Forums d'entraide informatique - Astuces - Conseils

Admin · 16-08-2008 16:36:27

Pour une meilleure lisibilité vous pouvez télécharger ce fichier au format pdf ici :
http://www.parisdepannage.fr/dossiers/c … ur2003.pdf

1.1.3. Présentation du service d’annuaire (Active
Directory)

Le service Active Directory (Active Directory) permet une gestion centralisée. Cela vous donne la
possibilité d’ajouter, de retirer et de localiser les ressources facilement.

Ainsi, nous avons :

- Une administration simplifiée : Active Directory offre une administration de toutes les
ressources du réseau d’un point unique. Un administrateur peut se loguer sur n’importe quel
ordinateur pour gérer les ressources de tout ordinateur du réseau.

- Une mise à l’échelle : Active Directory permet de gérer des millions d’objet réparti sur plusieurs
sites si cela est nécessaire.

- Un support standard ouvert : Active Directory utilise DNS pour nommer et de localiser des
ressources, ainsi les noms de domaine Windows 2003 sont aussi des noms de domaine DNS.
Active Directory fonctionne avec des services de clients différents tels que NDS de Novell. Cela
signifie qu’il peut chercher les ressources au travers d’une fenêtre d’un browser web. De plus, le
support de Kerberos 5 apporte la compatibilité avec les autres produits qui utilisent le même
mécanisme d’authentification.

1.1.4. Structure d’Active Directory

La structure d’Active Directory est hiérarchique, elle se décompose comme suit :

- Objet : représente une ressource du réseau qui peut-être par exemple un ordinateur ou un compte
utilisateur.

- Classe : description structurelle d’objet tels les comptes d’utilisateurs, ordinateurs, domaines, ou
unités organisationnelles.

- Unité organisationnelle (OU) : container utilisé pour organiser les objets d’un domaine à
l’intérieur de groupes administratifs logiques tels les ordinateurs, les imprimantes, les comptes
d’utilisateurs, les fichiers partagés, les applications et même d’autres unités organisationnelles.

- Domaine : chacun des objets d’un réseau existe dans un domaine et chaque
domaine contient les informations des objets qu’il contient. Un domaine est
sécurisé, c’est à dire que l’accès aux objets est limité par des ACL (Access
Control List). Les ACL contiennent les permissions, associées aux objets, qui
déterminent quels utilisateurs ou quels types d’utilisateurs peuvent y accéder.
Dans Windows 2003, toutes les stratégies de sécurité et les configurations (telles Administrer et gérer un environnement Microsoft Windows Server
2003
9 / 76

- Arbre : c’est un groupement ou un arrangement hiérarchique
d’un ou plusieurs domaines Windows 2003 qui partagent des
espaces de noms contigus (par exemple :
administration.supinfo.com, comptabilité.supinfo.com, et
training.supinfo.com). Tous les domaines d’un même arbre
partagent le même schéma commun (la définition formelle de
tous les objets qui peuvent être enregistrés dans une
architecture d’Active Directory) et partagent un catalogue
commun.

- Forêt : c’est un groupement ou un arrangement hiérarchique d’un ou
plusieurs arbres qui ont des noms disjoints (par exemple :
laboratoire-microsoft.org et supinfo.com). Tous les arbres d’une
forêt partagent le même schéma commun et le même catalogue, mais
ont des structures de noms différentes. Les domaines d’une forêt
fonctionnent indépendamment les uns des autres, mais les forêts
permettent la communication d’un domaine à l’autre.

- Sites : combinaison d’une ou plusieurs IP de sous réseau connectés par des liens à hauts débits. Ils
ne font pas partie d’un espace de nommage d’Active Directory, et ils contiennent seulement les
ordinateurs, les objets et les connexions nécessaires pour configurer la réplication entre sites. Ils
permettent d’intégrer la topologie physique du réseau dans Active Directory.

1.2. Installation et configuration des outils
d’administration

1.2.1. Installation des outils d’administration

Les outils d’administration permettent la gestion des serveurs à distance. Ils peuvent être installés sur
n’importe quelle machine sous Windows 2003 par l’intermédiaire de adminpak.msi qui se trouve dans le
dossier i386 du CD ROM d’installation du système.

Les outils d’administration sont installés par défaut sur le contrôleur de domaine.

Il peut être utile, pour des raisons de sécurité, d’utiliser les outils d’administration en ayant ouvert une
session avec votre compte de domaine basique et en utilisant la commande Exécuter en tant que pour
lancer les outils d’administration.

1.2.2. Présentation et configuration d’une MMC

Windows 2003 (toutes versions) intègre un modèle d'outils d'administration nommé MMC
(Microsoft.Managment Console) qui donne la possibilité aux administrateurs de créer eux-mêmes leur
propre console d'administration.

Il suffit pour cela d'intégrer les composants logiciels enfichables (snap-in) couramment utilisés.

