgie de groupe se trouvant dans Active Directory, les
ordinateurs peuvent y accder pour rechercher les modles de stratgie de groupe, et
les contrleurs de domaine pour obtenir les informations de version.
Un contrleur de domaine utilise les informations de version pour vrifier qu'il
dispose de la dernire version de l'objet GPO. Sinon, la duplication s'effectue dans le
contrleur de domaine qui dispose de la dernire version de l'objet GPO.
Modle de stratgie de groupe. Le modle de stratgie de groupe est une hirarchie
de dossiers situe dans le dossier Sysvol des contrleurs de domaine. Lorsque vous
crez un objet GPO, Microsoft Windows 2003 cre la hirarchie de dossiers du
modle GPT correspondante. Le modle de stratgie de groupe contient tous les
paramtres et informations de stratgie de groupe, y compris les paramtres des
modles d'administration, de scurit, d'installation de logiciels, de scripts et de
redirection des dossiers.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
206
Les ordinateurs se connectent au dossier Sysvol pour se procurer les paramtres.
Le nom du dossier de ce modle est l'identificateur universel unique (GUID,
Globally Unique IDentifier) de l'objet GPO que vous avez cr. Celui-ci est identique
l'identificateur GUID qui identifie l'objet GPO dans le conteneur de stratgie de
groupe. Le chemin du modle de stratgie de groupe sur un contrleur de domaine
est racine_systme\Sysvol\Sysvol.
Plutt que d'inclure tous les types de paramtres de stratgie de groupe pour un site,
un domaine ou une unit d'organisation dans un seul objet GPO, vous pouvez crer
plusieurs objets GPO pour diffrents types de paramtres de stratgie de groupe, puis
les lier aux sites, domaines ou units d'organisation appropris. Par exemple, vous
pouvez lier une mme unit d'organisation un objet GPO contenant les paramtres
de la scurit rseau et un autre objet GPO contenant l'installation des logiciels. Ces
divers objets GPO peuvent galement tre lis d'autres units d'organisation.
Il est possible de contrer cette notion dhritage, pour cela vous devez
spcifiquement assigner une rgle un conteneur enfant qui annule la mme rgle
dfinie au niveau du parent. Tant que lannulation est autorise (cest dire tant
quelle nest pas bloque), la rgle dfinie au niveau de lenfant sapplique et prime
sur la rgle hrite.
Lorsque de multiples stratgies sont en place, elles sappliquent dans lordre suivant :
1. Stratgies Windows NT (NTConfig.pol avec Poledit.exe)
2. Stratgies de groupes locales (cre sur votre propre machine)
3. Stratgies de groupes de site
4. Stratgies de groupe de domaine
5. Stratgies de groupe dunit dorganisation
6. Stratgies de groupe dunit dorganisation enfant
En cas de conflit entre les paramtres de diffrentes stratgies, les paramtres les plus
rcents prennent le pas et remplacent les paramtres antrieurs. Ex : les paramtres
dunit dorganisation priment sur les stratgies de domaine.
Rsolution des conflits
Lorsqu'un paramtre de la console Stratgie de groupe est configur pour une unit
d'organisation parent et qu'il n'est pas configur pour une unit d'organisation enfant,
les objets de cette dernire hritent du paramtre de la console Stratgie de groupe de
l'unit d'organisation parent.
Si un paramtre de la console Stratgie de groupe est configur la fois pour les
units d'organisation parent et enfant et que les paramtres sont compatibles, les
paramtres des deux units d'organisation s'appliquent. Si les paramtres sont
incompatibles, l'unit d'organisation enfant conserve son propre paramtre de
stratgie de groupe. En d'autres termes, un paramtre de la console Stratgie de
groupe du conteneur Active Directory le plus proche de l'ordinateur ou de l'utilisateur
peut remplacer un paramtre en conflit dans un conteneur situ plus haut dans la
hirarchie d'Active Directory.
Si l'ordre d'hritage par dfaut ne rpond pas aux besoins de votre entreprise, vous
pouvez modifier les rgles d'hritage pour des objets GPO spcifiques. Windows
2000/2003 propose deux options de modification du traitement par dfaut.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
207
Ne pas passer outre.
Utilisez cette option pour empcher les conteneurs enfants de remplacer un objet
GPO dfini dans un objet GPO de niveau suprieur. Cette option permet d'appliquer
une stratgie de groupe qui reflte les rgles de gestion respecter dans toute
l'entreprise. Cette option est dfinie objet par objet. Elle peut tre applique un ou
plusieurs objets GPO, en fonction de vos besoins. Lorsqu'elle s'applique plusieurs
objets GPO, c'est l'objet GPO situ le plus haut dans la hirarchie d'Active Directory
qui est prioritaire.
Bloquer l'hritage de stratgies.
Vous pouvez empcher un conteneur enfant dhriter de tous les objets Stratgie de
groupe de ses conteneurs parents en activant le blocage de lhritage pour le
conteneur enfant. Cette option est utile lorsqu'une unit d'organisation ncessite des
paramtres de console Stratgie de groupe uniques. Elle est dfinie par conteneur.
Dans le cas ou, l'option Ne pas passer outre est positionne sur une OU Parent,
et que l'option Bloquer l'hritage de stratgies, est positione sur une OU
Enfant, cest l'option Ne pas passer outre qui est toujours prioritaire , mais si
deux stratgies entre en conflit, et que loption Ne pas passer outre et Bloquer
lhritage ne sont pas positionns, la stratgie la plus proche de lutilisateur ou
de la machine lemporte.
Examen de l'ordre de traitement des objets stratgie de groupe
Les paramtres de la console Stratgie de groupe sont traits dans l'ordre dcrit ci-
dessous. Tous les aspects de cet ordre peuvent tre modifis l'aide des paramtres
de la console Stratgie de groupe.
1. L'ordinateur dmarre.
a. Le rseau dmarre, puis Windows applique les paramtres dfinis dans la
section Configuration ordinateur de la console Stratgie de groupe de tous les
objets GPO associs au compte de l'ordinateur (aucune interface utilisateur ne
signale leur traitement).
b. Les scripts de dmarrage s'excutent de faon squentielle. Autrement dit,
chaque script doit tre termin ou annul avant le dmarrage du suivant.
c. Tous les objets GPO ayant une incidence sur le compte d'ordinateur sont
traits avant l'affichage de l'cran d'ouverture de session pour l'utilisateur.
2. L'utilisateur ouvre une session (CTRL+ALT+SUPPR).
a. Les paramtres dfinis dans la section Configuration utilisateur de la
console Stratgie de groupe de tous les objets GPO associs au compte
d'utilisateur sont traits simultanment.
b. Les scripts d'ouverture de session appliqus via la stratgie de groupe
s'excutent, et l'interface utilisateur Windows 2000/2003 est lance
simultanment.
c. Si certains scripts sont associs un compte d'utilisateur, ils s'excutent en
dernier.
Par dfaut la stratgie de groupe est rafrachie uniquement lorsque lutilisateur ferme
sa session ou quand lordinateur est redmarr. Il est possible de modifier ce
comportement en dfinissant un intervalle de rafrachissement de la stratgie de
groupe.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
208
Windows 2000/2003 actualise rgulirement les paramtres de la console Stratgie
de groupe sur le rseau. Cette opration s'effectue par dfaut sur les ordinateurs
clients en moyenne toutes les 90 minutes, avec un dcalage de plus ou moins 30
minutes. Pour les contrleurs de domaine, l'actualisation par dfaut est ralise
toutes les cinq minutes. Vous pouvez modifier les valeurs par dfaut en changeant
les paramtres des modles d'administration. Vous ne pouvez pas planifier pour une
heure prcise l'application d'un objet GPO un ordinateur client.
Pour configurer les frquences dactualisation, procdez comme suit :
1. Ouvrez lobjet Stratgie de groupe appropri de la stratgie de groupe, dveloppez successivement
Configuration utilisateur ou Configuration ordinateur (selon lobjet Stratgie de groupe modifier), Modles
dadministration, Systme, cliquez sur Stratgie de groupe, puis double-cliquez sur lun des paramtres suivants
Intervalle dactualisation de la stratgie de groupe pour les utilisateurs
Intervalle dactualisation de la stratgie de groupe pour les ordinateurs
Intervalle dactualisation de la stratgie de groupe pour les contrleurs de domaine
2. Slectionnez Activ.
3. Dfinissez lintervalle dactualisation en minutes.
4. Dfinissez le dcalage alatoire, puis cliquez sur OK.
Remarque : Si vous avez dsactiv ces paramtres, la stratgie de groupe est mise jour par dfaut toutes
les 90 minutes. Pour spcifier que la stratgie de groupe ne doit jamais tre mise jour lorsque lordinateur est en
cours dutilisation, slectionnez loption Dsactiver lactualisation en tche de fond des stratgies de groupe.
Association d'un objet GPO un domaine ou une unit
d'organisation
Lorsque vous crez un objet GPO, il est li au conteneur pour lequel vous l'avez cr.
Toutefois, aucun paramtre de stratgie de groupe n'y est dfini.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
209
Pour crer un objet GPO ou lier un objet GPO existant, excutez la procdure
ci-dessous.
1. partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur le conteneur Active Directory (domaine ou unit d'organisation) pour lequel vous
souhaitez crer un objet GPO, puis cliquez sur Proprits.
3. Dans l'onglet Stratgie de groupe, choisissez l'une des options ci-dessous.
a. Pour crer un objet GPO, cliquez sur Nouveau, tapez le nom du nouvel objet GPO et appuyez sur ENTRE.
b. Pour lier un objet GPO existant, cliquez sur Ajouter, puis slectionnez l'objet GPO dans la liste.
L'objet GPO cr ou li s'affiche dans la liste des objets GPO lis au conteneur Active Directory.
Remarque : Vous devez tre membre du groupe Administrateurs de l'entreprise pour
pouvoir crer des objets GPO lis des sites.
Association d'un objet GPO un site
Pour crer un objet GPO li un site, partir du menu Outils d'administration,
ouvrez Sites et services Active Directory, puis excutez la procdure prcdente.
Vous devez tre membre du groupe Administrateurs de l'entreprise pour pouvoir
crer un objet GPO de site.
Par dfaut, l'objet GPO du site est stock sur les contrleurs du domaine racine de la
fort. Vous pouvez dfinir un autre domaine en tant qu'emplacement de stockage
lorsque vous crez l'objet GPO du site. Pour changer l'emplacement de stockage,
cliquez sur le bouton Ajouter dans l'onglet Stratgie de groupe de la bote de
dialogue Proprits du site. Changez ensuite le domaine dans la zone Regarder
dans, puis liez nouveau l'objet GPO.
Aprs avoir cr ou li un objet GPO, vrifiez que les autorisations appropries sont
dfinies. Les paramtres de la console Stratgie de groupe d'un objet GPO ne
concernent que les ordinateurs et les utilisateurs disposant des autorisations
Appliquer la stratgie de groupe et Lire pour cet objet.
Lorsque vous crez un objet GPO, les autorisations par dfaut sont dfinies comme
indiqu ci-dessous.
_ Le groupe Utilisateurs authentifis dispose des autorisations Appliquer la stratgie
de groupe et Lire.
_ Le compte systme ainsi que les groupes Administrateurs du domaine et
Administrateurs de l'entreprise disposent des autorisations Lire, crire, Crer tous les
objets enfants et Supprimer tous les objets enfants.
Lorsque vous crez un objet GPO li un site, domaine ou unit d'organisation, vous
effectuez en fait deux oprations distinctes : vous crez un objet GPO, puis vous liez
celui-ci au site, au domaine ou l'unit d'organisation. Pour lier un objet GPO un
site, un domaine ou une unit d'organisation, vous devez disposer d'autorisations en
lecture et criture sur les attributs gPLink et gPOptions du conteneur auquel l'objet
GPO est li. Par dfaut, seuls les membres des groupes Administrateurs du domaine
et Administrateurs de l'entreprise disposent des autorisations ncessaires pour lier des
objets GPO des domaines et des units d'organisation, tandis que seuls les membres
groupes Administrateurs de l'entreprise sont autoriss lier des objets GPO des
sites. Les membres du groupe Propritaires crateurs de stratgie de groupe peuvent
crer des objets GPO, mais pas les lier. Vous pouvez crer un objet GPO non li en
ajoutant un composant logiciel enfichable Stratgie de groupe dans la console MMC
(Microsoft Management Console).
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
210
Pour crer un objet GPO non li, excutez la procdure ci-dessous.
1. Excutez Mmc.exe et ajoutez le composant logiciel enfichable Stratgie de groupe.
2. Dans la bote de dialogue Slection d'un objet Stratgie de groupe, cliquez sur Parcourir.
3. Dans la bote de dialogue Rechercher un objet Stratgie de groupe, dans l'onglet Tous, cliquez avec le bouton
droit n'importe o dans la liste Tous les objets Stratgie de groupe stocks dans ce domaine, puis cliquez sur
Nouveau.
4. Tapez le nom du nouvel objet GPO, puis cliquez sur OK pour fermer la bote de dialogue Rechercher un objet
Stratgie de groupe.
5. Pour modifier le nouvel objet GPO, dans la bote de dialogue Slection d'un objet Stratgie de groupe, cliquez
sur Terminer, sinon cliquez sur Annuler.
Ex : dans lOU Marcel, puis Proprits, puis onglet Stratgies de groupe, puis Ajouter, onglet Tous, slectionner,
puis OK
Les objets GPO non lis peuvent tre crs dans des entreprises de grande envergure
o un groupe est responsable de la cration d'objets GPO tandis qu'un autre groupe
est responsable de leur association au site, domaine ou unit d'organisation appropri.
Modification des autorisations
Pour modifier les autorisations d'un objet GPO :
1. Ouvrez la bote de dialogue Proprits pour le conteneur Active Directory associ l'objet GPO.
2. Dans l'onglet Stratgie de groupe, cliquez sur Proprits.
3. Dans l'onglet Scurit, activez ou dsactivez la case cocher Appliquer la stratgie de groupe des objets
appropris.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
211
Important : Les autorisations sur les objets GPO fonctionnent selon le mme principe que
les autorisations sur les fichiers et les dossiers : les autorisations les plus restrictives
s'appliquent. Par consquent, les interdictions d'accs doivent tre affectes avec
prcaution.
Filtrage de l'tendue d'un objet GPO
Vous pouvez filtrer l'tendue d'un objet GPO en crant des groupes de scurit, puis
en affectant les autorisations Appliquer la stratgie de groupe et lire des groupes
slectionns, ou en supprimant les autorisations de groupes slectionns.
Par exemple, une unit d'organisation de votre domaine contient des comptes
d'utilisateur pour les employs permanents et temporaires, et vous souhaitez
appliquer un objet GPO distinct chaque type d'employ. Vous pouvez appliquer les
deux objets GPO l'unit d'organisation, crer un groupe de scurit pour les
employs permanents et un autre pour les employs temporaires, puis affecter les
autorisations Appliquer la stratgie de groupe et lire chaque groupe, uniquement
pour l'objet GPO souhait.
Ex : Proprits de lOU Marcel, onglet Scurit, bouton Proprits, onglet Scurit,
cocher refus pour Marcel en application
Mthode 1
La premire mthode consiste refuser de faon explicite l'autorisation Appliquer
la stratgie de groupe au groupe de scurit contenant les administrateurs de
l'unit d'organisation. Pour filtrer la stratgie de groupe en refusant de faon explicite
l'autorisation Appliquer la stratgie de groupe, excutez la procdure ci-dessous.
1. Crez un groupe de scurit et ajoutez les administrateurs de l'unit d'organisation dans ce groupe.
2. Dans la bote de dialogue Proprits (GPO), dans l'onglet Scurit, ajoutez le groupe de scurit pour l'objet
GPO que vous ne souhaitez pas appliquer aux administrateurs de l'unit d'organisation.
3. Refusez l'autorisation Appliquer la stratgie de groupe pour ce groupe de scurit.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
212
Mthode 2
La seconde mthode consiste supprimer les utilisateurs authentifis. En omettant
les administrateurs de l'unit d'organisation du groupe de scurit, ceux-ci n'ont
aucune autorisation explicite sur l'objet GPO. Pour filtrer la stratgie de groupe en
omettant une autorisation Appliquer la stratgie de groupe explicite, excutez la
procdure ci-dessous.
1. Supprimez les groupes Utilisateurs authentifis de la liste DACL.
2. Crez un groupe de scurit et ajoutez tous les comptes d'ordinateur et d'utilisateur dans ce groupe,
l'exception des comptes d'administrateur de l'unit d'organisation.
3. Dans la bote de dialogue Proprits, dans l'onglet Scurit, ajoutez le groupe de scurit pour l'objet GPO que
vous ne souhaitez pas appliquer aux administrateurs de l'unit d'organisation.
4. Attribuez au groupe de scurit les autorisations Lire et Appliquer la stratgie de groupe.
Pour bl oquer l ' hr i t age d' un obj et GPO
Vous pouvez empcher un conteneur enfant d'hriter de tout objet GPO des
conteneurs parents en activant l'option Bloquer l'hritage de stratgies sur le
conteneur enfant. L'activation de cette option sur un conteneur enfant empche celui-
ci d'hriter de tous les paramtres de stratgie de groupe et non de paramtres
individuels. Cette option est utile lorsqu'un conteneur Active Directory requiert des
paramtres de stratgie de groupe uniques et que vous souhaitez vous assurer que les
paramtres ne puissent pas tre hrits.
Pour bloquer l'hritage d'un objet GPO d'un conteneur enfant, excutez la
procdure ci-dessous.
1. Ouvrez la bote de dialogue Proprits du domaine ou de l'unit d'organisation au niveau desquels vous
souhaiter bloquer l'hritage.
2. Dans l'onglet Stratgie de groupe, cliquez sur Bloquer l'hritage de stratgies.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
213
Le blocage de l'hritage est soumis aux deux contraintes ci-dessous.
_ Vous ne pouvez pas choisir de faon slective les objets GPO bloquer. Le blocage de
l'hritage s'applique tous les objets GPO de tous les conteneurs parents, except lorsque
l'objet GPO est configur l'aide de l'option Aucun remplacement.
_ Le blocage de l'hritage ne peut pas bloquer l'hritage d'un objet GPO li un conteneur
parent si ce lien est configur l'aide de l'option Aucun remplacement.
Dl gat i on de cont r l e l ' ai de d' aut or i sat i ons
Tout utilisateur disposant des autorisations Lire et crire peut utiliser ces
autorisations pour dlguer le contrle sur les objets GPO. cette fin,
l'administrateur rseau cre des groupes d'administrateurs (par exemple, le groupe
Administrateurs Marketing), puis affecte les autorisations Lire et crire aux objets
GPO slectionns pour ces groupes.
Changement de l ' or dr e de t r ai t ement
Un mme conteneur peut runir plusieurs objets GPO dont les paramtres entrent en
conflit. La liste des objets GPO d'un conteneur est traite en ordre inverse. Par
consquent, un paramtre du premier objet GPO de la liste remplace un paramtre
conflictuel d'un objet GPO situ plus loin dans la liste.
Vous pouvez changer l'ordre de la liste l'aide des boutons Haut et Bas de l'onglet
Stratgie de groupe.
Dsact i vat i on des obj et s st r at gi e de gr oupe
Vous pouvez dsactiver les paramtres d'utilisateur ou d'ordinateur d'un objet GPO
ou bien l'intgralit d'un objet GPO.
Pour acclrer le traitement d'un objet GPO, dsactivez les paramtres d'ordinateur
lorsque vous crez un objet GPO contenant uniquement des paramtres de stratgie
de groupe destins aux utilisateurs. De mme, lorsque vous crez un objet GPO ne
contenant que des paramtres d'ordinateur, vous devez dsactiver les paramtres
d'utilisateur pour cet objet GPO.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
214
Pour dsactiver les paramtres d'utilisateur ou d'ordinateur d'un objet GPO,
slectionnez-le dans l'onglet Stratgie de groupe, cliquez sur Proprits, sur
l'onglet Gnral, puis sur Dsactiver les paramtres de configuration de
l'utilisateur ou Dsactiver les paramtres de configuration de l'ordinateur.
Cela permet damliorer les performances dapplication des objets Stratgie de
groupe lors de la connexion de lutilisateur et empche lapplication accidentelle des
paramtres lautre zone.
Vous pouvez galement dsactiver l'intgralit d'un objet GPO pour l'empcher d'tre
appliqu au conteneur slectionn. La dsactivation d'un objet GPO a une incidence
uniquement sur son application au conteneur slectionn et tout conteneur hritant
des paramtres de ce conteneur.
L'objet GPO peut toujours tre li d'autres conteneurs, et s'applique encore aux
conteneurs auxquels il est li, moins qu'il n'y soit galement dsactiv. Pour
dsactiver l'objet GPO, cliquez dans l'onglet Stratgie de groupe sur Options, puis
sur Dsactiver.
Suppr essi on des obj et s st r at gi e de gr oupe
Lorsque vous cliquez sur Supprimer dans l'onglet Stratgie de groupe, deux
options vous sont proposes : l'une pour supprimer l'objet GPO de son conteneur,
l'autre pour supprimer la liaison entre l'objet et son conteneur.
Contrairement la dsactivation, la suppression d'un objet GPO le supprime
dfinitivement d'Active Directory, et supprime galement la possibilit de le lier
d'autres conteneurs.
Avant de supprimer un objet GPO, vrifiez quels conteneurs il est li dans l'onglet
Liaisons de sa bote de dialogue Proprits.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
215
Exercice :
Quels sont les paramtres de stratgie de groupe rsultants pour les objets utilisateur dans
l'unit d'organisation, et pourquoi ?
Rsultat :
Act i vat i on de l ' opt i on Aucun r empl acement
L'activation de l'option Aucun remplacement signifie que tous les paramtres de
stratgie de groupe contenus dans l'objet GPO dont le lien est configur l'aide de
l'option Aucun remplacement s'appliquent, y compris lorsqu'ils entrent en conflit
avec les paramtres traits aprs eux ou si le blocage s'effectue un niveau infrieur
dans l'arborescence Active Directory. Vous ne devez dfinir l'option Aucun
remplacement que pour les liens aux objets GPO qui reprsentent des rgles
stratgiques qui s'appliquent dans l'ensemble de l'entreprise. Liez l'objet GPO aux
niveaux suprieurs de l'arborescence Active Directory de sorte que celui-ci s'applique
plusieurs units d'organisation. Par exemple, liez un objet GPO prsentant des
paramtres de scurit rseau un domaine ou un site.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
216
Notez que l'option Aucun remplacement est en fait dfinie sur le lien et non sur
l'objet GPO proprement dit. Cela signifie que si un objet GPO est li plusieurs
conteneurs, vous pouvez configurer l'option Aucun remplacement sur chaque
conteneur, indpendamment des autres.
Lorsque plusieurs liens sont configurs l'aide de l'option Aucun remplacement et
que les objets GPO lis s'appliquent tous un mme conteneur et contiennent des
paramtres en conflit, l'objet GPO qui se trouve en tte de la hirarchie Active
Directory prime.
Pour dfinir l'option Aucun remplacement, excutez la procdure ci-dessous.
1. Ouvrez la bote de dialogue Proprits du conteneur auquel l'objet GPO est li.
2. Dans l'onglet Stratgie de groupe, cliquez sur Options.
3. Dans la bote de dialogue Options de l'objet GPO, cliquez sur Aucun remplacement, puis sur OK.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
217
La Microsoft Management Console
Afin d'viter l'utilisateur (administrateur) de manipuler directement la Base de
Registres, Microsoft a conu une Console (MMC) dont le nom du fichier est
%systemroot%\system32\gpedit.msc.
Pour l'excuter, depuis le menu dmarrer/excuter ou dans une fentre de
commandes, il suffit de taper la commande :GPEDIT.MSC
On peut galement excuter GPEDIT distance, sur un autre ordinateur du rseau,
par la commande :
GPEDIT.MSC /gpcomputer:nom_de_l'ordinateur_distant
GPEDIT.MSC /bourges :brisbane.bourges.eds, ou passer par une MMC
Windows Server 2003 applique les paramtres de stratgie de groupe contenus dans
lobjet Stratgie de groupe aux objets utilisateur et ordinateur du site, du domaine ou
de lunit dorganisation associ lobjet Stratgie de groupe. Le contenu dun objet
Stratgie de groupe est stock deux emplacements : dans le conteneur Stratgie de
groupe (GPC, Group Policy Container) et dans le modle Stratgie de groupe (GPT,
Group Policy Template).
Les paramtres de stratgies se rpartissent en deux grandes catgories :
Configuration Ordinateur. Ce sont des paramtres de stratgie par
ordinateur qui spcifient le fonctionnement du systme, comportement du
bureau, paramtres de scurit, dmarrage et arrt de l'ordinateur, et les
paramtres pour les applications. Windows applique la stratgie par
ordinateur quand le systme d'exploitation dmarre et intervalles rguliers.
Configuration Utilisateur. Ce sont des paramtres de stratgie par utilisateur
qui spcifient le fonctionnement du systme, comportement du bureau,
paramtres de scurit, demandes d'applications assignes et publies,
paramtres du dossier de redirection, scripts utilisateur d'ouverture et
fermeture de session.
Dans le panneau de gauche on trouve deux arborescences la suite :
la premire concerne l'ordinateur (branche HKLM\Software\...)
la seconde concerne l'utilisateur (branche HKCU\Software\...)
Dans le panneau de droite on trouve les stratgies relatives la branche
slectionne gauche.Un double-clic sur l'une des stratgies provoque l'ouverture
d'une boite dialogue 2 onglets
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
218
Les administrateurs dfinissent les stratgies en employant l'diteur de stratgie de
groupe. Modles d'Administration, des fichiers avec l'extension ".adm", dfinissent
les stratgies qu'ils peuvent positionner. Modles d'Administration et Paramtres de
Scurit sont la mme chose et vous voyez frquemment le nom court des fichiers
"ADM".
Ils sont situs dans le dossier %systemroot%\inf.
On les retrouve galement dans le dossier
%systemroot%\system32\GroupPolicy\Adm aprs qu'une stratgie ait t dfinie
(ce sous-dossier est cr automatiquement).
Ce sont des fichiers texte de type ANSI (1 caractre = 1 octet) ou UNICODE (1
caractre = 2 octets)
Windows est fourni avec des modles dadministration qui dfinissent toute la
stratgie approprie que le systme d'exploitation supporte. Si vous voulez employer
une stratgie pour une application, comme par exemple Microsoft Office XP, vous
devez charger leurs modles dadministration. En fait, le Resource Kit d'Office XP
est livr avec beaucoup d'options dans ce modle dadministration qui aide les
professionnels mieux se dbrouiller et amliorer la productivit. Windows fournit
les modles administratifs suivants :
System.adm. Paramtres fondamental, est le premier fichier modle,
dfinissant la plupart de paramtres que l'on voie dans "Modles
d'Administration".
Wmplayer.adm. Paramtres de Windows Mdias
Conf.adm. Logiciel de communication (confrence) NetMeeting
Inetres.adm. Internet Explorer
wuau.adm (Windows Update) (ventuellement)
Quand l'administrateur dfinit une stratgie, l'diteur les stocke dans un fichier
appel "Registry.pol". Windows charge les paramtres contenu dans le fichier
"Registry.pol" quand le systme d'exploitation dmarre, quand les utilisateurs s'y
connectent et intervalles rguliers.
Ils refltent l'ensemble des stratgies appliques sur une machine, et sont lus :
lors du dmarrage de l'ordinateur (fichier
%systemroot%\system32\GroupPolicy\machine\REGISTRY.POL)
lors de l'ouverture d'une session (fichier
%systemroot%\system32\GroupPolicy\user\REGISTRY.POL)
Cela signifie que la modification manuelle d'une cl par l'utilisateur sera annule
lors du dmarrage et/ou ouverture de session suivants si la modification et la
stratgie sont contradictoires!
De plus, vu qu'il n'existe qu'un seul sous-dossier \user dans
%systemroot%\system32\GroupPolicy, cela signifie qu'une stratgie utilisateur
sera applique tous les comptes utilisateurs de l'ordinateur, administrateurs
compris.
Les stratgies de groupe pour le site, les domaines et les units dorganisation sont
places dans le dossier %SystemRoot%\Sysvol\Domain\Policies des contrleurs
de domaine. Dans ce dossier existe un sous-dossier pour chaque stratgie dfinie
sur les contrleurs de domaine. Les noms de ces dossiers sont des GUID (Global
Unique Identifier), dedans on y trouve :
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
219
Adm : modle dadministration en cours dutilisation, ne concerne que les
contrleurs de domaine
Machine : stocke les scripts dordinateurs et info sur les stratgies du
registre (registry.pol).
User : stocke les scripts dutilisateurs et info sur les stratgies du registre
(registry.pol).
Remarque : si vous supprimez le fichier registry.pol => enlve la stratgie aprs
le reboot du PC (attention : le simple utilisateur ne peut pas la supprimer).
Vous pouvez vrifier la cration du fichier registry.pol, modifier via une MMC, via
lediteur de stratgie de groupe, modifier un lment au niveau du modle
dadministration utilisateur ou machine (ouvrir une session en local en tant
quadministrateur).
Donc la dfinition hasardeuse d'une stratgie trop restrictive peut s'avrer
catastrophique, aboutissant au verrouillage total de l'ordinateur, y compris vis
vis d'un administrateur.
Par exemple, il existe une stratgie qui interdit l'excution de certains programmes.
Elle est dfinie dans la cl :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRu
n sous la forme d'une liste d'entres contenant les noms des excutables.
Si parmi eux figurent mmc.exe et regedit.exe, il sera dfinitivement impossible
d'ouvrir toute console de gestion (dont GPEDIT) et de modifier la BDR (base de
registre).
D'autre part, GPEDIT ne donne aucune information l'utilisateur concernant les
clefs de la BDR utilises
Toute la stratgie de base du registre peut tre dans trois tats :
"Permis", "Mis hors de service", ou "Non Configur".
Permis active explicitement le paramtre par addition au registre avec une valeur
de 0x01.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
220
Mis hors de service dsactive explicitement le paramtre par addition au registre
avec une valeur de 0x00 ou suppression de la valeur entirement. Le Non
Configur enlve le paramtre du registre, ce qui a pour effet d'utiliser la place
les paramtres utilisateurs.
O Wi ndows st ocke- t - i l l a st r at gi e ?, dans l e r egi st r e
La branche \Software\Policies est la branche principale ou est dclare la stratgie
dans la registre. Cette branche de HKLM contient la stratgie par ordinateur et la
branche de HKCU contient la stratgie par utilisateur. Une autre branche, hrite
pour des versions de Windows plus anciennes, est
\Software\Microsoft\Windows\CurrentVersion\Policies.
La stratgie dans cette branche a tendance tatouer le registre, ce qui signifie qu'ils
affectent des changements permanents dans le registre que vous devez
explicitement changer. Ce qui empche les utilisateurs de changer ces cls et ainsi
la stratgie qu'ils mettent en application, est leur ACLS (Listes de Contrle
d'Accs). Les groupes locaux Utilisateurs et Utilisateurs avec Pouvoirs n'ont pas la
permission de changer des valeurs dans ces cls.
Mai nt enant pour l eur empl acement sur l e di sque.
Le GPO local est dans %SYSTEMROOT %\System32\GroupPolicy. C'est un
dossier cach.
Il contient les sous-dossiers et les fichiers suivants (contenu dans le fichier
Registry.pol) :
\Adm. Stocke les fichiers de modles dadministration en cours dutilisation. Ces
fichiers portent lextension .adm. Ce dossier nest prsent que sur les contrleurs de
domaine.
\User Stocke les scripts dutilisateur du dossier Scripts et les informations de
stratgie du Registre pour HCU dans le fichier Registry.pol. Inclut le fichier
Registry.pol, qui contient la stratgie de base pour des utilisateurs. Quand les
utilisateurs se connectent l'ordinateur, Windows applique ceux-ci HKCU.
\User\Scripts. Contient les scripts par utilisateur des GPO locaux. Les scripts dans
\Logon s'excutent quand les utilisateurs se connectent Windows et les scripts dans
\Logoff s'excutent quand ils se dconnectent du systme.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
221
\Machine. Stocke les scripts dordinateur du dossier Script et les informations de
stratgie du Registre pour HLM dans le fichier Registry.pol. Inclut le fichier
Registry.pol, qui contient stratgie base pour l'Ordinateur. Quand Windows dmarre,
il applique ce paramtre HKLM.
\Machine\Scripts. Contient les scripts par ordinateur des GPO locaux. Les scripts
dans \Startup s'excutent quand Windows dmarre et les scripts dans \Shutdown
s'excutent quand le systme d'exploitation s'arrte.
Les outils de Stratgie de Groupe de Windows contiennent beaucoup d'amliorations.
Certaines de ces amliorations mritent une mention spciale, Le premier est
gpupdate Vous ne devez pas employer cet outil pour mettre jour le GPO local,
parce que les changements du GPO local est instantan.
La seconde mthode est Resultant Set of Policy (RSoP). Windows inclut de
nouveaux outils pour l'observation de quelle stratgie le systme d'exploitation
applique l'utilisateur actuel et l'ordinateur ainsi que l'emplacement o ils ont t
gnrs. Une des parties les plus difficiles pour l'administration de la Stratgie de
Groupe d'un grand rseau est de suivre la trace ce qui rsulte des combinaisons de
GPOs que vous n'avez pas crer ou que vous ne connaissez pas font leurs
apparitions. Ces outils vous aident traquer ces comportements beaucoup plus
rapidement parce qu'ils vous donnent un instantan de comment le systme
d'exploitation les applique et d'o ils sont provenus
La syntaxe de commande est trs simple. Pour rafrachir la stratgie d'utilisateur,
entrez n'importe laquelle des commandes suivantes (applicable votre systme) :
C:\>secedit /refreshPolicy user_policy on Windows 2000
C:\>gpupdate /Target:User on Windows 2003
Les commandes suivantes rafrachissent la statgie sur l'ordinateur :
C:\>secedit /refreshPolicy machine_policy
C:\>gpupdate /Target:Computer
tant donn que vous pouvez appliquer des niveaux de paramtres de stratgie qui se
chevauchent sur n'importe quel ordinateur ou utilisateur, la stratgie de groupe
gnre un jeu de stratgies rsultant l'ouverture de session. Gpresult affiche le jeu
de stratgies rsultant appliqu sur l'ordinateur l'ouverture de session de l'utilisateur
spcifi.
Les exemples suivants dcrivent les utilisations possibles de la commande gpresult :
C:\gpresult /user targetusername /scope computer
C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /scope USER
C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /z >policy.txt
C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
222
Vous voulez vrifier que les paramtres de stratgie sont mis jour sur l'ordinateur
des stagiaires. Vous voulez examiner le paramtre de stratgie d'ordinateur appliqu
votre ordinateur avec le compte NomOrdinateurAdmin.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
223
Objectif
Dans cet exercice, vous allez crer un objet GPO et configurer l'objet GPO avec les paramtres
de stratgie de groupe satisfaisant les exigences du scnario.
=====================================================================
Ouvrir une session en tant que :
Nom : Marcel
Mot de passe : P@sswrd1
Se connecter : Choisir le nom du domaine (bourges.eds)
a. partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory. Se
connecter tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine Bourges.
b. Dans l'arborescence de la console, bouton droit sur bourges.eds, Nouveau, Unit dorganisation, nommer
cette OU GpoUserx (ou x reprsente le N de votre @ IP), puis OK.
c. Dplacer de Utilisateurs et ordinateurs Active Directory\Computers, votre ordinateur vers votre OU
GpoUserx (ou x reprsente le N de votre @ IP)
d. Proprits de GpoUserx, dans l'onglet Stratgie de groupe, cliquez sur Nouveau, tapez Admin Template
Policy X (ou X est votre N dadresse IP) et appuyez sur ENTRE.
