Fichier PDF

Partagez, hébergez et archivez facilement vos documents au format PDF

Partager un fichier Mes fichiers Boite à outils PDF Recherche Aide Contact


WINDOWS SERVER 2008 Installation et mise en réseau .pdf



Nom original: WINDOWS SERVER 2008 - Installation et mise en réseau.pdf

Ce document au format PDF 1.5 a été généré par Adobe Acrobat Pro 9.3.1, et a été envoyé sur fichier-pdf.fr le 22/05/2015 à 05:47, depuis l'adresse IP 41.141.x.x. La présente page de téléchargement du fichier a été vue 866 fois.
Taille du document: 586 Ko (59 pages).
Confidentialité: fichier public



Télécharger le fichier (PDF)








Aperçu du document


Télécharger la version complète
de ce livre Sur
http://bibliolivre.info

WINDOWS
SERVER 2008
®

Volume 1
Installation et mise en réseau

Charlie Russel
Sharon Crawford
Adapté de l’américain par :
Bénédicte Volto et Véronique Warion

Les programmes figurant dans ce livre, et éventuellement sur la disquette ou le CD-ROM
d’accompagnement, sont fournis gracieusement sous forme de code source, à titre d’illustration.
Ils sont fournis en l’état sans garantie aucune quant à leur fonctionnement une fois compilés,
assemblés ou interprétés dans le cadre d’une utilisation professionnelle ou commerciale. Ils peuvent
nécessiter des adaptations et modifications dépendant de la configuration utilisée. Microsoft Press
ne pourra en aucun cas être tenu responsable des préjudices ou dommages de quelque nature que
ce soit pouvant résulter de l’utilisation de ces programmes.
Tous les efforts ont été faits pour fournir dans ce livre une information complète et exacte à la date
de la parution. Néanmoins, Microsoft Press n’assume de responsabilités ni pour son utilisation, ni
pour les contrefaçons de brevets ou atteintes aux droits de tierces personnes qui pourraient résulter
de cette utilisation.
Microsoft, Microsoft Press, Access, Active Directory, ActiveX, Aero, BitLocker, ESP, Excel,
Expression, Hyper-V, IntelliMirror, Internet Explorer, Jscript, MSDN, MS-DOS, OneNote,
Outlook, SharePoint, SQL Server, Visual Basic, Win32, Windows, Windows Logo, Windows
Media, Windows NT, Windows PoweShell, Windows Server, et Windows Vista sont soit des
®
marques déposées, soit des marques de Microsoft Corporation aux États-Unis ou/et d’autres
pays.
®

Copyright 2008 by Microsoft Corporation.
Original English language edition Copyright © 2008 by Charlie Russel and Sharon Crawford.
All rights published by arrangement with the original publisher, Microsoft Press, a division of
Microsoft Corporation, Redmond, Washington, U.S.A.
®

Titre U.S. : MICROSOFT WINDOWS SERVER 2008 - Administrator’s Companion
ISBN U.S. : 978-0-7356-2505-1

Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur
ou de ses ayants droit ou ayants cause est illicite selon le Code de la propriété intellectuelle
(Art L 122-4) et constitue une contrefaçon réprimée par le Code pénal. • Seules sont autorisées (Art
L 122-5) les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées
à une utilisation collective, ainsi que les analyses et courtes citations justifiées par le caractère
critique, pédagogique ou d’information de l’œuvre à laquelle elles sont incorporées, sous réserve,
toutefois, du respect des dispositions des articles L 122-10 à L 122-12 du même Code,
relatives à la reproduction par reprographie.

Édition et diffusion de la version française : Dunod
Distribution : Hachette Livre Distribution
Couverture : Agence SAMOA
Adapté de l’américain par : Bénédicte Volto et Véronique Warion
Mise en page : Arclemax
ISBN : 978-2-10-055201-6

Sommaire

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
Partie I

Préparation
1

Présentation de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . .3
Une attente justifiée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Virtualisation du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Contrôleur de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Services de domaine Active Directory redémarrables . . . . . . . . . . . . 6
Stratégies de mots de passe granulaires . . . . . . . . . . . . . . . . . . . . . . . . 6
Outil d’extraction de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Passerelle des services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . 7
Terminal Services RemoteApp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Terminal Services Web Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Terminal Services Session Broker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Mode maintenance des services Terminal Server . . . . . . . . . . . . . . . . 8
Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Arrêt des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Autres fonctionnalités de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Randomisation du chargement de l’espace d’adressage . . . . . . . . . . 9
Chiffrement de lecteur BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Pare-feu Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Protection d’accès réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Versions de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Sommaire

2

Présentation des services d’annuaire . . . . . . . . . . . . . . . . . . . . . . . 13
Pourquoi des services d’annuaire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Active Directory dans Microsoft Windows Server 2008 . . . . . . . . . . . . . . . . 15
Terminologie et concepts d’Active Directory . . . . . . . . . . . . . . . . . . . 16
Architecture Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Formats de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Modèle de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Mise en œuvre du schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Modèle de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Contextes d’attribution de noms et partitions . . . . . . . . . . . . . . . . . . 22
Catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3

Planification de l’espace de noms et des domaines . . . . . . . . . . . 25
Analyser les besoins en termes de conventions de noms . . . . . . . . . . . . . . 25
Arborescences et forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Définir une convention de nommage . . . . . . . . . . . . . . . . . . . . . . . . . 27
Déterminer la résolution de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Planifier une structure de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Domaines et unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Concevoir une structure de domaine . . . . . . . . . . . . . . . . . . . . . . . . . 34
Indications sur la sécurité du domaine . . . . . . . . . . . . . . . . . . . . . . . . 35
Créer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Planifier plusieurs domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Planifier un espace de noms contigu . . . . . . . . . . . . . . . . . . . . . . . . . 37
Déterminer le besoin d’une forêt à plusieurs arborescences . . . . . . 37
Créer la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4

Planification du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Fonctionnement de l’informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Identifier les besoins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Élaborer un cahier des charges précis . . . . . . . . . . . . . . . . . . . . . . . . . 41
Anticiper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Analyser les systèmes existants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Documenter le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Télécharger la version complète de ce
livre Sur http://bibliolivre.info

Sommaire

Élaborer un schéma directeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Définir les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Évaluer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Partie II

Installation et configuration
5

Démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Configuration système minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Concevoir un environnement de déploiement . . . . . . . . . . . . . . . . . . . . . . . 53
Choisir une méthode d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Installer Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Automatiser le déploiement d’un serveur . . . . . . . . . . . . . . . . . . . . . 61
Installer et configurer les services de déploiement Windows . . . . . 63
Ajouter des images supplémentaires . . . . . . . . . . . . . . . . . . . . . . . . . 69
Dépanner des installations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Échec du démarrage à partir d’un point
de distribution du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Fichier corrompu lors de l’installation . . . . . . . . . . . . . . . . . . . . . . . . . 74
Impossibilité de trouver un disque dur . . . . . . . . . . . . . . . . . . . . . . . . 75
Erreurs STOP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

6

Mise à niveau vers Windows Server 2008 . . . . . . . . . . . . . . . . . . . 77
Mettre la matrice à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Éléments communs à mettre à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Phases préalables à la mise à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Support matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Support logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Préparer les domaines et les ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Mettre les clients à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Effectuer la mise à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Mise à niveau vers Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . 87
Niveaux fonctionnels de forêt et de domaine . . . . . . . . . . . . . . . . . . 92
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Sommaire

7

Configuration d’une nouvelle installation . . . . . . . . . . . . . . . . . . . 93
Vue d’ensemble des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Première ouverture de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Configurer le matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Configurer les informations de base sur l’ordinateur . . . . . . . . . . . . . . . . . . 97
Définir le fuseau horaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Configurer le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Définir le nom de l’ordinateur et le domaine . . . . . . . . . . . . . . . . . 101
Paramètres de mises à jour et des rapports d’erreurs . . . . . . . . . . . . . . . . . 104
Activer les mises à jour et l’envoi de rapports d’erreurs . . . . . . . . . 104
Obtenir des mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Personnaliser le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Ajouter la fonctionnalité Windows PowerShell . . . . . . . . . . . . . . . . 111
Activer le Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Configurer le Pare-feu Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Quitter l’Assistant Tâches de configuration initiales . . . . . . . . . . . . . . . . . . 117
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

8

Installation des rôles de serveurs et des fonctionnalités . . . . . . 119
Définition des rôles de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Ajouter et supprimer des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Ajouter un rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Supprimer un rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Ajouter et supprimer des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Ajouter des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Supprimer des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Ajouter et supprimer des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Ajouter des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Supprimer des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

9

Installation et configuration de Server Core . . . . . . . . . . . . . . . . 147
Avantages d’une installation Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Installer Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Sommaire

Configuration initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Installer des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Gérer un ordinateur Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Exploiter WinRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Exploiter Terminal Services RemoteApp . . . . . . . . . . . . . . . . . . . . . . 162
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

10

Gestion des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Planifier le déploiement d’imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Convention de dénomination pour les imprimantes . . . . . . . . . . . 166
Convention de dénomination pour les emplacements . . . . . . . . . 167
Créer un serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Activer le suivi des emplacements des imprimantes . . . . . . . . . . . . . . . . . . 169
Migrer des serveurs d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Exploiter l’Assistant Migration d’imprimante . . . . . . . . . . . . . . . . . . 172
Utiliser la ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Installer des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Déployer des imprimantes via la Stratégie de groupe . . . . . . . . . . . . . . . . 176
Ajouter PushPrinterConnections via la Stratégie de groupe . . . . . 177
Gérer les tâches d’impression à partir de Windows . . . . . . . . . . . . . . . . . . 179
Arrêter temporairement des tâches d’impression . . . . . . . . . . . . . . 179
Annuler des tâches d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Redémarrer une tâche d’impression . . . . . . . . . . . . . . . . . . . . . . . . . 179
Changer la priorité d’une tâche d’impression . . . . . . . . . . . . . . . . . 180
Déplacer des tâches d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Gérer des imprimantes en ligne de commandes . . . . . . . . . . . . . . . . . . . . . 181
Définir les options de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Modifier les priorités de groupes et la disponibilité
des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Spécifier une page de séparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Modifier le spoulage d’impression par imprimante . . . . . . . . . . . . . . . . . . 186
Spouler l’impression des documents
pour qu’elle se termine plus rapidement . . . . . . . . . . . . . . . . . . . . . 186
Imprimer directement sur l’imprimante . . . . . . . . . . . . . . . . . . . . . . 186
Conserver les documents non conformes . . . . . . . . . . . . . . . . . . . . 186
Imprimer d’abord les documents présents
dans le spouleur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Conserver les documents imprimés . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Modifier le spoulage sur un serveur d’impression . . . . . . . . . . . . . . . . . . . . 187

Sommaire

Optimiser les performances du serveur d’impression . . . . . . . . . . . . . . . . . 187
Déplacer le dossier du spoulage d’impression . . . . . . . . . . . . . . . . . 188
Gérer les pilotes d’imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Créer des pools d’imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Se préparer en cas d’échec du serveur d’impression . . . . . . . . . . . . . . . . . 190
Dépanner les imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Côté serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Côté client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