Cela permet aussi de mettre à disposition des administrateurs subalternes des outils d'administration
personnalisés. Ainsi un administrateur ayant pour unique fonction la maintenance des comptes du domaine
ne pourra supprimer un utilisateur ou un groupe par erreur puisque l'option de suppression n'apparaîtra pas
dans sa console.

Afin de pouvoir créer une MMC personnalisée, il vous suffit de suivre la procédure suivante : Administrer et gérer un environnement Microsoft Windows Server
2003
10 / 76

Allez dans le menu Démarrer / Exécuter (á-R).
Tapez MMC, puis Entrer.
Dans le menu console, sélectionnez Ajouter/Supprimer un composant logiciel enfichable.

Cliquez ensuite sur Ajouter et sélectionnez le composant que vous souhaitez ajouter à votre console (Notez
que l’interface de cette fenêtre est trompeuse: si vous double-cliquez sur un composant ou si vous cliquez
sur Ajouter, le composant est ajouté à la liste sans aucune confirmation).

1.2.3. Résolution des problèmes lors de l’installation
des outils d’administration

Si des problèmes surviennent lors de l’installation des outils d’administration, deux raisons principales
peuvent en être la cause :

- Permissions insuffisantes : Seul les utilisateurs membres du groupe Administrateurs on les
privilèges suffisants pour pouvoir installer les outils d’administration.

- Système d’exploitation non supporté : Seul Windows XP et Windows 2003 supporte
l’installation des outils d’administration.

Si des problèmes de liens morts dans l’aide surgissent :

Lors de l’installation des outils d’administrations sur Windows XP, l’aide peut faire référence aux fichiers
d’aide de Windows 2003 Server et ainsi générer des erreurs. Pour résoudre ce problème, il suffit de copier
le fichier d’aide de Windows 2003 Server sur la station Windows XP.

1.3. Présentation et configuration des unités
d’organisations

1.3.1. Présentation des unités d’organisations

Une unité d’organisation est un objet conteneur utilisé pour organiser les objets au sein du
domaine. Il peut contenir d’autres objets comme des comptes d’utilisateurs, des groupes,
des ordinateurs, des imprimantes ainsi que d’autres unités d’organisation.

Les unités d’organisation permettent d’organiser de façon logique les objets de l’annuaire (ex :
représentation physique des objets ou représentation logique).

Les unités d’organisation permettent aussi de faciliter la délégation de pouvoir selon l’organisation des
objets.

1.3.2. Model hiérarchique des unités d’organisation

Afin de pouvoir utiliser les propriétés de gestion associée aux unités d’organisation, il est nécessaire de
construire un model hiérarchique d’imbrication des unités d’organisation.

1.3.3. Dénomination des unités d’organisation

Plusieurs méthodes de dénomination permettent de pointer sur une unité d’organisation :
Administrer et gérer un environnement Microsoft Windows Server
2003
11 / 76

- Les noms uniques : le nom unique identifie le domaine dans lequel est situé l’objet, ainsi que son
chemin d’accès complet (ex : OU=Recherche, DC=labo-microsoft, DC=lan)
- Les noms uniques relatifs : partie du nom unique qui permet d’identifier l’objet dans son
conteneur (ex : Recherche).
- Le nom canonique : apportant autant d’information que les noms uniques, il est utilisé dans
certains outils d’administration (ex : labo-microsoft.lan/Recherche).

1.3.4. Création d’une unité d’organisation

Deux possibilités s’offre à vous pour créer une unité d’organisation :

- Interface graphique : dans l’outil d’administration Utilisateurs et ordinateurs Active
Directory.

- Ligne de commande : avec l’outil dsadd ou OrganizationalUnitDomainName [-desc Description]
[{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]

1.4. Déplacement des objets du domaine

Dans certaine condition, il est utile de modifier l’emplacement d’un objet (utilisateur, ordinateur, …) d’une
unité d’organisation à une autre dans le cadre d’un changement de poste par exemple.

Cette manipulation se fait dans l’outil d’administration Utilisateurs et ordinateurs Active Directory.
Administrer et gérer un environnement Microsoft Windows Server
2003
12 / 76

2. Gestion des comptes d’utilisateur et
d’ordinateur

2.1. Création des comptes utilisateur

2.1.1. Présentation des comptes d’utilisateurs

Les Comptes d’utilisateurs permettent aux utilisateurs d’accéder aux ressources du réseau. Ils sont associés
à un mot de passe et fonctionnent dans un environnement définit (machine local ou domaine).

Un utilisateur disposant d’un compte de domaine pourra s’authentifier sur toutes les machines du domaine
(sauf restriction explicite de l’administrateur).

Un utilisateur disposant d’un compte local ne pourra s’authentifier que sur la machine où est déclaré le
compte.

Compte local : Les informations de Comptes d’utilisateurs
sont stockées localement sur les machines hébergeant les
ressources réseau. Si une modification doit être apportée à
un compte, celle-ci devra être répercutée manuellement sur
toutes les machines où le compte existe.