=====================================================================
a. Slectionnez la nouvelle stratgie, puis cliquez sur Modifier.
b. Dans l'arborescence de la console Stratgie de groupe, sous Configuration ordinateur, dveloppez Modles
d'administration.
c. Dans l'arborescence de la console, dveloppez Systme, cliquez sur Quotas de disque, puis dans le volet de
dtails, double-cliquez sur Activer les quotas de disque.
d. Dans la bote de dialogue Proprits de Activer les quotas de disque, cliquez sur Active, puis cliquez sur
OK.
e. Dans le volet de dtails, double-cliquez sur Appliquer la limite de quota de disque.
f. Dans la zone Proprits de Limite de quota de disque, cliquez sur Activ, puis cliquez sur OK. Activer aussi
Limite de quota et niveau davertissement par dfaut (par dfaut 100 Mo), puis OK.
g. Dans l'arborescence de la console, dveloppez Composants Windows, cliquez sur Planificateur de tches et
double-cliquez sur, Empecher la cration de nouvelle tche, puis Activ dans le volet de dtails, puis sur OK.
h. Dans l'arborescence de console, dveloppez Modles d'administration sous Configuration utilisateur.
i. Dans Composants Windows\Internet Explorer\Panneau de configuration de Internet, double-cliquez sur
Dsactiver longlet Gnral, puis cocher loption Activ, faire de mme pour Dsactiver longlet Scurit et
Dsactive longlet Avancs, puis OK
j. Fermez la console Stratgie de groupe, puis cliquez sur Fermer pour fermer la bote de dialogue Proprits de
Gpo Userx.
k. Laissez la console Utilisateurs et ordinateurs Active Directory ouverte.
Objectif
Dans cet exercice, vous allez crer un objet GPO li l'unit d'organisation Telemarketing et
configurer l'objet GPO avec les paramtres de la stratgie de groupe satisfaisant les restrictions
dcrites dans le scnario.
=====================================================================
a. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, dveloppez votre domaine :
Bourges.eds, dveloppez lOU GpoUserx, crr une nouvelle OU enfant nomme : Telemarketing, puis OK,
cliquez avec le bouton droit sur lOU Telemarketing, puis sur Nouveau, Utilisateur, affecter comme information :
Nom : TUserx (ou x reprsente le N de votre @ IP)
Nom douverture de session TUserx @Bourges.eds
Cliquez sur Suivant
Mot de passe : P@sswrd
Dcocher lutilisateur doit changer le mot de passe
Cocher le mot de passe nexpire jamais, cliquez sur Suivant puis sur Terminer.
Bouton droit sur lOU Telemarketing, cliquez sur Proprits.
b. Dans l'onglet Stratgie de groupe, cliquez sur Nouveau, tapez Telemarketing PolicyX (ou X est votre N
dadresse IP) et appuyez sur ENTRE.
=====================================================================
a. Cliquez sur Telemarketing PolicyX pour le slectionner, puis cliquez sur Modifier.
b. Dans l'arborescence de console, dveloppez Modles d'administration sous Configuration utilisateur.
c. Dans l'arborescence de console, dveloppez Composants Windows, cliquez sur Explorateur Windows et
double-cliquez sur Supprimer les options "Connecter un lecteur rseau" et "Dconnecter un lecteur rseau"
dans le volet de dtails.
d. Dans la bote de dialogue Proprits de Supprimer les options "Connecter un lecteur rseau" et
"Dconnecter un lecteur rseau", cliquez sur Active, puis sur OK.
=====================================================================
a. l'aide des informations ci-dessous, configurez les restrictions requises restantes.
Activez Cacher l'icne Favoris rseau sur le Bureau, qui se trouve dans le dossier Bureau.
Activez Empcher la modification des paramtres de la barre des tches et du menu Dmarrer, ainsi que
Supprimer le menu Excuter du menu Dmarrer qui se trouve dans le dossier Menu Dmarrer et Barre des
tches.
Activez Supprimer les liens et laccs Windows Update, qui se trouve dans le dossier Menu Dmarrer et
Barre des tches.
Dsactivez Empecher la cration de nouvelle tche, qui se trouve dans le dossier Composants
Windows\Planificateur de tches.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
224
Dans Composants Windows\Internet Explorer\Panneau de configuration de Internet, double-cliquez sur
Dsactiver longlet Gnral, puis cocher loption Dsactiv , faire de mme pour Dsactiver longlet Scurit et
Dsactive longlet Avancs, puis OK
b. Fermez toutes les fentres, en invite de commande saisir : gpupdate /force, valider par Oui, puis redmarrez
votre ordinateur.
Objectif
Dans cet exercice, vous allez ouvrir une session en tant qu'Administrateur pour vrifier quels
paramtres de stratgie de groupe pour ordinateurs ont t appliqus. Ensuite, vous ouvrirez une
session en tant qu'utilisateur pour vrifier quels paramtres de stratgie de groupe pour
utilisateurs ont t appliqus pour les membres de l'unit d'organisation Telemarketing.
====================================================================
a. Ouvrez une session en tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine de Bourges
b. Dmarrer, puis clickez sur le Poste de travail, cliquez avec le bouton droit sur l'icne du lecteur C :, puis cliquez
sur Proprits.
c. Cliquez sur l'onglet Quota.
Les quotas de disques sont-ils activs ? Pourquoi ?
_____________________________________________________________________________
_____________________________________________________________________________
__________________
Les limites de quota de disque sont-elles appliques ? Pourquoi ?
_____________________________________________________________________________
_____________________________________________________________________________
__________________
d. Cliquez sur Annuler pour fermer la bote de dialogue Proprits de Disque local (C:)
e. Dans le menu Dmarrer, cliquez sur Panneau de configuration.
f. Dans le Panneau de configuration, double-cliquez sur Tches planifies, ce programme peut-il tre lanc ? :
_________.
===================================================================
=
a. Ouvrez une session en tant que TUserx avec le mot de passe P@sswrd sur le domaine de Bourges.
Les paramtres ci-dessous (contenus dans l'objet GPO Telemarketing Policy) sont-ils appliqus ? Pourquoi ?
Favoris rseau normalement n'apparat pas dans explorer.
Impossible de connecter le lecteur rseau (bouton droit sur poste de Travail, loption nest plus disponible).
Impossible de modifier les paramtres de la Barres des tches (bouton droit, Proprits sur la Barre de tches)
ainsi que sur le menu Dmarrer..
Option Excuter du bouton Dmarrer napparat plus.
Impossible de planifier une nouvelle tche l'aide de l'Assistant Tche planifies (bouton Dmarrer, Tous
les programmes, Accessoires, Outils systmes, puis Taches planifies, menu Fichier puis Nouvelle tche).
Pour ce dernier lment, le profil machine est prioritaire sur le profil utilisateur.
Dmarrer Internet Explorer, menu Outils, puis options internetvrifier que les onglet Gnral, Scurit et
Avanc sont toujours disponibles, pourquoi ?
_____________________________________________________________________________
_____________________________________________________________________________
____________________________________
a. Ouvrez une session en tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine de Bourges
c. Dans Utilisateurs et ordinateurs Active Directory, dvelopper bourges.eds, puis Proprits de GpoUserx,
dans l'onglet Stratgie de groupe, bouton Options, cocher loption Aucun remplacement : empche dautres
objets de stratgie de groupe de remplacer le jeu de stratgie dans celui-ci, puis OK et OK.
d. Proprits de Telemarketing, dans l'onglet Stratgie de groupe, cocher loption Bloquer lhritage de
stratgies, puis OK
e. Fermez toutes les fentres, puis en invite de commande saisir : gpupdate /force, puis valider par Oui pour
redmarrez votre ordinateur.
f. Ouvrez une session en tant que TUserx avec le mot de passe P@sswrd sur le domaine de Bourges.
g. Dmarrer Internet Explorer, menu Outils, puis options internetvrifier que les onglet Gnral, Scurit et
Avanc ne sont plus disponibles, pourquoi ?
_____________________________________________________________________________
_____________________________________________________________________________
___________________________
====================================================================
Gnrer un rapport de rsultats de stratgie de groupe
Ouvrez une session en tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine de Bourges
Dmarrer, Excuter, saisir : MMC
Menu Fichier, Ajouter/Supprimer, Ajouter, Jeu de stratgie rsultant, Ajouter, Fermer, OK
1. Dans Gestion des stratgies de groupe, cliquez avec le bouton droit sur Jeu de stratgie rsultant, puis
cliquez sur Gnrer les donnes RSoP, Assistant Rsultats de stratgie de groupe.
2. Dans la page Bienvenue de l'Assistant Rsultats de stratgie de groupe, cliquez sur Suivant. Choisir Mode
Journalisation, Suivant
3. Dans la page Slection des ordinateurs, slectionner cet ordinateur, cliquez sur Suivant.
4. Dans la page Slection de l'utilisateur, cliquez sur Utilisateur spcifique (Autre utilisateur), cliquez sur
Bourges\TUserx, puis cliquez sur Suivant.et Suivant
5. Dans la page Fin de l'Assistant Rsultats de stratgie de groupe, cliquez sur Terminer.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
225
6. Dans la MMC, cliquez sur les diffrents lments afin de vrifier les restrictions appliques lutilisateur TUserx
7. Saisir en ligne de commande : gpresult /user TUserx /scope USER, puis gpresult /s NOM_Ordi /u
bourges\administrateur /p P@sswrd1 /user TUserx /scope USER
10. linvite de commandes, tapez gpresult /z >c:\gp.txt, puis vrifier le contenu de ce fichier avec le bloc-notes
====================================================================
Afficher le rapport de stratgie de Telemarketing
Venez chercher sur le partage spcifi par votre formateur (\\servnet\temp) loutil gpmc.msi (console Gestion des
stratgies de groupe) et installer le. Dmarrer la console Gestion des stratgies de groupe via Dmarrer, Panneau
de configuration, Outils dadministration, excuter le programme Gestion des stratgies de groupe en tant
que (bouton droit sur lapplicatif) administrateur du domaine bourges, mot de passe P@sswrd1
" Dans larborescence de la console Gestion des stratgies de groupe, dveloppez Fort : bourges.eds, puis
Domaines, puis Bourges.eds, puis GpoUserx, puis Telemarketing.
1. Cliquez sur Telemarketing Policy X.
2. Dans le volet dinformations, cliquez sur Paramtres.
3. Si une boite de dialogue apparat, cliquez sur Ok pour fermer cette bote de dialogue.
4. Vrifiez les paramtres de stratgie de groupe de la stratgie de Telemarketing Policy X.
5. Cliquez avec le bouton droit nimporte o dans le rapport (zone vide), puis cliquez sur Enregistrer le rapport.
6. Dans la bote de dialogue Enregistrer le rapport sur les objets GPO,cliquez sur Enregistrer ( la racine de
votre disque C :, sur C:\), puis ouvrez ce fichier pour visualiser son contenu.
====================================================================
Vous avez la possibilit de simuler un dploiement de stratgie pour les utilisateurs
et les ordinateurs avant de rellement appliquer les stratgies.
Cette fonctionnalit de la console Gestion de stratgie de groupe est appele Jeu de
stratgies rsultant (RSoP, Resultant Set of Policies) . Mode de planification.
Elle requiert un contrleur de domaine excutant Windows Server 2003 dans la fort.
Pour vrifier les paramtres de stratgie de groupe laide de lAssistant
Modlisation de stratgie de groupe, vous devez dabord crer une requte de
modlisation de stratgie de groupe et afficher cette requte.
Gnrer un rapport de modlisation de stratgie de groupe
1. Dans larborescence de la console Gestion des stratgies de groupe, cliquez avec le bouton droit sur
Modlisation de stratgie de groupe, puis cliquez sur Assistant Modlisation de stratgie de groupe.
2. Dans la page Bienvenue de lAssistant Modlisation de stratgie de groupe, cliquez sur Suivant.
3. Dans la page Slection du contrleur de domaine (dans Afficher les contrleurs dans ce domaine vous devez
avoir : bourges.eds, loption Tout contrleur de domaine excutant Windows Serveur 2003 ou version
utrieure vous devez avoir comme Nom : servnet.bourges.eds), cliquez sur Suivant.
4. Dans la page Slection dordinateurs et dutilisateurs, cliquez sur Ordinateur, tapez
bourges\NomOrdinateur, puis cliquez sur Suivant.
5. Dans la page Options de simulation avances, cliquez sur Suivant.
6. Dans la page Autres chemins daccs Active Directory, dans la zone Emplacement de lordinateur, tapez
OU=GpoUserx,DC=bourges,DC=eds, puis cliquez sur Suivant.
7. Dans la page Groupe de scurit ordinateur, cliquez sur Suivant.
8. Dans la page Filtres WMI pour ordinateurs (par dfaut Tous les filtres lis est slectionn), cliquez sur Suivant.
9. Dans la page Aperu des slections, cliquez sur Suivant.
10. Cliquez sur Terminer.
====================================================================
Afficher le rapport de modlisation de stratgie de groupe
1. Dans longlet Rsum, parcourez le rapport.
2. Dans le volet dinformations NomOrdinateur, cliquez sur longlet Paramtres.
3. Lisez le rapport.
4. Cliquez sur longlet Requte.
5. Lisez le rapport.
====================================================================
Utilisez les Rsultats de stratgie de groupe pour dterminer les paramtres de
stratgie qui sont appliqus un ordinateur, ainsi que lutilisateur qui a ouvert une
session sur cet ordinateur. Bien que ces donnes soient similaires celles de la
modlisation de stratgie de groupe, elles sont obtenues partir de lordinateur client
au lieu dtre simules sur le contrleur de domaine. Pour obtenir des donnes
laide des Rsultats de stratgie de groupe, lordinateur client doit excuter Windows
XP ou Windows Server 2003.
Afficher un rapport de rsultats de stratgie de groupe
1. Dans larborescence de la console Gestion des stratgies de groupe, cliquez avec le bouton droit sur
Rsultats de stratgie de groupe, puis cliquez sur Assistant Rsultats de stratgie de groupe.
2. Dans la page Bienvenue de lAssistant Rsultats de stratgie de groupe, cliquez sur Suivant.
3. Dans la page Slection dordinateurs , cliquez sur Cet Ordinateur, puis cliquez sur Suivant.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
226
4. Dans la page Slection de lutilisateur , cliquez sur Utilisateur spcifique slectionner Bourges\TUserx puis
cliquez sur Suivant.
5. Dans la page Aperu des slections, cliquez sur Suivant.
6. Cliquez sur Terminer.
7 Dans l'onglet Rsum, parcourez le rapport.
8. Dans l'onglet vnements de stratgie, double-cliquez sur Source.
9. Faites dfiler l'cran jusqu' la source SceCli.
10. Double-cliquez sur le premier vnement avec la source SceCli.
11. Dans la bote de dialogue Proprits de l'vnement, notez la date et l'heure auxquelles le paramtre de
stratgie de scurit a t appliqu avec succs.
12. Cliquez sur la touche flche vers le bas pour voir l'vnement suivant, notez la date et l'heure auxquelles le
paramtre de stratgie de scurit a t appliqu avec succs, puis cliquez sur OK.
====================================================================
Avant de commencer cette application pratique :
Ouvrez une session sur le domaine en utilisant le compte : TUserx.
Ouvrez CustomMMC laide de la commande Runas /user:bourges\administrateur mmc.exe (mot de passe :
P@sswrd).
Utilisez le compte dutilisateur Bourges\Administrateur
Ouvrez une invite de commandes avec la commande Excuter en tant que.
Dans le menu Dmarrer, cliquez sur Tous les programmes, puis Accessoires et cliquez sur Invite de
commandes et tapez runas /user:bourges\administrateur cmd, puis cliquez sur OK.
Lorsque vous tes invit entrer le mot de passe, tapez P@ssw0rd1 et appuyez sur Entre.
Passez en revue les procdures de cette leon qui dcrivent la faon deffectuer cette tche.
Vrifier lappartenance au groupe local Utilisateurs avec pouvoir
1. Pour vrifier que Bourges\TUserx nest pas membre du groupe Utilisateurs avec pouvoir, tapez net localgroup
"Utilisateurs avec pouvoir" linvite de commandes.
2. Aucun membre ne doit figurer sous Membres.
3. Dans une installation par dfaut du systme dexploitation, le groupe Utilisateurs avec pouvoir ne doit pas
contenir de membres.
4. Laissez linvite de commandes ouverte.
Crer le modle de scurit NomOrdinateur
1. Dans CustomMMC, ajoutez le composant logiciel enfichable Modles de scurit.
2. Dans larborescence de la console Modles de scurit, cliquez avec le bouton droit sur
C:\WINDOWS\security\templates, puis cliquez sur Nouveau modle.
3. Dans la zone Nom du modle de la bote de dialogue
C:\WINDOWS\security\templates, entrez NomOrdinateur (nom de votre ordi), puis cliquez sur OK.
diter le modle de scurit personnalis NomOrdinateur (nom de votre ordi)
1. Dans larborescence de la console Modles de scurit, dveloppez NomOrdinateur, puis cliquez sur Groupes
restreints.
2. Cliquez avec le bouton droit sur Groupes restreints, puis cliquez sur Ajouter un groupe.
3. Dans la bote de dialogue Ajouter un groupe, vrifier que dans A partir de cet emplacement : il y ait le nom
de votre machine, entrez Utilisateurs avec pouvoir, puis cliquez sur OK.
4. Dans la bote de dialogue Utilisateurs avec pouvoir Proprits, dans Membres de ce groupe, cliquez sur
Ajouter des membres.
5. Dans la bote de dialogue Ajouter un membre, tapez Bourges\TUserx, puis cliquez sur OK.
6. Dans la bote de dialogue Utilisateurs avec pouvoir Proprits, cliquez sur OK.
7. Dans larborescence de la console, cliquez avec le bouton droit sur NomOrdinateur, puis cliquez sur Enregistrer.
Importer et appliquer le modle de scurit personnalis NomOrdinateur
1. Dans CustomMMC, ajoutez le composant logiciel enfichable Configuration et analyse de la scurit.
2. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Ouvrir une base de
donnes.
3. Dans la zone Nom de fichier, entrez NomOrdinateur et cliquez sur Ouvrir.
4. Dans la bote de dialogue Modle d.importation, cliquez sur NomOrdinateur.inf, puis cliquez sur Ouvrir.
5. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Configurer
lordinateur maintenant.
6. Dans le message, cliquez sur OK.
7. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Voir le fichier
journal.
8. Dans le volet dinformations de Configuration et analyse de la scurit, vrifiez que le groupe bourges\TUSerx
a t ajout au groupe Utilisateurs avec pouvoir en recherchant lentre suivante :
----Configuration de l'appartenance de groupe...
Configuration de Utilisateurs avec pouvoir.
ajout de BOURGES\tuserx.
Vrifier lappartenance au groupe local Utilisateurs avec pouvoir
1. Pour vrifier que Bourges\TUserx est membre du groupe Utilisateurs avec pouvoir, tapez net localgroup
"utilisateurs avec pouvoir" linvite de commandes.
2. Bourges\TUserx doit figurer sous Membres.
3. Laissez linvite de commandes ouverte.
Supprimer le modle de scurit personnalis import
1. Ouvrir une invite de commande en tant que administrateur du domaine bourges, mot de passe P@sswrd1
2. A linvite de commandes, tapez net localgroup "utilisateurs avec pouvoir" /delete "TUserx"
3. Laissez linvite de commandes ouverte.
S T R A T G I E S D E G R O U P E S
CENTRE DE FORMATION G E F I - CRETEIL
227
Vrifier lappartenance au groupe local Utilisateurs avec pouvoir
1. Pour vrifier que Bourges\TUserx nest pas membre du groupe Utilisateurs avec pouvoir, tapez net localgroup
"utilisateurs avec pouvoir" linvite de commandes.
2. Aucun membre ne doit figurer sous Membres.
3. Laissez linvite de commandes ouverte.
Importer un modle de scurit dans un objet de stratgie de groupe
1. Dans Gestion des stratgies de groupe, crez un objet de stratgie de groupe appel NomOrdinateur
Utilisateurs restreints (bouton droit sut sur GpoUserx, Crer et lier un objet de stratgie de groupe ici), puis
OK.
2. ditez (modifiez) lobjet de stratgie de groupe NomOrdinateur Utilisateurs restreints.
3. Importez la stratgie de scurit personnalise NomOrdinateur.inf.(Configuration ordinateur\Paramtres
Windows\Paramtres de scurit, puis menu Action et Importer une stratgie, puis Ouvrir). Vrifier le contenu
de Groupes restreints
====================================================================
Objectif
Dans cet exercice, ladministrateur du domaine Bourges va planifier une stratgie afin de
dployer le SP1 sur les stations clientes du domaine.
Ladministrateur du domaine Bourges ralise les tapes suivantes :
1. Copier le fichier WindowsServer2003-KB889101-SP1-x86-FRA.exe sur le bureau de votre machine, puis
renommer le SP1.exe.
2. A partir dune invite de commande se positionner sur :
C:\Documents and Settings\Administrateur\Bureau>, puis lancer la commande SP1 x, dans la boite de
dialogue suivante saisissez :
C:\SP1 (extraction des fichiers), cliquez sur Ok, partager le dossier SP1, Onglet Partage : tout le monde=Contrle
total, SYSTEM=Contrle total, ANONYMOUS LOGON=Contrle total, Onglet Scurit Ajouter tout le
monde=Contrle total, SYSTEM=Contrle total, ANONYMOUS LOGON=Contrle total, puis Appliquer et OK.
====================================================================
Partie raliser par le stagiaire
1. Via Utilisateurs et ordinateurs Active Directory (excuter en tant que Nom : administrateur, Mot de passe :
P@sswrd1, du domaine bourges.eds), crer une OU sous bourges.eds qui sappelle Machinex (x tant votre N
d@IP), puis dplacer votre ordinateur de GPUserx vers Machinex.
2. Cliquez sur bouton Dmarrer, Outils dadministration, Gestion des stratgies de groupe (excuter en tant
que Nom : administrateur, Mot de passe : P@sswrd1), supprimer les stratgies cs antrieurement, developper
Fort\ : bourges.eds\Domaines\bourges.eds\Machinex, bouton droit sur lOU Machinex, puis Crer et lier un
objet de stratgie de groupe ici, nommer l : Service Packx (ou x reprsente le N de votre adresse IP), puis
cliquez sur OK.
3. Bouton droit sur Service Packx, puis Modifier, Configuration de lordinateur\Paramtres du
logiciel\Installation de logiciel, bouton droit sur Installation de logiciel puis Nouveau, Package, allez
chercher le le fichier par Favoris rseau, puis Tout le rseau, puis Rseau Microsoft Windows, puis Bourges,
puis Servnet, puis SP1, puis I386, puis choisir update et enfin double-cliquez sur update.msi, vrifier que Attribu
est slectionn, puis OK.
4. Fermer la boite Editeur dobjets de stratgie de groupe, click droit sur Service Pack1, puis Appliqu, dans la
boite Voulez-vous modifier les paramtres pour ce lien lobjet Stratgie de groupes, cliquez sur OK.
5. Fermer la boite Gestion des stratgies de groupe.
7. Ouvrez une session partir de la machine cliente du domaine en tant quadministrateur du domaine bourges.eds,
puis ouvrir une invite de commande et saisir : gpupdate.exe /force, puis valider par OUI o la boite de dialogue,
fermer linvite de commande sur la station cliente du domaine (votre machine redmarre).
====================================================================
Se connecter la machine distante via le WEB (Bureau distant)
Sur le contrleur de domaine :
1. Installer IIS : Panneau de configuration, Ajout\Suppression de programmes, Ajouter ou supprimer des
composants Windows, Serveur dapplications, Dtails, Service IIS, Dtails, Service World Wide Web,
Dtails, cocher Connexion par le Web au Bureau distance, OK, OK, OK, Suivant, Terminer.
2. Dmarrer IIS et Autoriser les Extensions du services WEB.
3. Proprits du Poste de travail , onglet Utilisation distance, cocher Autoriser les utilisateurs se
connecter distance cet ordinateur, Choisir des utilisateurs distants, Ajouter, Bourges\Tuserx, OK, OK,
OK
4. Sur la station cliente du domaine :
Outils dadministration, Bureau distance, bouton droit sur Bureau distance et Ajouter une
nouvelle connexion
Nom ou adresse IP du serveur : @IP du contrleur de domaine Bourges
Nom de la connexion : Bureau distant Tuserx, OK, menu Fichier, Enregistrer
a. soit vous cliquez sur la connexion cre pour accder au bureau distant
b. soit vous lancez Internet exploreur, puis saisir comma adresse : http://192.168.X.Y/TSWEB.
Serveur : Bourges
Taille : Plein cran, puis connexion
Dans la boite de login saisir :
Utilisateur : administrateur
Mot de passe : P@sswrd1
Se connecter : Bourges
Dconnecter-vous.
Attention une seule connexion la fois est possible
L E S E R V I C E P L A N N I N G
CENTRE DE FORMATION G E F I - CRETEIL
228
LE SERVICE PLANNING
Il s'agit d'un utilitaire Windows (NT) permettant de planifier l'excution de
programmes des dates et heures prcises et une frquence spcifique, comme la
sauvegarde automatique de fichiers et de rpertoires, la mise jour et la suppression
de jeux de sauvegarde hors des heures de bureau, la cration hebdomadaire de
journaux systme, etc.' Le service Planificateur de tches effectue des travaux
d'administration sans intervention humaine.
Avec la commande At, vous avez la possibilit d'administrer ce service lorsqu'il est
actif.
Dans l'exemple suivant, elle affiche la liste des travaux en attente sur le systme
Attention : le service Planificateur de tches doit tre dmarr !!!!
( net start planificateur de tches )
Le service Planning comporte des fonctionnalits similaires aux commandes at et
cron d'UNIX.
C:\> at
Etat ID Jour Heure Ligne de commande
------------------------------------------------------------------------------------------------
0 Dimanche 2:00 AM C:\adminbin\findhogs.bat
1 Vendredi, l 2:15 AM C:\adminbin\cleanup.bat
4 Demain 7:00 PM E:\chem\carbon.bat
5 L, M, ME,J,V 1:00 AM C:\adminbin\stmevent.bat
6 Aujourd'hui 3:22 PM perl.exe \\pele\test.pl
La commande At affiche la liste des travaux en attente sur l'ordinateur local.
La commande At permet galement de planifier un travail ponctuel ou priodique.
Elle se prsente alors dans le format suivant
at [\\hte] [heure] [/Interactive] [/Next :Date] [programme]
Vous pouvez aussi raliser cette planification de tches via linterface graphique :
Tous les programmes, Accessoires, Outils systme, Tches planifies
hote dsigne l'ordinateur sur lequel la tche est planifie ; commande, la commande
excuter (suivie ou non d'arguments). Pour des raisons de scurit, vitez les
chemins d'accs relatifs.
Argument obligatoire, heure indique l'heure d'excution de la commande, au jour
prvu. Elle peut figurer dans le format de 12 heures (4:00 PM., 4pm ou 4:00pm) ou
de 24 heures (16:00). Notez que la commande At adjoint le suffixe AM ou PM lors
de l'affichage des tches planifies, mme si vous optez pour le format de 24 heures.
Pour indiquer l'heure d'excution, vitez les formes "4", "04" ou "16" (qui produisent
des messages d'erreur).
L E S E R V I C E P L A N N I N G
CENTRE DE FORMATION G E F I - CRETEIL
229
/interactive
Permet la commande d'interagir avec le Bureau de l'utilisateur qui conduit une session
au moment o la commande est en cours d'excution.
/every:
Excute la commande toutes les fois que le ou les jours spcifis de la semaine ou du
mois reviennent (par exemple tous les jeudis ou le troisime jour de chaque mois).
date
Indique la date laquelle vous souhaitez excuter la commande. Vous pouvez
spcifier un ou plusieurs jours de la semaine (en tapant M,T,W,Th,F,S,Su) ou bien
un ou plusieurs jours du mois (en tapant un nombre compris entre 1 et 31). Sparez
chaque entre de date par une virgule. En l'absence du paramtre date, at utilise le
jour en cours du mois.
/next:
Excute la commande la prochaine fois que le jour indiqu se prsente (le jeudi suivant,
par exemple).
at \\Nom_Machine 12 :39 /interactive /next : Taskmgr.exe
Les commandes programmes avec at s'excutent en arrire-plan. Les donnes de
sortie ne sont pas affiches sur l'cran de l'ordinateur. Pour les rediriger vers un
fichier, utilisez le symbole de redirection (>). Si vous redirigez les donnes de sortie
vers un fichier, vous devez faire prcder le symbole de redirection du symbole
d'chappement (^), que vous utilisiez at sur la ligne de commande ou dans un fichier
de commandes. Par exemple, pour rediriger les donnes de sortie vers Output.txt,
tapez :
at 14:45 c:\test.bat ^>c:\output.txt
Pour programmer l'excution d'une commande net share 08:00 sur le serveur
Server1 et rediriger la liste de sortie vers le serveur Maintenance, dans le rpertoire
partag Rapports et le fichier Soc.txt, tapez :
at \\Server1 20:00 cmd /c "net share rapports=d:\marketing\rapports >>
\\maintenance\rapports\soc.txt"
Pour sauvegarder le contenu du disque dur du serveur Marketing sur un lecteur de
bande tous les cinq jours minuit, crez un programme de commandes appel
Archives.cmd qui contient les commandes de sauvegarde, puis programmez
l'excution du programme de commandes en tapant :
at \\marketing 00:00 /every:5,10,15,20,25,30 archives
at [\\hte] ID /delete Suppression du travail spcifi.
at [\\hte] /delete [ /yes] suppression des tches en cours (avec configuration
pralable facultative).
Par exemple, la commande suivante supprime le travail numro 15 sur l'orchnateur
local, et tous les travaux sur l'ordinateur pele (sans demande de confirmation)
C: \> at 15 /delete & at \\Pele /delete /yes
at [\\hte] [heure] [/Interactive] [/Next :Date] cmd /c commande
Remarque : Vous pouvez aussi utiliser la commande SCHTASKS.EXE afin de
planifier des tches ainsi que lassistant Tche panifie
L E S E R V I C E P L A N N I N G
CENTRE DE FORMATION G E F I - CRETEIL
230
Planification de tches en ligne de commande
` TP raliser.
============================================================
a. Connectez-vous l'ordinateur en employant un compte qui est un membre du groupe d'Administrateurs.
Nom : Administrateur
Mot de passe : P@sswrd1 (de votre SAM locale)
b. Bouton Dmarrer, puis Excuter, puis tapez cmd.
c. Saisir la commande net start planificateur de tches , pour dmarrer ce service.
d. Tapez C:\>at pour vrifier que la liste des tches est actuellemnt vide.
e. Planifiez une tche qui lancera dans les 3 mn sur votre machine aujourdhui, le programme calc.exe
La commande sera :
f. Tapez C:\>at pour vrifier que la tche est bien planifie.(attendre que celle-ci sexcute)
g. Planifiez une tche qui lancera dans les 3 mn sur votre machine aujourdhui un message administratif votre
partenaire.
La commande sera :
======================================================================
Comment faire : Crer une tche planifie
Pour crer une tche planifie, procdez comme suit :
a. Cliquez sur Dmarrer, sur Excuter, tapez cmd, puis cliquez sur OK.
b. l'invite de commande, tapez net start, puis appuyez sur ENTRE pour afficher la liste des services en cours
d'excution. Si le Planificateur de tches ne figure pas dans la liste, tapez net start task scheduler et appuyez
sur ENTRE.
c. l'invite de commande, taper schtasks /create /tn "calculatrice" /tr calc.exe /sc daily /st 08:00:00 /ed
31/12/2006, puis lorsque demand, saisir le mot de passe : P@sswrd1.
Cet exemple planifie l'excution du programme Mon App une fois par jour, tous les jours, partir de 8 h 00
jusqu'au 31 dcembre 2006. Comme elle ne prcise pas le paramtre /mo, l'intervalle d'excution par dfaut (1) est
utilis pour excuter la commande chaque jour.
d. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
e. Pour modifier une tche existante, saisir : schtasks /change /tn "calculatrice" /st 09:00:00, puis lorsque
demand, saisir le mot de passe : P@sswrd1.
f. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
g. Pour dsactiver une tche existante, saisir : schtasks /change /tn calculatrice /disable, puis lorsque
demand, saisir le mot de passe : P@sswrd1.
h. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
i. Pour activer une tche existante, saisir : schtasks /change /tn calculatrice /enable, puis lorsque demand,
saisir le mot de passe : P@sswrd1.
j. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
k. Pour supprimer une tche, saisir : schtasks /delete /tn calculatrice /f (pour toutes les tches : /tn *)
l. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
m. Pour excuter une tche toutes les semaines (par dfaut le Lundi), 7 AM partir du 1
er
Mars 2006, et se
termine 6:59 AM le 30 Mars 2006, saisir : schtasks /create /tn calculatrice0 /tr calc.exe /sc weekly/st 07 :00
/sd 01/03/2006 /et 06:59 /ed 30/03/2006, puis lorsque demand, saisir le mot de passe : P@sswrd1.
n. Saisir ensuite schtasks /query (pour visualiser la tche planifie).
o. Pour visualiser la liste des tches situes sur autre machine, saisir : schtasks /query /s Nom_Machine_Voisin
/u Nom_Domaine\administrateur /p Passwrd1.
======================================================================
a. Pour excuter une tche toutes les 15mn sur lordinateur local, saisir : schtasks /create /tn calculatrice1 /tr
calc.exe /sc minute /mo 15.
b. Pour excuter une tche toute les 5 heures sur lordinateur local, saisir : schtasks /create /tn calculatrice2 /tr
calc.exe /sc hourly /mo 5.
c. Pour excuter une tche tous les 2 jours sur lordinateur local, saisir : schtasks /create /tn calculatrice3 /tr
calc.exe /sc daily /mo 2.
d. Pour excuter toutes les semaines, le Lundi et le Mardi, saisir : schtasks /create /tn calculatrice4 /tr calc.exe
/sc weekly /d mon,fri.
e. Pour excuter une tche le premier Lundi du mois dAvril, dAot et Dcembre, saisir : schtasks /create /tn
calculatrice5 /tr calc.exe /sc monthly /mo first /d mon /m apr,aug,dec.
f. Pour excuter une tche lors du prochain dmarrage du PC, saisir : schtasks /create /tn calculatrice6 /tr
calc.exe /sc onstart. On pourrait aussi utiliser /sc onlogon, pour que la tche sexcute lors du prochain login
utilisateur.
======================================================================
A R C H I T E C T U R E R S E A U D E W I N D O W S S E R V E R 2 0 0 3
CENTRE DE FORMATION G E F I - CRETEIL
231
ARCHITECTURE RSEAU DE WINDOWS SERVER
2003
Evolution du rseau sous Windows 2000/2003.
Conforme aux RFC 112, 1123, 2018 et 1323.
Routage : Windows offre ce systme des fonctionnalits quasi identiques celles
de vrais routeurs, pour des cots moindres que lachat dun routeur, ceci a t rendu
possible par le produit Routage et accs distant .
Filtrage des paquets : En entre et/ou en sortie dun routeur, ce filtrage peut tre
effectu sur diffrentes couches du modle OSI (Open System Interconection), au
niveau de la couche rseau en filtrant les adresses (IP et IPX) source et/ou
destination, ainsi que le protocole encapsul dans le paquet (par exemple TCP,
UDP), au niveau de la couche transport en filtrant les protocoles de niveau
application encapsuls dans le segment transport (par exemple FTP, Telnet,
WWW,).
Le routage statique : Avec la console Routage et accs distant , vous pourez
administrer les tables de routages de vos routeurs (graphiquement ou en ligne de
commande), des routes statiques pour de petits rseaux, alors que pour des rseaux
plus consquents ladministration utilisera de prference un protocole de routage
dynamique (Windows 2000/2003 supportent RIP version 1 et 2 ainsi quOSPF).
Interface de connexion la demande : Pour la connexion Internet ou des
rseaux distants par lintermdiaire dune liaison temporaire (liaison tlphonique
RTC, RNIS), il est aussi possible dy affecter des horaires de connexion ainsi que
des filtres de connexions.
Routeur IGMP version 2 : Permet dtre lcoute de tous les htes prsents sur un
rseau qui sont des utilisateurs de la multidiffusion.
Relais DHCP : La console Routage et accs distant , permet de configurer lagent
relais DHCP sur un serveur Windows 2000/2003, ce serveur jouera donc le rle de
routeur pour les diffusions DHCP, permettant ainsi des clients DHCP dun
segement rseau dobtenir des adresses IP provenant dun serveur DHCP situ sur un
autre segment.
Translation dadresse NAT (Network Address Translation) : Un routeur configur
avec NAT permet doffrir un rseau un accs Internet. Il est ainsi possible dutiliser
un plan dadressage IP priv pour son rseau dentreprise et dutiliser une adresse ou
un pool dadresses pour laccs Internet.
Les rseaux privs virtuels (VPN) : Permettent de faire circuler des informations au
travers dun rseau public de faon scurise, comme si elles circulaient sur un
rseau priv, Windows 2000/2003 implmntent les protocoles de tunnel PPTP
(Point To Point Tunneling Protocol) utiliss dans le monde Microsoft et L2TP (Layer
2 Tunneling Protocol) pris en charge par beaucoup de fabricants (cre par Microsoft,
Cisco Ascend, IBM et 3Com), L2TP est en fait un driv de la technologie L2F de
Cisco.