11

Gestion des utilisateurs et des groupes . . . . . . . . . . . . . . . . . . . . 197
Généralités sur les groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Affecter des étendues de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Planifier les unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Créer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Déplacer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Supprimer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . 202
Planifier une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Déterminer les noms des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Groupes globaux et de domaine local . . . . . . . . . . . . . . . . . . . . . . . 203
Groupes universels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Mettre une stratégie de groupe en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Créer des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Supprimer des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Ajouter des utilisateurs à un groupe . . . . . . . . . . . . . . . . . . . . . . . . . 205
Gérer les groupes par défaut et les droits utilisateur . . . . . . . . . . . . . . . . . 208
Groupes locaux intégrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Groupes de domaine local prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . 210
Groupes globaux prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Définir les droits utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Affecter des droits utilisateur à un groupe . . . . . . . . . . . . . . . . . . . . 217
Créer des comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Nommer les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Options des comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Créer un compte utilisateur de domaine . . . . . . . . . . . . . . . . . . . . . 221
Créer un compte utilisateur local . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Configurer les propriétés d’un compte utilisateur . . . . . . . . . . . . . 222
Tester les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Sommaire

Gérer les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Localiser un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Désactiver et activer un compte utilisateur . . . . . . . . . . . . . . . . . . . 225
Supprimer un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Déplacer un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Renommer un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Réinitialiser le mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Déverrouiller un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Dossiers de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Créer des dossiers de base sur un serveur . . . . . . . . . . . . . . . . . . . . 228
Donner accès aux dossiers de base aux utilisateurs . . . . . . . . . . . . 229
Profils utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Profils locaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Profils itinérants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Profils obligatoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Affecter un script d’ouverture de session
à un profil utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

12

Gestion des ressources de fichiers . . . . . . . . . . . . . . . . . . . . . . . . 239
Autorisations de partage et autorisations de fichiers . . . . . . . . . . . . . . . . . 240
Autorisations de partage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Autorisations de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Autorisations NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Signification des autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Fonctionnement des autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Héritage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Configurer les autorisations de dossiers . . . . . . . . . . . . . . . . . . . . . . 247
Attribuer des autorisations aux fichiers . . . . . . . . . . . . . . . . . . . . . . . 247
Configurer des autorisations spéciales . . . . . . . . . . . . . . . . . . . . . . . 248
Notion de propriété et son fonctionnement . . . . . . . . . . . . . . . . . . 250
Dossiers partagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Gestion du partage et du stockage . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Ligne de commandes : Net Share . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Publier des partages dans Active Directory . . . . . . . . . . . . . . . . . . . 256
Système de fichiers distribués . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Terminologie DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Configuration minimale sur le serveur d’espaces de noms . . . . . . 260
Configuration minimale sur le client de l’espace de noms . . . . . . 260

Sommaire

Réplication DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Installer Gestion du système de fichiers distribués DFS . . . . . . . . . 263
Créer ou ouvrir une racine d’espace de noms . . . . . . . . . . . . . . . . . 264
Ajouter des serveurs d’espaces de noms . . . . . . . . . . . . . . . . . . . . . 266
Ajouter des dossiers DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Modifier les paramètres avancés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Sauvegarder et restaurer les cibles de dossiers DFS . . . . . . . . . . . . 270
Exploiter Réplication DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

13

Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Nouveautés de Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Composants de la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Objets de la stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Ordre de mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Ordre d’héritage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Créer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . 284
Modifier un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . 284
Supprimer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . 285
Localiser un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . 285
GPO Starter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Préférences de la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . 288
Utiliser les préférences de la stratégie de groupe
pour Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Configurer les options communes . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Utiliser les préférences de la stratégie de groupe
pour le Panneau de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Déléguer des autorisations sur les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Déléguer l’autorisation de créer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Déléguer l’autorisation de lier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Déléguer l’autorisation de modifier, supprimer
ou changer la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Désactiver une branche de GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Actualiser la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Sauvegarder un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . 338
Restaurer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Restreindre la redirection des dossiers
avec la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Rediriger vers un même emplacement . . . . . . . . . . . . . . . . . . . . . . . 339

Sommaire

Rediriger par appartenance de groupe . . . . . . . . . . . . . . . . . . . . . . 340
Supprimer la redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
Utiliser le Jeu de stratégie résultant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Exécuter une requête Jeu de stratégie résultant . . . . . . . . . . . . . . . 342
Jeu de stratégie résultant de journalisation . . . . . . . . . . . . . . . . . . . 343
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Partie III

Administration du réseau
14

Gestion des tâches quotidiennes . . . . . . . . . . . . . . . . . . . . . . . . . 347
Contrôle de compte d’utilisateur et administration . . . . . . . . . . . . . . . . . . 347
Mode d’approbation d’administrateur . . . . . . . . . . . . . . . . . . . . . . . 348
Contrôle de compte d’utilisateur et virtualisation
du Registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Désactiver les aspects du Contrôle de compte d’utilisateur . . . . . 349
Désactiver le Contrôle de compte d’utilisateur . . . . . . . . . . . . . . . . 352
Exploiter la console MMC 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Définir les options de la console MMC 3.0 . . . . . . . . . . . . . . . . . . . . 353
Créer une console MMC avec des composants
logiciels enfichables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Exploiter l’Assistant Nouvelle vue de la liste des tâches . . . . . . . . . 355
Distribuer et exploiter des consoles . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Exploiter la MMC pour l’administration à distance . . . . . . . . . . . . . 356
Définir la stratégie d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Catégories d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Auditer les événements du service d’annuaire . . . . . . . . . . . . . . . . 362
Activer l’audit des objets Services de domaine
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Définir la stratégie d’audit globale . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Activer l’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Exploiter l’Observateur d’événements . . . . . . . . . . . . . . . . . . . . . . . . 370
Gérer les journaux d’événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Exploiter le Planificateur de tâches . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Exploiter la commande AT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Déléguer des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

Sommaire

15

Administration par les scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Introduction à Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Fonctionnement de Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
L’interpréteur PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Cmdlets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Infrastructure Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
.NET Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Windows Management Instrumentation (WMI) . . . . . . . . . . . . . . . 402
Windows Remote Management (WinRM) . . . . . . . . . . . . . . . . . . . . 404
COM (Component Object Model) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Créer des fenêtres contextuelles et des boîtes de saisie . . . . . . . . . 405
Exploration de PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Get-Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Get-Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Get-Member . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Affichage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Jeux de paramètres et paramètres positionnels . . . . . . . . . . . . . . . 412
Charger un composant logiciel enfichable . . . . . . . . . . . . . . . . . . . . 414
Bases de l’écriture de scripts PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Créer un script .ps1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Étendue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Chaînes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Chaînes Here . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Caractères génériques et expressions régulières . . . . . . . . . . . . . . . 421
Tableaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Tables de hachage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Opérateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Instructions conditionnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Instructions de bouclage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Importer vers et exporter depuis d’autres fichiers . . . . . . . . . . . . . 430
Contrôle du flux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Mettre les cmdlets en forme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Quitter les scripts, les fonctions et les boucles . . . . . . . . . . . . . . . . . 434
Source-point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Passer des arguments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

Sommaire

Instruction Param . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
$_ et $input . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Gérer les erreurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Opérateurs de redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Accélérateurs de saisie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Caractères d’échappement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Exemples Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Tâches sur le système de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Tester l’existence d’un fichier ou d’un répertoire . . . . . . . . . . . . . . 443
Cmdlets de sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . 444
Exemple de gestion de Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Support XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
FTP (File Transfer Protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Télécharger un fichier avec HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Envoyer un courriel via SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Compresser des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
PowerShell et les dates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Minuterie/compte à rebours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Récupérer l’entrée de la console . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
Stocker des informations sécurisées . . . . . . . . . . . . . . . . . . . . . . . . . 451
Consultez les services et les processus . . . . . . . . . . . . . . . . . . . . . . . 452
Consulter le journal d’événements Windows . . . . . . . . . . . . . . . . . . 453
Collecter les informations sur la mémoire et le processeur . . . . . . 455
Accéder aux compteurs de performance . . . . . . . . . . . . . . . . . . . . . 456
Vérifier l’utilisation de l’espace disque . . . . . . . . . . . . . . . . . . . . . . . 458
Exploiter le registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Copier des fichiers dans un autre répertoire . . . . . . . . . . . . . . . . . . 459
Alterner les journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Renommer les fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Planifier des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Exécuter des commandes sur plusieurs cibles . . . . . . . . . . . . . . . . . 462
Créer des données XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Vérifier les ports ouverts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Head, Tail, Touch et Tee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

16

Installation et configuration des services d’annuaire . . . . . . . . . 467
Active Directory dans Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . 467
Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 468

Sommaire

Services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Services AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Services AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Services de certificats Active Directory . . . . . . . . . . . . . . . . . . . . . . . 473
Installer les services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . 473
Conditions préalables à l’installation des services
de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Installer les services AD DS avec l’Assistant Installation
des services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Compatibilité du système d’exploitation . . . . . . . . . . . . . . . . . . . . . 477
Configuration du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Nommer le domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Définir les niveaux fonctionnels Windows Server 2008 . . . . . . . . . 480
Emplacements de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Terminer l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Ajouter un contrôleur de domaine à un domaine existant . . . . . . 484
Vérifier l’installation des services AD DS . . . . . . . . . . . . . . . . . . . . . . 484
Options avancées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Installer à partir d’un support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Installation automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
Désinstaller les services de domaine Active Directory . . . . . . . . . . 489
Installer et configurer des contrôleurs de domaine en lecture seule . . . . 491
Définition des contrôleurs de domaine en lecture seule . . . . . . . . 492
Intérêt des contrôleurs de domaine en lecture seule . . . . . . . . . . . 493
Déléguer l’installation et l’administration d’un contrôleur
de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Configurer des stratégies de réplication de mot de passe . . . . . . . 495
Gérer les services AD DS avec Utilisateurs
et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
Afficher les objets AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Créer un objet ordinateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Configurer des objets ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Gérer un ordinateur à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Publier un dossier partagé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Publier une imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Déplacer, renommer et supprimer des objets . . . . . . . . . . . . . . . . . 505
Gérer les services AD DS avec Domaines
et approbations Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Démarrer Domaines et approbations Active Directory . . . . . . . . . 506

Sommaire

Gérer les relations d’approbation de domaines . . . . . . . . . . . . . . . 506
Spécifier le gestionnaire du domaine . . . . . . . . . . . . . . . . . . . . . . . . 509
Configurer les suffixes UPN pour une forêt . . . . . . . . . . . . . . . . . . . 509
Exploiter Sites et services Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 510
Vue d’ensemble des sites Active Directory . . . . . . . . . . . . . . . . . . . . 512
Réplication Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Démarrer Sites et services Active Directory . . . . . . . . . . . . . . . . . . . 515
Installer et configurer les services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . 521
Vue d’ensemble des services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . 521
Fonctionnalités AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Configurer des instances et les partitions d’applications . . . . . . . . 523
Gérer les services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Configurer la réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Configurer la synchronisation AD DS et AD LDS . . . . . . . . . . . . . . . 532
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534

17

Gestion d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Maintenir la base de données AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Stockage des données AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Recyclage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Défragmentation en ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Services AD DS redémarrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
Défragmentation hors ligne de la base de données AD DS . . . . . 539
Déplacer la base de données et les journaux de transactions . . . . 540
Sauvegarder AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Intérêts de la sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Fréquence de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Sauvegarder les services AD DS avec Sauvegarde
de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Restaurer AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Supprimer des contrôleurs de domaine d’Active Directory
avec Ntdsutil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
Effectuer une restauration ne faisant pas autorité
d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Effectuer une restauration faisant autorité
d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Gérer le schéma AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Conditions requises pour modifier le schéma AD DS . . . . . . . . . . . 553
Démarrer Schéma Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 553

