L’environnement de Windows

2003 Server

Rôles des serveurs

De plus en plus d’entreprises implémentent de multiples technologies afin
d'améliorer l'environnement de travail de leurs employés.
Ainsi il n'est pas rare de voir une seule machine configurée avec Active
Directory, le serveur DNS, le serveur DHCP, le partage de connexion Internet,
un serveur VPN et exécutant aussi les services de partages de fichiers et
d’impression.
On distingue ainsi un certain nombre de rôles :
- Les contrôleurs de domaines : Ce sont des serveurs sur lesquels on a
installé Active Directory et qui s’occupent de l’authentification des utilisateurs
dans un domaine.
- Les serveurs de fichiers : Ce sont des serveurs qui permettent de créer un
espace de stockage partagé sur le réseau. Ils mettent ainsi une partie de leur
espace disque disponible sur le réseau.
- Les serveurs d’impression : Ils permettent de partager une imprimante sur
un réseau et de gérer la file d’attente d’impression de celle-ci.
- Les serveurs d’applications : Ils permettent à une application d’utiliser le
système d’exploitation comme support afin d’en utiliser les composants de
gestion (ex : serveur de messagerie, de base de données, …).
L’ensemble de ces rôles peuvent être gérés à l’aide de l’outil Assistant
Configurer votre serveur sous Windows 2003 Server.
La Famille Serveur Windows 2003
Parmi les produits de la famille Windows 2003, il existe quatre systèmes
d’exploitation : Windows 2003 Web, Windows 2003 Standard, Windows 2003
Enterprise et Windows 2003 Datacenter. Mis à part pour l’édition Web, peu de
choses les différencient.

1
Caractéristiques d’un groupe de travail
Un groupe de travail représente un petit groupe d’ordinateurs sur un réseau
qui permet aux utilisateurs de collaborer et ne prend pas en charge une
administration centralisée. Un groupe de travail présente les caractéristiques
suivantes :
Les ressources peuvent se situer sur chaque ordinateur du groupe de travail.
L’administration et l’authentification des utilisateurs se font sur chaque
ordinateur du groupe de travail.
Chaque ordinateur possède sa propre base de données locale pour le
Gestionnaire de comptes de sécurité (SAM, Security Accounts Manager). Les
utilisateurs doivent disposer d’un compte d’utilisateur sur tous les ordinateurs
auxquels ils ont besoin d’accéder.
Plus un groupe de travail s’élargit, plus il devient difficile à gérer.
Windows XP Professionnel peut prendre en charge seulement dix connexions
entrantes simultanées.

Caractéristiques d’un domaine

Un domaine représente un groupement logique d’ordinateurs sur un réseau
avec une base de données de sécurité centrale servant à stocker les
informations de sécurité. La centralisation de l’administration et de la sécurité
est importante pour les ordinateurs d’un domaine, parce qu’elle permet à un
administrateur de gérer facilement des ordinateurs éloignés l’un de l’autre
physiquement. Un domaine est administré en tant qu’unité, avec des règles
et des procédures communes.
Chaque domaine et chaque ordinateur du domaine portent un nom unique.
Un domaine présente les caractéristiques suivantes :
Les ressources, l’administration et l’authentification sont centralisées.
Une base de données d’annuaires dans les environnements Windows 2000,
qui contient tous les comptes d’utilisateurs et d’ordinateurs de ce domaine.
Cette base de données est utilisée par le service d’annuaire Active
Directory®. Les utilisateurs ont besoin d’un seul compte d’utilisateur de
domaine dans Active Directory pour accéder aux ressources réseau partagées
du domaine.
Prend aussi facilement en charge un petit groupe d’ordinateurs que des
milliers d’ordinateurs.

2
Active Directory

Active Directory Service (ADS) est le service LDAP implanté

par Windows 2003 Server pour la gestion d'annuaires.

Il est utilisé pour toutes les tâches d'administration

demandant une forte implantation réseau et en particulier pour
la création de domaines.

De base, ADS n'est pas installé sous Windows 2003. Au cours

de son installation, un domaine devra être défini. La machine
d'installation pourra prendre différents rôles:

 premier contrôleur d'un nouveau domaine dans une

nouvelle forêt,
 premier contrôleur d'un domaine enfant d'un domaine
existant,
 premier contrôleur d'un nouveau domaine dans une
forêt existante,
 contrôleur supplémentaire au sein d'un domaine
existant.

Deux méthodes sont possibles pour installer Active Directory:

 Utiliser l'utilitaire "Gérer votre serveur" qui simplifie

l'installation sans poser les questions les plus pointues.
Il installe et configure a minima AD, DNS et DHCP pour
un nouveau domaine dans une nouvelle forêt..
 Utiliser l'assistant "dcpromo" (lancé en ligne de
commande) qui permet de contrôler tous les aspects de
l'installation.