A R C H I T E C T U R E R S E A U D E W I N D O W S S E R V E R 2 0 0 3
CENTRE DE FORMATION G E F I - CRETEIL
232
IPSEC (IP Security) : Est un standard permettant deffectuer du cryptage des
donnes IP ainsi quun contrle dintgrit de ces donnes. Uniquement la source et
la destination sont capables de dchiffrer les donnes, surtout destin au trafic rseau
sur Internet (utilis dans les rseaux privs virtuels).
Qualit de service (QoS) : Permet une application donne de rserver une quantit
de bande passante ncessaire pour acheminer un flux de donnes (video-confrence
bidirectionnelle), il faut que chaque quipement travers par les paquets (routeurs,
switches) supporte un protocole de qualit de service, Windows 2000/2003
supportent RSVP (Ressource Reservation Protocol).
NDIS
NDIS (Network Driver Interface Specification ou NDIS) est une spcification
darchitecture des pilotes rseau qui permet aux protocoles de transport, tels que TCP/IP
ATM, IPX et NetBEUI, de communiquer avec un adaptateur rseau de base ou dautres
priphriques matriels
Ladaptateur rseau est indpendant des protocoles de transport.
NDIS permet dinstaller un nombre illimit dadaptateurs rseau sur un mme ordinateur,
et de lier un nombre illimit de protocoles un ou des adaptateurs rseau.
NDIS est oriente connexion
Eveil par appel rseau
Sens du support (capacit dun adaptateur rseau indiquer sil dispose ou non dune
connexion rseau)
Meilleure prise en charge de la qualit de service
Rseau Plug and Play (combinaison de prise en charge matrielle et logicielle, qui permet
un systme de reconnatre des changements dans la configuration matrielle, et de
sadapter sans presque aucune intervention de lutilisateur).
Dchargement des tches TCP/IP (permet que les tches normalement la charge de la
couche transport soient traites par ladaptateur rseau, ce qui rduit la charge du
processeur du systme et mme daugmenter le dbit du rseau.
A R C H I T E C T U R E R S E A U D E W I N D O W S S E R V E R 2 0 0 3
CENTRE DE FORMATION G E F I - CRETEIL
233
Calcul des sommes de contrle TCP/IP
Segmentation TCP/IP
Transmission rapide de paquets : router des paquets dun port un autre sans envoyer le
paquet au processeur hte, ce qui accrot le dbit du rseau et rduit le travail du
processeur
Traitement de la scurit IPSec : authentification, chiffrement
TDI
Linterface des pilotes de transport (Transport Driver Interface, ou TDI) est une interface
standard pour les pilotes (ex : service serveur et redirecteur) servant communiquer avec
les divers protocoles de transport rseau. Elle permet aux services de rester indpendants
des protocoles de transport.
Rappel :
Intranet :
Est un rseau priv utilisant les mmes technologies que celles utilises sur Internet
(protocole TCP/IP, utilisation de serveurs WEB, FTP). Le but dun Intranet est
doffrir des utilisateurs un accs universel des informations et ressources.
Accs distant :
Pour connecter des utilisateurs un rseau dentreprise afin de pouvoir consulter des
donnes distance (ou deux entreprises entre elles), Windows 2000/2003 offre deux
possibilites :
-accs distance (RNIS, RTC, )
-accs distant par VPN avec IPSec (tunnel PPTP ou L2TP,
Accs Internet : laccs Internet peut seffectuer en utilisant diffrents quipements :
-un routeur : vous devez possder un plan dadressage interne utilisant des
adresses publiques, et protger votre rseau laide dun quipement Firewall.
-un quipement de type NAT : un routeur sur lequel est implment et
configur le protocole NAT. Windows 2000/2003 peut jouer ce rle. Dans ce cas il
vous suffit de possder une adresse publique qui sera utilise pour la navigation sur
Internet par les clients de votre rseau privutilisant des adresses prives. Le routeur
se chargera de la translation dadresse.
A R C H I T E C T U R E R S E A U D E W I N D O W S S E R V E R 2 0 0 3
CENTRE DE FORMATION G E F I - CRETEIL
234
-un serveur Proxy : ce type de serveur fonctionne sensiblement comme les
quipements NAT et offre des fonctionnalits supplmentaires comme la mise en
cache des pages Internet consultes, dans un souci dacclration des nouvelles
consultations, une scurit plus granulaire Windows 2000/2003 ne comprend pas
de produit Proxy en standard, par contre Microsoft Proxy Server 2.0 fonctionne sur
Windows 2000/2003.
Extranet :
Est tout simplement lextension dun Internet dautres entreprises, dans le but de
partager de linformation avec ventuellement des autorisations restreintes. Il
pourrait tre intressant de proposer un accs un Intranet des clients, fournissuers
ou encore partenaires.
On pourrait configurer un Extranet en scurisant les liaisons entre entreprises par
lutilisation de VPN, dIPSec, Lauthentification par certificats
Activation du routage IP
Alors que sous NT4 le routage IP est activable depuis le panneau de configuration
rseau (case cocher), ce n'est pas prvu sous Windows 2000.
Il faut modifier la Base de Registres :
cl
HKEY_LOCAL_MACHINE_\SYSTEM\CurrentControlSet\Services\TcpIp\Pa
rameters
entre IPEnableRouter de type REG_DWORD
valeur :
0 = routage dsactiv
1 = routage activ
Pour une machine Windows XP Pro/2003 Server, il suffit dactiver et dmarrer le
service Routage et accs distant (Dmarrer, puis Excuter, puis cmd, puis
compmgmt.msc )
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
235
RSOLUTION DE NOMS
Microsoft Windows Server 2000/2003, XP, utilise la rsolution de noms pour traduire
les adresses IP numriques, qui sont ncessaires pour les communications TCP/IP
(Transmission Control Protocol/Internet Protocol), en noms d'ordinateurs plus faciles
mmoriser et utiliser que les adresses IP 32 bits. Grce la rsolution de noms, vous
pouvez affecter des noms d'ordinateurs aux adresses IP des htes source et de destination,
puis utiliser les noms d'ordinateurs pour contacter les htes.
Il existe deux types de noms rsoudre :
- Noms d'htes
- Noms NetBIOS (Network Basic Input/Output System)
La rsolution de noms est le processus par lequel un logiciel effectue
automatiquement une traduction entre des noms alphanumriques (comme Server1
ou Computer44) et des adresses IP numriques (comme 192.168.1.200 ou encore
10.0.0.1). Pour les utilisateurs, il est plus difficile de travailler avec les adresses IP
qu'avec les noms, mais elles sont ncessaires aux communications TCP/IP.
Un service de rsolution de noms est un service fourni par WINS (Windows Internet
Name Service ) et DNS (Domain Name System).
Le service de rsolution de noms permet de rsoudre des noms complets (ou
alphanumriques) en adresses. Les services de rsolution de noms permettent
galement des htes TCP/IP de faire appel des types de ressources ou de services
rseau spcifiques, comme un contrleur de domaine ou un serveur de messagerie
SMTP (Simple Mail Transfer Protocol), et de recevoir en retour le nom et l'adresse
IP des ordinateurs qui fournissent cette ressource ou ce service.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
236
Le processus de rsolution de noms est assez similaire l'utilisation d'un annuaire
tlphonique. Imaginons que vous vouliez tlphoner un ami. Vous recherchez son
nom dans l'annuaire pour trouver son numro de tlphone.
L'annuaire vous indique le numro de tlphone associ au nom de votre ami. Vous
pouvez alors utiliser ce numro pour tlphoner.
Les principales caractristiques de la rsolution de noms sont les suivantes :
- Les gens utilisent des noms alphanumriques car ils sont plus faciles
retenir.
- Les ordinateurs ont besoin d'adresses IP pour communiquer via
TCP/IP.
- Un nom d'hte peut mapper plus d'une adresse IP un nom
particulier.
Ainsi, trois serveurs diffrents peuvent hberger un rpliqua du mme site Web et
tre accessibles via le mme nom.
- La rsolution de noms est le processus qui consiste renvoyer une ou
plusieurs adresses IP pour un nom donn.
- Il existe deux types de noms dans les rseaux : noms d'htes et noms
NetBIOS.
- Il existe plusieurs mthodes pour rsoudre les noms d'htes et
plusieurs mthodes pour rsoudre les noms NetBIOS. Ces mthodes
ont volu au fil du temps pour rpondre aux diffrents besoins.
- Les applications et services qui servent saisir les noms dterminent
quel type de nom a t entr. La configuration du systme
d'exploitation dtermine comment le processus de rsolution de noms
va rsoudre le nom en question. Par exemple : l'utilisateur entre un
nom dans une application ou un service. L'application ou le service est
conu(e) pour interroger un nom d'hte ou un nom NetBIOS. Une fois
la demande prsente au systme d'exploitation, celui-ci lance le
processus qui va essayer de rsoudre le nom en fonction de sa
configuration.
***Les applications Windows 2003 actuelles utilisent le processus de rsolution de noms
d'hte, mais certaines applications anciennes, telles que celles conues pour Windows
NT, Microsoft Windows 95 et Microsoft Windows 98 utilisent toujours des noms
NetBIOS. Si le processus de rsolution de noms choue, l'application ne peut pas
communiquer avec la destination souhaite. Si vous utilisez une adresse IP, la rsolution
de noms n'est pas requise***.
Processus de rsolution de noms d'hte
Un nom est l'identificateur de votre ordinateur sur le rseau.
Un nom d'hte est le nom DNS d'un priphrique sur un rseau.
Un nom de domaine pleinement qualifi (FQDN) est un nom de domaine DNS qui a
t dclar de faon non ambigu pour indiquer avec certitude son emplacement dans
l'arborescence de l'espace de noms du domaine.
Les noms d'htes sont utiliss pour localiser des ordinateurs sur un rseau. Pour
qu'un ordinateur puisse contacter un autre ordinateur en utilisant un nom d'hte, le
nom d'hte doit figurer dans le fichier Hosts ou tre connu par un serveur DNS. Pour
la plupart des ordinateurs excutant Windows Server 2003 ou Windows XP, le nom
d'hte et le nom NetBIOS sont identiques.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
237
Les noms d'htes sont crs selon la convention d'appellation standard utilise sur
Internet. Les noms d'htes rendent la rsolution de noms possible sur Internet. Un
nom d'hte est une partie d'un nom de domaine pleinement qualifi (FQDN) qui
utilise une structure hirarchise. Les noms d'htes font gnralement partie de
l'espace de noms DNS qui vous permet d'accder aux ressources d'une structure
DNS.
Nom DNS : Un nom DNS est une srie de labels, chacun spar par un point (.) afin
de distinguer les diffrentes branches ainsi que le nom des nuds dans cette
hierarchie. Le nom DNS Server1.training.nwtraders.msft affich de cette manire
sappelle Fully Qualified Domain Name (FQDN).
Dans un nom de domaine pleinement qualifi (FQDN) comme
Server1.training.nwtraders.msft, le nom d'hte est Server1.
Training.nwtraders.msft est le suffixe. Une fois associs, le nom d'hte (Server1)
et le suffixe (training.nwtraders.msft) font rfrence une ressource unique et
spcifique sur un rseau TCP/IP. Le suffixe est essentiel au nom d'hte parce qu'il
permet deux noms d'htes identiques d'exister sur le rseau sans conflit.
Server1.training.nwtraders.msft peut exister sur le mme rseau que
Server1.nwtraders.msft. Le suffixe sert faire la diffrence entre les deux noms.
En vous reportant la diapositive, notez que chaque nom de domaine pleinement
qualifi se termine par un point (.). Le point final (.) reprsente l'emplacement racine
dans une arborescence ; il n'est ni obligatoire, ni souvent utilis en pratique.
Les noms d'htes sont utiliss virtuellement dans tous les environnements TCP/IP.
La liste ci-dessous fournit la description d'un nom d'hte.
- Un nom d'hte est un alias attribu un ordinateur par l'administrateur pour
identifier un hte TCP/IP.
- Dans Windows Server 2003 et Windows XP, le nom d'hte est par dfaut
identique au nom NetBIOS, mais il n'est pas ncessaire que le nom d'hte
corresponde au nom NetBIOS de l'ordinateur.
- Le nom d'hte peut tre toute chane comportant jusqu' 256 caractres.
- Un nom d'hte unique peut tre affect un hte. Les mthodes de rsolution
de noms, comme le fichier Hosts ou le systme DNS, peuvent voir plusieurs
noms d'htes mapps l'adresse IP du mme hte. Ainsi, l'hte
Server1.nwtraders.msft peut avoir des entres dans DNS pour
Server1.nwtraders.msft et pour www.nwtraders.msft. Les deux noms sont
rsolus en adresse IP de Server1.nwtraders.msft.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
238
- Il est possible qu'un nom d'hte soit rsolu en plusieurs adresses IP.
Par exemple, trois serveurs Web identiques sont tous identifis dans le systme DNS
avec le nom www.nwtraders.msft. Lorsqu'un client essaie de se connecter
www.nwtraders.msft via un navigateur Web, trois adresses IP sont renvoyes en
rponse la demande DNS.
- Un nom d'hte simplifie la manire de rfrencer d'autres htes TCP/IP. Les
noms d'htes sont plus faciles retenir que les adresses IP.
- Un nom d'hte peut tre utilis la place d'une adresse IP dans
diffrents utilitaires TCP/IP, notamment Ping.
- Pour qu'il ait une valeur en terme de rsolution de noms, un nom d'hte et
l'adresse IP correspondante doivent tre configurs dans une base de donnes,
un serveur DNS ou un fichier Hosts.
- L'utilitaire Hostname affiche le nom d'hte qui est affect votre systme.
Par dfaut, le nom d'hte est le mme que le nom d'ordinateur de votre ordinateur
Windows.
===================================================================
Pour consulter votre nom d'hte et le suffixe DNS en utilisant l'utilitaire Ipconfig :
Commencer par configurer votre machine pour tre client DHCP.
1. Dans le menu Dmarrer, pointez successivement sur Tous les programmes et sur Accessoires, puis cliquez avec
le bouton droit sur Invite de commandes.
2. l'invite, tapez ipconfig /all et appuyez sur ENTRE.
3. Consultez les valeurs des champs Nom de l'hte et Suffixe DNS principal.
Quel est le suffixe DNS principal ?__________________________
Pour consulter votre nom d'hte en utilisant l'utilitaire Hostname :
l'invite, tapez hostname et appuyez sur ENTRE.
Quel est le nom d'hte ? _______________________________
===================================================================
La procdure de rsolution de noms par dfaut est dcrite ci-dessous (Windows
XP/2000/2003).
La rsolution de noms d'htes est le processus qui consiste rsoudre un nom d'hte
en adresse IP.
Le processus de rsolution de noms d'htes fonctionne de la faon suivante :
1. Le processus commence lorsqu'une application ou un service en cours d'utilisation
passe le nom d'hte au service client DNS.
2. Le service client DNS recherche dans le cache de rsolution client le mappage du
nom d'hte une adresse IP. Toutes les entres du fichier Hosts sont pr charg dans
le cache de rsolution client.
3. Si le service client DNS ne repre pas de correspondance dans le cache de
rsolution client, il transmet une demande de nom d'hte un serveur DNS.
4. Si les mthodes de rsolution de noms d'htes configures chouent, les mthodes
de rsolution de noms NetBIOS configures sont utilises pour tenter de rsoudre le
nom. Cela ne se produit que si le nom d'hte comporte au maximum 15 caractres.
a) Serveur WINS, b) Diffusion, c) Fichier Lmhosts
5. Lorsque le nom d'hte est trouv, l'adresse IP correspondante est renvoye
l'application.
Les noms d'hte peuvent tre rsolus directement par le fichier Hosts ou par un serveur
DNS.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
239
Ces mthodes de rsolutions des noms d'htes, peuvent galement fonctionner pour
rsoudre des noms NetBIOS.
Le type de noeud spcifie les mthodes de rsolution, ainsi que l'ordre dans lequel
une machine les mettra en oeuvre.
Les noms d'hte peuvent prendre diverses formes. Les deux formes les plus
courantes sont l'alias et le nom de domaine. Un alias est un nom unique associ une
adresse IP, comme Servnet.
Un nom de domaine est structur pour une utilisation sur Internet et comprend des
points et des sparateurs. Servnet.Bourges.eds constitue un exemple de nom de
domaine.
Configuration des ordinateurs clients fonctionnant sous Windows XP :
1) Bouton droit sur Favoris rseau, puis cliquez sur Proprits.
2) Ouvrez la boite de dialogue Proprits correspondant la connexion, puis la boite de dialogue Proprits de
Protocoles Internet (TCP/IP).
3) Cliquez sur Utiliser ladresse de serveur DNS suivante.
4) Dans la zone Serveur DNS prfr, tapez ladresse IP du serveur principal. Si vous configurez un serveur DNS
secondaire, dans la zone Serveur DNS auxiliaire, tapez ladresse IP du serveur DNS auxiliaire.
Pour configurer le suffixe DNS principal :
1) Cliquez avec le bouton droit sur Poste de travail et choisissez Proprits pour ouvrir la bote de dialogue
Proprits systme.
2) Dans longlet Nom de lordinateur, cliquez sur Modifier.
3) Dans la bote de dialogue Modifications du nom dordinateur, cliquez sur Plus.
4) Dans la bote de dialogue Nom dordinateur DNS et suffixe NetBIOS, dans la zone Suffixe DNS principal de cet
ordinateur, tapez le nom de domaine de lordinateur.
Cache de rsolution client
Le cache de rsolution client est un emplacement mmoire qui stocke les noms
d'htes qui ont rcemment t rsolus en adresses IP. Il s'agit galement d'un
emplacement de stockage pour les mappages de nom d'hte adresse IP qui sont
chargs partir du fichier Hosts.
Les entres de cache ngatives sont des noms d'htes entrs dans le cache mais dont
la rsolution a chou.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
240
Pour afficher un cache de rsolution client au moyen de la commande ipconfig.
- l'invite de commandes, tapez ipconfig /displaydns (vrifie aussi le contenu
du fichier hosts).
La commande ipconfig /flushdns fournit un moyen de vider et rinitialiser le
contenu du cache de rsolution du client DNS. Au cours de la rsolution de
problmes DNS, vous pouvez, le cas chant, utiliser cette procdure pour supprimer
du cache les entres ngatives, de mme que toutes autres entres ajoutes de faon
dynamique.
Si la commande ipconfig est fournie pour les versions antrieures de Windows,
l'option /flushdns est disponible uniquement sur les ordinateurs excutant Windows
2000, Windows XP ou Windows Server 2003. Le service client DNS doit galement
tre dmarr.
Pour vider un cache de rsolution client l'aide de la commande ipconfig.
- l'invite de commandes, tapez ipconfig /flushdns
- l'invite de commandes, tapez ipconfig /registerdns pour vous r
enregistrer auprs du serveur DNS
Le Fichier Hosts
Le fichier Hosts est un fichier statique gr sur l'ordinateur local qui sert charger
les mappages de nom d'hte une adresse IP dans le cache de rsolution client.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
241
Le fichier HOSTS est construit comme le fichier LMHOSTS, sauf que les FQDN ou
noms de domaines pleinement ou hautement qualifis (Fully Qualified Names)
correspondent des adresses IP ou lieu de noms NetBios.
Il est avant tout associ la rsolution des noms d'htes. Windows l'utilise cependant
si toutes les autres mthodes de rsolution ont chou.
Vous pouvez utiliser le fichier Hosts pour pr charger des mappages permanents de
noms d'htes des adresses IP dans le cache de rsolution client. Cela permet de
rduire le temps de rponse aux demandes et de rduire le trafic rseau.
Les caractristiques d'un fichier Hosts sont les suivantes :
- Une entre unique du fichier Hosts consiste en une adresse IP correspondant
un ou plusieurs noms d'htes. Le nom d'hte figurant dans le fichier Hosts
peut tre un nom de partie unique comme Server1 ou un nom de domaine
pleinement qualifi (FQDN) comme server1.nwtraders.msft.
- Un fichier Hosts doit tre prsent sur chaque ordinateur. Le cache de
rsolution client recherche localement le fichier Hosts.
- Le fichier Hosts se trouve dans le dossier
%systemroot%\System32\Drivers\Etc\ et se nomme Hosts.
- Lorsque vous crez un mappage d'un nom d'hte une adresse IP dans le
fichier Hosts, puis enregistrez ce fichier, le mappage est charg dans le cache
de rsolution client.
- L'entre de mappage de nom d'hte issue du fichier Hosts ne contient pas de
dure de vie. Le mappage de nom d'hte reste dans le cache de rsolution
client jusqu' ce qu'il soit supprim du fichier Hosts.
- Le fichier Hosts est compatible avec le fichier Hosts UNIX.
Il est semblable au fichier LMHOSTS mais est plus simple :
Il ne comporte pas de balises
Il est possible d'associer plus d'un nom d'hte en les saisissant tous sur la mme
ligne en les sparant par un espace.
Exemple :
192.168.100.1 www.fireball.com #serveur
192.168.100.2 maverick missile
127.0.0.1 localhost
Les commentaires sont toujours en fin et marqus par #.
Bien que le but principal du fichier HOSTS soit de faire correspondre les FQDN aux
adresses IP, il peut galement rsoudre les noms NetBios si les mthodes NetBios
traditionnelles ont chou. Dans ce cas, les 15 premiers caractres situs gauche du
premier point sont retirs du FQDN et sont considrs comme un nom NetBios.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
242
Que sont les noms NetBIOS ?
Un nom NetBIOS est un identificateur utilis par les services NetBIOS excuts sur
un ordinateur. Il est compos d'un nom de 15 caractres plus un 16me (octet)
indiquant le service.
Les noms NetBIOS servent identifier les ressources dans un rseau NetBIOS.
Les noms NetBIOS ne permettent pas d'effectuer une rsolution de noms sur Internet
car il s'agit de noms en une seule partie qui ne disposent pas de structure
hirarchique.
Les noms NetBIOS sont plats, ce qui signifie qu'il n'y a pas de suffixe attach aux
noms NetBIOS et qu'il n'existe aucun moyen de faire la diffrence entre deux
ordinateurs portant le mme nom NetBIOS. Autrement dit, chaque nom NetBIOS sur
un rseau donn doit tre unique. Par exemple, Server2 est le nom NetBIOS d'une
ressource dans un rseau NetBIOS. Si un autre ordinateur du mme rseau possde le
nom Server2, une erreur se produit.
Les caractristiques des noms NetBIOS sont les suivantes :
- Les noms NetBIOS sont utiliss pour prendre en charge les services qui
exigent NetBIOS. Windows Server 2003, Windows 2000 et Microsoft
Windows XP utilisent des noms DNS pour la plupart de leurs fonctions.
Nanmoins, une mthode de rsolution de noms NetBIOS doit exister sur tout rseau
comportant des ordinateurs qui excutent des versions antrieures de Windows ou
pour des applications qui dpendent toujours des noms NetBIOS.
- Un nom NetBIOS est un alias qu'attribue un administrateur un ordinateur
pour identifier un service NetBIOS excut sur un hte TCP/IP.
- Le nom NetBIOS ne doit pas ncessairement correspondre au nom d'hte.
- Les noms NetBIOS ont une longueur maximale de 15 caractres, comparer
aux 255 caractres maximum des noms d'htes DNS. Le nom d'hte et le nom
NetBIOS d'un ordinateur excutant Windows Server 2003 sont gnrs
ensemble. Si le nom d'hte comporte plus de 15 caractres, le nom NetBIOS
sera compos des 15 premiers caractres.
- Les noms NetBIOS doivent tre uniques sur leur rseau.
- Lorsque vous dmarrez votre ordinateur, divers services (comme le service
serveur ou le service station de travail) inscrivent un nom NetBIOS unique
qui est bas sur le nom de l'ordinateur. Le nom inscrit est le nom NetBIOS de
15 caractres auquel est ajout un seizime caractre (octet) qui identifie de
faon unique le service serveur. (Chaque caractre est rendu sur un octet en
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
243
texte ASCII, mais le seizime caractre est normalement rendu en notation
hexadcimale plutt qu'en texte ASCII, ce qui lui vaut souvent d'tre appel
seizime octet et non seizime caractre).
- Les noms NetBIOS sont galement inscrits pour les groupes d'ordinateurs qui
fournissent des services rseau. Ainsi, si london.nwtraders.msft est un
contrleur de domaine, il va inscrire le nom NetBIOS, London, et va en
mme temps inscrire des noms qui identifient ses rles en tant que contrleur
de domaine dans le domaine nwtraders. Cela permet aux clients de rechercher
tous les htes NetBIOS qui proposent des services de contrleurs de domaine
dans le domaine nwtraders sans connatre les vritables noms des contrleurs
de domaine en question.
- Un nom NetBIOS simplifie la manire de rfrencer d'autres htes TCP/IP.
Les noms NetBIOS sont plus faciles retenir que les adresses IP.
- Un nom NetBIOS peut tre rsolu si le nom et l'adresse IP sont stocks dans
une base de donnes sur un serveur WINS ou dans un fichier LmHosts. Une
diffusion peut galement rsoudre un nom NetBIOS.
- L'utilitaire Nbtstat affiche les noms NetBIOS que les services NetBIOS
utilisent sur votre ordinateur.
Le nom NetBIOS est cr lors de l'installation du systme d'exploitation.
Lorsque le nom de l'ordinateur est cr, le programme d'installation cre
automatiquement un nom d'hte et un nom NetBIOS qui sont bass sur le nom
d'ordinateur entr.
Par exemple, Server2 est le nom NetBIOS de l'ordinateur dans la figure.
L'ordinateur excute plusieurs services NetBIOS : station de travail, serveur et
affichage des messages. Chacun de ces services est associ au mme nom NetBIOS
(Server2).
Comment afficher les noms sur un client
Pour consulter les noms NetBIOS en utilisant la commande Nbtstat :
Cette commande de diagnostic affiche les statistiques de protocole et les connexions
TCP/IP en cours utilisant NBT (NetBIOS sur TCP/IP). Cette commande est disponible
uniquement si le protocole TCP/IP est install.
nbtstat [-a nom_distant] [-A adresse IP] [-c] [-n] [-R] [-r] [-S] [-s]
[intervalle]
-a nom_distant
Affiche la table des noms de l'ordinateur distant en utilisant le nom.
-A adresse IP
Affiche la table des noms de l'ordinateur distant en utilisant son adresse IP.
-c
Affiche le contenu du cache de noms NetBIOS en donnant l'adresse IP de chaque
nom.
-n
Affiche les noms NetBIOS locaux. La mention Registered indique que le nom est
enregistr par diffusion (Bnode) ou par WINS (autres types de noeuds).
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
244
-R
Recharge les lignes du fichier Lmhosts avec les entres #PRE aprs avoir purg tous
les noms du cache de noms NetBIOS.
-r
Affiche les statistiques de rsolution de noms pour la rsolution de noms en rseau
Windows. Sur un systme Windows 2003 configur pour utiliser WINS, cette option
renvoie le nombre de noms rsolus et enregistrs par diffusion ou par WINS.
-S
Affiche les sessions client et serveur, en rpertoriant les ordinateurs distants par
adresse IP uniquement.
-s
Affiche les sessions client et serveur. Ce commutateur tente de convertir l'adresse IP
de l'ordinateur distant en un nom l'aide du fichier Hosts.
intervalle
Affiche les statistiques slectionnes de manire rpte avec un intervalle (en
secondes) entre chaque occurrence. Appuyez sur CTRL+C pour interrompre
l'affichage des statistiques. Si ce paramtre est omis, nbstat n'imprime qu'une seule
fois les informations de la configuration.
-RR
(ReleaseRefresh) Envoie des paquets de libration de nom WINS puis actualise
Ex : NBTSTAT -A 192.168.12.24
Nom Type Etat
ZORRO <00> UNIQUE Inscrit
GEFI <00> Groupe Inscrit
ZORRO <20> UNIQUE Inscrit
ZORRO <03> UNIQUE Inscrit
GEFI <1E> Groupe Inscrit
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
245
On remarque en face des noms des caractres : <00>, <20>.
On remarque que ZORRO et GEFI ont tous les deux <00>, il sagit des noms attachs au
service station de Travail, cest lidentification de lordinateur sur le rseau.
On remarque aussi que GEFI, par exemple, la fois les caractres <00> et <1E>. En
fait, <1E> est lidentifiant dun groupe dordinateurs. Pour le redire autrement, <00>
dfinit quil sagit du nom NetBIOS (nom de la machine ou du groupe
dordinateurs), et tous les autres dfinissent la ou les fonction(s) exacte(s) de ce nom
NetBIOS (groupe dordinateurs, serveur dimpression, service messagerie).
On sait donc maintenant que lordinateur ZORRO a annonc aux autres machines
quil sappelle ZORRO, et quil est dans le groupe dordinateurs GEFI. On sait aussi
quil excute le service serveur <20> et quil excute le service de messagerie (qui
permet denvoyer des messages pop-up) <03>.
Le tableau suivant donne la signification de chaque nom, en fonction de son numro
(valeur hexadcimale du 16me octet) et de son type.
Noms de type "Unique"
Numro (h) Description
---------------------------------------------------------------------
<nom ordinateur> 00 Service station de travail
<nom ordinateur> 03 Service Messagerie (net send)
<nom ordinateur> 06 Service Serveur RAS
<nom ordinateur> 1F Service NetDDE
<nom ordinateur> 20 Service Serveur de fichiers ou client WINS
<nom ordinateur> 21 Service client RAS
<nom ordinateur> BE Agent du Moniteur rseau (SMS)
<nom ordinateur> BF Application Moniteur rseau, serveur SMS
<nom ordinateur> 03 Service Messagerie
<nom du domaine> 1D Matre explorateur du rseau ou serveur WINS
<nom du domaine> 1B Matre Explorateur du Domaine
<utilisateur> 03 Utilisateur connect localement
Noms de type "Group"
Numro (h) Description
---------------------------------------------------------------------
<nom du domaine> 00 Nom du groupe dordinateurs ou domaine auquel la machine
appartient
<nom du domaine> 1C Un des contrleurs du domaine
<nom du domaine> 1E Service d'lections d'explorateur, ligible au rang de matre
explorateur
Matre explorateur _01 (<_MSBROWSE_>), il est le matre explorateur sur le rseau
Les 3 fonctions principales de la gestion des noms NetBIOS sont : Inscription,
requte, libration des noms.
Pour consulter le nom NetBIOS de votre ordinateur en utilisant les proprits
systme :
1. Dans la bote de dialogue Proprits systme, sous l'onglet Nom de l'ordinateur, cliquez sur Modifier.
2. Dans la bote de dialogue Modification du nom d'ordinateur, cliquez sur Autres.
3. Consultez le nom NetBIOS dans le champ Nom NetBIOS de l'ordinateur.
Pour renommer un ordinateur :
1. Dans la bote de dialogue Proprits systme, sous l'onglet Nom de l'ordinateur, cliquez sur Modifier.
2. Sous l'onglet Nom de l'ordinateur, cliquez sur Modifier.
3. Sous Nom de l'ordinateur, entrez un nouveau nom pour l'ordinateur, puis cliquez sur OK.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
246
Processus de rsolution de noms NetBIOS
La rsolution de noms NetBIOS est le processus qui consiste mapper un nom
NetBIOS une adresse IP. Exemple utiliser la commande : net use x :
\\france\public
Il est possible de configurer le processus de rsolution de noms NetBIOS. Par dfaut,
le client est configur pour interroger un serveur WINS et pour utiliser la recherche
Lmhosts dans l'ordre suivant :
1. L'ordinateur A entre une commande, comme net use, en utilisant le nom NetBIOS
de l'ordinateur B.
2. L'ordinateur A vrifie si le nom indiqu figure dans son cache de nom NetBIOS.
3. Si tel n'est pas le cas, l'ordinateur A interroge un serveur WINS Principal.
4. Si le serveur WINS Principal ne peut pas localiser le nom, le client envoie une
requte encore deux fois, si le client ne reoit pas de rponse de son serveur WINS
Principal, le client renvoie la requte tous les autres serveurs WINS configurs
pour ce client, sinon l'ordinateur A met une diffusion gnrale sur le rseau.
5. Si cette diffusion ne permet pas de rsoudre le nom, l'ordinateur A consulte son
fichier Lmhosts.
6. Si les mthodes NetBIOS ci-dessus ne rsolvent pas le nom, l'ordinateur A
consulte le fichier Hosts.
7. Pour finir, l'ordinateur A interroge un serveur DNS.
Configuration des ordinateurs clients fonctionnant sous Windows XP :
1) Bouton droit sur Favoris rseau, puis cliquez sur Proprits.
2) Ouvrez la boite de dialogue Proprits correspondant la connexion, puis la boite de dialogue Proprits de
Protocoles Internet (TCP/IP).
3) Cliquez sur Avanc, puis sur longlet WINS.
4) Dans le volet WINS, utilisez le bouton Ajouter pour ajouter de nouvelles adresses de serveurs WINS. Vous devez
aussi activer les options Par dfaut ou Activer NetBIOS avec TCP/IP.
Cache de noms NetBIOS
Un cache de noms NetBIOS est un emplacement mmoire qui stocke les noms
NetBIOS rcemment rsolus en adresses IP, que ce soit via un serveur WINS, une
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
247
diffusion ou le fichier Lmhosts. Il s'agit galement d'un emplacement qui stocke les
mappages de nom d'hte adresse IP pr chargs partir du fichier Lmhosts.
Le cache de noms NetBIOS est le premier endroit o le redirecteur NetBIOS va
chercher une adresse IP mapper un nom NetBIOS. Le cache de noms NetBIOS
rsout les adresses IP plus rapidement qu'un serveur WINS, une diffusion ou le
fichier Lmhosts et il ne cre pas de trafic rseau.
De plus, il est possible de pr charger dans le cache de noms NetBIOS les mappages
de nom NetBIOS adresse IP souvent utiliss l'aide du fichier Lmhosts.
Quand un utilisateur lance une requte de nom NetBIOS l'aide d'une application ou
d'un service comme net use, le processus de rsolution de noms NetBIOS
commence. Le mappage nom NetBIOS/adresse IP de l'hte de destination est
recherch dans le cache de noms NetBIOS. Le cache de noms NetBIOS contient les
noms NetBIOS rcemment rsolus. Si le nom NetBIOS est introuvable dans le cache,
le client qui excute Windows essaie de dterminer l'adresse IP de l'hte de
destination par d'autres mthodes.
Remarque : Pour une commande comme net use et d'autres commandes qui
appellent le protocole SMB (Server Message Block), Windows 2000 et les versions
ultrieures peuvent utiliser l'hbergement direct avec SMB ou plus
traditionnellement NetBIOS avec TCP/IP. Si l'hbergement direct et NetBIOS sur
TCP/IP sont activs, les deux mthodes sont tentes en mme temps et la premire
qui rpond est utilise. NetBIOS avec TCP/IP essaie d'utiliser la rsolution de noms
NetBIOS. La mthode d'hbergement direct utilise la rsolution de noms d'htes.
Une fois qu'un nom NetBIOS a t rsolu en adresse IP, un nouveau mappage est
entr dans le cache de noms NetBIOS avec un intervalle d'actualisation (une dure de
vie) de 10 minutes. Si le nom stock dans le cache NetBIOS fait l'objet d'un accs au
cours de cet intervalle, ce dernier est redfini 10 minutes. Si l'intervalle s'coule
sans le que nom ait fait l'objet d'un accs, le mappage est supprim du cache de noms
NetBIOS. Lorsque vous affichez le cache de noms NetBIOS, la dure de vie est
exprime en secondes.
Les noms NetBIOS peuvent tre de deux types : uniques ou collectifs. Un nom
NetBIOS unique fait rfrence un service NetBIOS hberg sur un ordinateur
individuel. Un nom NetBIOS collectif fait rfrence un service NetBIOS hberg
sur un groupe d'ordinateurs.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
248
Pour afficher le contenu du cache de noms NetBIOS de l'ordinateur local :
l'invite de commandes, tapez nbtstat -c
Pour librer le cache de noms NetBIOS et recharger les entres balise #PRE dans le
fichier local Lmhosts :
l'invite de commandes, tapez nbtstat -R
Pour afficher et consulter la table de noms NetBIOS de l'ordinateur local :
l'invite de commandes, tapez nbtstat -n
Le cache de nom distant NetBios (NetBios Remote Name Cache) contient les
correspondances du nom et des adresses IP des machines rcemment consultes. Ce
cache est recherch en premier lieu avant toute autre mthode de rsolution NetBios.