Sommaire

Modifier le schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
Gérer les rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . . . . . 560
Transférer les rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . 564
Forcer les rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . . . . . 565
Auditer AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
Configurer la stratégie d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
Activer l’audit des modifications Active Directory . . . . . . . . . . . . . . 570
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572

18

Administration de TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Utiliser DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
Concevoir des réseaux DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
Ajouter le rôle Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576
Créer une nouvelle étendue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
Autoriser le serveur DHCP et activer les étendues . . . . . . . . . . . . . 589
Ajouter des réservations d’adresses . . . . . . . . . . . . . . . . . . . . . . . . . . 590
Redondance de serveurs DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
Paramétrer un agent relais DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . 593
Administrer DHCP à partir de la ligne de commandes . . . . . . . . . . 595
Utiliser un serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
Configurer un serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
Créer des sous-domaines et déléguer l’autorité . . . . . . . . . . . . . . . 602
Ajouter des enregistrements de ressources . . . . . . . . . . . . . . . . . . . 604
Configurer les transferts de zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Interagir avec d’autres serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . 608
Configurer un redirecteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Configurer un serveur WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612

19

Mise en œuvre de la gestion des disques . . . . . . . . . . . . . . . . . . . 613
Terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
Vue d’ensemble de Gestion des disques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
Gestion à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
Disques dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
Ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
Ajouter un nouveau disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
Partitions et volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Créer un volume ou une partition . . . . . . . . . . . . . . . . . . . . . . . . . . . 624

Sommaire

Créer des partitions étendues et des lecteurs logiques . . . . . . . . . 629
Convertir un disque en disque dynamique . . . . . . . . . . . . . . . . . . . 630
Convertir un disque en disque GPT . . . . . . . . . . . . . . . . . . . . . . . . . . 630
Modifier la taille d’un volume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Ajouter un miroir à un volume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Définir des quotas de disques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Activer les quotas sur un disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Définir des quotas par utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
Importer et exporter des quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
Activer le chiffrement de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646

20

Gestion du stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
Gestionnaire de ressources du serveur de fichiers . . . . . . . . . . . . . . . . . . . . 647
Installer et configurer le Gestionnaire de ressources
du serveur de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
Planifier les rapports de stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Quotas de répertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
Filtrer les fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659
Tour d’horizon du Gestionnaire SAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666
Concepts et terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
Installer le Gestionnaire de stockage pour réseau SAN . . . . . . . . . 670
Exploiter la console Gestionnaire de stockage
pour réseau SAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Gérer les connexions aux serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
Gérer les cibles iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
Gérer la sécurité iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Se connecter aux cibles iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Créer et déployer des LUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677
Étendre un LUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
Stockage amovible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Concepts et terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Exploiter et gérer le stockage amovible . . . . . . . . . . . . . . . . . . . . . . 688
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692

21

Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
Qu’est-ce qu’un cluster ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
Clusters d’équilibrage de la charge réseau . . . . . . . . . . . . . . . . . . . . 694
Clusters avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694

Sommaire

Nouvelles fonctionnalités du cluster
avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
Windows Server 2008 Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
Scénarios de clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Serveur web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Applications et services cruciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Pré-requis et planification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Identifier et évaluer les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Identifier une solution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
Identifier et évaluer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
Créer des listes de vérifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Clusters d’équilibrage de la charge réseau . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Concepts de l’équilibrage de la charge réseau . . . . . . . . . . . . . . . . 700
Choisir un modèle de cluster NLB . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
Créer un cluster d’équilibrage de la charge réseau . . . . . . . . . . . . . 703
Planifier la capacité d’un cluster d’équilibrage
de la charge réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709
Tolérance de pannes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
Optimiser un cluster à équilibrage de la charge réseau . . . . . . . . . 710
Clusters avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711
Concepts du cluster avec basculement . . . . . . . . . . . . . . . . . . . . . . . 711
Types de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
Définir le basculement et la restauration . . . . . . . . . . . . . . . . . . . . . 716
Configurer un cluster avec basculement . . . . . . . . . . . . . . . . . . . . . 717
Planifier la capacité d’un cluster avec basculement . . . . . . . . . . . . 719
Créer un cluster avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Clusters HPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731

Télécharger la version complète de
ce livre Sur http://bibliolivre.info

Introduction
« Pour améliorer il faut changer ; pour obtenir la perfection, il faut changer souvent » –
Winston Churchill.
Le changement est inévitable, constant et indispensable. Que vous soyez ou non de cet avis,
il vous faut accepter que toute amélioration exige changement. Même si la mise à niveau des
serveurs et des clients représente une tâche importante pour un administrateur, elle constitue
également l’opportunité d’améliorer les fonctions du réseau. Windows Server 2008 contient
nombre d’outils destinés à vous aider à changer pour le meilleur.

La famille Windows Server 2008
Windows Server existe dans cinq versions principales, dont trois sont disponibles sans
Windows Server Hyper-V, soit un total de huit éditions :
■ Windows Server 2008 Standard
■ Windows Server 2008 Enterprise
■ Windows Server 2008 Datacenter
■ Windows Server 2008 for Itanium-Based Systems
■ Windows Web Server 2008
■ Windows Server 2008 Standard without Hyper-V
■ Windows Server 2008 Enterprise without Hyper-V
■ Windows Server 2008 Datacenter without Hyper-V

Internet
Information
Services 7.0

Protection
de l’accès
réseau (NAP)

Service de gestion
des droits AD

Passerelle
Terminal Server
et Applications
distantes

Gestionnaire
de serveur

Standard

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Enterprise

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Datacenter

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Web

Oui

Non

Oui

Non

Non

Non

Non

Oui

Itanium

Non

Non

Oui

Non

Non

Non

Non

Oui

Hyper-V

Édition

Server Core

Services
de déploiement
Windows

Le tableau ci-après décrit les fonctionnalités disponibles dans les cinq versions principales.

i

ii

Introduction

Le tableau suivant fournit quelques indications quant à la configuration matérielle minimale.
La configuration réelle varie selon le système et plus particulièrement selon les applications et
fonctionnalités employées. Les performances du processeur dépendent non seulement de la
fréquence d’horloge du processeur, mais également du nombre de cœurs de processeur et de
la taille du cache de processeur. L’espace disque requis pour la partition système est
approximatif. Ces estimations varient pour les systèmes d’exploitation basés sur un
processeur Itanium ou x64. Un espace disque supplémentaire peut être requis si vous
installez le système sur un réseau.
Composant

Configuration

Processeur

Minimale : 1 GHz (pour processeurs x86) ou 1,4 GHz
(pour processeurs x64)
Recommandée : 2 GHz ou plus rapide.

Mémoire

Minimale : 512 Mo
Recommandée : 2 Go ou plus
Optimale : 2 Go pour une installation complète ou 1 Go
pour une installation Server Core
Maximale pour les systèmes 32 bits : 4 Go (Standard)
ou 64 Go (Enterprise et Datacenter)
Maximale pour les systèmes 64 bits : 32 Go (Standard)
ou 2 To (Enterprise, Datacenter et systèmes Itanium)

Espace disque
requis

Minimale : 10 Go
Recommandée : 40 Go ou plus
Les ordinateurs disposant de plus de 16 Go de RAM peuvent avoir besoin
d’un espace disque supplémentaire pour les fichiers de pagination,
de mise en veille prolongée et d’image mémoire

Lecteur

DVD-ROM

Écran

Super VGA (800 x 600) ou résolution supérieure

Autres

Clavier, souris ou autre périphérique de pointage

Remarque Un processeur Intel Itanium 2 est requis pour Windows Server 2008

Itanium.

Nouveautés de Windows Server 2008
Windows Server 2008 s’accompagnent évidemment d’un large panel de nouvelles
fonctionnalités, dont certaines ne sont pas explicites de prime abord et exigent quelques
éclaircissements :
■ Le Gestionnaire de serveur, une forme développée de la console MMC, rassemble dans

une unique interface les fonctionnalités de configuration et d’analyse du serveur,

Introduction

iii

associées à des assistants qui simplifient et rationalisent les tâches classiques de gestion
du serveur.
■ Windows PowerShell, un nouvel interprétateur en ligne de commandes optionnel et

un nouveau langage d’écriture de script, grâce auquel les administrateurs automatisent
les tâches routinières d’administration du système sur plusieurs serveurs.
■ Les extensions des préférences de la Stratégie de groupe permettent de configurer des

paramètres plus simples à déployer et à gérer que les scripts d’ouverture de session.
■ Le Moniteur de fiabilité et de performances propose des outils de diagnostic offrant

une visibilité continue, à la fois physique et virtuelle, de l’environnement du serveur
qui mettent en évidence et résolvent rapidement les problèmes.
■ L’administration de serveur et la réplication des données optimisées accentuent le

contrôle sur les serveurs distants.
■ Server Core propose des installations minimales où seuls les rôles et fonctionnalités de

serveur nécessaires sont installés, réduisant ainsi les besoins en maintenance et la
surface d’attaque du serveur.
■ Les assistants du clustering avec basculement simplifient la mise en œuvre des

solutions haute disponibilité. IPv6 (Internet Protocol version 6) est maintenant
entièrement intégré.
■ La nouvelle Sauvegarde de Windows Server incorpore une technologie de sauvegarde

plus rapide et simplifie la restauration des données et du système d’exploitation.
■ Windows Server 2008 Hyper-V permet de virtualiser les rôles de serveur sous forme de

machines virtuelles (VM, virtual machine) séparées s’exécutant sur un unique
ordinateur physique, sans avoir à acquérir un logiciel tiers.
■ Un unique serveur Hyper-V permet d’installer plusieurs systèmes d’exploitation

(Windows, Linux et autres).
■ Les Applications distantes (RemoteApp) des services Terminal Server (TS) permettent

d’ouvrir d’un clic des programmes auxquels on accède à distance et de les afficher
comme s’ils s’exécutaient sur l’ordinateur local de l’utilisateur final.
■ La plate-forme de publication Microsoft Web unifie IIS 7.0, ASP.NET, Windows

Communication Foundation et les services Windows SharePoint.
■ La Protection de l’accès réseau (NAP, Network Access Protection) protège le réseau et les

systèmes contre toute compromission engendrée par des ordinateurs malsains, isolant
et/ou réparant les ordinateurs qui ne satisfont pas aux stratégies de sécurité définies.
■ Le

contrôle des comptes utilisateur propose une nouvelle
d’authentification qui protège contre les logiciels malveillants.

architecture

■ Le Contrôleur de domaine en lecture seule (RODC, Read Only Domain Controller)

propose une méthode d’authentification locale plus sûre des utilisateurs se trouvant sur
des sites distants, grâce à un réplica en lecture seule de la base de données AD
principale.

iv

Introduction
■ Le Chiffrement de lecteur BitLocker procure une protection améliorée contre le vol et

l’exposition de données contenues dans des ordinateurs perdus ou volés et permet de
supprimer les données en toute sécurité lorsque les ordinateurs protégés par BitLocker
sont mis hors service.
Et, comme on dit, ce n’est pas tout, et de loin.