Compte de domaine : Les informations de comptes sont
centralisées sur un serveur, dans l’annuaire des objets du
réseau. Si une modification doit être apportée à un compte,
elle doit être effectuée uniquement sur le serveur qui la
diffusera à l’ensemble du domaine.

2.1.2. Convention de nom des comptes utilisateurs

On distingue quatre méthodes pour nommer un compte utilisateur :

- Le nom d’ouverture de session (login) : thoboi_l
- Le nom d’ouverture de session pré-windows : ESI\thoboi_l
- Le nom d’utilisateur principal : thoboi_l@esi-supinfo.lan
- Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan

Un login ne peut dépasser les 20 caractères, il prend en compte la casse et ne peut contenir de caractère
spéciaux comme : " / \ [ ] : ; | = , + * ? < >.

2.1.3. Nomenclature de création de compte
utilisateur

Un login doit obligatoirement être unique dans son domaine. Ainsi il est nécessaire dans une grosse
entreprise de créer une nomenclature de création de login prenant en compte des particularités de nom
comme les membres d’une même famille travaillant dans l’entreprise.

Il peut être intéressant aussi d’identifier dans le login des employées temporaire (ex : T_thoboi_l).

Une fois le compte créer, il suffit de le placer dans l’unité d’organisation correspondant au département de
l’utilisateur.
Administrer et gérer un environnement Microsoft Windows Server
2003
13 / 76

2.1.4. Mot de passe utilisateur

A la création d’un utilisateur, il est possible de spécifier un certain nombre de propriétés concernant la
gestion des mots de passe :

- L’utilisateur doit changer de mot de passe à la prochaine ouverture de session : cette option
permet de définir un mot de passe temporaire lors de la création d’un compte ou de la
réinitialisation du mot de passe et d’obliger ensuite l’utilisateur à le modifier.

- L’utilisateur ne peut pas changer de mot de passe : cette option permet de bloquer la
fonctionnalité de modification de mot de passe.

- Le mot de passe n’expire jamais : particulièrement utile pour les comptes de service, cette option
permet de s’assurer que le compte en question ne soit pas assujetti au règle de stratégie de compte.

- Le compte est désactivé : Permet de désactiver un compte sans le supprimer.

2.1.5. Création de compte d’utilisateur

La création d’un utilisateur se fait via l’outil graphique d’administration Utilisateurs et ordinateurs
Active Directory ou à l’aide de l’outil en ligne de commande dsadd user (dsadd user UserDomainName
[-samid SAMName] [-upn UPN] [-fn FirstName] [-ln LastName] [-display DisplayName] [-pwd
{Password|*}).

2.2. Création de comptes d’ordinateur

2.2.1. Présentation des comptes d’ordinateurs

Un compte d’ordinateur n’existe que dans un environnement de domaine, il permet d’identifier chaque
ordinateur qui a accès à la base de compte Active Directory notamment pour l’authentification des
utilisateurs.

Les comptes d’ordinateur sont particulièrement utiles pour la sécurité et la gestion centralisée : Ainsi on va
pouvoir utiliser ces comptes pour configurer des audits, IPSec, les audits, le déploiement de logiciel, et les
stratégies de sécurité,….

2.2.2. Création de compte d’ordinateur

La création d’un compte d’ordinateur se fait via l’outil graphique d’administration Utilisateurs et
ordinateurs Active Directory ou à l’aide de l’outil en ligne de commande dsadd computer (dsadd
computer ComputerDomainName [-samid SAMName] [-desc Description] [-loc Location] [-memberof
GroupDomainName ..] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -
uci}]).

Une autre possibilité s’offre à vous pour créer un compte d’ordinateur est de le créer à partir du client
lorsque celui-ci se joint au domaine. Dans ce cas, le compte d’ordinateur est créé dans le conteneur
Computer.

2.3. Modification des propriétés des compte
d’utilisateur et d’ordinateur
Administrer et gérer un environnement Microsoft Windows Server
2003
14 / 76

Une fois le compte créé, il est possible d’en modifier les propriétés. La première utilité est d’en mettre à
jour les informations, la seconde est d’accéder à des propriétés qui ne sont pas disponible lors de la
procédure de création de compte.

Les différentes modifications qui vont être apporté aux comptes peuvent avoir plusieurs utilités :
- Faciliter la recherche : le département, le bureau, …
- Permettre de centraliser des informations liées au compte : le téléphone, l’email, …

Afin de modifier ces propriétés, il vous suffit d’utiliser l’outil graphique d’administration Utilisateurs et
ordinateurs Active Directory et d’afficher les propriétés de l’objet en double-cliquant dessus. Il est a noté
que dans ce mode graphique il est possible de sélectionner plusieurs utilisateur afin de réaliser des
modifications en "masse".