3
L'assistant "Gérer votre serveur"

Ajouter ou supprimer un rôle

4
 Configuration par défaut pour un premier serveur.
Si "Configuration personnalisée" est choisi, bascule sur
dcpromo.
ATTENTION, reboot réalisé automatiquement en cours
d'installation.

5
Choix du nom du nouveau domaine (au format nom TCP/IP)

6
 Choix du nom compatible NetBEUI

Choix d'un éventuel redirecteur DNS

7
 Confirmation
-> Démarrage de l'installation

8
9
 Reboot automatique
Réouverture de session
(le mot de passe de l'administrateur du domaine
est le mot de passe de l'ancien administrateur local)

Reprise de l'installation

10
Fin de l'installation

11
 Contenu du journal "Configuration de votre serveur"

Utilisation de l'utilitaire dcpromo

Quelques définitions importantes

Contrôleur de domaine
Dans une forêt Active Directory, serveur contenant une copie
inscriptible de la base de données Active Directory, participant
à la réplication Active Directory et contrôlant l'accès aux
ressources réseau. Les administrateurs peuvent gérer les
comptes d'utilisateurs, l'accès réseau, les ressources
partagées, la topologie du site et les autres objets d'annuaire à
partir de n'importe quel contrôleur de domaine de la forêt.

Contrôleur de domaine supplémentaire

Tout contrôleur de domaine installé sur un domaine existant.
Tous les contrôleurs de domaine participent de manière égale à
la réplication Active Directory mais, par défaut, le premier
contrôleur de domaine installé sur un domaine se voit attribuer
la propriété des opérations à maître unique.

12
Domaine enfant
Pour DNS et Active Directory, domaine de l'arborescence de
l'espace de noms situé immédiatement sous un autre nom de
domaine (le domaine parent). Par exemple,
exemple.microsoft.com est un domaine enfant du domaine
parent microsoft.com. On parle aussi de sous-domaine.

Arborescence de domaine
Dans DNS, structure de l'arborescence hiérarchique inversée
utilisée pour indexer les noms de domaines. Dans leur but et
leur concept, les arborescences de domaines sont identiques
aux arborescences de répertoires utilisées par les systèmes de
fichiers des ordinateurs pour le stockage sur les disques. Par
exemple, lorsque de nombreux fichiers sont stockés sur un
disque, les répertoires peuvent être utilisés pour organiser les
fichiers de façon logique. Lorsqu'une arborescence de domaine
comprend plusieurs branches, chaque branche peut organiser
en ensembles logiques des noms de domaines utilisés dans
l'espace de noms.
Dans Active Directory, structure hiérarchique d'un ou
plusieurs domaines liés par des relations d'approbations
bidirectionnelles et transitives formant un espace de noms
contigu. Plusieurs arborescences de domaine peuvent
appartenir à la même forêt.

Forêt
Un ou plusieurs domaines Active Directory qui partagent les
mêmes définitions de classe et d'attribut (schéma), les mêmes
informations relatives au site et à la réplication (configuration),
et les mêmes fonctionnalités de recherche dans la forêt
(catalogue global). Les domaines d'une même forêt sont liés par
des relations bidirectionnelles et transitives.

13
Installation d'un nouveau domaine dans une nouvelle forêt

Début de l'installation d'Active Directory Service

Choix du type de contrôleur de domaine :

un nouveau contrôleur ou un contrôleur supplémentaire.
Ici, un contrôleur de domaine pour un nouveau domaine

14
 Choix du type de domaine créé:
Nouveau domaine dans une nouvelle forêt.
nouveau domaine enfant dans une arborescence
de domaines existante dans une forêt existante,
nouveau domaine dans une nouvelle arborescence de domaine
au sein d'une forêt existante
Ici, un nouveau domaine dans une nouvelle forêt

15
 Choix du nom du domaine créé (nom complet)

Choix du nom du domaine NetBIOS pour compatibilité

avec les versions antérieures de Windows

16
Emplacements de stockage des informations ADS

17
Alerte relative à l'absence d'un serveur DNS compatible
pour ce domaine
-> Installation de la machine en serveur DNS.

Toujours pour compatibilité

avec les anciennes versions de Windows

18
 Définition du mot de passe administrateur
pour le redémarrage en mode restauration ADS

19
Résumé de l'installation demandée

Début de l'installation

20
 Installation en cours

Début d'installation du service DNS

21
Fin d'installation de DNS

Fin d'installation d'ADS

Redémarrage de la machine

22
Après redémarrage, ADS est en fonctionnement pour la gestion
du domaine w2k3.univ-fcomte.fr. Le service DNS est lui aussi
en fonctionnement.