Contenu du livre
Le Kit de l’administrateur Windows Server 2008 se compose de deux tomes organisés de sorte
à correspondre approximativement à chaque phase du développement d’un réseau Windows
Server 2008.
Dans le tome 1, les chapitres 1 à 4 sont consacrés à la planification. Peut-être avez-vous déjà
entendu la célèbre citation d’Edison, « Le génie, c’est un pourcent d’inspiration et
99 pourcents de transpiration ». Modifiez-la légèrement et vous disposez d’une excellente
devise pour la mise en œuvre des réseaux : « Un bon réseau, c’est un pourcent de mise en
œuvre et 99 pourcents de préparation ». Le premier chapitre fait un tour d’horizon de
Windows Server 2008, ainsi que de ses composants et fonctionnalités. Il est suivi des
chapitres sur les services d’annuaire et la planification de l’espace de noms. Le dernier
chapitre de cette section traite des problèmes spécifiques qui se présentent pendant la
planification du déploiement. Les chapitres 5 à 9 couvrent l’installation et la configuration
initiale. Ces chapitres décrivent le processus d’installation de Windows Server 2008, la
configuration du matériel, ainsi que l’installation des rôles de serveur et de Server Core. Les
chapitres 11 à 21 parlent des tâches quotidiennes, dont la gestion des ressources de fichiers
et l’utilisation de scripts pour l’administration.
Dans le tome 2, les chapitres 1 à 5 concernent la sécurité : création et mise en œuvre d’un
plan de sécurité. Les chapitres 6 à 10 décrivent les nouvelles fonctionnalités, dont la
virtualisation et les services Terminal Server, élargissant tous deux les capacités de Windows
Server 2008. Les derniers chapitres relatifs au réglage, à la maintenance et à la réparation
fournissent d’importantes informations sur la santé du réseau. Un chapitre est consacré à la
sauvegarde de Windows Server et un autre à l’analyse des performances. Cette dernière partie
comporte également des chapitres traitant de la planification et de la prévention des
conditions d’urgence. Si, malgré tous vos efforts, le réseau subit des défaillances, vous y
trouverez des informations sur le dépannage et la récupération. Nous avons également inclus
un chapitre sur le registre, le cerveau de Windows Server 2008, et quelques conseils si vous
devez intervenir sur le registre.
À la fin du tome 2, vous trouverez des informations complémentaires sur les changements
apportés à l’interface et les outils de support.

Introduction

v

Dans chaque chapitre, nous avons essayé de rendre les informations aussi accessibles que
possible. Vous trouverez des informations descriptives et théoriques, ainsi que des
procédures de mise en œuvre et de configuration de fonctionnalités spécifiques. Elles sont
complétées par des illustrations qui simplifient le suivi des instructions écrites.
Nous avons également largement exploité les aides à l’utilisateur communes à tous les
ouvrages de la série Kit d’administration.
Remarque Les remarques présentent généralement d’autres manières

d’effectuer une tâche ou mettent l’accent sur certaines informations. Elles
peuvent également proposer des astuces pour effectuer certaines tâches plus
rapidement ou de manière moins évidente.

Important Lisez toujours attentivement le texte signalé comme Important. Ces

informations permettent souvent de gagner du temps et/ou d’éviter un
problème.

En pratique
Chacun profite de l’expérience des autres. Les encarts En pratique contiennent une
élaboration sur un thème particulier ou les expériences de professionnels de
l’informatique, comme vous.

À propos
Lorsque les assistants ou certaines procédures agissent à l’arrière-plan, ces encarts
décrivent ce qui se passe et que l’on ne voit pas.

Configuration système
Voici la configuration système minimale nécessaire à l’exécution des fichiers d’accompagnement
de ce livre :
■ Microsoft Windows XP Service Pack 2 avec les dernières mises à jour émises par

Microsoft Update.
■ Une connexion Internet.
■ Un écran de résolution 1 024 x 768.
■ Un souris Microsoft ou tout autre périphérique de pointage compatible.

Télécharger la version complète de
ce livre Sur http://bibliolivre.info

vi

Introduction

À propos des fichiers d’accompagnement
Vous trouverez en téléchargement sur le site dunod.com, sur la page dédiée à l’ouvrage, les
scripts des chapitres 9 et 15 du tome 1.

Support
Nous avons apporté la plus grande attention à la précision de ce livre et des fichiers
d’accompagnement. Les éventuelles corrections apportées à cet ouvrage sont disponibles à
l’adresse http://www.microsoft.com/mspress/support/search.aspx (en anglais).
Pour tout commentaire, question ou idée relatifs à ce livre ou aux fichiers d’accompagnement,
adressez-vous à Microsoft Press par le biais de l’une des méthodes suivantes :
Courrier électronique : mspinput@microsoft.com
Courrier postal :
Microsoft Press
Attn : Windows Server 2008 Administrator’s Companion Editor
One Microsoft Way
Redmond, WA 98052-6399
Ces adresses de messagerie ne fournissent aucun support. Pour plus d’informations
techniques, reportez-vous au site Web de Microsoft à l’adresse http://support.microsoft.com/.

Télécharger la version complète
de ce livre Sur
http://bibliolivre.info

Partie I

Préparation
Chapitre 1 :
Présentation de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
Chapitre 2 :
Présentation des services d’annuaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Chapitre 3 :
Planification de l’espace de noms et des domaines . . . . . . . . . . . . . . . . . . .25
Chapitre 4 :
Planification du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

Télécharger la version complète
de ce livre Sur
http://bibliolivre.info

Télécharger la version complète
de ce livre Sur
http://bibliolivre.info

Chapitre 1

Présentation de Windows
Server 2008
Une attente justifiée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Virtualisation du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Contrôleur de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Arrêt des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Autres fonctionnalités de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Versions de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Comme son nom l’indique, Windows Server 2008 arrive cinq ans après Windows
Server 2003. À l’échelle humaine, cela peut sembler assez court, mais pour un produit
informatique, c’est une éternité !
Comment expliquer cette attente ? Cherchons du côté de Windows Vista, qui, publié plus de
cinq ans après son prédécesseur, Windows XP, propose de nombreuses fonctionnalités
nouvelles ou améliorées en matière de réseau, de gestion, d’administration et surtout de
sécurité. Il était donc inconcevable que Windows Server 2008, élaboré sur la même base de
code, soit publié avant la finalisation de Windows Vista et qu’il ne bénéficie pas de ces
nouvelles fonctionnalités.

3

4

Partie I

Préparation

Une attente justifiée
La sortie de Windows Server 2008 s’est fait attendre, mais ce délai est largement justifié. En
effet, ce système fournit une aide inestimable aux services informatiques qui sont soumis aux
exigences de réduction du personnel et du budget. Les fonctionnalités nouvelles et améliorées
de Windows Server 2008 ont pour objectif de diminuer les coûts d’administration et de gestion
sans jamais compromettre la sécurité ni compliquer l’utilisation. Il ne s’agit pas de changements
radicaux et quel plaisir d’entendre parler de contrôleurs de domaine en lecture seule, de réseau
basé sur des stratégies, de Windows PowerShell ou de considérables modifications des services
Terminal Server ! Ces fonctionnalités, parmi d’autres, ne pourront que ravir le cœur des
administrateurs surchargés de travail.

Virtualisation du serveur
On ne parle des serveurs virtuels que depuis peu, alors que la virtualisation existe déjà depuis
plusieurs années. L’élément nouveau est la virtualisation intégrée dans Windows
Server 2008. La sous-utilisation des serveurs est bien plus courante que ce que l’on
s’imagine. Dans la plupart des cas, les serveurs assurent une tâche spécifique qui requiert
peut-être dix ou vingt pourcents de leurs capacités. Et le reste, qui a été acheté et installé, est
inutile. La virtualisation de nombreux serveurs sur un seul ordinateur optimise l’usage d’un
serveur, en réduisant les coûts de gestion et d’administration. Le chapitre 8 du tome 2,
« Virtualisation Windows », explique comment la virtualisation permet d’exploiter
efficacement les ressources matériel.

Server Core
Windows Server 2008 propose d’installer un environnement minimaliste hautement sécurisé
et de charge réduite appelé Server Core. Cette option d’installation consiste à installer
uniquement le sous-ensemble des fichiers binaires requis par les rôles de serveur pris en
charge et laisse de côté l’interface graphique. Les administrateurs travaillent en invite de
commandes ou exploitent des techniques de script pour assurer l’administration locale du
serveur. Ils peuvent également gérer l’installation Server Core, qu’ils sélectionnent comme
ordinateur distant à gérer, à partir d’un autre ordinateur Windows Server 2008 par le biais de
la console MMC (Microsoft Management Console).
Les serveurs sans interface utilisateur (GUI, Graphical User Interface) sont des cibles moins
visées par les hackers et leur installation exige moins d’espace (environ 1 Go). On peut
configurer une installation Server Core virtualisée destinée à exécuter des rôles comme le
Serveur DHCP, le Serveur DNS, Internet Information Services, le Serveur d’impression, les
Services de domaines Active Directory, les Services AD LDS (Active Directory Lightweight
Directory Services), etc. Reportez-vous au chapitre 9 du tome 1, « Installation et configuration
de Server Core », pour découvrir la marche à suivre.

Chapitre 1

Présentation de Windows Server 2008

5

Remarque Server Core n’est pas une édition séparée de Windows Server 2008,
mais une option d’installation disponible avec toutes les versions, mis à part les
éditions Web et Itanium.

PowerShell
Longtemps attendu, Windows PowerShell est un nouvel interprétateur en ligne de
commandes qui comprend une invite interactive et un environnement de script qui
s’utilisent séparément ou de concert. Windows PowerShell introduit le concept de cmdlet
(prononcez « commande-let »), un outil en ligne de commandes simple et d’usage unique
intégré au shell. Les cmdlets s’emploient séparément, mais elles s’avèrent plus efficaces
combinées. Windows PowerShell propose plus d’une centaine de cmdlets de base qu’il est
possible de combiner pour automatiser des tâches complexes. Vous pouvez même rédiger
vos propres cmdlets afin de personnaliser vos scripts.
PowerShell et ses améliorations sont traités au chapitre 15 du tome 1, « Administration par
les scripts ».

Contrôleur de domaine en lecture seule
La gestion et la sécurité des systèmes des succursales constituent le principal défi auquel les
services informatiques sont confrontés. Celles-ci sont généralement trop petites pour
disposer d’un propre service informatique et trop éloignées pour que les administrateurs s’y
rendent en personne. Parfois, malgré une sécurité physique réduite, la succursale nécessite
un contrôleur de domaine pour exécuter une ou plusieurs applications fondamentales. Dans
d’autres cas, le contrôleur de domaine est le seul serveur de la succursale et se trouve être, par
conséquent, indispensable pour exécuter plusieurs rôles.
Un contrôleur de domaine en lecture seule répond à bon nombre des problèmes inhérents
aux emplacements des succursales. Il contient les mêmes attributs et objets Active Directory
que l’on retrouve sur un contrôleur de domaine inscriptible. Il est en revanche impossible
d’apporter des modifications directement sur le contrôleur de domaine en lecture seule. Elles
doivent être effectuées sur un contrôleur de domaine inscriptible et répliquées sur le
contrôleur de domaine en lecture seule, ce qui empêche toute modification dans la
succursale et les conséquences qui s’ensuivent sur l’ensemble de la forêt. En outre, comme le
contrôleur de domaine en lecture seule ne subit aucune modification, il ne provoque aucun
changement lors de la réplication.
Les contrôleurs de domaine en lecture seule sont traités au chapitre 16 du tome 1,
« Installation et configuration des services d’annuaire ».

6

Partie I

Préparation

Services de domaine Active Directory
Les Services de domaine Active Directory (AD DS) ont connu de nombreux changements qui
vont simplifier le travail des administrateurs. En voici quelques-uns.