Une autre solution est d’utiliser l’outil en ligne de commande dsmod [user | computer] :

dsmod user UserDN ... [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-
empid EmployeeID] [-pwd (Password | *)] [-desc Description] [-office Office] [-tel PhoneNumber] [-email
E-mailAddress] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax
FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company
Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr
ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires
{yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [-
p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]

dsmod computer ComputerDN ... [-desc Description] [-loc Location] [-disabled {yes | no}] [-reset] [{-s
Server | -d Domain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]

2.4. Création de modèles de compte
utilisateur

2.4.1. Présentation d’un modèles de compte
utilisateur

Un modèle de compte est un compte utilisateur générique contenant les informations communes à tous les
comptes ayant le même rôle dans l’entreprise. Une fois ce modèle de compte créé (en utilisant la même
procédure que n’importe quel compte utilisateur), il suffira de le dupliquer à chaque création d’un nouveau
compte correspondant au rôle. Ainsi le nouveau compte créé, héritera des propriétés de modèle.

Pour des raisons de sécurité il est nécessaire de désactiver l’ensemble des modèles de compte afin qu’il ne
soit pas utilisé pour entrer dans le système. De plus il est conseillé d’identifier les modèles de compte par
une lettre significative en début de nom (ex : M_<nom_du_modele>).

2.4.2. Propriétés du modèle de compte maintenus
lors de la copie

Lorsqu’un modèle de compte est dupliqué, l’ensemble de ces propriétés n’est pas copié, la liste qui suit
vous informe des propriétés qui le sont :

- Onglet Adresse : L’ensemble des informations est copié, à l’exception de la propriété Adresse.
- Onglet Compte : L’ensemble des informations est copié, à l’exception de la propriété Nom
d’ouverture de session de l’utilisateur qui est récupéré de l’assistant de duplication de compte.
- Onglet Profil : L’ensemble des informations est copié, à l’exception des propriétés Chemin du
profil et Dossier de base qui sont modifiés pour refléter le changement de nom d’ouverture de
session. Administrer et gérer un environnement Microsoft Windows Server
2003
15 / 76

- Onglet Organisation : L’ensemble des informations est copié, à l’exception de la propriété Titre.
- Membre de : L’ensemble des informations est copié.

2.5. Activation et désactivation d’un compte
utilisateur

Chaque compte utilisateur bénéficie d’un identifiant unique interne, à Active Directory ou à la base SAM,
qui permet de l’identifier. Cet identifiant appelé SID est utilisé notamment par le système de sécurité de
Windows 2003.

Lorsque l’on supprime un compte et que l’on recréé ce compte, même avec des informations strictement
identique, celui-ci se voit affecter un nouveau SID. Il perd ainsi l’ensemble de son contexte de sécurité.

Afin d’éviter d’avoir à reconfigurer l’ensemble des droits et autorisations du compte utilisateur, il est
conseillé de toujours désactivé les comptes utilisateur (l’utilisateur ne pourra plus l’utiliser) dans un
premier temps. Après vérification, si la suppression peut se faire dans de bonne condition, vous pouvez la
réaliser.

L’activation et la désactivation se fait via l’outil graphique d’administration Utilisateurs et ordinateurs
Active Directory ou à l’aide l’outil en ligne de commande dsmod user UserDN -disabled {yes|no}.

2.6. Recherche dans Active Directory

2.6.1. Recherche standard

Une fois les comptes d’utilisateurs et d’ordinateurs créé, des outils sont mis à votre disposition pour
pouvoir effectuer des recherches dans l’annuaire.

Ces recherches peuvent être définis selon divers critère comme le type d’objet, les valeurs des propriétés de
ces objets.

Pour lancer l’outil de recherche, il suffit de lancer soit l’outil de recherche graphique Utilisateurs et
Ordinateurs Active Directory.

Vous pouvez aussi utiliser l’outil en ligne de commande dsquery user ou dsquery computer :

dsquery user [{StartNode | forestroot | domainroot}] [-o {dn | rdn | upn | samid}] [-scope {subtree |
onelevel | base}] [-name Name] [-desc Description] [-upn UPN] [-samid SAMName] [-inactive
NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p
{Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]

dsquery computer [{StartNode | forestroot | domainroot}] [-o {dn | rdn | samid}] [-scope {subtree |
onelevel | base}] [-name Name] [-desc Description] [-samid SAMName] [-inactive NumberOfWeeks] [-
stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r]
[-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]

2.6.2. Recherche personnalisée

Il vous est possible aussi de réaliser des requêtes personnalisées directement en LDAP.
Pour cela, il vous suffit de sélectionner l’option Recherche personnalisée dans l’option Recherche :.

2.6.3. Sauvegarde des requêtes
Administrer et gérer un environnement Microsoft Windows Server
2003
16 / 76

Une nouveau répertoire fait son apparition dans l’outil Utilisateurs et ordinateurs Active Directory. Il
permet de créer, organiser et sauvegarder des requêtes LDAP. Cela permet d’effectuer les recherches
courantes plus rapidement.

Une fonctionnalité d’export au format XML est aussi disponible pour chacune des requêtes sauvegardées. Administrer et gérer un environnement Microsoft Windows Server
2003
17 / 76

3. Gestion des groupes

3.1. Présentation des groupes

Les groupes permettent de simplifier la gestion de l’accès des utilisateurs aux ressources du réseau. Les
groupes permettent d’affecter en une seule action une ressource à un ensemble d’utilisateurs au lieu de
répéter l’action pour chaque utilisateur. Un utilisateur peut être membre de plusieurs groupes.