Une entre rside dans le cache pendant 600 000 millisecondes (10 mn). On peut
diter cette valeur dans la base de registre :
HKLM\System\CurrentControlSet\Services\NetBT\Parameters\CacheTimeout
La valeur par dfaut est 927c0 (hex) or 600,000, qui correspond 10 minutes.
Les noms peuvent tre chargs de faon permanente dans le cache via le tag #PRE
dfinit dans le fichier LMHOSTS lors du boot du PC soit par la commande nbtstat -
R.
Il existe cependant une subtilit : les entres ne restent dans le cache 10 minutes que
si elles ont t accdes durant les 2 premires minutes aprs leur entre.
Un couple dentre dans le registre affecte la manire de fonctionnement du cache
NetBIOS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Par
ameters
Size: Small/Medium/Large.
Small (1maintient seulement 16 noms dans le cache NetBIOS), Medium (2
maintient 64 noms), et Large (3pour 128 noms). La valeur par dfaut est 1, ce qui
est normalement suffisant.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
249
Le fichier LMHOSTS
Le fichier LMHOSTS tablit la correspondance entre les noms NetBios et les
adresses IP.
Le fichier se trouve dans %systemroot%\system32\drivers\etc
Un fichier LMHOSTS exemple (LMHOSTS.SAM) est disponible dans ce rpertoire.
Il faut le renommer de LMHOSTS.SAM (SAM comme SAMPLE, LM comme Lan
Manager) en LMHOSTS.
Il comporte des balises :
#PRE : les entres sont pr charges et leur dure de vie est mise -1 (statique)
#DOM:[nom_domaine] : indique que l'ordinateur est DC ainsi que le domaine qu'il
contrle.
#INCLUDE: Indique l'emplacement d'un fichier LMHOSTS central. (Chemin UNC)
#BEGIN_ALTERNATE : s'utilise conjointement avec la balise #INCLUDE. Elle
marque le dbut d'une liste d'autres emplacements du fichier LMHOSTS central, au
cas o la premire entre ne serait pas disponible.
#END_ALTERNATE : Termine la liste.
#MH : Multihomed : des ordinateurs multi rsidents peuvent apparatre plus d'une
fois dans la liste : cette balise indique la machine que, dans ce cas, elle ne doit pas
ignorer les autres entres de la liste.
\0xnn : Identifient des machines avec un service ou une application spcifique.
Employer le nombre hexadcimal du service ou de l'application comme seizime
caractre dans le nom NetBIOS et ajouter le nom entier entre guillemets.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
250
Nombre hexadcimal des services rseau (fichier LMHOST)
Exemple : fichier LMHOSTS
----------------------------------------------------------------------
10.1.13.1 godot
10.1.13.2 leda
10.1.13.3 demeter
10.1.13.4 vala #PRE #DOM:BOREALIS
10.1.13.5 janis #PRE
192.168.34.77 dalton #PRE
192.168.0.4 SYNGRESS \0x1b #PRE #DOM:SYNGRESS #SYNGRESS.COM PDC
Emulator
#INCLUDE \\vala\config\lmhosts
#BEGIN_ALTERNATE
#INCLUDE \\dalton\adminbin\lmhosts
#INCLUDE \\priestley\adminbin\lmhosts
#END_ALTERNATE
----------------------------------------------------------------------
Remarques :
Mettre les entres les plus utilises en tte et faire en sorte que le fichier ne soit pas
trop volumineux car son parcours est linaire.
Mettre les entres en #PRE en fin de fichier car elles sont dj prcharges dans le
cache des noms NetBIOS.
Nbtstat -R : recharge le cache NetBios partir du fichier LMHOSTS.
Le fichier LMHOSTS ne prsente toutefois quun intrt historique : en effet, comme
il sagit dun fichier statique, il ne fonctionne pas dune manire satisfaisante dans
les rseaux qui utilisent les adresses IP distribues dynamiquement (DHCP) ou dans
les grands rseaux dentreprise.
Par dfaut, des Windows 2000 ou Server 2003 limite le cache de nom NetBIOS pr
charge (balise #PRE) 100 entres
Vous pouvez augmenter cette valeur par le registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Para
meters
Et modifier la valeur de MaxPreloadEntries.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
251
La commande nbtstat R, vide le cache NetBIOS et recharge uniquement les
balises #PRE du fichier LMHOSTS dans le cache NetBIOS.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
252
TYPES DE NUDS NetBIOS
Le type de nud dfinit dans quel ordre sera employ les diffrentes mthodes utilises
par Windows afin de rsoudre un nom NetBIOS en @ IP : Cache NetBIOS, Srv WINS,
Broadcast, Fichier Lmhost, Fichier Hosts, Srv DNS.
Cette information est visible par la commande : IPCONFIG /ALL
Diffusion gnrale (b-node, broadcast)
Point point (p-node, peer to peer)
Mixte (m-node, utilise b-node puis p-node)
Hybride (h-node, utilise p-node puis b-node)
Une machine en B-node
La mthode la plus simple consiste demander tout le monde si le nom est le sien.
Elle doit tre faite au travers d'une diffusion laquelle tous les htes du rseau rpondent.
Les requtes de nom NetBios en diffusion peuvent occuper une quantit importante de la
bande passante sur le rseau, en utilisant du temps processeur sur chaque machine.
Windows fait 3 tentatives pour rsoudre le nom en utilisant une diffusion, avec une attente
de 7.5 secondes chaque fois. Pour laisser transiter les diffusions B-nud les routeurs
doivent activer les ports UDP 137 et 138.
Ordre de rsolution :
1.Vrification de son cache NetBios (voir commande nbtstat c )
2.Diffusion d'une requte de nom NetBios (broadcast) => ne passe pas les routeurs
======================================================================
Les tapes suivantes sont optionnelles et dpendent de paramtres activs..
3. Vrification du fichier LMHOSTS (uniquement pour le m-node MS ou B-node Avanc)
4. Vrification du fichier HOSTS ou Cache DNS prcharg partir du fichier HOSTS (si
configur : voir commande IPCONFIG /DISPLAYDNS)
5. Vrification sur un serveur DNS (si configur)
C'est le type de noeud par dfaut pour les clients Windows 2000/XP/Server 2003 qui ne sont
pas configur comme des clients WINS.
ORDI1 n'utilise que les diffusions
ORDI1 russit contacter ORDI3, mais ne peut contacter ORDI2.
Avantages
Aucun serveur WINS n'est ncessaire
Aucun paramtrage des machines, il s'agit de la configuration par dfaut
Inconvnients
Les diffusions encombrent le rseau
Les routeurs bloquent les diffusions : impossible de contacter les machines d'autres
rseaux
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
253
La prsence de routeurs peut empcher : l'authentification, l'accs aux ressources...
DHCP possible sur le domaine de diffusion uniquement
Une machine en P-node
Demande le nom NetBios la machine centrale (Serveur de Noms NetBios = Serveur
WINS). 3 tentatives espaces de 15 secondes.
Ordre de rsolution :
1. Vrification de son cache NetBios (voir commande nbtstat c )
2.Demande un serveur de noms NetBIOS (NBNS) en unicast Primaire puis
Secondaire si configur
======================================================================
Les tapes suivantes sont optionnelles et dpendent de paramtres activs..
3. Vrification du fichier LMHOSTS (uniquement pour le m-node MS ou B-node Avanc)
4. Vrification du fichier HOSTS ou Cache DNS prcharg partir du fichier HOSTS (si
configur : voir commande IPCONFIG /DISPLAYDNS)
5. Vrification sur un serveur DNS
======================================================================
ORDI1 n'utilise pas les diffusions et ne contacte que WINS.
ORDI1 ne russit contacter que les clients WINS.
Si ORDI3 n'est pas client WINS, ORDI1 ne le contacte pas.
Avantages
Aucune diffusion n'encombre le rseau
Le rseau peut tre segment l'aide de routeurs
DHCP possible pour les clients WINS et les machines locales
Si toutes les machines sont clientes WINS, l'authentification et l'accs aux ressources
fonctionne
Inconvnients
Un ou plusieurs serveurs WINS ncessaires (et duplication ventuelle des bases).
Les machines n'utilisent plus les diffusions : elles ne voient QUE les clients WINS
Une machine situe dans le domaine de diffusion ne peut pas tre localise si elle
n'est pas cliente WINS
Une machine en M-node
Une machine en m-node essaie toutes les mthodes de rsolution. Ce type de rsolution
est, avec h-node, une concatnation de p-node et de b-node.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
254
La seule diffrence est l'ordre:
1. Vrification de son cache NetBios (voir commande nbtstat c )
2. Diffusion d'une requte de nom NetBios
3.Demande un serveur de noms NetBIOS (NBNS) Primaire puis Secondaire si
configur
======================================================================
Les tapes suivantes sont optionnelles et dpendent de paramtres activs..
4. Vrification du fichier LMHOSTS (uniquement pour le m-node MS)
5. Vrification du fichier HOSTS ou Cache DNS prcharg partir du fichier HOSTS (si
configur : voir commande IPCONFIG /DISPLAYDNS)
6. Vrification sur un serveur DNS
======================================================================
ORDI1 met d'abord une diffusion
ORDI1 contacte ensuite son serveur WINS si la diffusion ne donne rien
ORDI1 peut toujours contacter ORDI3.
ORDI1 ne peut contacter ORDI2 que si ce dernier est client WINS
Avantages
Le rseau peut tre segment l'aide de routeurs
Si toutes les machines sont clientes WINS, l'authentification et l'accs aux ressources
fonctionne
DHCP possible pour les clients WINS et les machines locales
Inconvnients
Les diffusions encombrent toujours le rseau
Un ou plusieurs serveurs WINS ncessaires (et duplication ventuelle des bases)
Les machines non-clientes WINS ne sont localises QUE si elles sont dans le
domaine de diffusion
Les machines ont systmatiquement recours aux diffusions AVANT d'interroger
WINS
Une machine en H-node
Le noeud H (H-node, noeud Hybride) est l'inverse du noeud M.
La machine utilise les noeuds P (contacte WINS), puis B (Diffusion) si WINS ne peut
rsoudre le nom..
Ordre de rsolution :
1.Vrification de son cache NetBios (voir commande nbtstat c )
2.Demande un serveur de noms NetBIOS (NBNS) Primaire puis Secondaire si
configur
3.Diffusion d'une requte de nom NetBios
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
255
Remarque : Le type H-noeud Etendu (Enhanced h-node) utilis par les clients,
utilise la mme mthode de rsolution quun client configur en H-nud avec en plus
la rsolution DNS comme mthode supplmentaire. Si DNS est aussi configur dans
le client WINS, il pourra tre utilis pour rsoudre les noms NetBIOS. Par dfaut, les
clients NetBIOS Microsoft Windows 2000/XP/Server 2003 qui sont configures pour
utiliser le Server WINS utiliserons le type H-noeud Etendu.
======================================================================
Les tapes suivantes sont optionnelles et dpendent de paramtres activs..
4. Vrification du fichier LMHOSTS (uniquement pour le m-node MS)
5. Vrification du fichier HOSTS ou Cache DNS prcharg partir du fichier HOSTS (si
configur : voir commande IPCONFIG /DISPLAYDNS)
6.Vrification sur un serveur DNS
ORDI1 contacte d'abord son serveur WINS.
ORDI1 utilise ensuite les diffusions si WINS ne connat pas le nom demand.
ORDI1 peut toujours contacter ORDI3.
ORDI1 ne peut contacter ORDI2 que si ce dernier est client WINS.
Avantages
Les diffusions encombrent moins le rseau.
Le rseau peut tre segment l'aide de routeurs.
Si toutes les machines sont clientes WINS, l'authentification et l'accs aux ressources
fonctionne.
Les machines peuvent toujours avoir recours aux diffusions en cas d'chec de WINS.
DHCP possible pour les clients WINS et les machines locales
Inconvnients
Un ou plusieurs serveurs WINS ncessaires (et duplication ventuelle des bases).
Les machines non-clientes WINS ne sont localises QUE si elles sont dans le
domaine de diffusion
Remarque :
Le type H est le noeud par dfaut des clients WINS
Pour dterminer le type de nud : ipconfig /all voir type de nud
Paramtrage du type de nud
Le type de noeud peut tre paramtr de deux manires :
Options DHCP
Registre
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
256
PARAMETRAGE DU TYPE DE NOEUD PAR OPTIONS DHCP
Configurer l'option "046 NBNS Node Type" (B, P, M, H)
Cette option est obligatoire si vous paramtrez l'option "044 NBNS Name
Server" (Serveur WINS)
PARAMETRAGE DU TYPE DE NOEUD PAR LE REGISTRE
Modifiez la valeur NodeType DWORD
Sous la cl:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Para
meters (NT)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTra
ns (W98)
***Rebouter la machine aprs changement de type de nud NetBIOS***
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
257
Serveur de noms NetBios (WINS)
Le serveur de NetBios nest largement utilis que dans les rseaux Microsoft, sous la
forme de WINS. Les autres implmentations de serveurs de noms NetBios sont rares
(Samba sous Linux le fait).
Les serveurs WINS offrent deux fonctions fondamentales.
La premire concerne linscription de nom NetBios, ou le serveur WINS enregistre
les noms NetBios et les adresses IP des ordinateurs. Un serveur WINS actualise
dynamiquement et automatiquement les noms NetBios des clients WINS lors du
dmarrage des clients WINS.
La seconde fonction essentielle dun serveur WINS est quil rsout les recherches de
nom NetBios, lorsque les clients NetBios questionnent le serveur WINS sur ladresse
IP dun hte NetBios de destination.
NetBios Name Service (NBNS), Windows le met en uvre sous la forme d'un
serveur WINS.
WINS rduit le trafic li aux diffusions, rduit la surcharge administrative de
maintenance, facilite l'activit d'un domaine sur un rseau tendu, fournit des
services d'exploration au travers de plusieurs sous rseaux.
Vous pouvez optimiser un couple dentre dans le registre pour NBNS.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Par
ameters
NameServerPort. Le port UDP utilis par NetBIOS Name Queries vers NBNS.
La valeur par dfaut est 137 (89 hex).
. NameSrvQueryCount. Indique le nombre de fois que votre systme essaiera
de contacter chaque NBNS. La valeur par dfaut est trois fois.
. NameSrvQueryTimeout. Indique combien de temps votre ordinateur
attendra une rponse du NBNS. La valeur par dfaut est de 15 secondes (5dc hex
milliseconds).
**La commande Nbtstat RR (ReleaseRefresh) Envoie des paquets de libration
de nom WINS puis actualise**
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
258
Diffusion
Si le nom ne peut pas tre trouv dans le cache, la machine tente de le retrouver par
une diffusion sur le rseau local.
NetBios utilise UDP (sur le port 137et 138, respectivement le service de nom
NetBios et les services de datagrammes NetBios) pour envoyer une requte de nom
tous les ordinateurs du rseau.
Problme : augmentation du trafic & utilisation du temps processeur.
Vous pouvez utiliser un couple dentre dans le registre afin de paramtrer certaines
fonctions du broadcast.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Par
ameters
BcastNameQueryCount. Nombre de fois que le broadcast est essay, la valeur par
dfaut est 3 fois.
BcastQueryTimeout. Combien de temps attendre avant de ressayer le Name Query
broadcast, la valeur par dfaut est de 7,5 secondes.
Serveur DNS
Le serveur DNS (Domain Name Service) assure la rsolution dun nom dhte en
adresse IP, dont le principe est identique celui fourni par le serveur WINS, cette
diffrence prs que le serveur WINS prvoit la rsolution du nom NetBios en adresse
IP.
Les rseaux qui excutent des systmes dexploitation comportant la fois des
clients WINS et des clients non-WINS peuvent trouver avantageux de disposer dun
serveur DNS pour assurer la rsolution NetBios en adresse IP. Un client non-WINS
ne pourra pas questionner directement un serveur WINS sur la rsolution NetBios en
adresse IP.
Un serveur DNS peut mettre en mmoire cache des recherches russies de WINS, ce
qui signifie quil peut fournir une sorte de tolrance aux pannes pour les clients
WINS.
Dans une situation ou les clients WINS ne peuvent accder leurs serveurs WINS
configurs, ils peuvent toutefois rsoudre un nom NetBios en questionnant un
serveur DNS. Bien que le serveur DNS lui-mme puisse ne pas pouvoir questionner
le serveur WINS (par exemple, si le serveur WINS est en mode autonime), le serveur
DNS renferme toujours les entres WINS mises en mmoire cache. Cest une autre
raison de configurer des serveurs DNS pour mettre en place les recherches de nom
NetBios sur un serveur WINS.
Les amliorations Internet / DNS de Netbt dans Windows Server 2003
Il est possible de connecter entre eux deux ordinateurs Windows Server 2003 via
NeBT en passant par Internet, il faut pour cela, quil existe un certain nombre de
moyens de rsolution de noms. Parmi les mthodes les plus courantes figurent le
fichier Lmhosts et les serveurs WINS. Des amliorations ont t introduites dans
Windows NT 4.0 et maintenues dans Windows Server 2003 afin dviter ces
configurations particulires.
Convention uniforme de dnomination (Universal Naming Convention, UNC)
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
259
UNC est une convention de dnomination qui dcrit les serveurs rseau et les points
de partage qui sy trouvent. Un nom UNC commence par deux barres obliques
inverses, suivies du nom du serveur. Tous les autres champs du nom sont spars par
une seule barre oblique inverse. Un nom UNC type aura la forme suivante :
\\serveur\partage\sous-rpertoire\nom_fichier
**La commande IPCONFIG /REGISTERDNS , force le client DNS se renregistrer sur
le serveur DNS.**
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
260
Ex : dir \\nom-serveur\sous-rpertoire
Il est maintenant possible de se connecter une ressource NetBios via TCP/IP de
deux manires :
Net use \\<adresse ip>\<nom de partage>, ce qui limine le besoin dune
configuration de rsolution de noms NetBios.
Net use \\<nom complet>\<nom de partage>, ce qui permet de faire appel
un serveur DNS pour se connecter un ordinateur en utilisant son nom complet.
Voici quelques exemples demploi de cette nouvelle fonctionnalit :
net use f: \\ftp.microsoft.com\data
net use \\198.105.232.1\data
net view \\198.105.232.1
dir \\ftp.microsoft.com\bussys\winnt
Il est galement possible demployer lhbergement direct pour tablir un redirecteur
ou des connexions de serveurs entre des ordinateurs Windows Server 2003 sans
utiliser NetBios.
La nouvelle interface permet le fonctionnement hors NetBios, cela se nomme SMB
(Server Message Block).
Elle apparat pour le redirecteur et le serveur, comme une autre interface, cependant
au niveau TCP/IP le priphrique SMB emploie lespace de noms de DNS de
manire native comme une application Windows Sockets. Les appels dirigs vers le
priphrique SMB ont pour rsultat une recherche DNS standard destine rsoudre
le nom de domaine en une adresse IP, suivie dune simple requte de connexion
sortante en utilisant ladresse IP et linterface de la meilleur source, dtermine par la
table de routage.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
261
Dans ce cas il ny a pas douverture de session NetBios lorigine de la connexion
TCP. Par dfaut, le redirecteur place les appels la fois sur les priphriques NetBios
et SMB, et le serveur reoit les appels des deux manires.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
262
Services rseaux Windows
_Reposent sur des protocoles de communication spcifiques
_Un protocole, au coeur des rseaux Windows : SMB/CIFS
SMB = Server Message Block
CIFS = Common Internet FileSystem
_Nouveau nom donn par Microsoft SMB autour de 1997
_Un autre protocole, historiquement troitement li SMB : NetBIOS
Stricto sensu, NetBIOS n'est pas un protocole mais une API (interface de
programmation) : NETwork Basic Input Output System
Mise en oeuvre de cette API dans le monde TCP/IP : NetBT (NetBIOS over TCP/IP)
_Normalis l'IETF (RFC 1001 et 1002, en 1987)
NetBT est souvent confondu avec SMB !
_NetBT est utilis pour le transport de SMB avant Windows 2000
L'API NetBIOS identifie les services avec des noms
_quivalent des ports TCP ou UDP dans le modle TCP/IP
_Nom NetBIOS : 16 caractres
15 caractres + 1 caractre suffixe, identifiant la nature du service
_NetBT : services disponibles
_Service de gestion de noms (nbns) : enregistrement et rsolution de noms
137/udp, rsolution des noms NetBIOS en adresses IP, enregistrement des
noms
En diffusion ou via WINS (quivalent du DNS pour NetBIOS)
_Service datagramme : 138/udp (nbdgm)
Annonce des services disponibles sur un LAN
_Service session : 139/tcp (nbss)
Utilis pour le transport de SMB
Sous Windows, NetBIOS sur TCP/IP est configur au niveau de chaque interface
rseau
_Ports 137/udp, 138/udp et 139/tcp en coute sur des adresses IPv4 spcifiques
_Voir la sortie de la commande netstat sur le transparent suivant
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
263
Configuration NetBT sous Windows
nbtstat : exemple
NetBT et transport de SMB
SMB typiquement transport dans NetBT avant Windows 2000
_Service session (nbss), 139/tcp
_tablissement d'une session NetBIOS
Nom NetBIOS source, de suffixe <00>
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
264
_<00> identifie le service workstation = partie cliente SMB
Nom NetBIOS destination, de suffixe <20>
_<20> identifie le service server = partie serveur SMB
_Nom gnrique, support partir de Windows NT 4 : *SMBSERVER<20>
partir de Windows 2000, transport de SMB directement dans TCP (445/tcp)
_Plus d'tablissement de session NetBIOS
_Pseudo en-tte NetBIOS maintenu pour compatibilit ascendante
Tr anspor t de SMB dans Net BT ( 139/ t cp)
Tr anspor t de SMB sur 445/ t cp
NetBIOS et scurit :
_Fuite d'informations avec les noms NetBIOS ?
Enumration de noms NetBIOS pas fondamentalement diffrent d'un scan de
ports
Protocole NetBT
_Protocole nuisible avant tout
_Trs verbeux sur un rseau local, notamment en l'absence de serveurs WINS
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
265
NetBT est "juste" un protocole de transport pour SMB
Son importance dcrot depuis Windows 2000
_Rseaux Windows reposent dsormais sur des standards du monde TCP/IP : DNS,
LDAP, Kerberos
_NetBT tend disparatre
SMB peut tre transport directement dans TCP
Enregistrements SRV dans le DNS remplacent les noms NetBIOS pour la
localisation des ressources
DNS dynamique remplace la fonctionnalit d'enregistrement dynamique de
WINS
_NetBT n'est pas le protocole le plus important !
Ne dites plus "partages NetBIOS" mais "partages SMB" !
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
266
Avec le nommage direct, NetBIOS n'est pas employ pour la rsolution de nom.
DNS est employ pour la rsolution de nom et la communication rseau est envoye
directement sur TCP sans en-tte NetBIOS. Le nommage directe sur TCP/IP emploie
le port TCP 445 au lieu de la session NetBIOS TCP sur le port 139.
Simplifie le transport du trafic SMB, plus besoin de WINS et de broadcast NetBIOS
pour la rsolution de noms, standardisation de rsolution de noms base sur le DNS
pour le partage de ressources et imprimantes (service dexploration rseau).
Les deux moyens de rsolution sont toujours disponibles dans des Windows. Il est
possible de dsactiver lun ou lautre de ces services dans le registre.
NetBIOS over TCP/IP
7 Application
Higher level protocols e.g. SMB / CIFS
NetBIOS API (netbios.dll)
Applications
NetBIOS
(voisinage rseau,
explorer, commande net
share etc...)
6 Presentation
Interface NetBIOS
5 Session Name Service (UDP 137) datagram service (138)
Session Service
(TCP 139)
4 Transport UDP TCP
3 Network IP
2 Datalink e.g. IEEE 802.2
1 Physical Token Ring / Ethernet / FFDI etc
SMB over TCP [Port 445]
Port 445 Windows 2000/XP/Server 2003 seulement
Bloquer TCP/UDP 135-139 et 445 sur le firewall
Pour dsactiver la prise en charge de NetBios via TCP/IP
Allez dans Proprits de TCP/IP, puis Cliquez sur le bouton Avanc
Activez longlet WINS , et cliquez sur le bouton de radio Dsactivez NetBios avec TCP/IP .
Vous pouvez aussi appliquer cette option par un serveur DHCP (option fournie par le
serveur DCP).
NetBIOS sur TCP/IP (NetBt)
Ce service assure la
gestion des noms
NetBIOS : dclaration,
unicit, etc.
WINS
Ce service permet
d'changer des
messages en mode
non connect
Ce service permet
d'changer des
messages en mode
connect jusqu'
131071 octets
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
267
Requtes directes "NetBIOS-less" => le trafic SMB emploie le port 445 (TCP et
UDP). Dans cette situation, les quatre octets qui prcdent l'en tte du trafic SMB est
toujours 0x00 et les trois suivants octets sont la longueur des donnes restantes.
Pour dterminer si NetBIOS over TCP/IP est activ sur l'ordinateur, utiliser la
commande "net config redirector " ou "net config server " en ligne de commande.
L'affichage en sortie montre les liaisons pour NetbiosSmb (qui est "NetBIOS-less"
de la couche transport) et le dispositif NetBT_Tcpip (qui est NetBIOS over TCP de
la couche transport).
Workstation active on
NetbiosSmb (000000000000)
NetBT_Tcpip_{610E2A3A-16C7-4E66-A11D-A483A5468C10} (02004C4F4F50)
NetBT_Tcpip_{CAF8956D-99FB-46E3-B04B-D4BB1AE93982} (009027CED4C2)
NetBT_Tcpip doit ncessairement tre li chaque adaptateur individuellement.
NetbiosSmb est un dispositif global et n'est pas li un adaptateur. Cela signifie que
les requtes directes SMB ne peuvent pas tre mis hors de service dans Windows
sans mettre hors de service "File and Printer Sharing " pour des Rseaux
Microsoft.
Les types de nuds NetBios tablissent l'ordre de rsolution. Un type de nud est
simplement la mthode que l'hte va employer pour rsoudre un nom NetBIOS (non
routables) en adresses IP (routables).
Le nud par dfaut est b-node (Broadcast) moins qu'une adresse de serveur WINS
ne soit dfinie, auquel cas, le dfaut est h-node (Hybride).
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
268
Nominations de Port par Dfaut pour des Services
Service Name UDP TCP
Browsing datagram responses of NetBIOS over TCP/IP 138
Browsing requests of NetBIOS over TCP/IP 137
Client/Server Communication 135
Common Internet File System (CIFS) 445 139, 445
DHCP Manager 135
DNS Administration 139
Exchange Administrator 135
RPC 135
File shares name lookup 137
File shares session 139
Login Sequence 137, 138 139
NetBT datagrams 138
NetBT name lookups 137
NetBT service sessions 139
NetLogon 138
Pass Through Verification 137, 138 139
Printer sharing name lookup 137
Printer sharing session 139
RPC user manager, service manager, port mapper 135
WINS Manager 135
WINS NetBios over TCP/IP name service 137
WINS Proxy 137
WINS Registration 137
Port Proto
Nom
court
Nom usuel Usage
Standards NetBios
135
137
138
139
TCP/UDP
TCP/UDP
UDP
TCP
Localisation de
services et
NetBios
Install Windows 2000 pro/XP/2003 (port standards)
445 TCP/UDP
microsoft-
ds
SMB over IP
D'habitude, excuter le protocole SMB
(partage de fichiers et d'imprimantes) en
environnement IP ncessite une couche de
transport supplmentaire nomme NetBT.
Sous Windows 2000 ce n'est pas une
obligation SMB over IP est disponible via le
port 445.
500 UDP isakmp
Internet Security
Association and
Key Management
Protocol
Pour l'authentification scurise par change
de cls. Ouvert par lsass.exe. L'explication
de ce service telle qu'elle apparat dans le
gestionnaire des services : "stocke les
informations de scurit pour les comptes
d'utilisateurs locaux".
Autres
25 TCP smtp Simple Mail
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
269
Transport
Protocol
80 TCP http
Hyper Text
Transport
Protocol
a c'est le serveur web de Microsoft (IIS).
443 TCP https
le mme que ci-
dessus mais
scuris
Ca c'est aussi le serveur web mais la partie
serveur https.
4692 UDP
Excutable brad32.exe. C'est l'agent de
tldistribution macafee lorsqu'on installe le
logiciel travers le rseau par le biais d'une
console de "management". C'est parce qu'il
est l'coute de ce port que viruscan reoit
instantanment l'ordre de se mettre jour
venu de la console d'administration.
SMB
SMB est le protocole rseau majeur des environnements Windows
_Assure les fonctionnalits de partage de ressources (fichiers et imprimantes)
Systmes de fichiers distribus
rapprocher du standard NFS du monde Unix
_galement utilis comme protocole de transport pour les RPC
D'administration distante
De fonctionnement des domaines NT4
Pas d'analogie dans le monde Unix, Microsoft a ajout un transport SMB au
standard DCE RPC
_Ces deux utilisations en font le protocole rseau au coeur des systmes Windows
Sessions SMB : exemples
_Protocole client-serveur
Partie cliente : accs des ressources partages (service Station de travail)
Partie serveur : mise disposition de ressources partages (service Serveur)
_Partage : groupe de ressources partages
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
270
Partage de fichiers
Partage d'imprimantes
Partage spcial : IPC$
_Session SMB
Protocole SMB est orient session
Une session SMB dbute toujours par une phase d'authentification
Utilisation d'un protocole d'authentification rseau (NT)LM ou Kerberos V
Client SMB
_Commande net use : tablissement d'une session SMB
Serveur SMB
_Commande net share : gestion des partages
numration des partages actifs, ajout, suppression
_Commande net sessions : gestion des sessions SMB
numration, suppression
_Commande net files : gestion des ressources partages
numration, suppression
SMB : ct client
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
271
SMB : ct serveur
Mises en oeuvre SMB sous Unix
Projet Samba
_Mise en oeuvre de NetBT et SMB/CIFS sous Unix
_Port sur de nombreux Unix, libres ou propritaires
_Composants principaux
Dmon nmbd : gre NetBT
Dmon smbd : gre SMB/CIFS
Dmon winbind : gre l'authentification dans un domaine NT4 ou
ActiveDirectory
Fichier de configuration unique smb.conf, entretenant la confusion entre la
configuration de NetBT et de SMB/CIFS...
_Outils en ligne de commande :
smbclient : interface ftp-like pour manipuler des fichiers via SMB/CIFS
rpcclient et net (Samba 3) : commandes d'administration distante
Smbclient
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
272
SMB comme protocole de transport
SMB comme protocole de transport
_Partage IPC$ est un partage spcial
_Donne accs, travers le rseau, des points de communications appels tubes
nomms
_Des donnes sont envoyes et reues via ces tubes nomms en utilisant le protocole
SMB
_Les donnes en question sont des PDU (Protocol Data Unit) DCE RPC
SMB devient un protocole de transport pour DCE RPC
Ajout par Microsoft pour plusieurs raisons
o Notamment parce que SMB peut tre lui-mme transport dans
plusieurs protocoles, via l'API NetBIOS
o Authentification ralise au niveau SMB hrite au niveau DCE RPC
Il n'y a pas rauthentification au niveau DCE RPC
MSRPC : introduction
_Mise en oeuvre du standard DCE RPC par Microsoft
_DCE RPC prvu pour tre indpendant du protocole de transport utilis
TCP/IP, IPX/SPX, NetBEUI, ...
Microsoft a ajout un transport utilisant SMB
Analogie
_DCE RPC sur TCP/IP utilise des ports TCP/IP pour communiquer
_DCE RPC sur SMB utilise des tubes nomms
DCE RPC sur TCP/IP est utilis pour transporter DCOM
DCE RPC sur SMB
_Utiliss par la plupart des outils Windows d'administration distante
_Noms des tubes nomms identifient les services accessibles via DCE RPC
_Exemple : eventlog pour la consultation des journaux distance, winreg pour
l'accs distant la base de registres, svcctl pour la gestion des services Windows
distance, etc...
En pratique
_Authentification ralise de faon transparente au niveau SMB
Pas d'authentification au niveau DCE RPC
_Possibilit d'utiliser une session SMB nulle (login et mot de passe vides lors de
l'authentification au niveau SMB)
_Faon de rcuprer des informations de faon anonyme...
Concerne principalement les tubes nomms lsarpc (LSA Windows), samr
(SAM),wkssvc (service workstation), srvsvc (service serveur)
_
Utilisation d'un outil d'administration Windows en spcifiant un nom de serveur
distant dclenche l'utilisation de DCE RPC sur SMB
_Exemple : consultation distance des journaux d'un systme Windows
Ouverture d'une session SMB (typiquement authentifie avec des
accrditations administrateur)
Connexion au partage IPC$
Ouverture du tube nomm eventlog
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
273
criture et lecture de donnes via le descripteur de fichier ouvert sur le tube
eventlog, correspondant des appels de procdures distantes permettant la
consultation des journaux du systme distant
_Ethereal dcode un certain nombre d'interfaces MSRPC, outil privilgi pour
observer sur le fil DCE RPC sur SMB
Consultation distante des journaux
Services RPC sur TCP/IP
_Utiliss plus frquemment dans des domaines ActiveDirectory
Ex : Rplication des annuaires Active Directory
Autre protocole bas sur des RPC sur TCP/IP : MAPI (Exchange)
Autre grande utilisation de DCE RPC sur TCP/IP : transport de DCOM
Via le port 135/tcp, activation d'objets COM distance
Certaines interfaces RPC accessibles via 135/tcp ont des oprations
accessibles en anonyme
Vers Blaster (t 2003), exploitant une vulnrabilit dans une opration d'une
interface RPC ncessaire au fonctionnement de DCOM
Service associ : portmapper, donnant la correspondance entre un identifiant
d'interface RPC et un port (TCP ou UDP) sur lequel ce service est accessible
Port 135, quivalent du portmapper des ONC RPC (port 111)
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
274
DCOM sur DCE RPC sur TCP/IP
MSRPC est une implmentation apparemment fragile
Certaines interfaces RPC peuvent tre accessibles sans authentification
_Via une session nulle pour des services DCE RPC sur SMB
_Via TCP/IP (typiquement port 135), pour des services RPC ne ncessitant pas une
authentification
_Va probablement changer avec le SP2 de Windows XP
Service rpcss est un processus systme (identit SYSTEM)
_Vulnrabilit dans une interface RPC de ce service permet, si l'exploitation est
possible, d'excuter du code sous l'identit SYSTEM
Bien penser filtrer tous les protocoles de communication permettant
l'utilisation des RPC
_SMB (port 139 et 445), TCP/IP (port 135 et ports dynamiques, restreindre dans
une plage de ports spcifiques), HTTP (593/tcp, pas activ par dfaut)
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
275
Ordre de rsolution des noms NetBIOS (Rappel)
Dans le cas o la machine est configure pour :
Avoir un serveur WINS primaire (choix A)
Utiliser "Activer la recherche de cl LMHOST" (choix B)
Utiliser "Activer la rsolution DNS pour Windows" (choix C)
Alors, l'ordre de rsolution des noms NetBIOS est le suivant :
1. NetBIOS name cache (li au choix B)
2. WINS (li au choix A)
3. Requte Broadcast sur le rseau (toujours fait)
4. LMHOSTS (li au choix B)
5. Cache DNS
6. HOSTS (li au choix C)
7. DNS (li au choix C)
Lordre des tapes 2 et 3 peut tre invers si le type de nud est Mixte au lieu
dHybride.
Les tapes 2, 4, 5 et 6 peuvent ne pas avoir t actives.
Ltape 2 ne sera effective que si le poste est client WINS.
Ltape 4 ne sera disponible que si loption Activer la recherche LMHOST a t
dfinie dans longlet WINS des proprits avances du protocole TCP/IP.
Dpannage :
Dans le cas ou vous voulez rsoudre un nom NetBIOS dune machine situe sur un
segment diffrent, et que vous tes client WINS.
1. Ping @ IP machine distante => fonctionne OUI ou NON, si OUI passer ltape 4
2. Ping localhost, Ping votre @ IP, Ping Default Gateway
3. Tracert @ IP machine distante => connatre ou le datagramme IP est bloqu
4. Ping Nom NetBIOS machine distante => fonctionne OUI ou NON, si NON => suivre
la procdure
5. Ping @ IP du serveur WINS Principal
6. Ping @ IP du serveur WINS secondaire si existe
Pour ces tapes 5 et 6, si le serveur WINS est sur un rseau diffrent, vrifier la table de
routage local au PC (route print ou netstat rn) ainsi que celle du routeur, essayer aussi
la commande Tracert @ IP du serveur WINS => connatre ou le datagramme IP est
bloqu
7. Penser vrifier le contenu du cache NetBIOS de votre PC => nbtstat c
8. Penser vider le cache NetBIOS du PC => nbtstat R
9. Penser vous rinscrire auprs du serveur WINS => nbtstat RR
10. Voir cohrence du fichier Lmhosts si utilis
11. Penser vrifier le contenu du cache arp => arp a
Dans tous les cas vrifier quil ny a pas de firewall qui bloque les requtes ICMP, NetBIOS
ou DNS sur votre machine ou infrastructure rseau. Les serveur WINS ainsi que la machine
atteindre sont elles allumes ?