Services de domaine Active Directory redémarrables
La plupart des administrateurs seront d’accord : les fonctionnalités qui réduisent le nombre
de redémarrages d’un contrôleur de domaine ne peuvent être que positives. Dans Windows
Server 2008, les administrateurs peuvent appliquer des mises à jour, même en matière de
sécurité, sans redémarrage, c’est-à-dire sans arrêter et relancer Active Directory.
Dans Windows Server 2003, une défragmentation hors connexion requiert un redémarrage
avec le mode restauration des services d’annuaire. Dans Windows Server 2008, il est
beaucoup plus rapide d’effectuer des opérations hors connexion ; il suffit d’arrêter et de
redémarrer les Services de domaine Active Directory.
Pour de plus amples informations, reportez-vous au chapitre 17 du tome 1, « Gestion
d’Active Directory ».

Stratégies de mots de passe granulaires
Dans Windows Server 2000 et Windows Server 2003, il n’est possible de stipuler qu’une
seule stratégie de mots de passe et qu’une seule règle de verrouillage de comptes (dans la
stratégie de domaine par défaut), qui s’applique ensuite à tous les utilisateurs du domaine.
Des paramètres de mots de passe et de verrouillage de comptes différents pour des groupes
d’utilisateurs différents imposent de créer un filtre de mots de passe ou de déployer des
domaines supplémentaires. Ces solutions prennent du temps et présentent par conséquent
un coût élevé.
Dans Windows Server 2008, la granularité permet de définir plusieurs stratégies de mots de
passe au sein d’un même domaine. Par exemple, vous pouvez établir des règles plus strictes
pour des mots de passe et des stratégies de verrouillage de comptes plus rigoureuses pour
protéger les comptes détenant le plus de privilèges.
Le chapitre 2 du tome 2, « Mise en œuvre de la sécurité », aborde les mots de passe
granulaires de manière plus détaillée.

Outil d’extraction de données
L’extraction de données a longtemps été exploitée par les analystes commerciaux comme
outil de collecte d’informations à partir de données. Dans Windows Server 2008, l’outil
d’extraction de données permet de comparer des données à partir d’instantanés ou de
sauvegardes, effectués à des moments différents, et de choisir plus judicieusement les
données à restaurer.

Chapitre 1

Présentation de Windows Server 2008

7

Avant Windows Server 2008, si l’on supprimait des objets ou des unités d’organisation, il
était généralement impossible de connaître l’étendue et le nombre des suppressions sans
restaurer une sauvegarde dans sa totalité. Il fallait redémarrer Active Directory en mode
restauration des services d’annuaire. En outre, il n’existait aucune manière efficace de
comparer des sauvegardes effectuées à des moments différents. L’outil d’extraction de
données ne récupère pas les objets supprimés, mais offre un moyen d’examiner les
modifications et de déterminer les corrections à effectuer.
Pour de plus amples informations sur cet outil, reportez-vous au chapitre 13 du tome 2,
« Sauvegarde et restauration du serveur ».

Services Terminal Server
Les services Terminal Server n’ont jamais constitué le point fort des serveurs. Désormais, ils
sont à considérer comme le joyau de Windows Server 2008. De nombreuses nouvelles
fonctionnalités ont été ajoutées, dont certaines parmi les meilleures de Windows
Server 2008, et d’anciennes ont été améliorées.
Grâce aux services Terminal Server, on accède à un serveur exécutant des programmes
Windows ou à la totalité du bureau Windows, à partir de quasiment tous les périphériques
informatiques. Les utilisateurs peuvent se connecter à un serveur Terminal Server pour
exécuter des programmes et exploiter les ressources du réseau sur ce serveur.

Passerelle des services Terminal Server
La Passerelle des services Terminal Server est un service inclus dans le rôle Services Terminal
Server. Il permet aux utilisateurs distants de se connecter au réseau via l’Internet, avec une
connexion chiffrée, sans avoir à établir de connexion VPN. Dans les versions précédentes de
Windows Server, les utilisateurs ne pouvaient pas se connecter à des ordinateurs distants en
traversant les pare-feu et les NAT, car le port employé pour les connexions RDP, le port 3389,
est généralement bloqué pour des raisons de sécurité. Avec la Passerelle des services Terminal
Server, le trafic RDP est relayé au port 443, habituellement ouvert pour la connectivité
Internet et par conséquent disponible pour les connexions distantes.

Terminal Services RemoteApp
Terminal Services RemoteApp est sans conteste le nouvel élément le plus remarquable de
Windows Server 2008. Maintenant, les ordinateurs Windows Server 2008, Windows Vista,
Windows XP (Service Pack 2) ou Windows Server 2003 (Service Pack 1) accèdent aux
applications Windows, lesquelles s’exécutent ensuite dans une fenêtre dédiée
redimensionnable avec les entrées appropriées dans la barre des tâches. Si un programme
utilise une icône de zone de notification, elle apparaît dans la zone de notification. Les fenêtres
qui s’ouvrent sont redirigées vers le bureau local. L’utilisateur peut ainsi démarrer plusieurs
programmes simultanément. S’il exécute plusieurs applications distantes sur le même serveur
Terminal Server, les applications vont partager la même session Terminal Server.

8

Partie I

Préparation

Avec Terminal Services Easy Print, nouveau dans Windows Server 2008, les utilisateurs
impriment à partir d’une application distante ou d’une session Terminal Server sur
l’imprimante de leur ordinateur client.

Terminal Services Web Access
Avec Terminal Services Web Access, les utilisateurs visitent un site Web (via l’Internet ou un
intranet) pour accéder à une liste d’applications distantes disponibles. Lorsqu’un utilisateur
démarre une application distante, une session Terminal Server démarre sur le serveur
Terminal Server qui héberge l’application.

Terminal Services Session Broker
Terminal Services Session Broker comprend une nouvelle fonctionnalité, l’équilibrage de
charge TS Session Broker, laquelle permet de répartir la charge de la session parmi les
serveurs d’une ferme de serveurs Terminal Server. Cette solution se révèle plus simple que
l’équilibrage de la charge réseau Windows et optimale pour les fermes TS comprenant entre
deux et cinq serveurs.

Mode maintenance des services Terminal Server
Si vous prévoyez d’exploiter les nouvelles fonctionnalités des services Terminal Server, vous
devrez placer un serveur hors connexion à des fins de maintenance, même si des utilisateurs
sont connectés à distance. Dans Windows Server 2003, on fait appel à un outil en ligne de
commandes pour désactiver les connexions distantes, ce qui empêche les utilisateurs de se
reconnecter à leur session et entraîne la perte de leurs données non enregistrées, ce qui est
peu souhaitable.
Pour résoudre ce problème, Windows Server 2008 propose le mode maintenance des
services Terminal Server, lequel empêche la connexion de nouveaux utilisateurs au serveur
tout en permettant à ceux dont la session est ouverte de s’y reconnecter. Les nouvelles
requêtes de connexion sont redirigées vers un autre serveur. Le mode maintenance est
intégré à l’équilibrage de charge TS Session Broker ; ainsi, un serveur appartenant à une
ferme à équilibrage de charge peut être placé hors connexion sans affecter l’expérience
utilisateur final.
Cette optimisation, ainsi que toutes les autres, est détaillée au chapitre 9 du tome 2,
« Déploiement des services Terminal Server ».

Gestionnaire de serveur
Le Gestionnaire de serveur est une nouvelle console qui propose un affichage complet du
serveur, avec des informations sur la configuration du serveur, l’état des rôles installés et des
assistants pour ajouter et supprimer des rôles et des fonctionnalités. Il donne également accès

Chapitre 1

Présentation de Windows Server 2008

9

au Gestionnaire de périphériques, à l’Observateur d’événements et à l’Analyseur de
performances, permet d’effectuer une sauvegarde et de configurer les services. Il s’emploie
beaucoup plus facilement que la fonction Gérer votre serveur et fournit davantage
d’informations.
Le Gestionnaire de serveur remplace Gérer votre serveur, Configurer votre serveur et Ajouter
ou supprimer des composants Windows. Le chapitre 8 du tome 1, « Installation des rôles de
serveurs et des fonctionnalités », reprend les fonctions du Gestionnaire de serveur.

Sauvegarde de Windows Server
Une fonctionnalité de sauvegarde nouvelle et optimale remplace la technologie de
sauvegarde dépassée des versions précédentes de Windows Server, quasiment inchangée
depuis Windows NT. Conçues pour fonctionner avec les disques USB ou FireWire, les
sauvegardes sont basées sur des images et sont manuelles ou automatisées. Le chapitre 16 du
tome 2 dresse la liste de tous les types de sauvegardes possibles.

Arrêt des services
Dans Windows Server 2003, lorsque vous arrêtez le serveur, le système d’exploitation donne
20 secondes aux applications pour se fermer elles-mêmes correctement. Si l’application ne se
ferme pas dans ce laps de temps, un message vous invite à forcer sa fermeture, ce qui risque
d’engendrer une perte de données. Windows Server 2008 patiente tant que les applications
signalent qu’elles ont encore besoin de temps pour s’arrêter convenablement.

Autres fonctionnalités de sécurité
Un grand nombre des fonctionnalités nouvelles ou améliorées mentionnées ici jouent un rôle
important en matière de sécurité. Les sections suivantes sont consacrées à certaines
fonctionnalités déjà présentes dans Windows Vista mais dont le rôle est plus marqué dans
Windows Server 2008.

Randomisation du chargement de l’espace d’adressage
La randomisation du chargement de l’espace d’adressage (ASLR, Address Space Load
Randomization) constitue l’une des fonctionnalités les plus remarquables offertes par
Windows Server 2008. Dans les versions précédentes de Windows (jusqu’à Windows Vista et
désormais Windows Server 2008), les fichiers exécutables système et les DLL se chargeaient
toujours au même emplacement, ce qui permettait aux logiciels malveillants de retrouver les
API résidant à des adresses fixes. La randomisation du chargement de l’espace d’adressage
garantit que deux instances suivantes d’un système d’exploitation ne chargent pas les mêmes
pilotes système au même emplacement. En fait, lors du processus de démarrage, le

10

Partie I

Préparation

gestionnaire de mémoire choisit un emplacement au hasard parmi l’une des 256 adresses
alignées sur 64 Ko dans la zone 16 Mo dans la partie supérieure de l’espace d’adressage en
mode utilisateur. Les DLL qui possèdent le nouvel indicateur de relocalisation dynamique
sont chargées en mémoire en commençant à l’emplacement désigné de manière aléatoire et
en poursuivant vers le bas.
Avec cette simple modification, à savoir le travail effectué à l’arrière-plan, les possibilités
qu’un logiciel malveillant localise un service système sont considérablement réduites.

Chiffrement de lecteur BitLocker
BitLocker est une fonctionnalité de sécurité introduite avec Windows Vista pour protéger le
volume système des ordinateurs clients, en particulier les ordinateurs portables, en cas de
perte ou de vol. Par exemple, un lecteur chiffré par BitLocker ne peut être supprimé d’un
ordinateur et installé sur un autre en vue de contourner la sécurité Windows.
Dans Windows Server 2008, BitLocker est particulièrement intéressant pour les serveurs des
succursales, où la sécurité physique s’assure plus difficilement. BitLocker chiffre toutes les
données stockées sur le volume système (et les volumes de données configurés), y compris le
système d’exploitation Windows, les fichiers d’échange et de mise en veille prolongée, les
applications et les données qu’elles exploitent. Les données sont « verrouillées » de sorte que
si le système d’exploitation ne fonctionne pas ou si le lecteur de disque est physiquement
retiré, elles restent chiffrées.
Le chapitre 2 du tome 2, « Mise en œuvre de la sécurité », revient sur la configuration et
l’emploi de BitLocker.