Il y a deux emplacements où l’on peut trouver les groupes :

3.1.1. Groupes sur un ordinateur local

Ils permettent d’accorder des permissions uniquement au niveau de la machine. Dans le cas d’une machine
non-relié à un domaine, il est possible d’inclure uniquement les comptes locaux.

Les groupes locaux sont créés à l’aide de l’outil Gestion de l’ordinateur, puis dans le composant
enfichable Utilisateurs et groupes locaux.

3.1.2. Groupes sur un contrôleur de domaine

Ils sont utilisables sur l’ensemble des machines du domaine et permettent d’avoir une gestion centralisée de
la hiérarchie des groupes. Ils peuvent contenir des utilisateurs du domaine et même d’autres domaines.

Les groupes de domaine sont créés à l’aide de l’outil d’administration Utilisateurs et ordinateurs Active
Directory et cela dans n’importe quel unité d’organisation présente ou à l’aide de l’outil en ligne de
commande dsadd group GroupDN -samid SAMName -secgrp yes | no -scope l | g | u.

3.1.2.1. Type de groupe

Il existe deux types de groupes dans Active Directory :

Les groupes de sécurité : permettent d’affecter des utilisateurs et des ordinateurs à des ressources. Peux
aussi être utilisé comme groupe de distribution.

Les groupes de distribution : exploitables entre autres via un logiciel de messagerie. Ils ne permettent pas
d’affecter des ressources aux utilisateurs.

3.1.2.2. Etendue des groupes

Les deux types de groupes dans Active Directory gèrent chacun 3 niveaux d’étendue. Leurs
fonctionnements vont dépendre du niveau fonctionnel du domaine qui peut varier entre mixte, natif 2000 et
natif 2003. Selon le mode fonctionnel les fonctionnalités des groupes changent :

3.1.2.2.1. Les groupes globaux:

Mode mixte Mode natif
Membres
Comptes d’utilisateurs du même
domaine
Comptes d’utilisateurs et groupes
globaux du même domaine
Membres de Groupes locaux du même domaine Groupes locaux de domaines
Etendue Visibles dans leur domaine et dans tous les domaines approuvés
Autorisations pour Tous les domaines de la forêt

3.1.2.2.2. Les groupes locaux de domaine :
Administrer et gérer un environnement Microsoft Windows Server
2003
18 / 76

Mode mixte Mode natif
Membres
Comptes d’utilisateurs et groupes
globaux de tout domaine
Comptes d’utilisateurs, groupes
globaux et groupes universels d’un
domaine quelconque de la forêt, et
groupes locaux de domaine du même
domaine
Membres de
Membres d’aucun groupe Groupes locaux de domaine du même
domaine
Etendue Visibles dans leur propre domaine
Autorisations pour Le domaine dans lequel le groupe local de domaine existe

3.1.2.2.3. Les groupes universels :

Mode mixte Mode natif
Membres
Non utilisables Comptes d’utilisateurs, groupes
globaux et autres groupes universels
d’un domaine quelconque de la forêt.
Membres de
Non utilisables Groupes locaux de domaine et
universels de tout domaine.
Etendue Visibles dans tous les domaines de la forêt
Autorisations pour Tous les domaines de la forêt

3.1.2.3. Propriétés Géré par

La propriété gestionnaire des groupes utilisateurs permet de connaître le responsable d’un groupe. Cela
permet aussi via l’option « Le gestionnaire peut mettre à jour la liste des membres » d’en modifier les
membres.

3.2. Convention de nommage des groupes

Il est conseillé de toujours identifier l’étendue voir le type de groupe en ajoutant une lettre au début du nom
du groupe.

Exemple :
G_nom : Groupe global
U_nom : Groupe Universel
DL_nom : Groupe de domaine local

3.3. Gestion des groupes

3.3.1. Stratégie d’utilisation des groupes dans un
domaine unique

La stratégie recommandée pour les groupes globaux et locaux dans un domaine unique est la suivante :

- Ajoutez les comptes d’utilisateur aux groupes globaux.
- Ajoutez les groupes globaux à un autre groupe global (dans le cas d’un environnement natif).
- Ajoutez les groupes globaux à un groupe local de domaine.
- Affectez les autorisations sur les ressources au groupe local de domaine.

. Cette stratégie est aussi appelée A G DL P.
Administrer et gérer un environnement Microsoft Windows Server
2003
19 / 76

3.3.2. Stratégie d’utilisation des groupes dans un
environnement à domaine multiple

- Dans chaque domaine, ajoutez aux groupes globaux des comptes d’utilisateurs ayant la même
fonction.
- Imbriquez des groupes globaux dans un seul groupe global pour intégrer les utilisateurs. Cette
étape n’est utile que si vous gérez un grand nombre d’utilisateurs.
- Imbriquez des groupes globaux dans un groupe universel.
- Ajoutez les groupes universels aux groupes locaux du domaine pour gérer l’accès aux ressources.
- Affectez aux groupes locaux des autorisations appropriés sur les ressources.