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
276
Et l'ordre de rsolution des noms Internet (FQDN)
1. Nom dhte local : voir la commande hostname
2. Cache DNS local (toujours en premier)
3. HOSTS (li au choix C)
4. DNS (li au choix C)
5. WINS (li au choix A)
6. Requte Broadcast sur le rseau (toujours fait)
7. LMHOSTS (li au choix B)
Dpannage :
1. Ping @ IP machine distante => fonctionne : OUI ou NON, si OUI passer ltape 4
2. Ping localhost, Ping votre @ IP, Ping Default Gateway
3. Tracert @ IP machine distante => connatre ou le datagramme IP est bloqu
4. Ping @ FQDN du serveur DNS => fonctionne OUI ou NON
Pour cette tape 4, si le serveur DNS est sur un rseau diffrent, vrifier la table de
routage local au PC (route print ou netstat rn) ainsi que celle du routeur, essayer aussi
la commande Tracert @ IP du serveur DNS => connatre ou le datagramme IP est
bloqu
5. Utiliser la commande NSLOOKUP => affiche des infos partir du serveur DNS
6. Penser aussi vider la cache DNS local : Ipconfig /flushdns
7. Voir cohrence du fichier Hosts si utilis ainsi que la base du serveur DNS
8. Penser vrifier le contenu du cache arp => arp a
Dans tous les cas vrifier quil ny a pas de firewall qui bloque les requtes ICMP, NetBIOS
ou DNS sur votre machine ou infrastructure rseau. Les serveur DNS ainsi que la machine
atteindre sont elles allumes ?
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
277
Lorganigramme de la rsolution de noms NetBios
(premire partie)
Start
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
278
Lorganigramme de la rsolution de noms NetBios
(deuxime partie)
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
279
Questions/Rponses
1). Il existe deux types de noms conviviaux :
- Les noms dhtes : Bass sur le systme DNS, les noms dhtes se prsentent sous
diverses formes
(ex :saga ou saga.supinfo.com). La longueur dun nom dhte ne peut dpasser les 255
caractres.
- Les noms NetBIOS : Un nom NetBIOS peut reprsenter un ordinateur ou un groupe
dordinateurs. La longueur maximale dun nom NetBIOS est de 15 caractres. Windows 2003
ne ncessite pas de noms NetBIOS mais assure une compatibilit pour les versions
antrieures Windows 2003.
2). Il est possible de mapper statiquement les noms intelligibles avec leur adresse IP. Ceci
grce deux fichiers :
- Fichier Hosts : Permet des mappages IP / nom dhte
- Fichier Lmhosts : Permet des mappages IP / nom NetBIOS
3). Il est possible de centraliser, la manire des comptes utilisateurs, la gestion de la
rsolution des noms en adresses IP. Pour ceci il existe les deux serveurs suivants :
- Serveur DNS : Permet la rsolution des noms dhte en adresse IP. Ce sont les serveurs
DNS qui font la rsolution des noms sur Internet (ex : www.labo-microsoft.com).
- Serveur WINS : Permet la rsolution des noms NetBIOS en adresse IP.
4). - Processus de rsolution de noms dhte
>> Lordinateur vrifie si le nom indiqu correspond son nom dhte local.
>> Lordinateur recherche dans son fichier Hosts.
>> Lordinateur envoie une requte au serveur DNS.
>> Lordinateur recherche dans son cache ARP (Windows 2000/2003 traite les noms
NetBIOS comme des noms dhtes).
>> Lordinateur envoie une requte au serveur WINS.
>> Lordinateur envoie une diffusion gnrale sur le rseau.
>> Lordinateur recherche dans son fichier Lmhosts.
5). - Processus de rsolution de noms NetBIOS
>> Lordinateur recherche dans son cache NetBIOS (Windows 2000/2003 traite les noms
NetBIOS comme des noms dhtes).
>> Lordinateur envoie une requte au serveur WINS.
>> Lordinateur envoie une diffusion gnrale sur le rseau.
>> Lordinateur recherche dans son fichier Lmhosts.
>> Lordinateur recherche dans son fichier Hosts.
>> Lordinateur envoie une requte au serveur DNS.
6). 3 fonctions de NetBIOS sur TCP/IP
>> gestion des noms (point cl de l'utilisation de Netbios sur TCP/IP car ce dernier utilise
l'adresse IP alors que Netbios utilise des noms d'ordinateurs)
>> gestion de session
>> transfert de donnes
>> Les 3 fonctions principales de la gestion des noms sont : Inscription, requte,
libration des noms.
7). Lesquels des utilitaires suivants utiliseront la rsolution de nom NetBIOS ?
A. FTP
B. Explorateur(Browser) de Windows
C. Internet Explorer
D. net.exe
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
280
8). Quelles paramtres sont disponibles pour la taille du Cache de Nom NetBIOS ?
A. Grand (Big)
B. Large (Large)
C. Petit (Small)
D. Minuscule (Tiny)
9). Sur un rseau avec un segment, quel avantage peut tre gagn en utilisant des WINS ?
A. WINS peut faciliter la rsolution de noms d'HTE.
B. WINS facilite l'exploration Inter-domaine.
C. WINS rduit le trafic rseau.
D. Tout ci-dessus.
10). Quelle commande pouvez-vous utiliser pour vrifier quelles sessions existent sur NBT ?
A. net sessions
B. nbtstat
C. netstat-nbt
D. netstat
11. Quel port est utils pour valider une connexion (logon) ?
A. 136
B. 137
C. 138
D. 139
12. A quel niveau de la resolution par le type B nud, le fichier LMHOSTS est utilis ?
A. Second
B. Troisime
C. Quatrime
D. Cinquime
13. Quels sont les trois noms Net BIOS basiques correspondant des services qui sont
enregistrs sur votre ordinateur ?
A. Computername[0x00], Computername[0x03], Computername[0x1D]
B. Computername[0x03], Computername[0x20], Computername[0x1D]
C. Computername[0x00], Computername[0x20], Computername[0x1D]
D. Computername[0x00], Computername[0x03], Computername[0x20]
14. Quel nom doit tre unique pour chaque systme sur le rseau ?
A. Le nom dordinateur
B. Le nom utilisateur
C. Le nom du workgroup
D. Le nom du domaine
15. Lorsque le service messagerie enregistre un nom, quelle est la valeur qui identifie le
service de messagerie ?
A. [0x00]
B. [0x03]
C. [0x20]
D. [0x1D]
16. Si votre organisation utilise WINS, combien dhtes necssitent dtre configurs avec un
fichier LMHOSTS ?
A. Le serveur WINS seulement
B. Domain controllers on
C. Toutes les stations qui ne peuvent tre client WINS
D. Aucun
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
281
17. Quelles sont les trios principales functions de la gestion des noms NetBIOS ?
A. Rsolution de nom, renouvellement, et relache
B. Requte de nom, relache, et renouvellement
C. Enregistrement de nom renouvellement, et relache
D. Enregistrement de nom, requte, et relache
18. Pourquoi les broadcast utilisant les ports 137 et 138 sont-il normalement bloqu par les
routeurs ?
A. Pour des questions de scurit
B. Afin de prvenir les conflits de cache NetBIOS
C. Afin de prvenir la congestion des routeurs
D. Ces ports ne sont pas configures pour ces raisons
19. Par dfaut combien de temps un nom netBIOS reste til dans le cache ?
A. 2 minutes
B. 5 minutes
C. 10 minutes
D. 1 jour
20. Pouvez-vous changer la taille du cache de nom NetBIOS ?
A. Oui
B. Non
C. Seulement en rinstallant NT
21. Combien de nom pouvez-vous enregistrer sur un simple ordinateur Windows NT ?
A. 16
B. 64
C. 128
D. 250
22. Quel port est utilise afin de transfrer un fichier vers un hte distant ?
A. 136
B. 137
C. 138
D. 139
23. Le protocole TCP/IP utilise un modle de communication quatre couches pour transmettre
des donnes entre deux sites. Quelles sont les quatre couches du modle utilis par le protocole
TCP/IP ?
Les couches Internet, Application, Transport et Interface rseau.
24. Lorsqu'une application doit communiquer avec une application d'un autre ordinateur,
qu'utilise le protocole TCP/IP pour distinguer les applications et pour identifier l'ordinateur
auquel elles appartiennent ?
Il utilise un socket.
25. Quels sont les trois lments qui composent un socket ?
Une adresse IP, un port et un protocole de la couche Transport.
26. Quels sont les six protocoles principaux fournis dans la suite de protocoles TCP/IP ?
Les protocoles TCP, UDP, ICMP, IGMP, IP et ARP.
27. Administrateur rseau, vous souhaitez vrifier que la suite de protocoles TCP/IP est
correctement installe et tester les communications sur le rseau. Quel utilitaire TCP/IP allez-
vous utiliser ?
L'utilitaire Ping.
R S O L U T I O N D E N O M S
CENTRE DE FORMATION G E F I - CRETEIL
282
28. Lorsque la remise indirecte est utilise pour envoyer un paquet d'un ordinateur source vers un
ordinateur de destination, l'ordinateur source doit d'abord dterminer l'adresse MAC d'_______.
Un routeur.
29. Lorsque vous affectez aux ordinateurs de votre rseau des adresses IP, que devez-vous garder
l'esprit ?
Les principales rgles d'adressage suivantes : l'identificateur de rseau ne peut pas
commencer par 127 et l'identificateur d'hte ne peut pas contenir que des zros (0) ou des
255 et doit tre unique dans chaque identificateur de rseau. Vous devez galement vous
assurer que chaque sous-rseau se voit affecter un seul identificateur de rseau.
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
283
SERVICE EXPLORATEUR D'ORDINATEURS
Prsentation
Les favoris reseau offrent un acces convivial aux ressources reseau. Cet affichage est
fourni par une liste d'exploration mise jour par le service Explorateur
d'ordinateurs. Ce service tient a jour une liste des ordinateurs presents sur votre
reseau et fournit cette liste aux programmes qui en font la demande (comme les
favoris reseau par exemple).
Pour les machines Windows 2000/2003/XP appartenant a un environnement Active
Directory, l'acces aux ressources est facilit par la base d'annuaire Active
Directory de Microsoft Windows 2003. L'on pourrait ainsi se passer des
favoris rseaux pour acceder aux ressources rseau. Windows 2003 utilise galement
le service Explorateur d'ordinateur pour afficher une liste des ressources
disponibles du systme de base d'entres/sorties rseau (NetBIOS, Network Basic
Input/Output System). Ce service tient jour une liste des ordinateurs et la transmet
aux applications qui la demandent. Cela permet aux utilisateurs de localiser des
ressources sur des serveurs qui n'excutent pas Windows 2000/2003/XP3 et aux
utilisateurs qui emploient des ordinateurs clients n'excutant pas
Windows 2000/2003/XP de localiser des ressources sur des serveurs excutant
Windows 2003.
Les utilisateurs doivent souvent savoir quels domaines et ordinateurs sont accessibles
de leur ordinateur local. Le service favoris reseau permet laffichage de toutes les
ressources disponibles sur un rseau dordinateurs excutant Microsoft Windows. Le
service explorateur de Windows Exploateur dordinateur =>Dpendances :
service serveur et station de travail conserve une liste nomme de tous les
domaines et serveurs disponibles, appele liste de parcours. Cette liste peut tre
affiche dans lExplorateur Windows, elle est fournie par un explorateur dans le
domaine de lordinateur local.
Pour afficher la liste de parcours dans Windows 2003, excutez la procdure
ci-dessous.
1. Dans Favoris rseau, double-cliquez sur Tout le rseau.
2. Cliquez sur contenu entier.
3. Double-cliquez sur Rseau Microsoft Windows.
Le service explorateur d'ordinateur tient jour une liste qui regroupe :
Les groupes de travail et domaines de l'inter rseau.
Les machines appartenant ces groupes et domaines.
Les ressources partages par ces machines.
L'laboration de cette liste est dvolue certaines machines lues ou configures
pour tre "Explorateurs".
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
284
Les explorateurs centralisent, compilent et redistribuent aux clients la liste des
ressources de l'inter-rseau, visibles dans le "Voisinage Rseau".
Donc l'explorateur rseau est le service qui rassemble et organise la liste des
ordinateurs et des domaines que l'on voit dans le voisinage rseau Windows ou en
faisant smbfind sous Samba. En dehors de l'aspect visuel rassurant qui donne cette
satisfaction bate du "tout va bien, mes petits sont tous l", l'explorateur rseau
permet par exemple une machine de savoir tout moment quels sont les
ordinateurs executant NetBIOS sur le mme rseau IP, sans avoir envoyer en
permanence des diffusions. C'est en quelque sorte un carnet d'adresses qui vite de
consulter l'annuaire chaque fois qu'on a besoin d'appeler sa mre, ou qui vite de
hurler dans le voisinage: "j'ai perdu le numro de ma mre est-ce que quelqu'un a
le numro de Frengonde?". Pour 2-3 ordinateurs, a passe, mais imaginez le
rsultat pour 1000 machines.
Ce qu'il faut bien se figurer aussi, c'est qu'un rseau, c'est comme une pice de
thatre avec des centaines d'acteurs et de figurants, qui entrent qui sortent qui se
parlent, sortent, s'vanouissent, reviennent eux, parlent, sortent... Dans ces
conditions l si chaque acteur devait avoir sa propre liste des autres personnes
prsente un instant T sur la scne, le rsultat serait pitoyable. On a donc dcid qu'il
y aurait une personne, en l'occurence un ordinateur qui tiendrait une liste la plus
jour possible, de tout ce qui est prsent, une sorte de concierge.... Sur le rseau, on
l'appelle "Matre Explorateur" (master browser). Les machines prsentes
(executant NetBIOS) lui demanderont la liste d'exploration afficher dans le
voisinage rseau.
Installation
Ce service est automatiquement install et actif, mais il est possible de le paramtrer par le
registre (voir plus loin).
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
285
Rle des explorateurs
La tche consistant fournir une liste des serveurs aux clients est rpartie sur
plusieurs ordinateurs du rseau. Vous pouvez attribuer des rles diffrents aux
ordinateurs qui utilisent le service Explorateur d'ordinateur, notamment : matre
explorateur, explorateur secondaire, explorateur potentiel et clients
explorateurs (non explorateurs). Vous pouvez attribuer ces rles du service
Explorateur d'ordinateur aux ordinateurs qui excutent Windows 2003.
Explorateur Matre de domaine
La machine jouant ce role (unique dans un domaine) conserve la liste maitresse des
machines du rseau fournissant des ressources, ainsi que les noms de domaines et
groupes de travail prsents sur le rseau. Dans un domaine Windows 2000/2003, le
maitre explorateur du domaine est forcement le serveur hbergeant le role Active
Directory maitre mulateur controleur principal de domaine. II ajoute a sa liste
d'exploration la liste d'exploration stocke sur chaque maitre explorateur, et ce toutes
les 12 minutes pour s'assurer que le maitre d'exploration de domaine possede une
liste d'exploration a jour pour tout le reseau. II se peut donc que pendant un certain
laps de temps, vous ne disposiez pas d'une liste d'exploration a jour sur un sous-
rseau.
Dans un rseau local, le Domain Master Browser est aussi le Master Browser.
Ces transmissions de listes reposant sur les diffusions, le passage d'un routeur peut
poser problme...
Explorateurs Matre
Capturent les annonces d'htes des machines de leur sous-rseau.
Etablissent la liste des ressources de leur sous-rseau.
Reoivent de l'Explorateur Matre de Domaine une compilation des listes tablies par
leurs homologues sur les divers sous-rseaux.
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
286
Distribuent cette liste compile aux Explorateurs de Sauvegarde (qui la donnent aux
clients).
Renseignent les clients sur les adresses des explorateurs de sauvegarde.
Tant qu'il n'a pas reu la liste compile de son Explorateur Matre de Domaine, un
Explorateur Matre ne "connat" que les ressources disponibles sur son domaine de
diffusion. Ses clients ne "voient" donc qu'une petite partie du rseau et de ses
ressources.
Donc le Master Browser maintient la liste matresse des resources disponibles
dans son domaine ou workgroup, ainsi que la liste des noms, pas les resources, des
autres domains ou workgroups.
Explorateurs de Sauvegarde
Situs en bout de chane, ils reoivent une liste des ressources de l'Explorateur
Matre local.
Distribuent cette liste aux clients qui souhaitent parcourir les ressources de l'inter
rseau demand (c'est le cas par exemple lorsque vous allez dans les favoris rseau).
La liste des serveurs est limite en taille 64ko sur les ordinateurs excutant une
version de Windows NT antrieur la version 4.0, Windows 95, etc. ce qui restreint
le nombre dordinateurs dans une liste des parcours pour un groupe de travail ou un
domaine 2000 ou 3000.
Explorateurs Potentiels
Machines qui ne participent pas aux compilations et distributions des listes de ressources,
mais qui peuvent assumer un rle d'explorateur si besoin est (processus d'lection), sil en
reoit lordre de lexplorateur principal. Peut devenir Master Browser, Backup Browser
ou alors Domain Master Browser.
Non-explorateurs
Machines paramtres pour ne jamais tre explorateur.
Il s'agit souvent de machines dont on veut optimiser les performances dans un domaine
prcis (serveurs...). Nest pas configur pour conserver une liste des ressources ou des
parcours
Remarque
Sur les ordinateurs qui excutent Microsoft Windows NT version 4.0, Windows 98
ou Windows 95, ouvrez Voisinage rseau pour afficher la liste de parcours. Sur les
ordinateurs qui excutent Microsoft Windows pour Workgroups, utilisez le
Gestionnaire de fichiers.
Dans un domaine Windows 2000/2003, I'emulateur PDC sera toujours maitre
explorateur de domaine. En fonction du nombre de machines sur le rseau, les autres
contrleurs de domaine seront explorateurs secondaires, sauf un qui sera maitre
explorateur pour son segment rseau. En fait, si vous avez dans votre domaine et par
segment rseau entre 2 et 31 ordinateurs, it y aura un maitre explorateur et un
explorateur secondaire. Si vous avez entre 32 et 63 ordinateurs, vous aurez alors un
maitre explorateur et deux explorateurs secondaires. Vous aurez un explorateur
secondaire par tranche de 32 ordinateurs supplmentaire.
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
287
Les services d'exploration ont trois points principaux :
. Collecte d'informations pour la liste d'exploration
. Distribution de la liste d'exploration elle-mme
. Service d'exploration client met des requtes afin d'obtenir cette liste
Fonctionnement
Toute machine qui partage des ressources s'annonce par diffusion et met la liste des
ses ressources.
Ces diffusions sont captes par l'Explorateur Matre local, qui dresse l'inventaire des
ressources de son sous-rseau.
Chaque Explorateur Matre transmet sa liste l'Explorateur Matre de domaine.
Serveur 1
Explorateur
secondaire
Serveur 2 Client
Matre
explorateur
4 4
Slection
1 1
Annonce
1 1
Annonce
1 1 Annonce
3 3
Demande
Liste
Demande
Liste
2 2
Le processus ci-dessous dcrit le fonctionnement du service Explorateur d'ordinateur
de Windows 2003.
1). Au dmarrage, tous les ordinateurs qui excutent le service Serveur annoncent leur prsence au matre
explorateur de leur groupe de travail ou sous-rseau de domaine. Cette tape a lieu, qu'ils contiennent ou non des
ressources partages.
2). La premire fois qu'un client tente de localiser les ressources rseau disponibles, il demande une liste des
explorateurs secondaires au matre explorateur du groupe de travail ou du sous-rseau de domaine.
3). Le client demande ensuite la liste des serveurs rseau un explorateur secondaire. Ce dernier lui transmet la
liste des domaines et des groupes de travail, ainsi que celle des serveurs locaux du domaine ou du groupe de
travail du client.
4). L'utilisateur du client slectionne un serveur, recherche les ressources appropries, puis contacte le serveur
appropri afin d'ouvrir une session et d'utiliser ces ressources.
Tout ce mecanisme s'effectue par diffusion (si vous utilisez encore NetBIOS). Or, les
diffusions ne traversent pas les routeurs. Dans un environnement rout, il va falloir
utiliser un mcanisme permettant que des explorateurs maitres puissent s'changer le
contenu de leur liste d'exploration. Pour cela, il faudra utiliser soit un fichier
LMHOSTS, soit le service WINS. Sinon, les clients explorateurs ne verront que les
machines presentes sur leur sous-rseau IP physique.
Le fichier LMHOSTS de chaque maitre explorateur present sur chaque sous-reseau
IP doit contenir I'adresse IP et le nom d'ordinateur de ('explorateur maitre de
domaine, le nom du domaine precede de #PRE et #DOM.
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
288
Elections dexplorateur
Un nouveau matre explorateur doit tre choisi si un client ne parvient pas en
localiser un, ou si un explorateur secondaire tente une mise jour de sa liste des
ressources rseau mais ne parvient pas localiser le matre explorateur. Le processus
d'lection garantit qu'il n'y aura qu'un seul matre explorateur par groupe de travail ou
segment dans un domaine.
Les lections dexplorateur surviennent pour slectionner un nouvel explorateur
principal dans les circonstances suivantes :
-quand un ordinateur ne peut localiser un explorateur principal
-quand un explorateur principal prfr est plac en ligne
-quand dmarre un systme contrleur de domaine Windows
Paquet d'lection
Critres
d'lection
Critres
d'lection
Windows 2000
Server
Windows 2000 Windows 2000
Server Server
Valeur de critres
la plus leve
Valeur de critres
la plus leve
Windows 2000
Professionnel
Windows 2000 Windows 2000
Professionnel Professionnel
Valeur de critres
suivante
Valeur de critres
suivante
Windows NT
Windows 98
Windows 95
Windows pour
Workgroups
Windows NT Windows NT
Windows 98 Windows 98
Windows 95 Windows 95
Windows pour Windows pour
Workgroups Workgroups
Valeur de critres
la plus basse
Valeur de critres
la plus basse
Le client dcouvre qu'un
matre explorateur est
indisponible
Le client dcouvre qu'un
matre explorateur est
indisponible
Les ordinateurs rseaux lancent un processus d'lection en diffusant un message
spcial appel paquet d'lection. Ce paquet contient la valeur des critres de
l'ordinateur l'origine de la requte. Tous les explorateurs traitent ce paquet
d'lection.
Lorsqu'un explorateur reoit un paquet d'lection, il l'examine et compare les critres
de l'ordinateur l'origine de la demande avec ses propres critres d'lection. Si les
critres d'lection de l'ordinateur recevant la demande sont plus levs que ceux de
l'ordinateur dont provient le paquet d'lection, l'explorateur met son propre paquet
d'lection, puis entre un tat lection en cours. Le processus se poursuit jusqu' ce
qu'un matre explorateur soit lu sur la base de la valeur de critres la plus leve.
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
289
Les critres d'explorateurs dterminent l'ordre hirarchique des diffrents types de
systmes informatiques du groupe de travail ou domaine. Chaque ordinateur
explorateur possde certains critres, en fonction du type de systme. Ces critres
comprennent les lments suivants :
1). Le systme d'exploitation :
Un membre de la famille des produits Windows 2000/2003 Server
Windows XP Professionnel
Windows 2000 Professionnel
Windows NT Server
Windows NT Workstation
Windows 95/98
Windows pour Workgroups
2). La version du systme d'exploitation (par exemple, Windows NT 4.0, 3.51, 3.5 ou 3.1) ;
3). Le rle attribu l'ordinateur dans l'environnement d'exploration :
Explorateur (matre explorateur ou explorateur secondaire) ;
Explorateur potentiel ;
Non explorateur.
Au cours d'une lection, le niveau des critres est utilis pour dterminer quel
ordinateur doit tre matre explorateur si le matre explorateur en cours est
indisponible.
L'explorateur envoie jusqu' quatre paquets d'lection. Si aprs quatre paquets
d'lection, aucun autre explorateur n'a rpondu avec des critres d'lection
susceptibles de remporter l'lection, le systme sera promu au rang, d'explorateur
principal.
Les annonces des diffrents services dexplorateurs
Lorsqu'un ordinateur dmarre, Il informe le service Explorateur qu'il est disponible en
s'annonant sur le rseau.
Quand un ordinateur devient lexplorateur principal en emportant une lection et quand la
liste des ressources de parcours est vide, lexplorateur principal contraint tous les
systmes rpondre par une annonce.
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
290
Tous les ordinateurs recevant son datagramme, doivent rpondre aprs un dlai alatoire
pouvant durer jusqu 30 secs, pour empcher que lexplorateur principal ne sengorge de
rponses et en perde, et pour protger le rseau dun trafic trop important.
Si un explorateur principal reoit une annonce dun autre ordinateur qui affirme tre
explorateur principal, lexplorateur principal change de rle et exige une lection.
Les annonces de serveurs non explorateurs
Un ordinateur non explorateur se prsente priodiquement lexplorateur principal
en lui envoyant un datagramme dirig. Il fait tat de sa disponibilit selon des
intervalles de 1 mn, 2 mn, 4mn, 8mn et 12mn, puis par la suite toutes les 12 mn. Si
lexplorateur principal nentend rien propos du non-explorateur pendant trois
priodes dannonce conscutives, il le retire de la liste des parcours.
Remarque : 36 mn peuvent donc tre ncessaires pour que lexplorateur principal
local retire une entre dpasse. En outre, le reste du domaine va requrir de 12 mn
24 mn (deux fois la priodicit) pour sapercevoir que lentre est dpasse.
Les annonces d'explorateurs potentiels :
La plupart des systmes sont en ralit des explorateurs potentiels qui peuvent devenir un
explorateur secondaire ou un explorateur principal. Ces systmes s'annoncent de la mme
manire que les non explorateurs.
Les annonces des explorateurs secondaires
Les systmes explorateurs secondaires s'annoncent de la mme manire que les non
explorateurs. Ils participent cependant aux lections dexplorateur. Ils appellent
l'explorateur principal toutes les 12 minutes pour obtenir une liste des ressources du
rseau mise jour, ainsi qu'une liste des Workgroups et domaines.
L'explorateur secondaire cache ces listes et renverra la liste d'exploration tous les clients
qui mettent une demande d'exploration. Si lexplorateur de sauvegarde ne peut trouver
dexplorateur principal, il exige une lection.
Configuration du temps dannonce dexplorateur
Sous Windows NT/2000/XP/2003
Les valeurs de la cl de la BDR :
HKLM\SYSTEM\CurrentControlSet\Services\Browser\Parameters
dterminent le rle tenu dans le parcours rseau. Pour qu'un ordinateur
NT/2000/Server 2003 soit le matre-explorateur (gnralement un PDC= Primary
Domain Controller), positionner la valeur suivante :
IsDomainMaster: "TRUE" (valeur par dfaut = No)
Pour les ordinateurs NT/2000/Server 2003 jouant le rle de sauvegarde du matre-
explorateur (gnralement les BDC = Backup Domain Controller) :
MaintainServerList: "Yes" (peut devenir Master ou Backup Browser)
Pour tous les autres ordinateurs NT/2000/Server 2003 non explorateur :
MaintainServerList: "No"(non Explorateur)
MaintainServerList: "Auto"(Potential Browser)
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
291
Quand un explorateur de sauvegarde se referme correctement, il envoie une annonce
lexplorateur principal pour signaler quil sort du systme.
Si lexplorateur principal se referme correctement, il envoie un datagramme pour
signaler quun nouvel explorateur principal soit choisi.
Si lordinateur ne se referme pas correctement, ou connat une panne, il doit tre
retir de la liste des parcours, cest le service explorateur qui gre les pannes
dexplorateurs.
Remarque : Le service qui gre lExploration est le service Explorateur
dordinateurs , les dpendances ce service sont les services serveur et
station de travail .
Vous pouvez aussi utiliser la commande net config server /hidden :yes et le
dfaire par la comande net config /hidden :no . Note : Il y a un dlai denviron
une trentaine de minutes.
Panne de non explorateur et de sauvegarde
Quand un non explorateur connat une panne, il cesse de sannoncer. La priode
dannonce configure est comprise entre 1 et 12 mn.
Si le non explorateur ne sest pas annonc aprs trois priodes dannonce,
lexplorateur principal le retire de sa liste des parcours. 72 mn peuvent tre
ncessaires avant que tous les explorateurs apprennent la panne dun non
explorateur : ce retard potentiel inclut 36 mn ventuellement requises pour que
lexplorateur principal dtecte la panne, et les 12 mn ncessaires pour que les
explorateurs de sauvegarde rcuprent la liste mise jour de lexplorateur principal.
Dfaillance de lexplorateur principal
Quand un explorateur choue, un explorateur de sauvegarde va dtecter cette dfaillance
dans les 12 mn qui suivent et exiger une lection.
Dfaillance dexplorateur principal du domaine
Si lexplorateur principal du domaine est en panne, lexplorateur principal de chaque
sous rseau du rseau fournit une liste des parcours, ne contenant que les serveurs du
sous rseau du rseau local.
Comme un explorateur principal du domaine est galement un PDC, ladministrateur
peut rsoudre la panne en promouvant un BDC en PDC.
Les explorateurs principaux envoient un datagramme dirig, pour sannoncer
lexplorateur principal du domaine celui-ci retourne une requte aux explorateurs
principaux leurs demandant une liste des serveurs de leurs sous rseau, il fusionne
alors sa propre liste de serveurs et celle qui lui est envoye. Ce processus se rpte
toutes les 15 mn.
Service explorateur sur un routeur IP avec TCP/IP
Aujourdhui, les communications du service explorateur sappuient presque entirement
sue les missions. Sur un inter rseau IP, ou les domaines sont spars par des routeurs,
des problmes spciaux dmission peuvent surgir parce que celles-ci, par dfaut, ne
passent pas par les routeurs.
Deux questions se posent :
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
292
Comment les explorateurs spars par un routeur peuvent-ils assumer des
fonctions dexplorateur ?
Comment les clients locaux peuvent ils parcourir des domaines distants qui ne
sont pas sur leur sous-rseau ?
Si les routeurs IP ne sont pas configurs pour transmettre les diffusions NetBIOS (ce qui
est gnralement le cas), la collecte et la distribution de l'exploration et le traitement des
requtes clientes doivent s'effectuer par le biais du trafic IP dirig plutt que par celui du
trafic IP de diffusion. Windows 2000 ou Server 2003 propose les deux solutions ci-
dessous pour faciliter ces oprations.
Entres du fichier Lmhosts. Les entres spciales du fichier Lmhosts facilitent la
distribution des informations d'exploration et le traitement des requtes clientes.
WINS. Le service WINS (Windows Internet Naming Service) permet de collecter les
listes de parcours et de traiter les requtes clientes.
Exploration laide de LMHOSTS
Pour implmenter une communication directe entre les matres explorateurs de
sous-rseaux distants et l'explorateur matre de domaine, le fichier Lmhosts doit tre
configur avec les adresses IP et les noms NetBIOS des ordinateurs explorateurs.
Sous-rseau 1
Sous-rseau 3
Sous-rseau 2
Serveur1
Matre explorateur
Serveur3
Explorateur matre de domaine
Serveur2
Matre explorateur
Corp
Lmhosts Lmhosts Lmhosts
<IP> Serveur3 #PRE #DOM:CORP
Lmhosts Lmhosts Lmhosts
<IP> Serveur1 #PRE #DOM:CORP
<IP> Serveur2 #PRE #DOM:CORP
Routeur Routeur
Lmhosts Lmhosts Lmhosts
<IP> Serveur3 #PRE #DOM:CORP
Matres explorateurs
Pour les ordinateurs qui excutent Windows 2000/2003, le fichier Lmhosts de
chaque matre explorateur de sous-rseau doit contenir les informations suivantes :
Ladresse IP et le nom de l'ordinateur de l'explorateur matre de domaine ;
le nom de domaine, prcd des #PRE et #DOM : mots cls
Exemple :
130.20.7.80 <explorateur_matre de domaine> #PRE #DOM:<domaine>
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
293
Explorateurs matres de domaine
Sur l'explorateur matre de domaine, le fichier Lmhosts doit tre configur avec les
entres de chacun des matres explorateurs des sous-rseaux distants.
Une entre #DOM sur chaque matre explorateur pour tous les autres matres
explorateurs du domaine est conseille. De ce fait, si l'un des matres explorateurs est
promu matre de domaine, la modification des fichiers Lmhosts des autres matres
explorateurs n'est pas ncessaire.
Lorsque plusieurs entres de fichier Lmhosts existent pour le mme nom de domaine, le
matre explorateur envoie une requte l'adresse IP de chaque entre afin de dterminer
l'entre qui correspond l'explorateur matre de domaine. Seul l'explorateur matre de
domaine rpond la requte. Le matre explorateur contacte ensuite l'explorateur matre
de domaine pour changer les listes de parcours.
DNS
Windows Server 2003 se sert de DNS comme mthode principale de rsolution de noms.
Chaque contrleur de domaine Windows Server 2003 enregistre deux noms au
dmarrage : un nom de domaine DNS avec le service DNS, un nom NetBios avec WINS
ou autre service de transport.
Si lordinateur source et lordinateur destination sont configurs pour faire appel IP et
DNS, le nom est rsolu avec DNS ; sinon, WINS rsout les adresses IP laide des noms
NetBios, pour que les datagrammes puissent tre envoys.
La rsolution de noms ne peut fonctionner correctement si on emploie que DNS, du fait
des limitations de la rsolution DNS des noms NetBios, il est recommand demployer
WINS et DNS.
WINS
Comme vu plus haut, NetBIOS a t conu au dpart pour fonctionner sur de petits
rseaux avec un petit nombre de machines. Puis avec les annes, Microsoft a
dvelopp des serveurs prvus pour fonctionner en environnement rout et/ou avec
un grand nombre de machines. on a donc cherch des mthodes pour palier aux
limitations du fonctionnement par diffusions. Au niveau de l'internet, la rsolution de
nom se fait avec DNS, qui est un systme prouv.
Microsoft a donc cherch faire la mme chose que DNS, mais pour des
environnements de type PME, il n'tait pas possible d'avoir quelque chose d'aussi
rigide que DNS. Il fallait un systme compatible avec NetBIOS et capable de mettre
automatiquement jour la base de donnes de noms de machines. Aucune RFC ne
parlait alors de mise jour dynamique de DNS (il y plus de 7 ans). Ils ont donc cr
WINS.
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
294
Sous-rseau 1
Sous-rseau 3
Sous-rseau 2
Serveur1
Matre explorateur
Serveur3
Explorateur matre de domaine
Serveur2
Matre explorateur
Corp
Serveur4
Serveur
WINS
Routeur Routeur
R&D
Mktg
Corp
Serveur1
Serveur2
Serveur3
Serveur4
R&D
MKTG
Corp
Serveur1
Serveur2
Serveur3
Serveur4
R&D
MKTG
WINS: Windows Internet Name Service a t implant sur Windows NT 3.5 (a ne
nous rajeunit pas). C'est un systme de centralisation dynamique des listes des noms
des machines: On dit aux ordinateurs du rseau d'aller inscrire leur nom au serveur
Wins (unicast), et lorsqu'on a besoin de rsoudre un nom NetBIOS en adresse IP, on
demande au serveur WINS. C'est un systme qui permet de limiter grandement les
diffusions et permet en plus de fonctionner en environnement rout.
En effet. Au niveau du paramtrage, on indique au client de s'adresser une adresse
IP (celle du serveur WINS), or IP sait parfaitement passer les routeurs. Cela fait que
si on avait deux rseaux A et B avec le client sur le rseau A et le serveur WINS sur
le rseau B, le client va aller demander au serveur WINS sur le rseau B la liste des
ordinateurs inscrits chez lui.
On peut avoir un seul serveur WINS qui centralise les requtes de plusieurs rseaux
IP diffrents, sans aucun problme. C'est pour cela que d'un certain point de vue,
WINS s'apparente DNS.
Voici comment cela se passe:
L'ordinateur s'initialise, et va enregistrer son nom et son adresse dans la base du
serveur WINS. Tous les ordinateurs paramtrs pour s'inscrire sur ce serveur font de
mme. Le serveur WINS construit sa liste et quand une machine inscrite a besoin de
rsoudre un nom NetBIOS, il lui donne.