Installation d'un contrôleur supplémentaire pour un domaine

existant

Reprise de dcpromo avec choix d'un serveur supplémentaire

23
Authentification avec un compte administrateur du domaine
d'insertion

24
Choix du domaine d'insertion

25
 Choix de la localisation des fichiers et répertoires Active
Directory

Choix de la localisation du volume Système d'Active Directory

26
Choix du mot de passe de restauration des services d'annuaire

Résumé de l'installation choisie puis installation

27
Paramétrages au niveau des PC
clients

Vérifications
Vérifiez que tout est installé correctement à l'aide du "Gestionnaire de périphériques"
que vous pouvez trouver en faisant "Démarrer", "Outils d'administration", "Gestion de
l'ordinateur" et "Gestionnaire de périphériques". (On peut arriver également au même
endroit en faisant
"Démarrer", un clic droit sur "Poste de travail", "Propriétés", "Matériel" et
"Gestionnaire de périphériques").

Paramétrage de la carte réseau.

"Démarrer", "Panneau de configuration" et "Connexions réseau". Faites un clic droit
sur
"Connexion au réseau local" et choisissez "Propriétés" (On peut arriver plus vite au
même endroit en faisant un clic droit sur "Favoris réseau". Si vous ne trouvez pas
facilement Favoris réseau, ouvrez le poste de travail et remontez d'un niveau ou
encore ouvrez l'explorateur qui est dans les accessoires.).
Dans TCP/IP mettez l'adresse IP souhaitée pour ce serveur, mettez le masque de
sous-réseau. Si vous avez un accès Internet, mettez comme passerelle l'adresse IP
du routeur ou de l'ordinateur servant de passerelle.
Mettez l’adresse IP de serveur comme adresse DNS.
Il n'est pas demandé de redémarrer l'ordinateur mais vous pouvez tout de même le
faire.
Vérifiez que votre réseau fonctionne à l'aide de PING.

Intégration des clients au domaine

Introduction
Votre ordinateur client est maintenant configuré, nous allons donc procéder à son
intégration au domaine.

28
 Intégration du client au domaine
Ouvrez le panneau de configuration Système (Windows – pause ou Botton droit
sur poste de travail puis propriété). 

Dans l’onglet Nom de l’ordinateur, cliquez sur le bouton Modifier.

29
Dans la fenêtre Modification du nom d’ordinateur, sélectionnez Domaine et entrez le
nom de votre domaine. Validez.

     

Dans la fenêtre suivante, entrez le nom d’utilisateur et le mot de passe du compte qui
possède les privilèges administratifs. Validez.

30
Votre ordinateur est maintenant membre du domaine. Validez puis redémarrez 

   

Vous pouvez vérifier l’intégration en vous rendant directement sur le serveur. Dans le
menu Démarrer, allez sur Outils d’administration et cliquer sur Ordinateurs et
utilisateurs Active Directory. Développez votre domaine et cliquez sur Computers.
Le nom d’hôte de votre ordinateur client apparaît.

31
OUVERTURE DE SESSION ET AUTHENTIFICATION

32
33
34
35
36
Présentation des comptes d’utilisateurs
Les Comptes d’utilisateurs permettent aux utilisateurs d’accéder aux ressources
du réseau. Ils sont associés à un mot de passe et fonctionnent dans un
environnement défini (machine locale ou domaine).
Un utilisateur disposant d’un compte de domaine pourra s’authentifier sur toutes
les machines du domaine (sauf restriction explicite de l’administrateur).
Un utilisateur disposant d’un compte local ne pourra s’authentifier que sur la
machine où est déclaré le compte.
Compte local : Les informations de Comptes d’utilisateurs sont stockées
localement sur les machines hébergeant les ressources réseau. Si une
modification doit être apportée à un compte, celle-ci devra être répercutée
manuellement sur toutes les machines où le compte existe.
Compte de domaine : Les informations de comptes sont centralisées sur un
serveur, dans l’annuaire des objets du réseau. Si une modification doit être
apportée à un compte, elle doit être effectuée uniquement sur le serveur qui la
diffusera à l’ensemble du domaine.
Convention de nom des comptes utilisateurs
On distingue quatre méthodes pour nommer un compte utilisateur :
- Le nom d’ouverture de session (login) : thoboi_l
- Le nom d’ouverture de session pré-windows : ESI\thoboi_l
- Le nom d’utilisateur principal : thoboi_l@esi-supinfo.lan
- Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan
Un login ne peut dépasser les 20 caractères, il est sensible à la casse et ne peut
pas contenir de caractères
spéciaux comme : " / \ [ ] : ; | = , + * ? < >.
Réduire les exigences de mots de passe
Règles par défaut pour les mots de passe :
- Les mots de passe doivent comporter au moins 7 caractères
- Chaque mot de passe doit utiliser au moins trois catégories de caractères parmi
les 4 catégories suivantes.
Les lettres majuscules
Les lettres minuscules
Les chiffres
Les caractères spéciaux (@!$*-&...)
Pour réduire les exigences, allez dans "Outils d'administration" et "Stratégie de
sécurité du domaine"
Ne confondez pas avec "Stratégie de sécurité du contrôleur de domaine".
Dans stratégie de mots de passe, désactivez "Le mot de passe doit respecter des
exigences de complexité" et réduisez la longueur minimale du mot de passe.
La modification de la stratégie n'est pas effective immédiatement. Il faut attendre
quelques minutes.
Si vous ne voulez pas attendre, vous pouvez exécuter GPUPDATE