. Cette stratégie est aussi appelée A G G U DL P.

3.3.3. Modification de l’étendue d’un groupe

Dans certain cas, il peut être utile de modifier l’étendue d’un groupe dans Active Directory.

Groupe global vers universel : Ceci n’est possible que si le groupe n’est pas lui-même membre d’un
groupe global.

Groupe global vers domaine local : Il n’est pas possible de modifier directement un groupe global vers un
groupe universel. Pour réaliser cette modification, il est obligatoire de modifier le groupe global en groupe
universel, puis en groupe de domaine local.

Groupe de domaine local vers universel : Ceci n’est possible que si le groupe n’est pas lui-même
membre d’un groupe de domaine local.

Groupe universel vers global : Ceci n’est possible que si le groupe n’est pas lui-même membre d’un
groupe universel.

Groupe universel vers domaine local : Aucune limitation b’existe dans ce cas.

3.4. Groupes par défaut

Les groupes par défaut possèdent des droits et des autorisations prédéfinis qui permettent de faciliter la
mise en place d’un environnement sécurisé. Ainsi un certain nombre de rôle courant, sont directement
applicable en faisant membre du groupe par défaut adéquat l’utilisateur à qui l’on souhaite donner des
droits ou autorisations.

Ces groupes et les droits qui leurs sont associés sont créé automatiquement.

3.4.1. Groupes par défaut sur un serveur membre

Les groupes par défaut sur un serveur membre sont stockés dans la base de compte local de la machine et
sont visibles via le composant enfichable Utilisateurs et groupes locaux de la console d’administration
Gestion de l’ordinateur. Ils sont créés automatiquement lors de l’installation de Windows 2003.

Voici les rôles et les propriétés de certains d’entre eux :

Administrateurs
Plein pouvoir sur le serveur.
Lorsqu’un serveur est ajouté au domaine, le groupe Admin. du
domaine est ajouté à ce groupe.
Invités
Un profil temporaire est créé pour l’utilisateur que l’on place
dans ce groupe. Administrer et gérer un environnement Microsoft Windows Server
2003
20 / 76

Utilisateurs avec pouvoir
Peut créer des comptes utilisateurs et les gérer.
Peut créer des groupes locaux et les gérer.
Peut créer des ressources partagées.
Utilisateurs Peut lancer des applications, utiliser les imprimantes.
Opérateurs d’impression Peut gérer les imprimantes et les files d’attentes

Certain groupe par défaut ne sont disponible que lorsque un service précis est installé comme les services
DHCP et WINS qui installent les groupes par défaut Administrateurs DHCP, Utilisateurs DHCP,
Utilisateurs WINS.

3.4.2. Groupes par défaut dans Active Directory

Les groupes par défaut dans Active Directory sont stockés dans la base Active Directory et sont visibles via
la console d’administration Utilisateurs et ordinateurs Active Directory dans les conteneurs Builtin et
Users. Ils sont créés automatiquement lors de l’installation d’Active Directory.

Voici les rôles et les propriétés de certains d’entre eux :

Opérateurs de compte
Les membres de ce groupe peuvent gérer les comptes
utilisateurs.
Opérateurs de serveur
Les membres de ce groupe peuvent administrer les serveurs du
domaine.
Contrôleurs de domaine
Ce groupe contient tous les comptes d’ordinateurs des
contrôleurs de domaine.
Invités du domaine
Les membres de ce groupe vont bénéficier d’un profil
temporaire.
Utilisateurs du domaine
Contient tout les utilisateurs du domaine. Tous les utilisateurs
créés du domaine sont membre de ce groupe
Ordinateurs du domaine Ce groupe contient tous les ordinateurs du domaine
Administrateurs du domaine Ce groupe contient les utilisateurs administrateurs du domaine.
Administrateurs de l’entreprise
Ce groupe contient les administrateurs de l’entreprise. Permet
de créer les relations d’approbations entre domaines.
Administrateurs du schéma
Ce groupe contient les utilisateurs capables de faire des
modifications sur le schéma Active Directory.

3.5. Groupes système

Les groupes systèmes sont des groupes dont les membres sont auto gérer par le système. Ces groupes sont
particulièrement utiles dans le cas d’affectations d’autorisations.

Anonymous Logon Représentent les utilisateurs qui ne ce sont pas authentifiés.
Tout le monde
Tous les utilisateurs se retrouve automatiquement dans ce
groupe.
Réseau Regroupe les utilisateurs connectés via le réseau.
Utilisateurs authentifiés Regroupe les utilisateurs authentifiés.
Créateur propriétaire Représente l’utilisateur qui est propriétaire de l’objet.
Administrer et gérer un environnement Microsoft Windows Server
2003
21 / 76

4. Gestion d’accès aux ressources

4.1. Contrôle d’accès

Le système de contrôle d’accès dans Windows 2003 est basé sur trois composants qui permettent la
définition du contexte de sécurité des éléments du système.