Lorsque l'ordinateur s'teint, il se dsinscrit pour permettre un autre ordinateur
d'utiliser ventuellement le mme nom avec une adresse IP diffrente.
Oui, mais comment cela se passe-t-il pour les ordinateurs qui n'ont pas l'adresse du
serveur WINS paramtr?
- Si le client est sur le mme rseau IP que le serveur WINS, celui-ci va recevoir tt
ou tard les noms et adresse de l'ordinateur par diffusion, et les inscrira dans sa base.
Le client ne pourra pas interroger la base WINS, mais les autres ordinateurs pourront
tout de mme passer par WINS pour rsoudre le nom du client non-inscrit.
- Si le client est sur un autre rseau IP on peut installer un proxy-WINS, qui est un
ordinateur qui va intercepter les diffusions, et les transmettre au serveur WINS. C'est
le proxy WINS qui inscrira auprs de WINS les machines qui s'allument, et c'est le
proxy-WINS qui demandera WINS et transmettra la rponse quand un ordinateur
non-inscrit fera une diffusion pour rsoudre le nom d'un autre ordinateur -le
fonctionnement d'un proxy, quoi :-) .
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
295
Il est tout fait possible d'avoir deux serveurs WINS Microsoft qui vont rpliquer
leurs bases, de manire rpondre tout de mme aux clients si l'une des deux est en
panne, mais il n'est pas possible de faire la mme chose avec Samba au moment o je
tape ces lignes.
WINS peut-tre trs utile quand on veut faire joindre un domaine un ordinateur qui
est sur un rseau IP diffrent de celui du contrleur de domaine. Il est aussi trs utile
parce qu'il rduit grandement les diffusions NetBIOS sur un rseau. Sur un rseau de
plusieurs centaines de machines, les diffusions peuvent provoquer un trafic vraiment
important.
La mise en place de WINS limine le besoin de configurer le fichier LMHOSTS ou
dactiver le port UDP 137.
Les clients non WINS ont toujours besoin du fichier LMHOSTS pour le parcours sur
un inter rseau IP, mme si WINS est implment dans le domaine.
Toutes les missions NetBios sur TCP/IP (NetBT) sont envoyes au numro de port
UDP 137, dfini comme le port du service de noms NetBT. Les routeurs bloquent
normalement la retransmission de ces trames.
Le service WINS rsout les problmes de diffusion des noms NetBIOS en
enregistrant dynamiquement l'adresse IP et le nom NetBIOS d'un ordinateur et en les
stockant dans la base de donnes WINS.
Lorsque des clients WINS communiquent avec des htes TCP/IP sur des sous
rseaux, l'adresse IP de l'hte de destination est rcupre dans la base de donnes
plutt que par l'intermdiaire d'une diffusion.
Le service WINS amliore le mcanisme de collecte des noms de groupes de travail
ou de domaines, car un explorateur matre de domaine excut en tant que client
WINS demande rgulirement au serveur WINS une liste de tous les domaines
rpertoris dans la base de donnes WINS.
Remarque : La liste des domaines, obtenue l'aide d'une requte WINS, ne
comporte que les noms de domaines et leurs adresses IP correspondantes. Elle ne
comprend pas les noms des matres explorateurs qui sont l'origine des
enregistrements WINS.
Le principal avantage de ce processus rside dans le fait que l'explorateur matre d'un
domaine dispose dsormais d'une liste complte de tous les matres explorateurs de
tous les domaines, y compris de tous les matres explorateurs des autres domaines
situs sur des sous rseaux distants. Pour laborer une liste complte sans utiliser le
service WINS, un matre explorateur appartenant au mme domaine que l'explorateur
matre de domaine doit tre prsent sur chaque sous rseau.
S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S
CENTRE DE FORMATION G E F I - CRETEIL
296
Questions/Rponses
1. partir de quel systme recevez-vous la liste des serveurs ?
2. Dans un modle en Workgroup, combien y a til de Backup Browsers ?
3. Quelles sont les trois fonctions de NETLOGON ?
4. Quels systmes doit tre dclares dans le fichier LMHOSTS si WINS nest pas utilis ?
5. Quel tag du fichier LMHOSTS active lactivit au niveau du domaine bas sur TCP/IP ?
6. Un utilisateur click sur le voisinage rseau, et le systme rpond que le nom rseau ne
peut pas tre trouv, quelle peut tre la cause de cela ?
7. Combien de fois le service serveur sannonce til ?
8. Quels sont les systmes enlevs de la liste dexploration ?
9. Dans quel type de groupe un contrleur de domaine senregistre til avec un serveur
WINS ?
10. Quels systmes ncessitent lutilisation du fichier LMHOSTS afin dactiver la base de
comptes dutilisateurs pour des questions de synchronisation ?
11. Comment font les autres domaines afin de devenir visible au niveau du voisinage rseau
?
12. Quels types dordinateurs font des annonces dexploration ?
======================================================================
Rponses :
1. La liste des serveurs nous parvient partir des Backup Browsers.
2. Il y a un Backup Browser tous les 32 systmes dans un Workgroup.
3. Les fonctions de NETLOGON : validation des utilisateurs, lauthentication,
synchronisation de la base de comptes dutilisateurs.
4. Le fichier LMHOSTS est ncessaire pour la rsolution dadresse pour chaque
systme qui enregistre son service serveur.
5. Le tag #DOM facilite lactivit au niveau du domaine base sur un rseau en
TCP/IP.
6. Le systme ne peut pas rsoudre le nom NetBIOS en adresse IP ou alors le systme
est plant.
7. Le service serveur sannonce toutes les minutes pendant les 5 premires minutes,
puis ensuite toutes les 12 minutes.
8. Si un systme sarrte normalement, il broadcast une relache du nom Name
Release , cela lenleve de la liste dexploration, lautre possibilit est que le systme
na pas reu trois annonces (3x12 mn).
9. Les contrleurs de domaine senregistrent dans le groupe Domain.
10. Chaque contrleur de domaine ncssite un fichier LMHOSTS.
11. Par des annonces de Domaine que le Domain Master Browsers fait toutes les 15
minutes.
12. Tous systme qui a le service serveur install, cela inclus Windows for
Workgroups, Windows 95/98/Me, and Windows NT/2000/XP.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
297
LE REGISTRE
Si vous avez utilis les versions antrieures 16 bits de Windows, vous savez
probablement que les paramtres de configuration systme taient stocks dans des
fichiers texte dots de l'extension *.INI limits 64 ko (win.ini, system.ini, et ainsi
de suitevoir commande sysedit.exe). Un administrateur pouvait tout fait
apporter des modifications de configuration ces fichiers, mme si, la plupart du
temps, il n'tait pas ncessaire d'intervenir directement dans ces fichiers. La plupart
des paramtres qu'ils contenaient pouvaient, en effet, tre modifis via le Panneau
de configuration ou l'interface d'autres applications. La modification manuelle des
fichiers .INI s'imposait uniquement lorsque des paramtres spcifiques ne
pouvaient tre modifis via l'interface.
Depuis les versions 32 bits de Windows (NT 3.x Windows 95 et ultrieures), les
informations de configuration systme sont stockes dans une base de donnes
hirarchique contenant les informations systmes (hardwares et softwares) : le
Registre.
La configuration matrielle de l'ordinateur rside dans le Registre, incluant des
pilotes Plug and Play . Il supporte des configurations de matriel multiples et des
utilisateurs multiples peuvent se partagez un mme ordinateur mais garder leurs
prfrences personnelles. Le Registre supporte aussi l'Administration distance.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
298
Comme pour les fichiers INI, la plupart des paramtres du Registre peuvent tre
modifis via le Panneau de configuration ou l'interface d'autres applications.
Toutefois, de par la nature mme du Registre (et le fait qu'il regroupe l'ensemble
des informations de configuration), la modification directe du Registre peut
entraner de srieux problmes systme. En fait, Microsoft conseille de ne jamais
procder une modification directe (manuelle) du Registre, sauf en cas de ncessit
absolue. Mme dans ce cas, Microsoft ne garantit pas les consquences gnres
par l'application de paramtres incorrects.
Le Registre est divis en cinq arborescences
principales
Le Registre est divis en cinq arborescences principales, appeles parfois sous arbre .
Ces sous arbres contiennent les informations suivantes
HKEY_CLASSES_ROOT
HKCR contient deux types de paramtres. Le premier contient les associations de
fichiers qui associent diffrents types de fichiers avec des programmes qui peuvent
les ouvrir, imprimer et les diter. Le deuxime sont des enregistrements de classe
pour des objets Component Object Model (COM). Cette cl racine est une du plus
intressant du registre personnaliser, parce qu'elle vous permet de changer
beaucoup le comportement du systme d'exploitation. Cette racine est aussi la plus
grande du registre, reprsentant la majorit de l'espace que le registre consomme, il
peut reprsenter jusqu 78 % du Registre sur l'ordinateur.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
299
Avant Windows 2000, HKCR tait une liaison vers la cl
HKL\SOFTWARE\Classes, mais cette cl racine est plus complique maintenant.
Pour tirer partie de HKCR, le systme d'exploitation fusionne deux cls :
-HKLM\SOFTWARE\Classes, qui contient des associations de fichier par
dfaut et des enregistrements de classe; et HKCU\Software\Classes, qui
contient des associations de fichier par-utilisateur et des enregistrements de
classe.
-HKCU\Software\Classes est vraiment une liaison HKU\SID_CLASSES.
Si une valeur diffrente apparat dans les deux branches, la valeur dans
HKCU\Software\Classes a la priorit la plus haute et impose sa valeur dans
HKLM\SOFTWARE\Classes.
HKEY_LOCAL_MACHINE
Contient les paramtres de l'ordinateur comme son matriel et la configuration rseau
et logiciels. Voici une vue d'ensemble des cinq sous cls :
HARDWARE Avez-vous remarqu que vous ne trouvez pas de fichier de
ruche pour HKLM\HARDWARE ?. Cette ruche est dynamique. Windows la
construit chaque fois que le systme d'exploitation dmarre et il ne
sauvegarde pas la ruche comme un fichier de ruche quand le PC s'teint.
Dcrit le matriel que Windows 2000/2003 dtecte dans l'ordinateur.
part la description des processeurs de l'ordinateur ainsi que la mmoire,
cette sous cl dcrit les ressources pour chaque utilisation de ces pilotes, avec
l'apparition du Plug and Play dans Windows 2000/2003.
SAM Contient la base de donnes de scurit locale (Scurity Account
Manager). Windows 2000/2003 stocke des utilisateurs locaux et des groupes
dans la SAM ainsi que la version Windows Serveur 2000/2003 stocke les
utilisateurs du domaine et groupes dans la mme sous cl. Les permissions
empchent la plupart des utilisateurs, mme avec des droits administratifs, de
voir cette sous cl. Employez les outils du Panneau de configuration pour
grer la base de donnes de scurit locale. Notez que la SAM est une liaison
vers HKLM\SECURITY\SAM. En faisant des changements sur l'une vous
faites des changements sur l'autre.
HKEY_LOCAL_MACHINE\SAM\SAM et
HKEY_LOCAL_MACHINE\SECURITY\SAM) doivent seulement tre
modifi en employant la MMC de Windows 2000/2003 ou le Gestionnaire
des Utilisateurs de Windows NT 4.0 et plus tt.
Rappel : Si le systme Windows est un contrleur de domaine, la SAM n'est
pas employ, (nous avons les services d'Active Directory maintenant).
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
300
SCURIT Contient la base de donnes de scurit locale, SAM, aussi bien
que la politique de stratgie locale et ainsi que d'autres secrets.
droits d'Utilisateur
stratgie de Mot de passe
adhsion de groupes locaux
Windows 2000/2003 empche les utilisateurs de voir cette sous cl.
SOFTWARE Contient par ordinateur les paramtrages pour chaque
application, incluse dans Windows 2000/2003. Comme
HKCU\SOFTWARE, quelques-uns n'ont pas respect les demandes mises
par Microsoft et ne suivent les rgles, donc la plupart des applications sont
mises dans Vendor\Application, o Vendor est le nom du vendeur et
Application est le nom de la l'application.
Ces vendeurs suivant ces rgles ajoutent une sous cl complmentaire appele
Version.
La sous cl la plus intressante, utile et personnalisable
d'HKLM\SOFTWARE est Classes. Cette sous cl dfinit les associations
de fichier de l'ordinateur et des classes COM.
L'Enregistrement et l'accs ce fait plus facilement, parce que la cl racine
HKEY_CLASSES_ROOT est un lien vers Classes.
SYSTEM La sous cl system contient l'information de dmarrage employe
par Windows lors du boot. Cette sous cl contient toutes les donnes qui sont
stockes et pas recalcules pendant la phase de dmarrage.
Une copie de l'information HKEY_LOCAL_MACHINE\SYSTEM est dans
le fichier System.alt, situ dans %SystemRoot %\System32\Config dans
toutes les versions de Windows.
Contient les jeux de contrles, qui dcrivent les pilotes et les services que
Windows 2000/2003 charge lors du boot. De plus, les jeux de contrles
dfinissent chaque aspect de la configuration systme au niveau de
l'ordinateur. Chaque jeu de contrle est dans une sous cl appele
HKLM\SYSTEM\ControlSetnnn, o nnn est un numro commenant par
000. La sous cl CurrentControlSet est une liaison au jeu de contrle actuel
celui que Windows 2000/2003 emploie. HKLM\SYSTEM\Select contient
une valeur appele Current cela indique lequel des contrle Windows
2000/2003 emploie.
(La cl Clone, prsente dans les versions antrieures de Windows NT, n'existe pas
dans Windows XP, 2003)
HKEY_USERS
Chaque sous cl de HKU est aussi une ruche, cest l que sont enregistrs lensemble
des profils dutilisateur (si tent soit que vous en ayez crs), la diffrence de
HKCU qui lui ne s'occupe que de lutilisateur actuellement connect.
HKEY_CURRENT_USER est une sous cl de HKEY_USERS.
HKEY_USERS contient les paramtres par utilisateur. HKU contient au moins trois
sous cls :
.DEFAULT contient les paramtres par-utilisateur que Windows emploie
pour afficher le bureau avant que n'importe quel utilisateur ne se connecte
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
301
l'ordinateur. Ce n'est pas la mme chose qu'un profil d'utilisateur par dfaut,
que Windows emploie pour crer des paramtres pour des utilisateurs la
premire fois qu'ils se connectent l'ordinateur.
SID, o SID est l'identificateur de scurit de l'utilisateur de la console
(l'utilisateur de la console contient par exemple les paramtres du clavier),
contient des paramtres par-utilisateur. HKCU est un lien avec cette cl. Cette
cl contient des paramtres comme les prfrences du bureau de l'utilisateur
et des paramtres du Panneau de configuration.
SID_Classes, o SID est l'identificateur de scurit de l'utilisateur de la
console, contient par-utilisateur les enregistrements de classe et associations
de fichier. Windows fusionne le contenu de cls
HKLM\SOFTWARE\Classes et HKU\SID_CLASSES dans HKCR.
Vous verrez d'autres SIDs dans HKU voir ci-dessous.
Le premier est SID, SID est l'identificateur de scurit de l'utilisateur actuel.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
302
S-1-5-18 est SID bien connu pour le compte LocalSystem. Windows charge ce
profil quand un programme ou service fonctionne dans le compte LocalSystem.
S-1-5-19 est SID bien connu pour le compte LocalService. Service Control Manager
emploie ce compte pour lancer les services locaux qui ne pas tre lancer comme le
compte LocalSystem.
S-1-5-20 est SID bien connu pour le compte NetworkService. Service Control
Manager emploie ce compte pour lancer les services rseau qui ne doivent pas tre
lanc comme le compte LocalSystem.
La deuxime sous cl est SID_CLASSES, qui contient les fichiers (extensions)
utilisateur associs leurs applications.
Copier partir de HKLM\SOFTWARE\Classes pour former
HKEY_CLASSES_ROOT.
Voici un exemple de SID : S-1-5-21-553393301-1521681255-927750060-1004
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-500 Administrator
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-501 Guest
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-502 krbtgt
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-512 Domain Admins
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-513 Domain Users
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-514 Domain Guests
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-515 Domain Computers
S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-516 Domain Controllers
Des utilisateurs gnraux pourraient tre assigns avec des SIDS se terminant par des
numros quatre chiffres commenant 1000. Mon domaine a un utilisateur appel
"Pixel", dont le SID se termine par 1003 et un autre utilisateur, "Pixel1", dont le SID
se termine par 1006.
S-1-5-domain-517 Cert Publishers
S-1-5-root domain-518 Schema Admins
S-1-5-root domain-519 Enterprise Admins
S-1-5-root domain-520 Group Policy Creator Owners
S-1-5-domain-553 RAS and IAS Servers
Groupes Locaux intgrs
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-544 Administrators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-545 Users
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-546 Guests
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-547 Power Users
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-548 Account Operators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-549 Server Operators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-550 Print Operators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-551 Backup Operators
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-552 Replicator
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-554 Pre-Windows 2000 Compatible
Access
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-555 Remote Desktop Users
S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-556 Network Configuration Operators
Groupes spciaux
\CREATOR OWNER S-1-1-0x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
\EVERYONE S-1-1-0x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
NT AUTHORITY\NETWORK S-1-1-2x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
303
NT AUTHORITY\INTERACTIVE S-1-1-4x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-
xxx
NT AUTHORITY\SYSTEM S-1-1-18-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
NT AUTHORITY\LOCALSERVICE S-1-1-19-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
NT AUTHORITY\NETWORKSERVICE S-1-1-20-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx
Rappel : Voici quelques identifiant de scurit SID
Authority - Subauthority Authority Name Description
0 Null The basic Identifier Authority.
0 - 0 Nobody Used when there is no
security.
1 World The basic Identifier Authority.
1 - 0 Everyone Everyone: all users, guest, and
anonymous users.
2 Local The basic Identifier Authority.
3 Creator The basic Identifier
Authority.
3 - 0 Creator/Owner The owner of an object.
3 - 1 Creator/Group The primary group of the owner.
3 - 2 Creator/Owner Server Not used after Windows NT 4.
3 - 3 Creator/Group Server Not used after Windows NT 4.
4 Non-unique The basic Identifier Authority.
5 NT The basic Identifier Authority.
Most work with Windows XP
users will be in the NT authority
(that is, the SID will begin with S-
1-5).
5 - 0 (undefined) Not used in Windows XP.
5 -1 Dialup Used for users who are logged on to
the system using a dial-up
connection.
5 - 2 Network Used for users who are logged on to
the system using a LAN connection.
5 - 3 Batch Used for users who are logged on to
the system in a batch queue facility.
5 - 4 Interactive Used for users who are logged on to
the system interactively (a locally
logged on user).
5 - 5 - X - Y Logon Session Used for users who are logging on
to the system. The X and Y values
identify the logon session.
5 - 6 Service Used for a Windows XP service.
5 - 7 Anonymous Used for users who are logged on
anonymously to the system.
5 - 8 Proxy Not used after Windows NT 4.
5 - 9 Enterprise Controllers Used to identify Active Directory
domain controllers.
5 - 10 (undefined) Undefined in Windows XP.
5 - 11 Authenticated Users Used for users who have
been authenticated by the system
and are logged on.
5 - 12 Restricted Code Unknown in Windows XP.
5 - 13 Terminal Server User Used for users who are
logged on to the system using
Microsoft Terminal Server.
5 - 18 Local System The local computer's system
account.
This subauthority is new to Windows
XP.
5 - 19 Local Service The local computer's service
account. This subauthority is new to
Windows XP.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
304
5 - 20 Network Service The computer's network
service account.
5 - 21 Non-Unique A non-unique value to
identify specific users.
5 - 32 Domain Used with domains to
identify users.
Pour voir quels profils Windows a charg ainsi que le fichier de ruche qui correspond
chaque ruche, voir dans la cl HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ProfileList. Cette cl contient une sous cl pour chaque profil
que le systme d'exploitation a dj charg. Le nom de la sous cl est le nom de la
ruche dans HKU et la valeur ProfileImagePath contient le chemin vers le fichier de
ruche, qui est toujours Ntuser.dat. ProfileList ne mentionne pas les ruches
SID_Classes, cependant; il contient seulement les ruches de profil utilisateur.
D'autres sous cls dans HKU appartiennent aux utilisateurs secondaires. Par
exemple, si vous employez la commande Excuter (Run) comme la commande pour
lancer un programme avec un nom d'utilisateur diffrent, le systme d'exploitation
charge les paramtres de ce compte d'utilisateur dans HKU. Cette particularit,
appele secondary logon, permet aux utilisateurs de lancer des programmes avec
privilges levs sans exiger en ralit de se connecter avec un compte diffrent.
Par exemple, si je suis connect sur l'ordinateur employant le compte Jerry, qui est
dans le groupe d'Utilisateurs avec Pouvoir, mais j'ai besoin de faire quelque chose
dans un programme en tant qu'administrateur, je maintiens la touche Maj, avec le
bouton droit sur le programme, puis Run As et tape ensuite le nom du compte
d'Administrateur et le mot de passe.
Le programme fonctionne sous le compte d'Administrateur et, dans ce cas, HKU
contient des paramtres pour les deux comptes Jerry et l'Administrateur. Cette
technique empche l'erreur humaine aussi bien que les virus opportunistes.
Rappel : Windows 2000 limite la taille du registre, alors que Windows XP et
Windows 2003 Serveur ne le font pas.
HKEY_CURRENT_USER
Cette cl racine est une liaison vers HKU\SID, o SID est l'identificateur de scurit
de l'utilisateur dans la console, s'occupe du confort individuel des utilisateurs
actuellement dclars, profil utilisateur de l'utilisateur connect (musique
douverture, couleur du mulot, gris- gris divers apposs sur le Bureau ...). Les
dossiers de l'utilisateur, les couleurs d'cran et les paramtres du Panneau de
configuration sont stocks ici. Cette information est mentionne comme le profil d'un
utilisateur (Documents and Settings\User_Name).
HKEY_CURRENT_CONFIG
HKCC est une liaison aux donnes de configuration pour l'actuel profil matriel
choisi lors du boot du PC, situ dans la cl
HKLM\SYSTEM\CurrentcontrolSet\Hardware Profiles\Current. son tour,
Current est une liaison vers la cl
HKLM\SYSTEM\CurrentcontrolSet\Hardware Profiles\nnnn, o nnnn est un
numro croissant qui commence par 0000.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
305
HKEY_DYN_DATA
Gre tout particulirement les paramtres dynamiques de Windows. En bref,
lensemble des donnes qui sont sans cesse modifies.
Comme not plus tt, dans l'diteur de registre vous voyez cinq cls racine. Deux de
ces cls racine ont une prominence spciale parce que Windows 2000/2003
sauvegarde en ralit leur contenu dans des fichiers. Ceux-l sont
HKEY_LOCAL_MACHINE et HKEY_USERS. L'emplacement de ces fichiers n'est
pas important pour le moment.
Les cls racine restantes sont des liaisons (links), dont vous avez dj appris.
HKEY_CURRENT_USER est un lien vers une sous cl dans HKEY_USERS.
HKEY_CLASSES_ROOT et HKEY_CURRENT_CONFIG sont des liens vers la
sous cl dans HKEY_LOCAL_MACHINE.
Attention : quand on cr de nouvelles cls le respect des majuscules ou minuscules
est indispensable.
Les informations de chaque ruche sont subdivises en cls qui s'apparentent aux
rpertoires d'un disque dur. Chaque cl peut contenir d'autres cls (sous-cls) ou
des entres de configuration, appeles valeurs, similaires aux fichiers ou aux
programmes stocks sur un disque dur.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
306
Ces entres de configuration peuvent prendre diffrentes valeurs, la manire des
variables dans un langage de programmation. Lorsqu'une valeur doit tre modifie
dans le Registre, il est ncessaire de spcifier le chemin d'accs complet cette
valeur.
Par exemple, la valeur HKEY LOCAL_MACHINE\System\CurrentControlSet\
Control\Setup\pointeur peut tre modifie ; toute modification changera par ailleurs
la configuration d'une section du systme d'exploitation
HKEY-LOCAL _MACHINE est la ruche (les abrviations utilises
pour les ruches sont HKCR, HKCU, HKLM, HKU et HKCC).
System\CurrentControlSet\Control\Setup dsigne l'ensemble des cls
et des sous-cls utilises pour naviguer vers la valeur slectionne.
pointeur est le nom du paramtre dont la valeur peut tre lue ou
modifie.
Microsoft sauvegarde chaque sous cl d'HKEY_LOCAL_MACHINE comme un
fichier de ruche dans SystemRoot\System32\Config.
D'abord, HKLM\HARDWARE n'a pas de fichier de ruche. Pourquoi ? Windows
2000/2003 cre dynamiquement cette ruche pour chaque dmarrage du systme
d'exploitation et il ne sauve pas cette ruche sur le disque quand il s'arrte.
HKU\.DEFAULT est la ruche que le systme d'exploitation emploie en priorit
avant que n'importe quel utilisateur se connecte l'ordinateur et il stocke son fichier
de ruche avec tous les autres fichiers de ruche par ordinateur.
HKU\SID et HKU\SID_CLASSES sont des fichiers de ruche par utilisateur. La
surprise est ici que le systme d'exploitation ne les stocke pas tous la mme place.
Il met HKU\SID dans UserProfile\Ntuser.dat. HKU\SID_Classes dans
UserProfile\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.
La diffrence signifie quelque chose, cependant.
Si le profil d'utilisateur est un profil errant, Windows 2000/2003 synchronisent
Ntuser.dat avec la copie en rseau du profil de l'utilisateur, mais cela ne
synchroniseront pas UsrClass.dat parce que les paramtres locaux sont dans un
dossier non-errant.
Hive Hive File
HKLM\HARDWARE Plug and Play Manager
HKLM\SAM SystemRoot\System32\config\Sam
HKLM\SECURITY SystemRoot\System32\config\Security
HKLM\SOFTWARE SystemRoot\System32\config\Software
HKLM\SYSTEM SystemRoot\System32\config\System
HKU\.DEFAULT SystemRoot\System32\config\Default
HKU\SID UserProfile\Ntuser.dat
HKU\SID_ Classes UserProfile\LocalSettings\Application
Data\
Microsoft\Windows\UsrClass.dat
HKU\DEFAULT. %SYSTEMROOT%\System32\config\default.
HKU\SID %USERPROFILE%\Ntuser.dat
HKU\SID_Classes %USERPROFILE%\Local Settings \Application
Data\Microsoft\Windows\UsrClass.dat.
On trouve la liste des ruches charges dans la base de registre par XP la clef :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist.
Les fichiers ruches ne comportent pas d'extension.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
307
Windows 2000/2003 sauvegarde chaque fichier de ruche avec deux autres fichiers
(dans Windows\System32\Config). Les fichiers avec l'extension de fichier .log
sont des logs de transaction de tous les changements introduit dans une ruche. Pour
chaque ruche, XP/2003 cre des fichiers de sauvegarde avec l'extension .SAV
la fin de lInstall de Windows. Les utilisateurs de Windows 98 peuvent tablir un
parallle entre le fichier Systme.1st et les fichiers avec l'extension de fichier
.SAV .
HKLM\SYSTEM est une ruche si importante que c'est le seul pour lequel
Windows 2000 cre une copie de secours employant le fichier avec une extension
.alt (LastKnownGood).
L'extension ALT a t supprime sous Windows XP/ 2003 Server. Elle correspond
HKEY_LOCAL_MACHINE\System pour Windows NT/2000.
Retenons enfin qu'il n'existe pas sous Windows XP et 2003 de limite physique pour
la taille de la base de registre contrairement Windows 2000. Pour connatre la
taille occupe par la base de registre, un utilitaire issu du Ressource Kit de
Windows 2000 fonctionne trs bien. Il s'agit de DuReg.EXE, "Registry Size
Estimator", utilitaire en ligne de commande, tlchargeable sur le site de Microsoft
ou la section FTP (630 Ko). Cet utilitaire ne donne que la taille occupe par les
donnes contenues dans la base de registre et ne tient donc pas compte de l'espace
libre galement contenu dans la base de registre
Trois moyens pour changer la scurit qui affectent significativement Windows
2000/2003 :
Permissions Windows 2000/2003 a de nouvelles botes de dialogue de scurit (voir
menu Edition, puis Autorisations...).
Remote Access Tandis que Windows NT Poste de travail 4.0 permet chacun sur le
rseau de se connecter au Registre, Windows 2000/2003 limite l'accs
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
308
l'Administrateurs et oprateurs de sauvegarde. Windows 2000/2003 emploie toujours
winreg pour contrler l'accs distant au registre.
HKLM\SAM Deux choses ici. D'abord, les contrleurs de domaine stockent
l'information de scurit maintenant dans Active Directory et le stockent seulement
dans la SAM pour l'utilisation dans le mode restauration d'Active Directory ou dans
un environnement en mode mixte. Deuximement, par dfaut, Windows 2000/2003
chiffre maintenant le contenu d'HKLM\SAM en employant Syskey.
Cl A partir de quoi la cl est construite lors du boot du PC
HKEY_LOCAL_MACHINE:
HARDWARE Plug and Play Manager
SAM SAM hive file
SECURITY SECURITY hive file
SOFTWARE SOFTWARE hive file
SYSTEM SYSTEM hive file
HKEY_CLASSES_ROOT SYSTEM hive file, Classes subkey
HKEY_USERS_DEFAULT DEFAULT hive file
HKEY_USERS\Sxxx Particular users NTUSER.DAT file
HKEY_CURRENT_USER Particular users NTUSER.DAT file
Remarquez que HKEY_LOCAL_MACHINE\HARDWARE n'a pas de ruche.
C'est que la cl est reconstruite chaque fois que vous dmarrez, aussi le Serveur
2003 peut s'adapter aux changements de matriel. Le gestionnaire Plug and Play,
qui fonctionne lors du boot, recueille l'information que le Serveur a besoin pour
cre HKEY_LOCAL_MACHINE\HARDWARE.
Les profils d'utilisateur locaux sont dans \Documents and Settings\username, o
chaque utilisateur obtient un rpertoire nomm avec son nom. Par exemple, je cre
un utilisateur nomme marc, ainsi son profile sera stock dans \Documents and
Settings\marc sur mon ordinateur. Dedans, je trouve les fichiers ntuser.dat et
ntuser.dat.log.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
309
Outils de Gestion du Registre
Registry Editor. C'est l'outil principale (regedit.exe) que vous employez pour diter
des les paramtres du registre
Console Registry Tool for Windows (Reg.exe). Cet outil d'dition du registre est en
mode ligne de commande et supporte la plupart des fonctionnalits de Regedit.
L'objectif de cet outil consiste en ce qu'il vous permet d'diter des scripts dans des
fichiers batch.
WinDiff. Cet outil est inclus avec Windows Support Tools, dont vous l'installez
partir de \Support\Tools sur le CD de Windows. C'est le meilleur programme que j'ai
trouv pour la comparaison de fichiers, une technique utile pour dpistage de
modification dans le registre.
Microsoft Word 2002. Cette application ne ressemble pas un outil de gestion du
registre, mais j'emploie Word quand WinDiff n'est pas utilisable pour comparer des
fichiers donc je peux trouver o un programme stocke un paramtre dans le
registre. J'emploie aussi Word pour diter des scripts.
Le Registre peut tre modifi directement au moyen de deux applications fournies
par Windows 2000/NT 4.0 (pas pour Windows 2003 uniquement Regedit.exe) :
%systemroot%\system32\regedt32.exe et %systemroot%\ regedit.exe. Ces
deux versions permettent aux utilisateurs de consulter et de modifier les cls et les
valeurs pour lesquelles ils disposent d'une autorisation. Toutefois, il existe certaines
diffrences subtiles entre ces programmes. Regedit.exe tait fourni l'origine avec
Windows 95 et ne dispose pas, ce titre, de fonctionnalits permettant de contrler
les paramtres de scurit. Windows 95/98 ne dispose pas du sous-systme de
scurit intgr NT/Windows 2000/2003 Server et n'importe qui peut modifier
directement une portion du Registre.
Regedt32.exe tait intgr NT 3.1 et fournit des commandes de menu
Scurit permettant un administrateur d'interdire et d'enregistrer l'accs aux
paramtres du Registre, Il existe d'autres diffrences, mais seule celle qui est
relative aux paramtres de scurit nous intresse ici.
L'diteur de registre, "Regedit.exe", dans la version Server 2003 fournit beaucoup
d'amliorations et particularits commodes qui vous permettent de faire les choses
suivantes :
Faites tous vos changements en employant un diteur de registre,
Regedit.exe. Regedit.exe de Windows Server 2003 combine les particularits
des deux diteurs de registre de Windows 2000 (Regedit.exe et
Regedt32.exe) dans un programme simple. Regedit.exe de Windows Server
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
310
2003 permet l'importation de parties du registre qui a t sauvegards en
employant les versions de Regedit32.exe inclus avec Windows NT 4.0 et
Windows 2000.
Excutez des recherches en employant des critres que vous spcifiez. Les
amliorations d'excution vous permettent de voir des rsultats de recherche
plus rapidement que pour les versions prcdentes.
Sauvegardez des sous-cles gnralement employes ou difficiles trouver
ainsi que des entres dans une liste de favoris pour un accs plus rapide dans
l'avenir.
Retour un emplacement dans le registre, parce que l'diteur de registre
enregistre et ouvre le dernier emplacement que vous avez vu.
Exportez tous ou une partie de contenu du registre vers un fichier qui peut
tre lu en employant un diteur de texte comme le Bloc-notes. L'Information
contenue dans ces fichiers exports est logiquement organise et tiquet.
Le nom d'une clef est limit 512 caractres ANSI ou 256 caractres UNICODE (ce
langage tant celui pas dfaut pour Windows). On peut utiliser tout symbole ASCII
autre que (\), (*), et (?). Tous les noms commenant par un (.) sont rservs XP.
Les valeurs de chaque clef ou sous-clef de la base de registre ont toutes un nom, un
type ou valeur et des donnes. Un peu comme le disque dur qui contient des
dossiers (clef), des fichiers (valeur) lesquels renferment des donnes. C'est ainsi que
sont nomms les titres des colonnes de l'diteur de la base de registre. Le nom d'une
valeur a les mmes limites que le nom des clefs. Les diffrents types de valeurs sont
expliqus un peu plus bas. Quant aux donnes contenues dans les valeurs, il peut
s'agit de donnes nulles ("null" en anglais), vides ("empty" en anglais) ou dfinies.
Une donne null est exprime par "valeur non dfinie" dans l'diteur de la base de
registre. Si la donne est vide, on trouvera deux guillemets ("").
Il existe de nombreux types de donnes, tant prcis que l'on trouvera
majoritairement les types REG_BINARY, REG_DWORD, et REG_SZ.
REG_BINARY. Donne binaire affiche en numration hexadcimale.
REG_DWORD. Affichant souvent des valeurs boolennes (0 pour VRAI et 1 pour FAUX),
exprimant parfois l'unit de temps en millisecondes (o la donne "1000" signifiera donc 1
seconde).
REG_DWORD_BIG_ENDIAN. Idem que ci-dessus avec l'octet de poids fort stock en
premier en mmoire. Trs rare sur une plate-forme i386.
REG_DWORD_LITTLE_ENDIAN. L'inverse que ci-dessus, et c'est en fait la prsentation
classique de REG_DWORD.
REG_EXPAND_SZ. Texte contenant une longueur variable. Par exemple, un programme
s'appuyant sur une donne REG_EXPAND_SZ qui contient %USERPROFILE% tendra
cette valeur comme tant "C:\Documents and Settings\Pierre\.
REG_FULL_RESOURCE_DESCRIPTOR. Liste les ressources utilises par un pilote ou un
priphrique. Voir par exemple ici :
HKLM\HARDWARE\DESCRIPTION\System\MultifunctionAdapter\0.
REG_LINK. C'est un lien. On ne peut pas en crer.
REG_MULTI_SZ. Valeur contenant une liste de donnes qui sont spares par une donne
nulle (0x00). La fin de liste est dfinie par deux caractres nuls.
REG_NONE. Valeur sans donne dfinie.
REG_QWORD. Comme le type type REG_DWORD sauf qu'au lieu d'tre sur 32 bits, on est
sur 64 bits. Il faut donc XP pour plateformes 64 bits pour rencontrer ce type de donnes.
REG_RESOURCE_REQUIREMENTS_LIST. Listes des resources requises par un
priphrique. On ne peut que voir ces ressources, pas les diter ou les modifier.
REG_SZ. Text de taille fixe, type trs rpandu dans la base de registre.