Pare-feu Windows
Le nouveau Pare-feu Windows entre dans le cadre de la nouvelle gestion basée sur les rôles.
Reposant sur la version de Windows Vista, il est bidirectionnel et activé par défaut, quels que
soient les rôles que vous ayez configurés. Lorsque vous activez et désactivez des rôles et des
fonctionnalités, le Pare-feu Windows se configure automatiquement de manière à n’ouvrir
que les ports requis.
Vous retrouverez de plus amples informations sur les opérations du nouveau pare-feu au
chapitre 2 du tome 2.

Protection d’accès réseau
La protection d’accès réseau (NAP, Network Access Protection) constitue un nouvel ensemble
de composants du système d’exploitation qui surveillent la santé des ordinateurs clients
lorsqu’ils tentent de se connecter à ou de communiquer sur un réseau. Si des ordinateurs
clients sont déterminés comme étant non conformes, ils peuvent être limités à un réseau
restreint jusqu’à ce qu’ils remplissent les conditions de santé requises.

Chapitre 1

Présentation de Windows Server 2008

11

La protection d’accès réseau ne protège pas contre l’action des utilisateurs malveillants. Elle
met en œuvre la conformité des ordinateurs avec les stratégies de santé déterminées par
l’administrateur. Par exemple, une stratégie de santé peut imposer que tous les ordinateurs
demandant une connexion au réseau possèdent les dernières mises à jour Windows, qu’ils
exécutent les dernières signatures anti-virus, etc. Cela se révèle particulièrement important
sur les ordinateurs portables ou de domicile qui, sans cela, ne seraient la plupart du temps
pas contrôlés par le réseau. Un ordinateur désigné comme non conforme à l’ouverture de
session peut être redirigé vers un réseau restreint et pris en charge par des serveurs de
réparation qui font le nécessaire pour que l’ordinateur devienne conforme.
Le chapitre 3 du tome 2, « Administration de la Protection d’accès réseau », explique
comment tirer profit au maximum de cette fonctionnalité.

Versions de Windows Server 2008
Voici les éditions 32 et 64 bits de Windows Server 2008 disponibles :
■ Windows Server 2008, Édition Web
■ Windows Server 2008, Édition Standard
■ Windows Server 2008, Édition Enterprise
■ Windows Server 2008, Édition Datacenter

Windows Server 2008 sera le dernier serveur Windows 32 bits. Comme quasiment tous les
serveurs vendus sont compatibles 64 bits, envisagez sérieusement de passer à un
environnement 64 bits. L’augmentation des espaces d’adressage accroît considérablement les
performances. De plus, une version 64 bits bénéficie du matériel pour fournir des
fonctionnalités de sécurité supplémentaires. Au niveau du serveur, la disponibilité des pilotes
ne constitue plus un problème. S’il est vrai qu’un système 64 bits n’exécutera plus
d’applications 16 bits, sachez que si vous possédez un programme 16 bits indispensable,
vous pourrez l’exécuter dans une machine virtuelle et personne ne vous en tiendra rigueur.

Résumé
Ce chapitre vous a présenté certaines des optimisations de Windows Server 2008. Les trois
prochains abordent des sujets essentiels pour planifier votre déploiement de Windows
Server 2008. Le prochain chapitre regroupe les concepts et la structure des Services de
domaine Active Directory.

Télécharger la version complète de
ce livre Sur http://bibliolivre.info

Chapitre 2

Présentation des services
d’annuaire
Pourquoi des services d’annuaire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Active Directory dans Microsoft Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . 15
Architecture Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Nous devons conserver tant d’informations qu’il est devenu indispensable de se fier à des
annuaires. Parmi les annuaires, définis comme des listes permettant de localiser des choses,
citons les horaires de bus, les index de livres et les annuaires téléphoniques. En fait, ces
derniers sont à l’origine de l’analogie de deux capacités de recherche nécessaires dans les
annuaires informatiques. Il y a les « pages blanches » dans lesquelles on recherche des
informations à partir d’un certain attribut, un nom bien souvent. Il existe aussi les « pages
jaunes » où les recherches se font par catégories. Ces deux types de recherche permettent de
retrouver facilement des objets sur lesquels on ne sait pas grand-chose.
Les annuaires sont essentiels au fonctionnement d’un réseau informatique. L’absence
d’annuaires cohérents et accessibles se fait cruellement sentir sur les réseaux de toutes les
tailles. Il n’existe pas de véritables services d’annuaire (catalogue global de services et
ressources réseau) sur les réseaux Microsoft Windows NT. Les fonctionnalités d’annuaire de
la version 4 offrent ces fonctionnalités, essentielles pour les réseaux d’entreprise, que sont
l’ouverture de session unique et l’administration centralisée, mais présentent de graves
lacunes quand il s’agit de gérer un grand nombre d’utilisateurs. L’organisation des documents
en dossiers et répertoires fonctionne bien jusqu’à un certain point, mais à partir d’un nombre
précis d’objets, l’administration devient complexe et onéreuse.

Pourquoi des services d’annuaire ?
Dans un environnement Windows NT classique, l’utilisateur ouvre une session sur le réseau
avec un certain nom, par exemple crussel, et un mot de passe. À supposer que les
autorisations soient configurées comme il faut, crussel peut cliquer sur « Voisinage réseau »
ou ouvrir un lecteur mappé puis explorer des ressources.

13

14

Partie I

Préparation

Tout cela se déroule très bien tant que la portée du réseau ne change pas. Supposons que
l’entreprise ajoute de la messagerie électronique au réseau et que crussel soit doté d’une autre
identité (charlie.russel@monentreprise.com). Les autres services, bases de données et outils
d’administration, identifiant chacun Charlie Russel d’une façon spécifique, doivent être
accessibles par cet utilisateur. Si l’on considère que Charlie n’est qu’un utilisateur parmi des
centaines ou milliers d’autres, on comprend qu’il y a là une source potentielle d’erreurs très
difficiles à résoudre. Lorsque le nombre d’objets du réseau atteint un certain seuil, il devient
vital de disposer de services d’annuaire, c’est-à-dire d’un emplacement centralisé contenant
toutes les données requises par l’administration de l’ensemble du système informatique.
Un service d’annuaire diffère d’un simple répertoire, en ce sens qu’il contient des données,
plus des services permettant aux utilisateurs d’accéder à ces données. Étant à la fois un outil
d’administration et un outil pour l’utilisateur final, un service d’annuaire doit satisfaire aux
besoins suivants :
■ Accès à tous les serveurs, à toutes les applications et à toutes les ressources par le biais

d’une ouverture de session unique (l’utilisateur n’accède effectivement aux ressources
que s’il dispose des autorisations adéquates).
■ Réplication multimaître. Toutes les données sont distribuées sur l’ensemble du système

informatique et répliquées sur plusieurs serveurs.
■ Recherches de type « pages blanches », par exemple pour faire une recherche à partir

d’un nom ou d’un type de fichier.
■ Recherches de type « pages jaunes », par exemple pour rechercher toutes les

imprimantes du troisième sous-sol ou tous les serveurs du site Lyon.
■ Suppression de la dépendance vis-à-vis des emplacements physiques, à des fins

d’administration. Cela signifie qu’il doit être possible de déléguer l’administration de
l’annuaire, partiellement ou complètement.
Microsoft emploie parfois les termes « services d’annuaire » dans le contexte de
Windows NT, mais Windows NT n’offre pas de véritables services d’annuaire hiérarchiques.
Sous Windows NT, les fonctionnalités d’annuaire sont assurées par plusieurs services, basés
sur des domaines. Le service DNS (Domain Name System), qui convertit les noms
d’ordinateurs en numéros IP, coopère avec des serveurs DHCP (Dynamic Host Configuration
Protocol) qui allouent dynamiquement des adresses TCP/IP. Le service WINS (Windows
Internet Naming Service), qui résout les noms NetBIOS, est indispensable sur les réseaux
Windows NT pour le partage de fichiers et certaines applications. La sécurité repose sur les
ACL (Access Control List), sur la base de données SAM (Security Accounts Manager) et sur
d’autres services.
Microsoft Windows 2000 Server a été le premier produit dans lequel Active Directory a
remplacé les services éparpillés de Windows NT par un service unifié qui regroupe DNS,
DHCP, LDAP (Lightweight Directory Access Protocol) et Kerberos. Nous reviendrons sur ces
sujets, plus loin dans ce chapitre.

Chapitre 2

Présentation des services d’annuaire

15

En pratique Services d’annuaire et X.500
X.500 est une norme de services d’annuaire, créée par l’ITU (International
Telecommunications Union). Cette même norme est également publiée par la commission
ISO/IEC (International Standards Organization/International Electrotechnical Commission).
X.500 définit le modèle de données employé par les services d’annuaire. Dans ce
modèle, toutes les données d’un annuaire sont stockées dans des rubriques (entrées),
dont chacune appartient à au moins une classe d’objet. Les données proprement dites
d’une rubrique sont définies à l’aide d’attributs contenus dans cette rubrique.
La norme X.500 d’origine de 1988 se concentrait principalement sur les protocoles à
implémenter. DAP (Directory Access Protocol) spécifie comment les applications des
utilisateurs accèdent aux informations de l’annuaire. DSP (Directory Service Protocol)
propage entre les serveurs d’annuaire la requête d’un utilisateur si le serveur local ne
peut répondre à cette requête.
Aucun service d’annuaire existant n’implémente entièrement la norme X.500, mais tous
les services d’annuaire, en particulier Active Directory, s’appuient sur ses spécifications
fondamentales. Vous trouverez une excellente présentation des annuaires et de X.500 à
l’adresse http://www.nlc-bnc.ca/9/1/p1-244-e.html.