37
La gestion des utilisateurs, des groupes d'utilisateurs et
des ordinateursdu domaine

Cet outil réalise l'administration des utilisateurs, des groupes

d’utilisateurs et des ordinateurs d'un domaine

Interface générale

Groupes créés à l'installation

38
 Utilisateurs et groupes d'utilisateurs du domaine

Contrôleurs de domaine du domaine

(PENELOPE a été ajouté en contrôleur supplémentaire)

39
 Ordinateurs du domaine

Menus contextuels associés aux clés ADS

Utilisateurs
et Ordinateurs
Active Directory Domaine

40
 Builtin Users

Création d’un nouvel utilisateur

Défini par son nom (unique).

Choix des paramètres de création:

nom de login Windows 2000 (obligatoire),
nom de login de compatibilité NetBIOS,
nom détaillé

41
 Choix des paramètres de création:
mot de passe (obligatoire),
obligation ou non de changer le mot de passe
à la prochaine ouverture de session,
interdiction ou non de changement de mot de passe,
pas d'expiration du mot de passe
même en cas de limite de validité temporelle,
compte désactivé ou non

Menu contextuel associé à un utilisateur

42
Changement du mot de passe d'un utilisateur

Réinitialisation du mot de passe

Propriétés d’un utilisateur

Paramètres généraux

43
Adresse postale

44
Principales propriétés du compte

Options configurables

45
Horaire d'accès

Stations d'accès

46
 Installation et configuration des outils
d’administration
Installation des outils d’administration
Les outils d’administration permettent la gestion des serveurs
à distance. Ils peuvent être installés sur n’importe quelle
machine sous Windows 2003 par l’intermédiaire de
adminpak.msi qui se trouve dans le dossier i386 du CD ROM
d’installation du système.
Les outils d’administration sont installés par défaut sur le
contrôleur de domaine.
Il peut être utile, pour des raisons de sécurité, d’utiliser les
outils d’administration en ayant ouvert une session avec votre
compte de domaine basique et en utilisant la commande
Exécuter en tant que pour lancer les outils d’administration.
1.2.2. Présentation et configuration d’une MMC
Windows 2003 (toutes versions) intègre un modèle d'outils
d'administration nommé MMC
(Microsoft.Managment Console) qui donne la possibilité aux
administrateurs de créer eux-mêmes leur propre console
d'administration.
Il suffit pour cela d'intégrer les composants logiciels
enfichables (snap-in) couramment utilisés.
Cela permet aussi de mettre à disposition des administrateurs
subalternes des outils d'administration personnalisés. Ainsi un
administrateur ayant pour unique fonction la maintenance des
comptes du domaine ne pourra supprimer un utilisateur ou un
groupe par erreur puisque l'option de suppression n'apparaîtra
pas dans sa console.

Afin de pouvoir créer une MMC personnalisée, il vous suffit de

suivre la procédure suivante :
Allez dans le menu Démarrer / Exécuter (_-R).
Tapez MMC, puis Entrer.
Dans le menu console, sélectionnez Ajouter/Supprimer un
composant logiciel enfichable.

47
Cliquez ensuite sur Ajouter et sélectionnez le composant que
vous souhaitez ajouter à votre console (Notez que l’interface
de cette fenêtre est trompeuse: si vous double-cliquez sur un
composant ou si vous cliquez sur Ajouter, le composant est
ajouté à la liste sans aucune confirmation).
1.2.3. Résolution des problèmes lors de l’installation des outils
d’administration
Si des problèmes surviennent lors de l’installation des outils
d’administration, deux raisons principales peuvent en être la
cause :
- Permissions insuffisantes : Seuls les utilisateurs membres du
groupe Administrateurs ont les privilèges suffisants pour
pouvoir installer les outils d’administration.
- Système d’exploitation non supporté : Seul Windows XP et
Windows 2003 supportent l’installation des outils
d’administration.