Le terme de ruche dsigne un ensemble de cls, de sous-cls et de valeurs qui figure
en haut de la hirarchie du Registre. Par dfaut, la plupart des fichiers de ruche (
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
311
DEFAULT, SAM, SECURITY, SOFTWARE et SYSTEM ) sont stocks dans un
fichier unique et un fichier .log se trouvant dans les dossiers
racine_systme\System32\Config ou unit_systme\Documents and
Settings\nom_utilisateur
Le Registre contient galement certaines informations ncessaires au
fonctionnement de Windows 2000 et 2003, telles que des mots de passe crypts et
des donnes relatives la performance. Si ces informations taient librement
accessibles tout utilisateur, la scurit d'une entreprise serait clairement
compromise.
Par ailleurs, la modification ou la suppression par un utilisateur de certaines
sections du Registre risqueraient d'entraner des plantages systme ou encore de
rendre tout amorage impossible. Il est donc primordial de contrler trs
soigneusement l'accs au Registre et d'enregistrer dans le journal d'audit les
tentatives d'accs effectues par les utilisateurs.
Exemples pour optimiser les recherches pour trouver des donnes le plus rapidement
sont :
Limiter votre recherche HKCR quand vous voulez trouver des valeurs lies aux
associations de fichier (liens). Pour cette question, faites une recherche progressive
(incrmentielle) pour acclrer des choses.
Regarder seulement dans les branches HKCU\Software et HKLM\SOFTWARE
pour trouver les paramtres de programmes. Et si vous connaissez les noms (marque)
du vendeur ainsi que du programme, vous pouvez aller directement la cl qui
contient ses paramtres parce que vous savez que des programmes stocke leurs
paramtres dans HKCU ainsi que dans HKLM dans la branche
Software\Company\Program\Version.
Chercher HKCU si vous savez que vous cherchez des paramtres par-utilisateur,
recherchez dans HKLM si vous savez que vous cherchez des paramtres par-
machine.
Recherche dans la branche HKLM\System si vous tes la recherche de pilotes et
de services.
Une varit d'outils shareware est disponible pour rechercher des informations du
registre. Ils possdent beaucoup plus de fonctions avancs que Regedit et est conu
spcifiquement pour cela.
http://www.zdnet.com/downloads ou http://www.tucows.com.
Voici quelques adresses :
Registry Crawler 4.0 http://www.4developers.com
Registry Toolkit http://www.funduc.com
Resplendent Registrar http://www.resplendence.com
Registry Detective http://www.pcmagazine.com
REMARQUE :
A la diffrence de l'audit ralis sur les fichiers et dossiers, l'audit du Registre est
effectu quel que soit le systme de fichiers utilis. Que Windows soit install sur une
partition FAT ou une partition FAT32, l'administrateur sera toujours en mesure de
modifier les paramtres de scurit du Registre.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
312
========================================================================
Pour activer l'audit d'une cl spcifique du Registre, slectionnez cette cl, puis l'Editeur du Registre,
regedit.exe, puis la commande Autorisations du menu Edition. Une bote de dialogue s'affiche. Pour
consulter ou dfinir les options d'audit, cliquez sur Paramtres Avancs.
========================================================================
La bote de dialogue Paramtres de scurit avancs apparat l'cran. Cliquez sur
longlet Audit pour consulter les paramtres d'audit en cours dans la bote de
dialogue Audit.
========================================================================
Effectuer une sauvegarde de la base de registre :
Cliquez sur " Dmarrer " puis " Excuter ". Tapez : msinfo32.exe puis validez par OK. S'ouvre les "
Information systme Microsoft ". Cliquez sur " Outils " puis sur " Vrification du registre " et
validez encore par OK. Windows vient de sauvegarder votre registre. C' est le genre de manipulation
faire avant toute manuvre dlicate !
========================================================================
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
313
Exportation et Importation
Exporter le registre cre un fichier texte avec l'extension .reg que vous pouvez
diter via n'importe quel diteur de texte. Ce fichier contient toute l'information
exige pour dcrire les sous cls et des valeurs de ces sous cl que vous exportez; en
fait, vous pouvez importer un fichier .reg de nouveau vers le registre.
Jusqu' ce point, vous avez employ Regedit pour travailler avec le registre. Vous
pouvez aussi exporter des sous cls vers un fichier .reg et les diter en
employant un diteur de texte comme le Bloc-notes de Microsoft.
Exportation
Voici comment exporter tous ou une partie du registre :
========================================================================
1. Lancer Regedit, cliquez sur la sous cl au sommet de la branche que vous voulez exporter vers un
fichier .REG .
2. Dans le menu du registre, cliquez sur Fichier puis sur Exportation....
3. Dans le Nom de fichier, taper le nom du fichier dans lequel vous voulez exporter le registre.
4. Dans la bote d'exportation, choisir un des lments suivants :
Pour exporter le registre entier, cliquez sur Tous.
Pour exporter la sous cl, cliquez sur Branche slectionne.
Regedit supporte deux formats pour les fichiers .REG , la version 4 et la version 5. Les versions
prcdentes de Regedit supportent seulement la version 4 alors que Windows 2000/2003 supporte
l'Unicode pour la Version 5. La version 4 pour les fichiers .REG supporte elle des fichiers texte
type ANSI.
========================================================================
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
314
Voici un exemple de fichier .reg pour la version 5 :
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Sample]
"String"="Jerry Honeycutt"
"Binary"=hex:01,02,03,04,05,06,07,08
"DWORD"=dword:00004377
"Expandable String"=hex(2):25,00,55,00,53,00,45,00,52,00,00,00
"MultiString"=hex(7):48,00,65,00,6c,00,6c,00,6f,00,00,00,00
[HKEY_CURRENT_USER\Sample\Subkey]
Voici un exemple de fichier .reg pour la version 4 :
REGEDIT4
[HKEY_CURRENT_USER\Sample]
"String"="Jerry Honeycutt"
"Binary"=hex:01,02,03,04,05,06,07,08
"DWORD"=dword:00004377
"Expandable String"=hex(2):25,55,53,45,52,00
"MultiString"=hex(7):48,65,6c,6c,6f,00,00
[HKEY_CURRENT_USER\Sample\Subkey]
La premire ligne d'une version 5 pour le fichier .REG contient toujours
"Windows Registry Editor version 5.00" qui identifie le fichier comme un fichier
.REG. La version 4 le fichier .REG commence par "REGEDIT4".
Importation
Typiquement dans Windows 2000/2003, vous pouvez importer un fichier .REG de
plus d'une manire. Le premier est le plus pratique et vous permet d'importer le
fichier sans dmarrer Regedit. A partir du menu contextuel cliquer sur Fusionner sur
ou, encore plus facile, double cliquez sur le fichier. Si vous employez cette mthode
pour importer un fichier .REG tandis que Regedit est ouvert, assurez-vous que vous
avez appuy sur la touche F5 pour rafrachir l'affichage pour que Regedit reflte ces
changements. La deuxime mthode emploie Regedit :
========================================================================
1. Dans le menu Fichier, cliquez sur Importation.
2. Dans la bote d'Importation, choisissez le fichier .REG que vous voulez importer vers le registre.
3. Cliquer sur Ouvrir.
Regedit affiche un message qui dit "says Information in filename has been successfully entered into
the Registry " aprs importation du fichier .REG.
Soyez prudent ne pas double-cliquer accidentellement sur un fichier .REG. Regedit le fusionnera
automatiquement dans le registre.
========================================================================
Les fichiers .REG ressemblent beaucoup aux fichiers classiques .INI et sont faciles
diter. Ouvrez les fichiers .REG avec le Bloc-notes en cliquant sur dition du
menu contextuel.
Valeur Existe dans le .reg ? Valeur Existe dans le Registre? Action
NON NON AUCUNE
NON OUI AUCUNE
OUI NON Regedit
ajoute la
valeur
OUI OUI Regedit
change la
valeur
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
315
La commande Regedit
La manire suivante vous donne un bref rsum des options en ligne de commande :
REGEDIT [/S] nom de fichier
REGEDIT /E nom de fichier [sous cl]
filename : Chemin et nom du fichier du fichier .REG vous voulez Exporter ou
importer.
/E : Exporte la sous cl vers le fichier .REG.
/S : Importe un fichier .REG sans confirmation de cet opration et sans montrer un
message quand est excut.
Importer un fichier de registre (.reg) vers lditeur de registre :
REGEDIT [/L:system] [/R:user] filename1
Comment crer un objet de registre partir dun fichier :
REGEDIT [/L:system] [/R:user] /C filename2
Comment exporter le registre (ou une partie du registre):
REGEDIT [/L:system] [/R:user] /E filename3 [regpath1]
Comment supprimer une partie du registre:
REGEDIT [/L:system] [/R:user] /D regpath2
/L:system Specifies the location of the system.dat file. Note that there is a
colon
between the /L and the parameter system.
/R:user Specifies the location of the user.dat file. Note that there is a colon
between the /R and the parameter user.
filename1 Specifies the file(s) to import into the registry.
/C filename2 Specifies the file to create the registry from. Note that there is a
space
between the /C and the parameter filename2.
/E filename3 Specifies the file to export the registry to. Note that there is a space
between the /E and the parameter filename3.
regpath1 Specifies the starting registry key to export from (defaults to
exporting
the entire registry).
/D regpath2 Specifies the registry key to delete. Note that there is a space
between the
/D and the parameter regpath2.
Employez l'option ligne de commande /E pour exporter une sous cl. Omettez la sous
cl et Regedit exporte le registre entier.
Regedit cre des fichiers .REG version 5, qui sont seulement compatibles avec
Windows 2000/2003. Notez que la sous cl doit tre un nom entirement qualifi et il
doit commencer par le nom de la cl racine, pas son abrviation. Par exemple, la
commande suivante exporte HKCU\CONTROL Panel\desktop :
Regedit /E Docfiles.reg "hkey_classes_root\Control Panel\desktop"
Pour importer un fichier .REG, spcifiez son nom de fichier sans autres options de
ligne de commande : regedit filename.
Regedit importe le fichier .REG de la mme manire qu'il le ferai par le biais de
l'diteur de registre.
Quand vous importez un fichier de REG, Regedit confirme si vous voulez vraiment
fusionner le fichier dans le registre.
Le message dit "Are you sure you want to add the information in filename to the
registry? ". Cliquez sur Oui pour achever l'opration.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
316
C'est une amlioration qui par rapport aux versions prcdentes de Regedit, qui vite
les accidents en important aveuglment n'importe quels fichiers .REG sur lequel des
utilisateurs ont accidentellement double cliqu. Aprs qu'il finit la fusion du fichier,
Regedit montre un message qui dit
"Information in filename has been successfully entered into the registry".
Vous pouvez supprimer les deux messages (mode silencieux) en employant l'option
de ligne de commande /S. Cette option, qui doit tre la premire option sur la ligne
de commande.
Cela vous permet d'utiliser l'diteur dans des fichiers Batchs.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
317
Sauvegarder une Ruche
Le fichier de ruche est une meilleure solution que des fichiers de .REG pour
sauvegarder le registre. Quand vous importez un fichier de ruche contenant une cl,
Regedit remplace compltement la cl actuelle et toutes ses sous cls par le contenu
du fichier de ruche. Cela signifie que Regedit enlve n'importe quelle valeur que
vous avez ajout depuis la sauvegarde du registre vers le fichier de ruche.
C'est une bonne manire de sauvegarder des branches avant de les diter.
Ne confondez pas ce que vous avez juste appris au sujet de l'exportation et de
l'importation de fichiers de ruche avec le chargement et le dchargement de ceux-ci.
Quand vous importez un fichier de ruche, vous faites des changements aux parties
qui sont utilises par le registre.
Quand vous chargez un fichier de ruche, vous crez une nouvelle branche entire que
Windows n'emploient pas. Cela ne lit pas ou change ces paramtres, mais ils sont
visibles dans Regedit, donc vous pouvez les examiner.
La dcharge du fichier de ruche enlve juste le fichier du registre. Vous pouvez
dcharger seulement des fichiers de ruche que vous avez manuellement charg, pas
ceux chargs par Windows.
Tandis que l'importation d'un fichier de ruche est une bonne faon de rtablir une
branche entire, alors que charger un fichier de ruche est un bonne mthode de
restaurer des paramtres trs prcis ou juste vrifier une valeur particulire. D'abord
chargez le fichier dans le registre : Cliquez sur HKLM ou bien HKU dans Regedit;
dans le menu Fichier, cliquer sur charger, taper le nom du fichier de ruche qui
contient vos paramtres et cliquer ensuite sur Ouvrir. Regedit vous propose un nom
de cl et vous pouvez taper n'importe quel nom arbitraire qui vous aidera identifier
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
318
la ruche. Vous verrez alors ce fichier de ruche sous la cl racine dans lequel vous
l'avez charg.
La cl Backup Desktop Settings est une ruche contenant une copie de secours
d'HKCU\CONTROLPanel\Desktop\ que j'ai charg dans le registre.
Outil d'Enregistrement de Console pour Windows (Reg.exe). Cet outil en ligne de
commande est inclus dans Windows et fournit la plupart des particularits de Regedit
plus d'autres.
Vous pouvez l'employer pour sauvegarder des cls vers fichiers de ruche. Vous
pouvez aussi l'employer pour restaurer, charger et dcharger des fichiers de ruche.
Reg.exe offre les fonctions suivantes :
Ajouter
Sauvegarder (seulement dans les versions antrieur Windows 2000)
Comparer (seulement dans des versions de 2000 et plus ancien)
Copier
Supprimer
Exportation (seulement dans des versions de 2000 et plus ancien)
Importation (seulement dans des versions de 2000 et plus ancien)
Charger
Interroger
Restaurer
Sauvegarder
Dcharger
Mise jour (seulement trouv dans versions avant Windows 2000)
Avec Reg.exe , sauvegarder un fichier de ruche est la mme chose que
l'exportation alors que la restauration d'un fichier de ruche est la mme chose que
l'Importation. La meilleure partie est une des particularits uniques de l'outil : la
capacit de copier une cl vers une autre cl, crant une copie rapide de secours dans
le registre. Si par exemple, je peux copier HKCU\Control Panel\Desktop\ vers
HKCU\CONTROLPanel\JH_Backup\ avec une commande simple.
Quand un priphrique ne fonctionne pas juste , votre meilleure option est bien
souvent d'enlever et de redtecter le priphrique. Vous enlevez un priphrique en
employant le Gestionnaire de Priphriques.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
319
Redmarrer l'ordinateur et ensuite laisser Windows le redtecter. Si le systme
d'exploitation ne fait pas automatiquement, utiliser l'assistant pour le dtecter.
REG ADD RegistryPath=value [data type][\\Machine]
C:\ REG ADD HKLM\Software\MyCo\MyApp\Version=1.00
The operation completed successfully.
C:\ REG query HKLM\Software\MyCo\MyApp\Version
REG_SZ Version 1.00
C:\
REG BACKUP RegistryPath OutputFileName [\\Machine]
C:\ REG backup HKLM\Software\MyCo\MyNewApp c:\temp\MyCo
The operation completed successfully.
C:\ dir c:\temp\myco.*
Volume in drive C is (c) - Boot drive
Volume Serial Number is CC56-5631
Directory of c:\temp
07/17/99 09:34a 8,192 MyCo
1 File(s) 8,192 bytes
183,407,104 bytes free
C:\
REG QUERY Keyname1 Keyname2 [/v valuename or /ve] [/oa | /od | /os | /on] [/S]
REG COPY OldPath [\\Machine] Newpath [\\Machine]
C:\ REG query HKLM\Software\MyCo\MyApp\
Listing of [Software\MyCo\MyApp\]
REG_SZ Version 1.00
C:\ REG copy HKLM\Software\MyCo\MyApp\ HKLM\Software\MyCo\MyNewApp
The operation completed successfully.
C:\ REG query HKLM\Software\MyCo\MyNewApp
Listing of [Software\MyCo\MyNewApp]
REG_SZ Version 1.00
C:\
REG DELETE RegistryPath [\\Machine] [/F]\
C:\ REG query HKLM\Software\MyCo\MyApp\Version
REG_SZ Version 2.00
C:\ REG delete HKLM\Software\MyCo\MyApp\Version
Permanently delete registry value Version (Y/N)? y
The operation completed successfully.
C:\ REG query HKLM\Software\MyCo\MyApp\Version
The system was unable to find the specified registry key.
C:\
REG EXPORT keyname filename
C:\ REG export HKLM\TEMP\ myreg.exp
The operation completed successfully.
C:\
REG IMPORT filename
C:\ REG import myreg.exp
The operation completed successfully.
C:\
REG LOAD FileName keyname [\\Machine]\
C:\ REG load c:\temp\myco HKLM\TEMP\
The operation completed successfully.
C:\ reg query HKLM\TEMP /s
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
320
Listing of [TEMP\]
REG_SZ Version 1.00
C:\
REG QUERY Keyname [/v valuename or /ve] [/s]
REG QUERY FileName RegistyPath [\\Machine]
C:\ REG backup HKLM\Software\MyCo\MyNewApp c:\temp\MyCo
The operation completed successfully.
C:\ REG restore c:\temp\myco HKLM\Software\MyCo\MyNewApp
Are you sure you want to replace Software\MyCo\MyNewApp (Y/N) y
The operation completed successfully.
C:\
REG SAVE RegistryPath OutputFileName [\\Machine]
C:\ REG save HKLM\Software\MyCo\MyNewApp c:\temp\MyCo.reg
The operation completed successfully.
C:\ dir c:\temp\myco.reg
Volume in drive C is (c) - Boot drive
Volume Serial Number is CC56-5631
Directory of c:\temp
07/17/99 09:18a 8,192 MyCo.reg
1 File(s) 8,192 bytes
183,407,104 bytes free
C:\
REG UNLOAD keyname [\\Machine]
C:\ REG unload HKLM\TEMP\
The operation completed successfully.
C:\ reg query HKLM\TEMP /s
The system was unable to find the specified registry key.
C:\
REG UPDATE RegistryPath=value [\\Machine]
C:\ REG query HKLM\Software\MyCo\MyApp\Version
REG_SZ Version 1.00
C:\ REG update HKLM\Software\MyCo\MyApp\Version=2.00
The operation completed successfully.
C:\ REG query HKLM\Software\MyCo\MyApp\Version
REG_SZ Version 2.00
C:\
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
321
Utilisation de "System Restore" ou Restauration
du Systme
Le systme de restauration permet de mettre votre ordinateur dans un tat prcdent
sans perdre les informations personnelles rcentes, comme les documents, listes
d'historiques, favoris, ou courrier lectronique. Il contrle l'ordinateur et beaucoup
d'applications et cre reconstituent des points de restauration. Par dfaut, les
Windows cre des points de restauration quotidiennement et quand des vnements
significatifs comme l'installation d'une application ou pilotes de priphriques
surviennent.
Le systme de restauration cre diffrents types de points de restauration :
Initial system checkpoints. Le systme cre des points de contrle de systme
initiaux quand Windows dmarre pour la premire fois. La restauration ce point
rtablie Windows et ses programmes leur tat immdiatement aprs installation de
celui-ci.
System checkpoints. Le systme de restauration cre des points de restauration
rgulirement, mme si le systme ne change pas. Par dfaut, il cre des points de
contrle systme chaque 24 heures. Si vous arrtez l'ordinateur pendant plus de 24
heures, le Systme de Restauration crera un point de contrle systme la prochaine
fois vous dmarrerez Windows.
Installation checkpoints. Le systme de Restauration cre des points de contrle
d'installation quand vous installez des programmes qui emploient des technologies
d'installation rcentes, donc vous pouvez rtablir l'ordinateur son tat avant
installation des programmes. Pour changer compltement les changements faits par
d'autres programmes rtablissez le point de contrle le plus rcent.
Automatic update checkpoints. Le systme de Restauration cre un point de
restauration avant la mise jour Windows (Automatic Update ou Windows Update).
Manual checkpoints. Le systme de Restauration ou un script peut tre employ
pour crer votre propre point de restauration.
Restore operation checkpoints. Le systme de Restauration des points de contrle
d'opration chaque fois vous rtablissez un point de contrle. Vous employez des
points de contrle d'opration pour dfaire la restauration si vous n'aimez pas les
rsultats.
Unsigned device driver checkpoints. Le systme de Restauration cre un point se
restauration quand vous installez un pilote non sign.
Si le pilote non sign remet en cause la stabilit de votre ordinateur, vous pouvez
rtablir l'ordinateur son tat avant l'installation de ce pilote de priphrique.
Backup utility recovery checkpoints. Le systme de Restauration cre un point se
restauration avant que vous utilisiez Backup (sauvegarde) pour excuter une
restauration. Vous pouvez rtablir l'ordinateur si la restauration laisse votre
ordinateur dans un tat douteux.
Le systme de Restauration exige au moins 200 Mo d'espace disque disponible. Si
200 Mo d'espace n'est pas disponible, Windows dsactive le Systme de
Restauration. Par dfaut, Windows alloue 12 pour cent du disque dur (ou 400 Mo sur
les disques durs qui sont plus petits que 4 GB). Vous pouvez aussi configurer la
quantit d'espace disque que le Systme consomme.
(voir : Panneau de Configuration, puis onglet restauration du systme, puis
Paramtres.).
Voici comment crer un point de restauration
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
322
========================================================================
1. Bouton Dmarrer.., Tous les Programmes, Accessoires, Outils Systme, restauration du
systme.
Ou "Run %SYSTEMROOT%\System32\Restore\rstrui.exe".
Choisissez Cr un point de Restauration, puis sur Suivant.
2. Dans la bote de Description du Point se Restauration, tapez un nom descriptif pour ce point de
restauration, puis sur Crer. (le Systme ajoute la date et l'heure au nom du point de restauration.)
========================================================================
Pour restaurer un point de contrle :
Dmarrer le Systme de Restauration en utilisant l'une des trois mthodes, voir la
procdure prcdente.
========================================================================
1. Choisissez Restaurer mon ordinateur une heure prcdente et cliquez ensuite sur Suivant.
2. Choisissez le point se restauration que vous voulez reconstituer et ensuite cliquer sur Suivant.
Le systme de restauration maintient pendant 90 jours les points de contrle, tant donn s'il y a assez
d'espace disque, vous pouvez vous dplacer dans le calendrier pour voir les points de restauration
crs pour chaque jour.
3. Cliquez sur une date et cliquez ensuite sur le point se restauration dans la liste.
4. Cliquez sur Suivant de nouveau et Windows redmarre, donc il peut rtablir votre configuration au
point de contrle choisi.
========================================================================
Si parfois votre configuration devient instable, vous ne serez pas capables de
dmarrer Windows normalement. Cela vous laisse la possibilit de la faire avec le
Mode sans Echec.
Dans ce mode, vous ne pouvez pas crer des points de restauration, mais vous
pouvez rtablir ceux dj crs.
Beaucoup de fichiers et de dossiers que le Systme de Restauration utilise sont super
cach, donc vous ne les verrez moins que vous ne spcifiez d'afficher les fichiers
systme et les fichiers cachs. Dans l'Explorateur de Windows, cliquez sur Outils,
puis Options des dossiers, puis onglet Affichage, choisissez Afficher les fichiers et
dossiers cachs, puis dcocher Masquer les fichiers protgs du systme
d'exploitation.
Les fichiers des diffrents points de restauration sont dans
%SYSTEMROOT%\System32\Restore.
cot d'un fichier de programme rstrui.exe, vous trouverez un autre fichier super-
cach "filelist.xml", qui inscrit les fichiers ainsi que les paramtres que le Systme
de Restauration surveille.
Double cliquez sur ce fichier pour voir l'XML dans Internet Explorer. Il exclut
quelques fichiers de configuration, comme par exemple Win.ini, System.ini,
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
323
Autoexec.bat et Config.sys. Il exclut aussi quelques dossiers, dont la plupart ne sont
pas important pour la stabilit du systme d'exploitation. Ce qui est intressant dans
cette liste, c'est la liste des extensions de fichiers qu'il inclut. Le systme protge tout
les .EXE, .DLL, .VBS et les fichiers .VXD. Il contrle les fichiers de ruche par-
utilisateur inscrits dans la cl HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ProfileList.
Les actuels points de restauration sont dans le dossier "System Volume
Information" de chaque volume.
System Volume Information contient un sous dossier appel _restoreGUID, o
GUID est le GUID de l'ordinateur.
Par exemple, mon ordinateur a _restore{4545302B-EA51-4100-A7E2-
C7A37551AA83}. Au-dessous de ce dossier il y a un sous dossier pour chacun des
points de restauration appel RPN, o N est un nombre croissant commenant par 1.
RPN contient les copies de secours de fichiers changs et supprims.
Le systme de Restauration change les noms des fichiers, donc vous ne trouverez pas
de fichiers manquants ou de documents.
Le sous-dossier appel \snapshot est dans RPN. Il contient les copies de secours des
fichiers de ruche de l'enregistrement. Si vous avez accs System Volume
Information, vous pouvez charger ces fichiers de ruche dans Regedit, les examiner,
ou rcuprez des paramtres partir de ceux-ci.
Les fichiers de ruche d'enregistrement se trouvent dans \snapshot :
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_SID
_REGISTRY_USER_USRCLASS_SID
Le Systme de Restauration consomme une peu de ressources de votre ordinateur
quand il contrle le systme de fichiers pour vrifier les changements et le mettant
hors service cela peut vous permettre de rcuprer des ressources.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
324
========================================================================
Pour dsactiver le service Systme de Restauration, Bouton Dmarrer, puis Tous les programmes,
Accessoires, puis Outils Systme, puis Restauration du Systme.
Choisissez Paramtres de la Restauration Systme.
Cochez Dsactiver la Restauration du Systme sur tous les lecteurs.
========================================================================
Deux stratgies sont disponibles pour grer le Systme de Restauration.
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\SystemRestore est la
cl o vous trouverez tous les paramtres concernant le Systme de Restauration. En
gnral tous les paramtres dans la liste suivante sont de type REG_DWORD :
CompressionBurst. Cette valeur spcifie le temps d'inoccupation en secondes utilis
pour la compression. C'est le temps utilis pour compresser des donnes aprs que
l'ordinateur devienne inoccup. Le systme de restauration peut compresser des
donnes uniquement pendant le temps indiqu et ensuite il doit s'arrter et attendre la
prochaine fois que l'ordinateur devient inoccup.
DiskPercent and DSMax. Ces valeurs spcifient ensemble combien d'espace disque
le Systme de Restauration utilisera. Pour les disques durs plus petit que 4 GB, le
Systme de Restauration utilisera 400 MO, qui est la valeur de dfaut de DSMAX.
Pour des disques durs plus grand que 4 GB, le Systme de Restauration utilisera 12
pour cent, qui est la valeur de dfaut de DiskPercent.
DSMin. Cette valeur spcifie la quantit { minima d'espace disque libre que le
Systme de Restauration exige pendant le processus d'installation. Cette valeur
spcifie aussi la quantit minima d'espace disque que le Systme de Restauration
besoins pour ractiver et reprendre la cration de points de restauration aprs
Windows l'est mis hors service en raison d'espace disque faible.
RestoreStatus. Cette valeur indique si le dernier point de restauration rencontrer
des problmes (0x00), finit avec succs (0x01), ou a t interrompu (0x02).
RPGlobalInterval. Cette valeur spcifie le temps en secondes que le Systme de
Restauration attend entre la cration de points de contrle. La valeur par dfaut est de
24 heures, ou 0x15180.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
325
RPLifeInterval. Cette valeur spcifie le temps en secondes que le Systme de
Restauration garde ces points de restauration avant leurs suppressions de l'ordinateur.
La valeur par dfaut est 0x76A700, ou 90 jours.
RPSessionInterval. Cette valeur indique spcifie le temps en secondes que Systme
de Restauration attend avant qu'il ne cre des points de contrle lorsque l'ordinateur
est allum. La valeur par dfaut est zro, mettant hors de service cette particularit.
Vous pouvez changer cette valeur en 0xE10 pour crer un point de restauration
chaque heure tant que l'ordinateur est allum. Sur un ordinateur que vous
personnalisez souvent, comme un ordinateur de laboratoire, vous pourriez crer un
point de restauration chaque heure.
ThawInterval. Cette valeur spcifie le temps en secondes que le Systme de
Restauration attend avant qu'il ne se ractive aprs que l'espace disque adquat
devienne disponible. Dmarrer l'interface utilisateur du Systme de Restauration et il
sera r active immdiatement.
Cependant, vous pouvez mettre hors de service le Systme de Restauration en
modifiant la valeur de DisableSR en 0x01 et faisant en sorte donc que cela n'enlve
les points de restauration existant comme cela fait quand vous mettez hors de service
le Systme de Restauration via l'interface utilisateur.
Vous pouvez aussi utiliser l'outil de sauvegarde fournit par dfaut pour Windows.
Pour ouvrir cet utilitaire de sauvegarde, Bouton Dmarrer, Tous les Programmes,
Accessoires, Outils Systme et ensuite Utilitaire de Sauvegarde (ou utiliser la
commande "ntbackup.exe").
Cette commande possde un nombre impressionnant d'options possible que vous
pourriez utiliser dans un script.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
326
Sauvegarder le Registre Rgulirement
L'utilitaire Backup existe depuis les premires versions de Windows.
Windows 2003 Serveur apporte quelques amliorations significatives. Le premier est
la copie fantme "shadow copy". Une ombre de volume est une copie exacte du
contenu d'un disque dur, incluant des fichiers ouverts. Les utilisateurs peuvent
continuez avoir accs aux fichiers sur le disque dur tandis que l'Utilit de
Sauvegarde les sauvegarde pendant vers un volume de "copie fantme". De cette
faon, il copie correctement des fichiers qui changent pendant le processus de
secours.
La copie assure que les programmes peuvent continuer crire vers leurs fichiers sur
le volume, des fichiers ouverts ne sont pas oublis de la sauvegarde et la sauvegarde
du systme ne bloque pas les d'utilisateurs.
Pour ouvrir l'utilitaire de Sauvegarde, cliquer sur Dmarrer..., Tous les Programmes,
Accessoires, Outils Systme et Utilitaire de Sauvegarde.
Par la ligne de commande, vous pouvez utiliser "Ntbackup". L'utilitaire de
Sauvegarde possde beaucoup d'options que vous pouvez utiliser via des scripts;
vous pouvez avoir plus d'information sur ces options avec l'Aide sur l'Utilitaire de
Sauvegarde.
Pour sauvegarder les fichiers et dossiers d'un ordinateur, les utilisateurs doivent
appartenir aux groupes : Administrateurs, Oprateur de Sauvegarde. S'ils ne sont pas
dans aucun de ces groupes, ils doivent au moins avoir comme permission "lire" sur
chaque fichier et dossier qu'ils veulent sauvegarder. Alternativement, vous pouvez
donner la permission de pouvoir restaurer ou sauvegarder les fichiers et rpertoires.
Monthly Dplacez la plus rcente sauvegarde complte hors site (enregistr sur la
bande 5).
Weekly Sauvegarder le serveur en entier sur la bande (enregistr sur les bandes de 1
4).
Daily Sauvegarde les fichiers changs sur bande et marquer ces fichiers comme
archiv (enregistr sur les bandes de 6 9).
Le jeu de sauvegarde inclut l'information systme, les dossiers de travail des
utilisateurs, des documents, des dossiers de courrier, des profils errants d'utilisateur
etc....
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
327
Les sauvegardes "Normales" contiennent les fichiers de tout le serveur; les
sauvegardes Incrmentielles contiennent seulement les fichiers qui ont chang
depuis la dernire sauvegarde normale ou incrmentielle.
La deuxime partie d'une bonne stratgie est l'automatisation. Vous ne continuerez
jamais dans votre plan de sauvegarde si vous ne faites pas d'automatisation.
L'utilitaire de Sauvegarde intgre un gestionnaire de tches.
Dans l'Utilit de Sauvegarde, vous ne voyez pas une option qui permette de
sauvegarder le registre. En outre, si vous essayez de sauvegarder les fichiers de ruche
dans %SYSTEMROOT%\System32\config, vous chouerez. Au lieu de cela, vous
sauvegarderez des donnes systmes de Windows. Les donnes d'tat du systme
sont la combinaison des composants de systme suivants (des donnes Active
Directory, SYSVOL et plus) :
Registre
COM+ Class Registration database
Les fichiers de boot, incluant les fichiers systmes
Les fichiers systmes qui sont protgs par Windows
Pour sauvegarder le registre, vous devez copier toutes les donnes d'tat du systme.
De mme, pour restaurer le registre, vous devez rtablir toutes les donnes d'tat du
systme. Cela fait l'utilitaire de sauvegarde une manire pas trs pratique de restaurer
le registre si c'est seulement cela que vous essayez de faire.
L'utilitaire de Sauvegarde ne sauvegarde pas et ne restaure pas tout sur l'ordinateur.
La cl HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore contient
deux sous cls intressantes.
La premire sous cl, "FilesNotToBackup", contient une liste de fichiers et de
dossiers que l'utilitaire de sauvegarde ne sauvegarde pas. Chaque valeur contient un
chemin ne pas traiter, et ces valeurs contiennent souvent des caractres de
remplacement. La deuxime sous cl,
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
328
"KeysNotToRestore", contient une liste de cls ne pas restaurer dans l'ordinateur.
De mme, chaque valeur contient une cl ne pas traiter, et vous voyez des
caractres de remplacement dans beaucoup de ces valeurs.
L'utilitaire de sauvegarde ne sauvegarde pas les points de restauration du systme,
parce que \System Volume Information \_restoreGUID\* est dans
"FilesNotToBackup". Il ne restaure pas les Informations Plug and Play, parce que
CurrentControlSet\Enum\ est dans "KeysNotToRestore".
La restauration des donnes d'tat du systme partir d'une sauvegarde est
semblable la sauvegarde des donnes d'tat de systme. Si tout ce que vous avez
sauvegard tait les donnes d'tat du systme, restaurer juste la sauvegarde
entirement.
Restaurer les fichiers vers un emplacement supplmentaire. L'utilitaire de
Sauvegarde vous dit qu'il ne restaurera pas toutes les donnes d'tat du systme vers
un emplacement alternatif, mais ne vous inquiter pas; il rtablit les fichiers de ruche
du registre.
Quand vous rtablissez des donnes d'tat du systme vers un dossier, les fichiers
de ruche sont dans le sous-dossier \Registry. Vous pouvez charger ces fichiers de
ruche dans Regedit et copier ensuite les paramtres de ceux-ci vers le registre.
Restaurer les donnes d'tat du systme vers un emplacement supplmentaire est le
meilleur choix si vous voulez rtablir un nombre limit de fichiers ou de paramtres.
Vous ne devez pas toujours restaurer une sauvegarde et en arriver la copie de
secours du registre. Si la sauvegarde la plus rcente contient les paramtres que
vous voulez restaurer, vous serez heureux de savoir que l'utilitaire de sauvegarde
copie les fichiers de ruche vers %SYSTEMROOT%\repair. N'essayez pas de
remplacer les fichiers de ruche qui sont dans %
SYSTEMROOT%\System32\config avec la copie qui est dans
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
329
%SYSTEMROOT %\repair parce que ces fichiers sont actuellement utiliss par
Windows. Vous pouvez charger les fichiers de ruche de sauvegarde dans Regedit
pour modifier les paramtres, ou vous pouvez dmarrer la Console de Rcupration
et copier ensuite les fichiers de ruche de sauvegarde vers
%SYSTEMROOT%\System32\config.
L'utilitaire de sauvegarde met les paramtres par ordinateur dans les donnes d'tat
du systme, mais il ne sauvegarde pas les paramtres par utilisateur partir des
dossiers de profil des utilisateurs. Ces paramtres sont dans chaque dossier de profil
dans le fichier "Ntuser.dat". N'oubliez pas les enregistrements de classe par-
utilisateur que Windows stocke sont dans %USERPROFILE%
\LocalSettings\Application Data\Microsoft\Windows\UsrClass.dat. Vous devez
choisir ceux-ci manuellement ou bien en les choisissant dans la Sauvegarde ou bien
la Restauration par le biais de l'assistant.
Vous pouvez employer le Systme de Restauration pour fixer les profils des
utilisateurs parce qu'il sauvegarde les paramtres des profils dans la cl
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.
Options de Menu Avanc
Windows vous offre quelques options pour dmarrer l'ordinateur. Le mode Sans
Echec est l'exemple le plus commun. Dans le Mode Sans Echec, Windows emploie
des paramtres par dfaut avec un jeu minimum de pilotes de priphriques exigs
pour dmarrer le systme d'exploitation. Quand vous ne pouvez pas dmarrer
Windows normalement, vous pouvez normalement dmarrer dans le Mode Sans
Echec et rparez ensuite le problme ou employez le Systme Restauration pour
rtablir un point de restauration de contrle. Vous pouvez aussi enlever des
programmes en employant Ajout ou Suppression de Programmes et dsinstaller les
pilotes qui ne fonctionnent plus.