Active Directory dans Microsoft Windows
Server 2008
Les Services de domaine Active Directory (AD DS, Active Directory Domain Services) présentent
de nombreux avantages, notamment le fait de pouvoir gérer des installations de toutes tailles,
qu’elles soient composées d’un serveur unique avec quelques centaines d’objets, ou de milliers
de serveurs avec plusieurs millions d’objets. Active Directory simplifie aussi grandement le
processus de recherche des ressources sur un grand réseau. L’interface ADSI (Active Directory
Services Interface) et le nouvel ADAM (Active Directory Application Mode) introduit dans
Windows Server 2003 R2, permettent aux développeurs de créer des applications pouvant
accéder aux annuaires, donnant ainsi aux utilisateurs un point d’accès unique vers de multiples
annuaires, que ceux-ci s’appuient sur LDAP, NDS ou NTDS (NT Directory Services).
Active Directory combine le concept Internet d’espace de noms et les services d’annuaire du
système d’exploitation. Cette combinaison permet d’unifier plusieurs espaces de noms dans,
par exemple, les environnements logiciels et matériels hétérogènes des réseaux d’entreprise,
même entre systèmes d’exploitation différents. Compte tenu de sa capacité à regrouper des
annuaires différents dans un unique annuaire à usage général, Active Directory diminue
sensiblement les coûts induits par l’administration de plusieurs espaces de noms.
Active Directory n’est pas un annuaire X.500. En fait, il emploie LDAP comme protocole
d’accès et reconnaît le modèle de données de X.500 sans obliger les systèmes à prendre en
charge toutes les fonctionnalités de X.500. LDAP, qui s’appuie sur TCP/IP, est beaucoup plus

16

Partie I

Préparation

simple que le protocole DAP de X.500. À l’instar de X.500, LDAP base son modèle d’annuaire
sur des entrées, le nom unique (voir section suivante) servant à désigner une rubrique sans
aucune ambiguïté. Au lieu d’employer le schéma de codification très structuré de X.500,
LDAP adopte une philosophie simple, à base de chaînes, pour représenter les rubriques
d’annuaire. LDAP utilise bon nombre des techniques d’accès aux annuaires telles que
spécifiées dans la norme DAP de X.500, mais demande moins de ressources client, ce qui le
rend plus pratique pour une utilisation fréquente sur une liaison TCP/IP.
Active Directory gère aussi directement HTTP (HyperText Transfer Protocol). Tout objet Active
Directory peut être affiché sous la forme d’une page HTML (HyperText Markup Language)
dans un navigateur web. Des extensions pour la prise en compte des annuaires, ajoutées à
Microsoft IIS (Internet Information Services), convertissent les requêtes HTTP portant sur des
objets de l’annuaire en pages HTML affichables dans tous les clients HTML.
Active Directory permet d’administrer, depuis un même emplacement, toutes les ressources
publiées : fichiers, périphériques, connexions d’hôte, bases de données, accès web,
utilisateurs, autres objets quelconques, services, etc. Active Directory emploie le protocole
DNS comme service de localisation, organise les objets des domaines dans une hiérarchie
d’unités organisationnelles (OU, organizational unit) et permet de regrouper plusieurs
domaines au sein d’une arborescence. Exit les concepts de contrôleur principal de domaine
(PDC) et de contrôleur secondaire de domaine (BDC). Le rôle BDC est dorénavant rempli par
le contrôleur de domaine en lecture seule (RODC, Read-Only Domain Controller) que nous
étudierons au chapitre 16 du tome 1, « Installation et configuration des services
d’annuaire ». À partir de Windows Server 2003 R2, les Service de fédération Active Directory
(ADFS, Active Directory Federation Services) étendent Active Directory pour autoriser la
gestion des identités au-delà des frontières de l’organisation ou de la plate-forme.

Terminologie et concepts d’Active Directory
Certains des termes utilisés pour décrire des concepts d’Active Directory existant déjà depuis
un certain temps dans d’autres contextes, il est important d’en connaître la signification dans
le contexte spécifique d’Active Directory. Cette section va présenter les termes et les concepts
fondamentaux.

Espace de noms et résolution de noms
Espace de noms est un terme peu connu qui recouvre pourtant un concept bien connu. Chaque
service d’annuaire est un espace de noms, une aire bien délimitée permettant de résoudre un
nom. Les programmes de télévision, dans lequel le nom d’une chaîne est associé à un certain
numéro de canal, constituent un exemple d’espace de noms, de même que le système de
fichiers d’un ordinateur, dans lequel le nom d’un fichier est associé au fichier lui-même.
Active Directory forme un espace de noms dans lequel le nom d’un objet de l’annuaire
permet d’accéder à l’objet lui-même. La résolution de noms est le processus consistant à
traduire un nom en un certain objet (bloc de données) associé à ce nom.

Chapitre 2

Présentation des services d’annuaire

17

Attribut
Un attribut est un élément de données qui décrit un certain aspect d’un objet. Un attribut se
compose d’un type et d’une ou plusieurs valeurs. « Numéro de téléphone » est un exemple
de type d’attribut, dont la valeur pourrait être « 33-2-37519964 ».

Objet
Un objet est un ensemble particulier d’attributs qui représente quelque chose de concret, par
exemple un utilisateur, une imprimante ou une application. Les attributs contiennent des
données qui décrivent l’entité identifiée par l’objet d’annuaire. Les attributs d’un utilisateur
sont, par exemple, le nom, le prénom et l’adresse de messagerie. La classification de l’objet
indique quels sont les types d’attributs utilisés. Par exemple, les objets classifiés comme
« utilisateurs » permettent d’employer des types du genre « nom de famille », « numéro de
téléphone » et « adresse de messagerie », alors que la classe d’objets « entreprise » permet
d’employer des types du genre « nom de la société » et « secteur d’activité ». Un attribut peut
prendre une ou plusieurs valeurs, selon son type.
Dans Active Directory, chaque objet possède une identité unique. On peut déplacer ou
renommer les objets, mais leur identité est invariable. En interne, les objets sont référencés
par leur identité et non par leur nom. L’identité d’un objet est un GUID (Globally Unique
IDentifier), assigné par le DSA (Directory System Agent) lors de la création de l’objet. Le GUID
est stocké dans un attribut, objectGUID, commun à tous les objets. Vous ne pouvez ni
modifier, ni supprimer l’attribut objectGUID. Quand vous stockez dans un magasin externe
(par exemple, dans une base de données) une référence à un objet Active Directory, utilisez
de préférence objectGUID qui, contrairement au nom, ne change jamais.

Conteneur
Un conteneur ressemble à un objet en ce sens qu’il possède des attributs et qu’il fait partie de
l’espace de noms d’Active Directory. Toutefois, contrairement à un objet, un conteneur ne
correspond à rien de concret. C’est simplement une enveloppe, qui renferme des objets et
d’autres conteneurs.

Arborescence et sous-arborescence
Dans Active Directory, une arborescence étend le concept d’arborescence de répertoires. C’est
une hiérarchie d’objets et de conteneurs qui montre les relations entre les objets, c’est-à-dire
les chemins par lesquels on passe d’un objet à un autre. Les points terminaux d’un arbre sont,
en général, des objets.
Une sous-arborescence est un sous-ensemble non isolé de l’arborescence, contenant tous les
membres de chacun des conteneurs qu’il renferme. La figure 2-1 montre une arborescence
pour microsoft.com. Chaque chemin (par exemple, de nw.sales.seattle.microsoft.com à

18

Partie I

Préparation

microsoft.com) est une sous-arborescence. Le chapitre 3 du tome 1, « Planification de
l’espace de noms et des domaines », reviendra en détail sur les arborescences et les forêts.
microsoft.com

uk.microsoft.com

admin.uk.microsoft.com

sales.uk.microsoft.com

us.microsoft.com

seattle.us.microsoft.com

mfg.seattle.us.microsoft.com

atlanta.us.microsoft.com

fin.seattle.us.microsoft.com

sales.seattle.us.microsoft.com

nw.sales.seattle.us.microsoft.com

sw.sales.seattle.us.microsoft.com

Figure 2-1 Une arborescence et des sous-arborescences

Nom unique
Chaque objet, dans Active Directory, possède un nom unique (DN, distinguished name). Le
nom unique identifie le domaine contenant l’objet, ainsi que le chemin complet utilisé pour
atteindre l’objet à travers la hiérarchie des conteneurs. Par exemple, CN=Charlie Russel,
OU=Ingénierie, DC=monentreprise, DC=com est un nom unique, lequel spécifie que l’objet
utilisateur « Charlie Russel » appartient à l’OU Ingénierie qui, elle-même, appartient au
domaine monentreprise.com.
Remarque C N e s t l ’a c r o n y m e d e « c o m m o n n a m e » , O U c e l u i d e
« organizational unit » et DC celui de « domain controller ». Certains attributs
proviennent du modèle X.500 ; un administrateur peut en définir d’autres.

Active Directory utilise aussi des noms uniques relatifs, lesquels correspondent à la partie du
nom unique qui est un attribut de l’objet lui-même. Dans l’exemple précédent, le nom
unique relatif de l’objet utilisateur est CN=Charlie Russel et celui de l’objet parent est
OU=Ingénierie.
La portion « DC= » d’un nom unique permet aux annuaires X.500 de se connecter à l’espace
de noms DNS, ce que fait aussi Active Directory. La racine de l’espace de noms global d’Active
Directory est l’espace de noms DNS. Ainsi, les noms de domaine DNS s’insèrent dans le
modèle de dénomination d’Active Directory. Par exemple, monentreprise.com est le nom

Chapitre 2

Présentation des services d’annuaire

19

d’un domaine DNS, mais pourrait tout aussi bien être le nom d’un domaine Active Directory.
Cette intégration avec DNS implique qu’Active Directory s’adapte de manière naturelle à
Internet et aux intranets. Vous pouvez relier directement à Internet des serveurs Active
Directory, de façon à simplifier les communications protégées et le commerce électronique
avec les clients et les partenaires.

Schéma
Schéma est un terme très fréquemment employé dans le contexte des bases de données. Dans
celui d’Active Directory, le schéma correspond à tout ce qui constitue l’annuaire Active
Directory : les objets, les attributs, les conteneurs, etc. Active Directory possède un schéma
par défaut qui définit les classes d’objets les plus courantes : utilisateurs, groupes,
ordinateurs, unités organisationnelles, stratégies de sécurité et domaines.
Le schéma d’Active Directory est susceptible de modifications dynamiques : une application
peut compléter le schéma en y ajoutant de nouveaux attributs et de nouvelles classes, puis
utiliser ces ajouts dans la foulée. La modification du schéma repose sur la création d’objets de
schéma ou la modification des objets de schéma stockés dans l’annuaire. Les objets de
schéma sont protégés par des ACL, afin que seules les personnes habilitées (membres du
groupe Admins du schéma) puissent modifier le schéma.

Architecture Active Directory
Comme nous l’avons mentionné précédemment, Active Directory n’est pas, à proprement
parler, un service d’annuaire X.500 même si, à l’instar de tous les services d’annuaire
existants, il dérive de cette norme. Les sections suivantes vont énumérer certaines
caractéristiques de l’architecture d’Active Directory.

DSA
DSA (Directory System Agent), qui est le processus permettant d’accéder au magasin physique
des données de l’annuaire situé sur disque dur, fait partie du sous-système LSA (Local System
Authority) de Windows Server depuis la version 2000. Les clients accèdent aux données de
l’annuaire, en utilisant l’un des mécanismes suivants :
■ Les clients LDAP se connectent à DSA via le protocole LDAP. Active Directory reconnaît

LDAP v3, défini par la RFC 2251, et LDAP v2, défini par la RFC 1777. Les clients
Windows Server 2000 ou ultérieur emploient LDAP v3 pour se connecter au DSA.
■ Les clients MAPI (Messaging Applications Programming Interface), comme Microsoft

Exchange, se connectent au DSA via l’interface MAPI RPC (Remote Procedure Call).
■ Les DSA Active Directory se connectent les uns aux autres, à des fins de réplication, via

une interface RPC propriétaire.

20

Partie I

Préparation

Formats de noms
Active Directory reconnaît plusieurs formats de noms, pour pouvoir desservir tant les
utilisateurs que les applications :
■ Noms RFC 822 Format bien connu des utilisateurs en tant qu’adresse de messagerie

Internet, comme crussel@monentreprise.com. Active Directory donne un « nom
convivial » RFC 822 à chaque objet. Ainsi, l’utilisateur peut employer le même nom
convivial comme adresse de messagerie et comme compte pour ouverture de session
réseau.
■ URL HTTP Format bien connu des utilisateurs de navigateurs web. Une adresse URL

classique prend la forme http://domaine/chemin-vers-page, où domaine désigne un
serveur exécutant Active Directory et chemin-vers-page le chemin (dans la hiérarchie
Active Directory) qui mène à l’objet concerné. Par exemple, l’URL de Charlie Russel
pourrait être http://UnServeur.monentreprise.com/Division/Produit/Ingénierie/charlierussel.
■ Noms LDAP Plus complexes que les noms Internet, mais généralement masqués dans

les applications, les noms LDAP emploient la convention de dénomination unique de
X.500. Une URL LDAP spécifie le serveur hébergeant les services Active Directory et le
nom unique de l’objet, par exemple : ldap://UnServeur.monentreprise.com/
CN=charlie.russel,OU=Ingénierie, OU=Produit,OU=Division,O=MegaIntl,C=FR.
■ Noms UNC Le format UNC (Universal Naming Convention), utilisé sur les réseaux basés

sur des serveurs Windows Server 2008, permet de désigner des volumes, des
imprimantes et des fichiers partagés. Par exemple, \\monentreprise.com\Division.
Produit.Ingénierie.Volume\DocsWord\rapportavril.doc.