Ces trois éléments sont :

• Les entités de sécurité
• Le SID
• DACL – Discretionary Access Control List

4.1.1. Les entités de sécurité

Les entités de sécurité peuvent être un compte utilisateur, d’ordinateur ou un groupe. Ils permettent
d’affecter l’accès à un objet en le représentant dans le système informatique.

4.1.2. Le SID

Toutes les entités de sécurité sont identifiées dans le système par un numéro unique appelé SID.

Ce SID est lié à la vie de l’objet, ainsi si l’on supprime un groupe et qu’on le recrée ce même groupe juste
après (même nom, même propriétés), celui-ci se verra attribuer un nouveau SID.
L’ensemble des définitions de sécurité étant basé sur ce SID, les accès donné au groupe supprimé ne seront
pas transféré au nouveau groupe.

4.1.3. DACL - Discretionary Access Control List

Les DACL sont associé à chaque objet sur lequel on va définir un contrôle d’accès.

Les DACL sont composées d’ACE (Access Control Entry) qui définissent les accès à l’objet.

Les ACE se compose de la façon suivante :
• Le SID de l’entité à qui l’on va donner ou refuser un accès.
• Les informations sur l’accès (ex : Lecture, Ecriture, …)
• Les informations d’héritage.
• L’indicateur de type d’ACE (Autoriser ou refuser).

A chaque tentative d’accès à une ressource, cette liste sera parcourue afin de déterminer si l’action voulue
peut être réalisée.

4.2. Autorisations

4.2.1. Autorisations standard

Les autorisations permettent de fixer le niveau d’accès qu’ont les entités de sécurité (pour un compte
utilisateur, groupe d’utilisateurs ou ordinateur) sur une ressource.

Les ressources utilisant ce système d’autorisations pour réguler leurs accès sont multiples (Registre,
Fichiers, Imprimantes, Active Directory, …)
Administrer et gérer un environnement Microsoft Windows Server
2003
22 / 76

4.2.2. Autorisations spéciales

Les autorisations standard sont limitées aux actions de base sur un objet (ex : Lecture, Modifier, Contrôle
Total, …). Aussi pour pouvoir granuler de façon plus précise les autorisations vous avez accès via le
bouton « Avancé » à une liste étendue d’autorisations.

4.3. Administration des accès aux dossiers
partagés

4.3.1. Description des dossiers partagés

Le partage d’un dossier permet de rendre disponible l’ensemble de son contenu via le réseau.

Par défaut, lors de la création d’un partage, le groupe « Tout le monde » bénéficie de l’autorisation
« Lecture ».

Il est possible de cacher le partage d’un dossier en ajoutant le caractère « $ » à la fin du nom. Pour pouvoir
y accéder il sera obligatoire de spécifier le chemin UNC complet (\\nom_du_serveur\nom_du_partage$).

4.3.2. Partage administratifs

Windows 2003 crée automatiquement des partages administratifs. Les noms de ces partages se terminent
avec un caractère $ qui permet de cacher le partage lors de l'exploration par le réseau. Le dossier système
(Admin$), la localisation des pilotes d'impression (Print$) ainsi que la racine de chaque volume (c$, d$, …)
constituent autant de partages administratifs.

Seul les membres du groupe « Administrateurs » peuvent accéder à ces partages en accès Contrôle Total.

Le partage IPC$ permet l’affichage des ressources partagées (dossiers partagés, imprimantes partagés).

4.3.3. Création de dossiers partagés

Sur des machines Windows 2003 Serveur en mode autonome ou serveur membre, seul les membres des
groupes « Administrateurs » et « Utilisateurs avec pouvoirs » peuvent créer des dossiers partagés.

Sur des machines contrôleur de domaine Windows 2003 Serveur, seul les membres des groupes
« Administrateurs » et « Opérateurs de serveurs » peuvent créer des dossiers partagés.

Pour pouvoir créer un partage vous avez trois possibilités :

• L’outil d’administration Gestion de l’ordinateur à l’aide du composant logiciel enfichable
« Dossier partagés ».
• L’explorateur par le biais du menu contextuel de tous les dossiers de l’arborescence.
• La commande NET SHARE (net share NomDossierPartagé=Unité:Chemin).

Admin · 16-08-2008 16:36:45

4.3.4. Publication des dossiers partagés

Grâce à Active Directory, il est possible aux utilisateurs de retrouver un partage du domaine en faisant une
recherche sur des mots clés.

Pour mettre en place cette fonctionnalité, il suffit de créer un objet « Dossier partagé » à l’aide de la
console « Utilisateurs et ordinateurs Active Directory » et de spécifier lors de sa création, le chemin UNC Administrer et gérer un environnement Microsoft Windows Server
2003
23 / 76

permettant d’accéder physiquement à ce partage (l’objet Active Directory n’étant qu’un raccourci vers la
ressource physique).
Il est aussi possible d’automatiser cette tache en cochant l’option « Publier ce partage dans Active
Directory » à l’aide de l’outil d’administration « Gestion de l’ordinateur » et du composant enfichable
« Dossier Partagé » directement sur le serveur qui héberge la ressource.