Lancement MMC

48
 Une MMC vide

Le snap-in "gestionnaire d'ordinateur"

49
La zone gauche donne accès à l'arborescence des éléments de
configuration du snap-in. La zone de droite permet de réaliser
la configuration souhaitée sur l'élément sélectionné.

Le menu Fichier

Ajout d'un Composant logiciel enfichable (snap-in)

Bouton Ajouter pour choisir le composant souhaité

50
Choix du type de composant

51
Liste des composants

52
Sauvegarde d'une console

Enregistrer

Résultat dans le poste de travail

53
 Les GPO(Les Securités De
Groupes:Ou comment
simplifier la gestion des
sécurités de vos postes dans
un Domaine)

I. Généralités

Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs et
ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de plusieurs
postes dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme dit
précédemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO (Unité
Organisation). Elles permettent à titre d'exemples de rediriger le dossier Mes Documents, de
déployer des Logiciels en fonction des services d'une entreprise ou des utilisateurs. En résumé
les GPO sont la pour vous simplifier la vie, et surtout l'administration de votre Domain. Les GPO
existent dés la création d un Domain, c'est la que sont inscris les différents fonctionnements du
Domain.(j entends par fonctionnement, les stratégies qui sont appliquées au Domain, durée du
mot passe , complexité, etc...) Il en existe deux types à la création du Domain.

1) Default Domain Policy : 

Lié au Domain, et qui régit le fonctionnement des postes et des utilisateurs. 

2) Default Domain Controler Policy : Lié au Contrôleur de Domain, et régit les

fonctionnements de celui-ci 

Pour rappel : un contrôleur de Domain est inséré dans le conteneur Domain contrôleur, les
postes et utilisateurs dans les conteneurs Computers et Users. Si vous placez un poste dans le
conteneur Domain Controler, ce poste serait affecté par les stratégies des contrôleurs de
Domain). 

54
Les GPO s’appliquent au niveau du site, du Domain et des UO. Je ne parlerai que du Domain et
des UO pour l'instant. On peut avoir autant de GPO que désirées. L'ordre d exécution d une GPO
est du bas vers le haut, ce qui signifie qu'en cas de conflit, c'est la stratégie la plus haute qui
sera appliquée. Les stratégies étant appliquées à différents niveaux (site, Domain, OU, local),
elles sont toutes appliquée si il n y a pas de conflits, dans le cas contraire c'est toujours la plus
proche de l'utilisateur qui est appliquées donc au niveau de l'OU.

2. Création d'une GPO

Il existe plusieurs façons de créer une GPO, soit en passant par la console utilisateur Active
Directory, en créant une MMC (Microsoft Management Console) et pour finir GPMC, une nouvelle
console qui prend en charge beaucoup plus de possibilités que les deux autres. Dans cette
exemple nous créerons d'abord une UO test et un utilisateur (Eva par exemple).

55
 Creation gpo

1) Ouvrir La console utilisateurs et ordinateurs Active directory.

2) Sur votre UO test faites un click droit puis propriétés

3) Cliquer sur Stratégie de groupe

4) Cliquer sur Nouveau ce qui crée une nouvelle GPO que vous nommerez .

Options des paramètres : non configuré, activé,

désactivé
Pour chaque paramètre, il est nécessaire de choisir à l’avance s’il sera configuré et si oui, s’il
sera activé ou désactivé. En effet tout paramètre a une valeur par défaut qu’il conserve s’il
n’est pas configuré. Pour modifier ce paramètre, vous avez le choix dans la plupart des cas
entre « Activé » ou « Désactivé » ce paramètre.

Exemple : Supprimer le menu Rechercher du menu Démarrer. 

 Non configuré : Le menu Rechercher va s’afficher sauf si n’importe quelle autre GPO
spécifie le contraire.
 Activé : Le menu Rechercher va être supprimé sauf si une GPO ayant une priorité
plus importante spécifie le contraire.
 Désactivé : Le menu Rechercher va s’afficher sauf si une GPO ayant une priorité plus
importante spécifie le contraire.

56
Exemple :

Supprimer le menu exécuter du menu Démarrer

Remarque :

Vous pouvez fermer et ouvrir la session utilisateur pour prendre les

nouveaux paramètres de la stratégie de groupe.

57