Modèle de données
Le modèle de données Active Directory dérive du modèle X.500. L’annuaire contient des objets
qui représentent divers éléments, décrits par leurs attributs. L’univers des objets susceptibles
d’être stockés dans l’annuaire est défini par le schéma, lequel définit les attributs obligatoires
et les attributs optionnels que chaque classe d’objets peut posséder, ainsi que son parent.

Mise en œuvre du schéma
Le schéma Active Directory est mis en œuvre sous la forme d’un ensemble d’instances de
classe stocké dans l’annuaire. C’est très différent des annuaires dans lesquels le schéma prend
la forme d’un fichier texte lu au démarrage. Stocker le schéma dans l’annuaire offre de
nombreux avantages, par exemple, les applications des utilisateurs peuvent lire le schéma
pour connaître les objets et les propriétés disponibles.

Télécharger la version complète de ce
livre Sur http://bibliolivre.info

Chapitre 2

Présentation des services d’annuaire

21

Modèle de sécurité
Active Directory, qui fait partie de la base approuvée de Windows Server 2000 et ultérieur,
participe pleinement à l’infrastructure de sécurité. Le modèle de sécurité distribué s’appuie
sur le protocole d’authentification Kerberos (version 5) du MIT. L’authentification Kerberos
est compatible avec la sécurité fondée sur des couples de clés privée/publique. Elle utilise le
même modèle d’ACL que le système d’exploitation sous-jacent Windows Server 2008. Les
ACL protègent tous les objets d’Active Directory. Elles déterminent qui peut visualiser l’objet
et ses attributs, qui peut faire quoi sur l’objet, etc. L’utilisateur qui n’a pas la permission de
voir un objet ou un attribut ne saura même pas que celui-ci existe.
Une ACL se compose d’entrées de contrôle d’accès (ACE, Access Control Entries) stockées avec
l’objet protégé par l’ACL. Sous Windows 2000 et ultérieur, l’ACL est stockée sous la forme
d’une valeur binaire, dite descripteur de sécurité. Chaque ACE contient un SID (Security
IDentifier), spécifiant l’utilisateur ou groupe principal auquel s’applique l’ACE et précise le
type d’accès accordé ou refusé.
Les ACL des objets de l’annuaire contiennent des ACE concernant l’objet dans sa globalité,
ainsi que des ACE relatives aux attributs de l’objet. L’administrateur peut donc contrôler qui
a le droit de voir un objet, mais aussi qui a le droit de voir telle ou telle propriété de cet objet.
Par exemple, tous les utilisateurs peuvent lire les adresses de messagerie et les numéros de
téléphone des autres utilisateurs, mais seuls les administrateurs peuvent accéder aux
propriétés de sécurité des utilisateurs. En outre, chaque utilisateur peut modifier sa propre
adresse de messagerie et son propre numéro de téléphone.
Active Directory, qui est le magasin de données du système de sécurité, contient notamment
les comptes utilisateur, les groupes et les domaines. Ce magasin, qui remplace la base de
comptes stockée dans le registre, est un composant approuvé de LSA.

Délégation et héritage
La délégation est l’une des fonctionnalités de sécurité majeures d’Active Directory. Un
administrateur peut autoriser un utilisateur à effectuer un ensemble spécifié d’actions dans
une sous-arborescence bien définie de l’annuaire. On parle ici d’administration déléguée.
Celle-ci permet de contrôler très précisément qui peut faire quoi et donne la possibilité aux
administrateurs de déléguer des responsabilités, sans être obligé d’accorder des privilèges
élevés. Cela élimine aussi le besoin d’avoir des administrateurs de domaines disposant d’une
large responsabilité sur de grosses portions de la population des utilisateurs.
Les administrateurs octroient le droit d’effectuer certaines opérations sur certaines classes
d’objets en ajoutant des ACE à l’ACL du conteneur. Par exemple, pour permettre à Charlie
Russel d’être administrateur de l’unité organisationnelle Ingénierie, on ajoute à l’ACL
Ingénierie des ACE telles que :
"Charlie Russel";Grant ;Create, Modify, Delete;Object-Class User
"Charlie Russel";Grant ;Create, Modify, Delete;Object-Class Group
"Charlie Russel";Grant ;Write;Object-Class User; Attribute Password

22

Partie I

Préparation

Charlie Russel peut alors créer de nouveaux utilisateurs et groupes dans Ingénierie et
modifier les mots de passe des utilisateurs existants, mais il ne pourra pas créer d’autres
classes d’objets ni toucher aux utilisateurs situés dans d’autres conteneurs (sauf, bien sûr, si
des ACE l’autorisent à accéder à d’autres conteneurs).
L’héritage permet de propager à une ACE donnée depuis le conteneur où elle a été appliquée
vers tous les enfants de ce conteneur. On peut combiner héritage et délégation pour octroyer
des privilèges administratifs à une sous-arborescence complète de l’annuaire en une seule
opération.

Contextes d’attribution de noms et partitions
Active Directory se compose d’un ou de plusieurs contextes d’attribution de noms (ou
partitions). Un contexte d’attribution de noms est une sous-arborescence contiguë de
l’annuaire. Les contextes d’attribution de noms représentent les unités du partitionnement.
Un serveur en contient toujours au moins trois :
■ Le schéma ;
■ La configuration (topologie de réplication et données associées) ;
■ Un ou plusieurs contextes d’attribution de noms (sous-arborescences contenant les

objets dans l’annuaire).

Catalogue global
Le nom unique d’un objet contient suffisamment d’informations pour que l’on puisse
localiser une réplique de la partition contenant l’objet. Bien souvent, cependant, l’utilisateur
ou l’application ne connaît pas le nom unique de l’objet cible, ni ne sait quelle est la partition
susceptible de contenir l’objet. Le catalogue global permet aux utilisateurs et aux applications
de trouver un objet dans une arborescence de domaine Active Directory, à partir d’un ou
plusieurs attributs de cet objet.
Le catalogue global (GC, global catalog) contient une réplique partielle de chaque contexte
d’attribution de noms de l’annuaire. Il contient aussi le contexte d’attribution de noms du schéma
et de la configuration. Autrement dit, le GC contient une réplique de chaque objet Active
Directory, laquelle ne renferme qu’un petit nombre d’attributs. Les attributs cités dans le GC sont
ceux qui servent le plus dans les opérations de recherche (par exemple, le nom de l’utilisateur, son
prénom, son nom d’ouverture de session, etc.), ainsi que ceux requis par la recherche d’une
réplique complète de l’objet. Le GC permet à l’utilisateur de localiser rapidement l’objet qui
l’intéresse, même s’il ne connaît pas le domaine contenant cet objet. Il dispense, en outre, de
l’obligation d’utiliser un espace de noms étendu et contigu dans l’entreprise.
Le système de réplication d’Active Directory crée automatiquement le GC. La topologie de
réplication du GC est, elle aussi, générée automatiquement. Les propriétés répliquées dans le
GC incluent un ensemble de base défini par Microsoft. Les administrateurs peuvent spécifier
des propriétés supplémentaires, selon les besoins propres de leurs installations.

Chapitre 2

Présentation des services d’annuaire

23

Dans Windows 2000, pour traiter une ouverture de session par un utilisateur dans un
domaine en mode natif, un contrôleur de domaine doit contacter le serveur du catalogue
global pour étendre l’appartenance de l’utilisateur au groupe universel. Par conséquent, un
utilisateur à distance peut rencontrer des difficultés pour ouvrir une session si la liaison
réseau est coupée entre le contrôleur de domaine et le catalogue global.
Dans Windows Server 2008, il est possible de configurer les contrôleurs de domaines pour
servir de cache aux recherches d’appartenance au groupe universel au moment du traitement
des événements d’ouverture de session utilisateur, ainsi les utilisateurs peuvent ouvrir une
session, même si le GC n’est pas disponible. Pour de plus amples informations sur
l’administration et le déploiement d’Active Directory, reportez-vous aux chapitres 16 et 17
du tome 1.

Résumé
Active Directory est un outil extrêmement puissant et, comme tous les outils très puissants,
il peut faire des dégâts si l’on s’en sert mal. Prévoyez suffisamment de temps pour l’analyse et
la planification, avant de déployer Active Directory. Avant toute chose, créez un annuaire
logique et performant. Une architecture d’annuaire mal pensée peut avoir des répercussions
négatives sur l’efficacité, voire sur la stabilité du réseau. Le chapitre 3 du tome 1 expliquera
comment planifier votre espace de noms et vos domaines pour avoir une efficacité et une
longévité maximales.

Télécharger la version complète de
ce livre Sur http://bibliolivre.info

Télécharger la version complète
de ce livre Sur
http://bibliolivre.info

Chapitre 3

Planification de l’espace
de noms et des domaines
Analyser les besoins en termes de conventions de noms . . . . . . . . . . . . . . . . . . . . 25
Planifier une structure de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Planifier plusieurs domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
De nos jours, la planification souffre d’une réputation quelque peu négative. On l’associe
parfois à des réunions interminables et ennuyeuses, voire à une manière d’éviter d’entrer en
action. Néanmoins, la planification et la préparation sont fondamentales, qu’il s’agisse de
construire un réseau ou simplement de peindre les murs d’une pièce.
Si vous abordez pour la première fois le concept d’espace de noms, n’hésitez pas à passer le
temps et l’énergie nécessaires pour vous préparer ; vous rentabiliserez largement votre
investissement en constatant une réduction de vos coûts de prise en charge, davantage de
flexibilité et moins de réorganisation.
La planification de l’espace de noms d’une organisation de grande ou moyenne taille
constitue un processus itératif. Vous n’y arriverez probablement pas la première fois, ni
même la seconde. Mais vous devez bien commencer un jour, puis consulter et collaborer avec
les acteurs clés de votre organisation, pour préciser et consulter à nouveau, jusqu’à obtenir
un espace de noms optimal pour votre organisation. À mesure que vous progresserez, la
majorité des avis qui vous seront donnés dépendra des stratégies de la société et des
intentions personnelles, rendant le processus plus complexe qu’il n’y paraissait. Votre travail
est de comprendre et de protéger les intérêts de l’organisation dans son ensemble.

Analyser les besoins en termes de conventions
de noms
Pour planifier votre espace de noms et la structure du domaine, il vous faut analyser votre
organisation et essayer de comprendre ses besoins sous-jacents relatifs au nommage. Cela
vous impose de comprendre le type d’organisation dans laquelle vous travaillez et de
déterminer qui sont les acteurs, ainsi que de réfléchir à la direction dans laquelle
l’organisation s’oriente.

25


Documents similaires


Fichier PDF p8hn7l3
Fichier PDF l administration sous win 2003 1
Fichier PDF tuto liaison ldap glpi
Fichier PDF compte rendu stage apo g
Fichier PDF 70 681
Fichier PDF windows serveur 2008 administration avancee


Sur le même sujet..