Pour dmarrer en Mode Sans Echec ou un des autres modes, vous devez afficher le
menu d'Options Avanc.
D'abord redmarrer l'ordinateur. Quand vous voyez le message, "Please select the
operating system to start," la presser la touche F8 et choisir ensuite une des options
dans le menu :
Safe Mode. Dmarre Windows en utilisant des fichiers et des pilotes de base (souris,
moniteur, clavier, stockage de masse, vido de base et services systme par dfaut
sans connexions rseau). Si Windows ne dmarrer pas employer le mode sans
chec, vous pourriez devoir employer la Console de Rcupration pourrparer
Windows.
Safe Mode With Networking. Dmarre Windows en utilisant des fichiers et des
pilotes de base, comme dcrit ci-dessus, mais inclut des connexions rseau.
Safe Mode With Command Prompt. Dmarrer Windows en utilisant des fichiers
et des pilotes de base. Aprs le "loging" sur le systme d'exploitation, vous voyez
une invite de commande au lieu de l'interface graphique utilisateur.
Enable Boot Logging. Dmarrer Windows et journalise tous les pilotes et services
que le systme d'exploitation essaye de charger. Le fichier de journalisation est
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
330
"Ntbtlog.txt" et il est dans le dossier %SYSTEMROOT%. Safe Mode, Safe Mode
with Networking, et Safe Mode with
Command Prompt ajoutent ce journal une liste de tous les pilotes et services que
Windows charg. Le journal est utile pour dterminer quel pilote ou le service
empche Windows de dmarrer correctement.
Enable VGA Mode. Dmarrer Windows en utilisant un pilote VGA de base. Ce
mode est utile aprs l'installation d'un nouveau pilote pour la carte vido quand il fait
que Windows ne dmarre pas correctement. Windows emploie toujours le pilote
VGA de base quand vous dmarrer dans le Safe Mode,
Safe Mode with Networking, ou Safe Mode with Command Prompt
Last Known Good Configuration. Windows dmarre en utilisant des fichiers de
ruche et des pilotes que Windows sauvegarder la dernire fois qu'il s'est arrt.
N'importe quels changements faits depuis le dernier dmarrage couronn de succs
est perdu. Utiliser la Dernire Bonne Configuration Connue seulement quand le
problme est dans la configuration parce qu'il ne rsout pas de problmes causs par
des fichiers manquants ou corrompus.
Directory Service Restore Mode. Restaure le rpertoire "SYSVOL" et le service
Active Directory sur un serveur. Cette option est sans effet sur Windows XP.
Debugging Mode. Dmarre Windows et envoie les informations de mise au point
"debugging " un autre ordinateur par un cble srie.
Si vous tes incapables de dmarrer Windows en utilisant l'interface graphique
utilisateur, vous pouvez normalement dmarrer en employant le Safe Mode with
Command Prompt. Pour lancer le Systme de Restauration, et rtablir un de
restauration de contrle, excuter la commande %SYSTEMROOT%
\System32\Restore\rstrui.exe.
Si le Mode Sans Echec ne vous permet pas de rsoudre le problme, essayez la
Console de Rcupration. Elle offre des commandes qui vous aide fixer une
varit de problmes lis au systme. Vous pouvez activer ou dsactiver des
services; formater des disques; lire et crire des fichiers sur un volume local en
NTFS; et excutez certains nombres d'autres tches administratives.
Vous pouvez copier des fichiers d'une disquette ou CD vers %SYSTEMROOT%
pour remplacer fichiers systme altrs. La console de Rcupration est utile
seulement si vous tes dj familiers avec la commande MS-DOS et vous devez
vous connecter l'ordinateur comme un administrateur pour pouvoir l'employer.
Console de Rcupration
Vous Dmarrez la Console de Rcupration de deux manires :
A partir du CD d'installation de Windows. Dmarrez l'ordinateur en boutant sur le
CD d'installation de Windows et le programme d'installation vous propose une
option pour dmarrer la Console de Rcupration.
A partir de la liste du systme d'exploitation quand l'ordinateur dmarrer.
D'abord installez la Console de Rcupration sur l'ordinateur en tapant
"D:\i386\winnt32.exe /cmdcons" dans la bote de dialogue Excuter,
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
331
Redmarrer l'ordinateur et choisissez la Console de Rcupration dans la liste du
systmes d'exploitation.
La stratgie que vous pouvez activer pour ajouter plus de possibilit la Console de
Rparation est nouvelle pour Windows XP et 2003.
The policies Recovery console : Permettez la connexion automatique
administrative.
Recovery console : Permettre la copie sur disquette et l'accs tout les lecteurs et
dossiers qui sont dans la stratgie administrative pour cet ordinateur dans \Windows
Settings\Security Settings\Local Policies\Security Options.
Enable Recovery console : Permet la connexion automatique administrative la
Console de Rparation comme l'Administrateur.
Set Recovery console : Permet la copie sur disquette et l'accs tout lecteurs et
dossiers (l'accs est limit la Console de Rparation dossier %SYSTEMROOT%
par dfaut). Aprs avoir activer cette stratgie, vous configurez la Console de
Rparation en positionnant les variables d'environnements.
Taper set variable = true | false l'invite de commande.
Setting Default Description
AllowWildCards False Enable wildcards for some
commands
AllowAllPaths False Allow access to all files and
folders
AllowRemovableMedia False Allow file copying to removable
media
NoCopyPrompt False Don't prompt to overwrite existing
files
Automated System Recovery
Crez des sauvegardes ASR frquemment comme faisant partie de votre stratgie.
C'est le dernier recours pour le rtablissement du systme, utile seulement si vous
avez puis les autres options que j'ai dcrit dans ce chapitre, incluant le Mode Sans
Echec, la Dernire Bonne Configuration Connue et la Console de Rparation.
Le rtablissement du Systme Automatis (ASR) est un processus en deux parties.
La premire partie doit sauvegarder le contenu de l'ordinateur en utilisant l'assistant
ASR, qui est dans l'utilitaire de sauvegarde. L'assistant sauvegarde les donnes d'tat
du systme, les services et tous les composants de systme d'exploitation. Il cre
aussi un fichier qui contient l'information sur les donnes sauvegardes, la
configuration des disques et comment restaurer l'ordinateur. ASR ne supporte pas la
restauration des fichiers de donnes, des programmes, etc...
Il sauvegarde seulement les fichiers ncessaires au dmarrage de l'ordinateur en cas
d'chec. Voici comment se prparer pour un Rtablissement du Systme Automatis
========================================================================
Dmarrer l'utilitaire de sauvegarde.
1. Cliquez sur Dmarrer, puis Tous les Programmes, puis Accessoires, Outils Systme et Utilitaire
de Sauvegarde. Cliquez sur Menu Avanc.
2. Suivre les instructions affiches.
========================================================================
La deuxime partie du processus est de restaurer l'ordinateur. Vous employez ASR
par pression la touche F2 quand le programme d'installation vous y incite. Le
rtablissement du Systme Automatis lit la configuration du disque partir du
fichier cr plus tt et restaure toutes les signatures des disques, tous les volumes et
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
332
disques contenant les fichiers du systme d'exploitation. (Il essaye de restaurer tous
les disques de l'ordinateur, mais ne peut tre capable de le faire avec succs.) le
Rtablissement du Systme Automatis installe alors un Windows minimum et
ensuite rtablit la sauvegarde cre par l'assistant de Prparation de Rtablissement
du Systme
Automatis. Le processus est semblable une rinstallation de Windows
manuellement et ensuite restaure votre propre sauvegarde. Cela est automatis.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
333
Renommez une icne
Vous renommez une icne sans la commande "Renommer" du menu contextuel en
ditant son enregistrement de "class". Changez la valeur de "LocalizedString".
Vous voyez que l'ID de classe de la Corbeille est {645FF040-5081-101B-9F08-
00AA002F954E}. Renommer l'icne en Poubelle aux Ordures, positionner la valeur
de la cl HKCR\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}. Puis,
cliquer sur le bureau et presse F5 pour rafrachir son contenu. La valeur
"LocalizedString" contient d'habitude quelque chose comme
@%SystemRoot%\system32\SHELL32.dll,-8964, ce qui signifie que Windows
emploie la chane avec l'ID 8964 du fichier Shell32.dll. Remplacez tout cela par le
nouveau nom.
LocalizedString est une valeur de type REG_EXPAND_SZ, donc vous pouvez
employer des variables d'environnement.
Par exemple, positionner LocalizedString "Les dchets de%USERNAME" et
l'utilisateur Jerry voit les Dchets de Jerry au-dessous de l'icne. Vous pouvez faire
cela pour d'autres icnes aussi. Mon Ordinateur dont la classe ID est {20D04FE0-
3AEA-1069-A2D8-08002B30309D}. Changer LocalizedString de
HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} "lOrdinateur
de %USERNAME" et l'utilisateur Jerry voit l'Ordinateur de Jerry.
Vous ne voyez pas la valeur LocalizedString dans quelques enregistrements de
classe. L'absence de cette valeur indique que Microsoft n'a pas eu l'intention de
montrer les noms de ces objets dans l'interface utilisateur. Pour renommer une
classe qui ne contient pas cette valeur, change la valeur de dfaut d'HKCR\CLSID\
classID ou encore mieux, ajoutez-y la chane LocalizedString.
Personnaliser les icnes
Chaque enregistrement de classe contient la sous cl "DefaultIcon". La valeur par
dfaut de cette sous cl est l'icne que Windows emploie quand il affiche des objets
bass sur cette classe. Par exemple, la valeur par dfaut de "DefaultIcon" dans
HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} est l'icne que
Windows affiche quand il cre l'objet "Mon Ordinateur" dans l'interface utilisateur,
comme Explorateur Windows sur le bureau.
Pour employer une icne diffrente, changez la valeur par dfaut de "DefaultIcon".
Vous pouvez employer un chemin et le nom du fichier du fichier d'icnes, qui a une
extension ".ico", ou vous pouvez employer un chemin de ressource. Un chemin de
ressource est ou bien un "Nom, Index" ou bien "Nom, - reSid". Nom est le chemin
et le nom du fichier contenant l'icne, qui est d'habitude un fichier ".DLL" ou
".EXE". La plupart des icnes que Windows utilise viennent de
%SystemRoot%\System32\Shell32.dll. L'index est le numro d'index de l'icne,
commenant par 0.
ReSid est l'identificateur de ressource de l'icne. Les programmeurs assignent la
ressource IDs aux ressources qu'ils dposent dans des fichiers de programme,
incluant icnes, chanes, botes de dialogue, etc...
Addition d'Icnes au Bureau
Windows possde un bureau beaucoup plus sobre que les versions prcdentes. Par
dfaut, vous voyez seulement l'icne de la corbeille. Vous pouvez ajouter les icnes
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
334
typiques, quoique : Sur Proprits de l'Affichage du bureau, cliquer sur
Personnalise le Bureau de l'onglet Bureau. Dans la bote de dialogue d'Articles de
Bureau, choisissez les icnes que vous voulez montrer sur le bureau.
Si l'icne que vous voulez ajouter n'est pas un de ces quatre choix, si vous voulez
scripter ces changements, ou si vous voulez ajouter des icnes d'autres dossiers
spciaux, vous devez diter le registre. Tout les changement sont situs dans la
branche SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer.
Changez cette branche dans HKLM pour affecter tous les utilisateurs; changez le
dans HKCU pour affecter un utilisateur individuel.
Les sous cls "NameSpace" d'Explorer\ControlPanel, Explorer\Desktop et
Explorer\MyComputer dterminent le contenu de chaque dossier correspondant.
Vous ajoutez des icnes au Panneau de configuration, en ditant les sous cls
correspondantes.
Crer une nouvelle sous cl dans "NameSpace" et nommer le du nom de la classe ID
de l'objet que vous voulez ajouter.
Par exemple, pour ajouter une icne au bureau qui ouvre la bote de dialogue
"Excuter...", ajoute une nouvelle sous cl appele {2559A1F3-21D7-11D4-BDAF-
00C04F60B9F0} dans Desktop\Namespace. Puis rafrachissez le bureau en en
cliquetant et appuyant sur F5.
Vous pouvez ajouter des dossiers Mon Ordinateur, aussi. Dans ce cas, j'ai ajout
les Outils d'Administration et Connexion Rseau Mon Ordinateur.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
335
Folder Subkey
Control Panel ControPanel\NameSpace
Desktop Desktop\NameSpace
My Computer MyComputer\NameSpace
My Network Places NetworkNeighborhood\NameSpace
Remote Computer RemoteComputer\NameSpace
Dissimulation d'Icnes du Bureau
Avec les versions prcdentes de Windows, vous enleviez des icnes du bureau en
enlevant leurs sous cls de la cl "NameSpace". Cela causs souvent problmes ,
particulirement en enlevant le Voisinage Rseau du bureau.
Windows possde une disposition spciale pour la dissimulation d'icnes du bureau.
Vous enlevez des icnes du Bureau ou Mon Ordinateur en ditant dans HKLM ou
HKCU la branche SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer.
Pour cacher icnes dans Mon Ordinateur, ajoutez une valeur de type REG_DWORD
"HideMyComputerIcons" le nom est la classe ID de l'icne que vous voulez
cacher et mettre 0x01 cette valeur. Rafrachissez l'Explorateur pour voir vos
changements.
La dissimulation d'icnes du bureau est un peut plus complique. Dans
"HideDesktopIcons", vous voyez deux souscls :
"ClassicStartMenu" et "NewStartPanel". La premire sous cl dtermine les icnes
cacher quand Windows emploie le Menu Dmarrer classique. Le deuxime
dtermine les icnes se cacher quand Windows emploie le nouveau Menu Dmarrer.
Ajoutez une valeur de type REG_DWORD nomme pour la classe de l'icne ID
l'une ou l'autre sous cl pour le cacher dans cette vue. Mettez la valeur 0x01.
Par exemple, pour cacher la Corbeille quand le nouveau Menu Dmarrer est utilise,
cre une valeur de type REG_DWORD appele {645FF040-5081-101B-9F08-
00AA002F954E} dans la sous cl "HideDesktopIcons\NewStartPanel", et ensuite
mettre cette valeur 0x01. Cliquez sur le bureau et pressez ensuite sur F5 pour
rafrachir.
Personnalisation d'Associations de Fichier
Les associations de fichier contrlent les aspects comment Windows traite des
fichiers :
Quelles icnes Windows affiche pour un fichier
Quels applications sont lances quand les utilisateurs double cliquent sur des
fichiers
Comment l'Explorateur montre les types particuliers de fichiers
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
336
Quelles commandes apparaissent sur les menus contextuelles des fichiers
D'autres particularits, comme "InfoTips"
La valeur par dfaut d'une cl d'extension de fichier indique la classe de programme
avec laquelle il est associ. La sous cl "shell" de la classe de programme contient
des commandes que vous voyez sur le menu de contextuel.
Dans la figure ci-dessus, vous voyez les cls que Windows consulte quand vous
cliquez avec le bouton droit sur un fichier texte et cliquer ensuite Ouvrir. D'abord le
systme d'exploitation regarde l'extension du fichier dans HKCR.
La valeur par dfaut, montre dans la Figure ci-dessus, indique que la classe de
programme s'associ au fichier d'extension ".txt" est "txtfile". Donc le systme
d'exploitation regarde dans HKCR\TXTFILE pour la sous cl "shell" pour trouver
les commandes ajouter au menu contextuel. Par exemple, comme indiqu dans la
Figure ci-dessus, Windows ajoute Ouvrir au menu de raccourci et quand les
utilisateurs choisissent Ouvrir, il dirige la commande dans la commande sous cl.
La commande dans la commande sous cl est par dfaut "program" options "%1 ".
Le program est le chemin et le nom du fichier du programme qu'on veut lancer.
Vous employez %1 comme un lment de remplacement pour le fichier cible.
Windows ajoute le chemin et le nom du fichier cible la fin de la commande.
Une autre personnalisation prfre et celui que j'emploie probablement le plus, me
permet de rapidement ouvrir une invite ligne de commande avec comme dossier
courant le dossier sur lequel je travaillais.
J'ajoute la commande C:\WINDOWS\System32\cmd.exe /k cd "%1" la classes de
programme de commande.
Alors je clique avec le bouton droit sur un dossier et clique sur "CMD Prompt Here
" pour ouvrir une invite de commande sur ce dossier. C'est un temps rel gain de
temps. Voici les paramtres ajouter HKCR\Directory (rptez ces lments dans
HKCR\DRIVE) :
Dans HKCR\DIRECTORY\SHELL, crez la sous cl cmdhere.
Dans HKCR\DIRECTORY\SHELL\cmdhere, mettez la valeur par dfaut CMD Prompt
Here , ceci est le texte que vous verrez dans le menu contextuel.
Dans HKCR\DIRECTORY\SHELL\cmdhere, crez la sous cl "command".
Dans HKCR\Directory\shell\cmdhere\command, mettre C:\Windows\System32\cmd.exe
/k cd "%1".
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
337
Dmarrer l'Explorateur de Windows dans un
Dossier particulier
L'ide est d'ouvrir l'Explorateur de Windows sans tout le dsordre habituel, aussi
vous pouvez vous concentrer sur un simple dossier. Ajoutez la commande
explorer.exe /e, /root, /idlist, %I au programme de dossier de classe shell. Cliquez
avec le bouton droit dans n'importe quel dossier, choisissez la commande que vous
avez ajoute.
L'Explorateur de Windows s'ouvre avec ce dossier comme racine.
Voici paramtres que vous ajoutez au dossier de programme class :
Dans HKCR\FOLDER\SHELL, crez la sous cl fromhere.
Dans HKCR\FOLDER\SHELL\FROMHERE, faites en la valeur par dfaut de l'Explorer
partir d'ici, c'est le texte qui apparatra dans le menu contextuel.
Dans HKCR\FOLDER\SHELL\FROMHERE, crez la sous cl command.
Dans HKCR\FOLDER\SHELL\FROMHERE\COMMAND, mettez la valeur par dfaut
explorer.exe /e, /root, /idlist, %I.
Configuration du Contenu du Menu de Dmarrage
Si vous voulez modifier certains paramtres, vous devez savoir o les trouver dans le
registre.
Pour cela, aller dans
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Le
tableau ci-dessous dcrit les valeurs que vous pouvez ajouter cette cl s'ils ne sont
pas dj le prsent. Vous voyez deux sections dans ce tableau, la premire section,
"Class Start Menu", contient les valeurs qui affectent de Menu Dmarrer classique.
Le deuxime, "New Start Menu", contient les valeurs qui affectent le nouveau Menu
de Dmarrer, mieux connu comme Menu Dmarrer.
La plupart de ces paramtres sont de type REG_DWORD, mais certains sont de
type REG_SZ.
La valeur des donnes possibles pour l'un des paramtres seront 0x01, 0x02, etc, de
type REG_DWORD. Si les donnes possibles incluent NO ou YES, c'est une valeur
de type REG_SZ.
Classic Start Menu
Name Data
StartMenuAdminTools NOHide Administrative Tools
YES Display Administrative Tools
CascadeControlPanel NODisplay Control Panel as link
YES Display Control Panel as menu
CascadeMyDocuments NODisplay My Documents as link
YES Display My Documents as menu
CascadeMyPictures NODisplay My Pictures as link
YES Display My Pictures as menu
CascadePrinters NODisplay Printers as link
YESDisplay Printers as menu
IntelliMenus 0x00Don't use personalized menus
0x01Use Personalized Menus
CascadeNetworkConnections NODisplay Network Connections as link
YESDisplay Network Connections as menu
Start_LargeMFUIcons 0x00Show small icons in Start menu
0x01 Show large icons in Start menu
StartMenuChange 0x00Disable dragging and dropping
0x01Enable dragging and dropping
StartMenuFavorites 0x00Hide Favorites
0x01Display Favorites
StartMenuLogoff 0x00Hide Log Off
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
338
0x01Display Log Off
StartMenuRun 0x00Hide Run command
0x01Display Run command
StartMenuScrollPrograms NODon't scroll Programs menu
YESScroll Programs menu
New Start Menu
Start_ShowControlPanel 0x00 Hide Control Panel
0x01 Show Control Panel as link
0x02 Show Control Panel as menu
Start_EnableDragDrop 0x00 Disable dragging and dropping
0x01 Enable dragging and dropping
StartMenuFavorites 0x00 Hide Favorites menu
0x01 Show the Favorites menu
Start_ShowMyComputer 0x00 Hide My Computer
0x01 Show My Computer as link
0x02 Show My Computer as menu
Start_ShowMyDocs 0x00 Hide My Documents
0x01 Show My Documents as link
0x02 Show My Documents as menu
Start_ShowMyMusic 0x00 Hide My Music
0x01 Show My Music as link
0x02 Show My Music as menu
Start_ShowMyPics 0x00 Hide My Pictures
0x01 Show My Pictures as link
0x02 Show My Pictures as menu
Start_ShowNetConn 0x00 Hide Network Connections
0x01 Show Network Connections as link
0x02 Show Network Connections as menu
Start_AdminToolsTemp 0x00 Hide Administrative Tools
0x01 Show on All Programs menu
0x02 Show on All Programs menu and Start menu
Start_ShowHelp 0x00 Hide Help and Support
0x01 Show Help and Support
Start_ShowNetPlaces 0x00 Hide My Network Places
0x01 Show My Network Places
Start_ShowOEMLink 0x00 Hide Manufacturer Link
0x01 Show Manufacturer Link
Start_ShowPrinters 0x00 Hide Printers and Faxes
0x01 Show Printers and Faxes
Start_ShowRun 0x00 Hide Run command
0x01 Show Run command
Start_ShowSearch 0x00 Hide Search command
0x01 Show Search command
Start_ScrollPrograms 0x00 Don't scroll Programs menu
0x01 Scroll Programs menu
Paramtrer la Liste des Programmes
Frquemment Employe
Chaque fois vous lancer un programme, Windows l'ajoute la liste des programmes
frquemment employs que vous voyez dans le Menu Dmarrer.
Vous pourriez ne pas vouloir que chaque programme que vous lancez apparaissent
dans cette liste. Par exemple, je ne veux pas voir le Bloc-notes dans cette liste, je ne
veux non plus voir l'Invite de Commande. Vous pouvez choisir quels programmes
font et ne font pas partie de cette liste en personnalisant HKCR\Applications.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
339
HKCR\Applications contient des sous cls pour une varit de programmes que
Windows connat.
Le nom de chaque sous cl est le nom du fichier de programme. Ainsi, vous voyez la
sous cl "notepad.exe" et "explorer.exe" dans HKCR\APPLICATIONS. Si vous
voulez personnaliser cela pour un autre programme, ajoutez sa sous cl cette cl.
Par exemple, pour personnaliser si l'Invite de Commande apparat dans la liste des
programmes frquemment employe, ajoutez la sous cl "cmd.exe"
HKCR\APPLICATIONS. Alors, que pour empcher le programme de s'afficher
dans cette liste, ajoutez la valeur "NoStartPage" de type REG_SZ.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
340
Effacer la liste d'Historique
Pour que vous puissiez rapidement ouvrir des documents et des programmes que
vous employez frquemment, Windows maintient une listes d'historique. Ceux-ci
sont "MRU" ou "most recently used lists". Le tableau ci-dessous vous expose o
dans le registre le systme d'exploitation stocke ces listes. Purger ces listes en
enlevant les cls associes. Aprs l'enlvement de la cl "RecentDocs", assurez-vous
que vous avez supprim le contenu de %USERPROFILE %\Recent, aussi.
Location Subkey
Internet Explorer's
HKCU\Software\Microsoft\Internet Explorer\TypedURLs
address bar
Run dialog box
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Documents menu
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Common dialog
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
boxes \LastVisitedMRU
Search Assistant HKCU\Software\Microsoft\Search Assistant\ACMru
5001. Internet
5603. Files and folders
5604. Pictures, music, and video
5647. Printers, computers, and people
La cl "ACMru" contient une varit de sous cls, selon les types d'lments que
vous avez cherch. Par exemple, si vous cherchez des fichiers et des dossiers, vous
verrez la sous cl 5603, qui contient une liste de chanes de recherche diffrentes. Si
vous recherchez dans l'Internet en employant l'assistant de Recherche, vous verrez la
sous cl 5001. Vous pouvez enlever chaque sous cl individuellement pour purger un
type spcifique de la liste d'historique en question, ou peut enlever la cl "ACMru"
pour purger tous les lments de la liste d'historique.
Remarque : Pour vider les documents rcents
Lancer lditeur Regedit, puis localiser la cl :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, puis crer
une nouvelle valeur DWORD ClearRecentDocsOnExit, et lui appliquer la valeur
de 1.
Quelles applications sexcutent au dmarrage
de Windows ?
Les sous cls "Run" et "RunOnce"sont utiles pour excuter des programmes
automatiquement quand l'ordinateur dmarre ou quand les utilisateurs se connectent
l'ordinateur.
Les sous cls "Run" et "RunOnce" sont dans deux endroit diffrents. D'abord vous
voyez ces sous cls dans
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion. Les commandes ici
se lance quand n'importe quel utilisateur se connecte sur l'ordinateur.
Vous pouvez aussi voir ces sous cl dans
HKCU\Software\Microsoft\Windows\CurrentVersion. Les commandes dans cette
branche s'excutent aprs qu'un utilisateur spcifique se connecte Windows. Aussi,
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
341
Windows excute les commandes dans "Run" diffremment des commandes dans
"RunOnce".
Run. Windows excute les commandes dans cette sous cl chaque fois qu'un
utilisateur se connecter l'ordinateur.
RunOnce. Windows excute les commandes dans cette sous cl une fois et enlve
ensuite la cl de RunOnce aprs que la commande soit excute avec succs.
1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
3)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
5)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOn
ce
6) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
7) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Les commandes 4 et 5 sont excutes pendant le processus dinitialisation de
Windows.
Les cls 1 - 2 - 6 et 7 sont excutes lors de chaque connexion dun utilisateur.
La cl 3 correspond des applications excutes au dmarrage de Windows ou aprs
la dsinstallation dun programme.
Evidemment, aucune de ces cls ne sont traite lorsque Windows dmarre en mode
sans chec.
Pour ajouter une commande Run ou RunOnce dans HKLM ou HKCU, crez une
valeur de type REG_SZ qui a un nom arbitraire mais descriptif. Mettez la ligne de
commande que vous voulez excuter pour cette nouvelle valeur.
Par exemple, la cl Run dans HKCU a la valeur MSMSGS par dfaut et cette valeur
contient C:\Program Files\Messenge \msmsgs.exe" /background, qui excute
Windows Messenger chaque fois que l'utilisateur se connecte Windows.
"Logging" Automatiquement
Quelques utilisateurs n'aiment pas devoir se connecter Windows. Quand ils
redmarre l'ordinateur, ils veulent dmarrer compltement jusqu' avoir accs au
bureau sans arrter sans voir la bote de dialogue de connexion de Windows.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon est o
vous configurez le capacit de se connecter Windows automatiquement. D'abord
vous mettez la valeur REG_SZ de AutoAdminLogon 1, ce qui active cette
particularit. Rappelez-vous juste que c'est une valeur de type REG_SZ et pas
REG_DWORD.
Ensuite mettez les valeurs DefaultUserName et DefaultPassword le nom
d'utilisateur et le mot de passe que vous voulez employer pour vous connecter au
systme d'exploitation. Tous les deux sont des valeurs de type REG_SZ.
Pour finir mettez la valeur REG_SZ de DefaultDomainName au nom du domaine
qui authentifie votre nom et mot de passe.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
342
Name Type Data
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
AutoAdminLogon REG_SZ 0 | 1
DefaultUserName REG_SZ Name
DefaultDomainName REG_SZ Domain
DefaultPassword REG_SZ Password
Changement d'Information d'Utilisateur
C'est l'information que vous avez fourni quand vous avez install Windows. Vous
pouvez le changer. Les deux valeurs suivantes sont dans la cl :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion :
RegisteredOrganization. Le nom de l'organisation
RegisteredOwner. Le nom de l'utilisateur
Tous les deux sont des valeurs de type REG_SZ. Le changement de l'organisation
enregistre et des noms du propritaire n'affecte pas les applications installes.
AutoPlay
Setting Name Type
Data
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Enable Autoplay for CD and DVD drives NoDriveTypeAutoRun
REG_DWORD Bit 0x20
Enable Autoplay for removable drives NoDriveTypeAutoRun
REG_DWORD Bit 0x04
Panneau de configuration
La catgorie Panneau de configuration vous permet de cacher des icnes spcifiques
dans le Panneau de configuration. Crez une valeur de type REG_SZ dans la cl
"HKCU\Control Panel\don't load" et nommer la en employant le nom du fichier
.CPL que vous voulez cacher. Mettez cette valeur Yes pour montrer l'icne ou No
pour cacher l'icne. Le tableau ci-dessous montre les noms de fichier des .CPL qui
viennent avec Windows. Par exemple, pour cacher l'icne Options d'Internet,
ajoutez la valeur de type REG_SZ de Inetcpl.cpl don't load et mettre sa valeur sur
No.
File name Description
Access.cpl Accessibility Options
Appwiz.cpl Add Or Remove Programs
Desk.cpl Display Properties
Hdwwiz.cpl Add Hardware Wizard
Inetcpl.cpl Internet Properties
Intl.cpl Regional and Language Options
Joy.cpl Game Controllers
Main.cpl Mouse Properties and Keyboard Properties
Mmsys.cpl Sounds and Audio Devices Properties
Nusrmgr.cpl User Accounts
Nwc.cpl Client Service for NetWare
Odbccp32.cpl ODBC Data Source Administrator
Powercfg.cpl Power Option Properties
Sysdm.cpl System Properties
Telephon.cpl Phone and Modem Options
Timedate.cpl Date and Time Properties
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
343
Affichage de vos Favoris
Avec Windows, afficher la liste des Favoris d'Internet Explorer dans le Menu
Dmarrer vous permet de rapidement d'afficher un article de favori d'Internet
Explorer. Ouvrez simplement les Proprits de la Barre de tche, et l'tiquette
Avanced, activer l'affichage des Favoris. Faire le mme changement dans le registre,
suivez ces tapes :
1. une invite de commande, crez un nouveau dossier (utiliser la commande MD)
nomm WWW dans l'emplacement suivant : "%UserProfile %\Start
Menu\WWW". Assurez-vous de mettre "" dans cette commande parce que c'est un
long nom de fichier.
2. Copier tous vos favoris, typiquement dans %UserProfile %\Favorites, votre
nouveau dossier %UserProfile %\Start Menu\WWW.
3. Dans le registre, allez
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CurrentVers
ion\Explorer\User Shell Folders.
4. diter la valeurd'entre des Favoris, changeant sa valeur
"%UserProfile%\StartMenu\WWW". Cela forcera Internet Explorer employer
votre nouvelle liste d'adresses de Favoris au lieu de vos Favoris originaux.
MenuShowDelay
L'entre MenuShowDelay contrle combien de temps Windows s'attardera avant
l'affichage en cascade de menu dmarrer. HKCU\Control Panel\Desktop
Entre de valeur : MenuShowDelay
Type : REG_SZ
Valeur Typique : 400 (0 65534 ms)
Verrouiler le pav Numrique
(InitialKeyboardIndicators)
L'entre InitialKeyboardIndicators est employe pour activer le pav numrique,
comme la touche.
Entre de valeur : InitialKeyboardIndicators
Type : REG_SZ
Valeur typique : 0
Dans le registre, changez les paramtres de l'utilisateur dans HKEY_USERS \
<SID> \Control Panel\Keyboard ou bien dans
HKEY_CURRENT_USER\Control Panel\Keyboard. Changez l'entre
InitialKeyboardIndicators avec la valeur 2. Cela forcera la touche "Num"
s'activer.
Filename Completion
Si vous tes un administrateur Unix ou programmeur, vous aimerez ceci. Beaucoup
de shell Unix permettent de rapidement achever des noms de fichier dans le shell en
employant la touche de tabulation.
Exemple, si vous tapez "ls-l aar" puis la touche de tabulation, le shell cherche des
fichiers dont les noms commencent par "aar". S'il trouve un, il complte
automatiquement.
HKCU\Software\Microsoft\Command Processor\CompletionChar.
Valeur de type : REG_DWORD
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
344
Valeur 0x09.
LameButtonEnabled
L'entre LameButtonEnabled indique si les commentaires? hyper lien sont affichs
dans la barre de titre de chaque fentre. Il est dans la sous cl HKEY_USERS \
<SID> \Control Panel\Desktop.
Valeur : LameButtonEnabled
Type : REG_SZ
Valeur typique : 0
La mise de cette entre 1 permet cette fonctionnalit. Une valeur 0 met hors de
service l'exposition de "Commentaires ?" hyperlien dans une fentre.
L'entre LameButtonText spcifie le texte dans l'hyper lien affich dans la barre de
titre de chaque fentre quand LameButtonEnabled est activ. Il est dans la sous cl
HKEY_USERS \ <SID> \Control Panel\Desktop.
Valeur : LameButtonText
Type : REG_SZ
Valeur typique : Commentaires ?
Une chane vide supprime l'affichage de n'importe quel texte. La valeur du texte
n'affecte pas la fonctionnalit, ou l'action prise par Windows, quand cet hyper lien est
choisi.
InsertMode
Une invite de commande permet d'utiliser le mode insertion / recopie. (ce mode par
dfaut peut tre chang en appuyant sur la touche du clavier "Insertion").
Valeur : InsertMode
Type : REG_DWORD
Valeur typique : 1
La plupart des utilisateurs active le mode insertion, avec cette valeur 1 (c'est ma
prfrence).
CachedLogonsCount
Windows XP/2000/2003 est capable de mettre en cache de 0 50 connexions
prcdentes (logon) couronnes de succs localement. C'est typiquement fait sur des
systmes o un contrleur de domaine est employ pour valider des connexions et la
scurit.
Parfois (il arrive tous d'entre nous) qu'un contrleur de domaine ne soit pas
disponible mais cela reste toujours possible pour l'utilisateur de provisoirement se
connecter, employant les informations de connexion stockes localement.
Notez le nombre de connexions par dfauts en cache est de 10; cependant, il peut tre
mis n'importe quelle valeur entre 0 et 50.
Quand le contrleur de domaine est indisponible l'utilisateur peut tre enregistr en
utilisation le cache, le message suivant apparat :
A domain controller for your domain could not be contacted. You have been logged
on using
cached account information.
L E R E G I S T R E
CENTRE DE FORMATION G E F I - CRETEIL
345
CachedLogonsCount
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Data type Range Default value
REG_SZ 0 - 50 entries (decimal) 10
Si le cache a t mis hors service ou l'information de connexion d'un utilisateur n'est
pas dans le cache, ce message est affich :
"The system cannot log you on now because the domain <name of domain> is not
available".
Le sous cl de Cache (qui n'est pas dans Windows XP dition Domestique) garde 11
entres de cache.
Une de ces entres est "NL$CONTROL", qui contient l'entre de l'utilisateur
actuellement enregistr mis en cache.
Les autres entres dans la cl de Cache sont nommes NL$1 jusqu' NL$10. Chaque
entre contient l'information de connexion pour une des 10 prcdentes personnes
qui se sont enregistres sur l'ordinateur.
Notez que les 10 utilisateurs prcdents "enregistr" sont des utilisateurs uniques.
L'entre qui n'a pas t employe contiendra des zros.
Info : Si votre application est inscrite dans la liste des Programmes ajouter /
supprimer (mais il ne supporte pas vraiment la suppression), regarder ensuite dans
l'emplacement du registre
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninst
all. Supprimer ensuite le nom des programmes que vous dsirez ne plus avoir sur
cette machine.
Changer votre chemin Source dInstallation
Vous pouvez modifier l'objet de donnes de chemin source trouv dans
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Set
up\Sourcepath. Contrler aussi pour voir si SourcePath est trouv dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Sourcepath et changer cette occurrence aussi. (Il n'y a aucun
besoin d'ajouter cet objet s'il n'est pas le prsent dans votre registre.)
Par exemple, supposez que vous avez install l'OS par dfaut depuis le CD-ROM D:,
alors que plus tard vous avez chang la lettre du CD-ROM en S:. Vous modifieriez
SourcePath de D:\ S:\. bien sr, alors mettez simplement jour SourcePath pour
reflter l'emplacement qualifi pour les fichiers source.