Suite à la publication, rien ne vous empêche si le serveur hébergeant le partage de fichier tombe en panne
de modifier le raccourci de l’objet Active Directory pour le faire pointer vers un nouveau serveur
accueillant le partage temporairement. Les utilisateurs ne perdent donc plus trace de leurs ressources.

4.3.5. Autorisations sur les dossiers partagés

Chaque dossier partagé peut être protéger par une ACL qui va restreindre sont accès spécifiquement aux
utilisateurs, groupes ou ordinateurs qui y accèdent via le réseau.

Il existe trois niveaux d’autorisations affectables :

• Lecture : Permet d’afficher les données et d’exécuter les logiciels.
• Modifier : Comprend toutes les propriétés de l’autorisation lecture avec la possibilité de créer des
fichiers et dossiers, modifier leurs contenus et supprimer leurs contenus.
• Contrôle total : Comprend toutes les propriétés de l’autorisation Modifier avec la possibilité de
modifier aux travers du réseau les autorisations NTFS des fichiers et dossiers.

Les trois niveaux d’autorisations sont disponibles en « Autoriser » ou en « Refuser » en sachant que les
autorisations de refus sont prioritaires.

Pour affecter des autorisations de partage, vous avez deux solutions :

• A l’aide de l’outil d’administration « Gestion de l’ordinateur » et du composant enfichable
« Dossier Partagé ».
• A l’aide de l’explorateur dans les propriétés du dossier partagé.

4.3.6. Connexion à un dossier partagé

Afin qu’un client puisse accéder à un dossier partagé, plusieurs moyen sont disponible :

• Favoris réseau : Permet de créer des raccourci vers les partages désiré.
• Lecteur réseau : Permet d’ajouter le dossier partagé directement dans le poste de travail en lui
attribuant une lettre.
• Exécuter : Permet d’accéder ponctuellement à la ressource en spécifiant simplement le chemin
UNC d’accès à la ressource.

4.4. Administration des accès aux fichiers et
dossiers NTFS

4.4.1. Présentation de NTFS

NTFS est un système de fichiers qui offre les avantages suivants :

• Fiabilité : NTFS est un système de fichier journalisé. En cas de problème ce journal sera utilisé
pour analyser les parties du disques qui ont posé problèmes (cela évite le scandisk de l’intégralité
du disque que l’on avait sous Windows 98).
Administrer et gérer un environnement Microsoft Windows Server
2003
24 / 76

• Sécurité : Le système NTFS prend en charge le cryptage de fichier avec EFS. EFS permet d’éviter
des problèmes comme l’espionnage industriel en empêchant l’exploitation des données même si le
disque durs est volé. NTFS permet aussi l’utilisation d’autorisation NTFS qui permettent de
restreindre l’accès aux données de la partition.

• Gestion du stockage : NTFS permet la compression de données transparentes pour tout les fichiers
stockées sur la partition. Il permet aussi l’implémentation de la gestion de quota pour restreindre
de façon logique l’espace que peux utiliser un utilisateur sur une partition.

L’utilisation de système de fichier comme FAT et FAT32 est recommandé uniquement pour faire du dual
boot entre des systèmes Windows 2003 et d’autres systèmes d’exploitation tels que DOS 6.22, Win 3.1 ou
Win 95/98.

Utilisez convert.exe pour convertir les partitions FAT ou FAT32 vers NTFS.
Les partitions NTFS ne peuvent pas être converties vers FAT ou FAT32, la partition doit alors être
effacée et recréée en tant que FAT ou FAT32.

4.4.2. Autorisations sur les fichiers et dossiers NTFS

Les autorisations NTFS permettent de définir les actions que vont pouvoir effectuer les utilisateurs, groupes
ou ordinateurs sur les fichiers.

4.4.2.1. Autorisations sur les fichiers

• Contrôle total : Dispose de toutes les autorisations de Modification avec la prise de possession et la
possibilitée de modifier les autorisations du fichier.
• Modification : Permet de modifier, supprimer, lire et écrire les fichiers.
• Lecture et exécutions : Permet de lire les fichiers et d’exécuter les applications.
• Ecriture : Permet d’écraser le fichier, de changer ses attributs et d’afficher le propriétaire.
• Lecture : Permet de lire le fichier, d’afficher ses attributs, son propriétaire et ses autorisations.

4.4.2.2. Autorisations sur les dossiers

• Contrôle total : Dispose de toutes les autorisations de « Modification » avec la prise de possession
et la possibilitée de modifier les autorisations du dossier.
• Modification : Dispose de toutes les autorisations de « Ecriture » avec la possibilité de supprimer
le dossier.
• Lecture et exécutions : Permet d’afficher le contenu du dossier et d’exécuter les applications.
• Ecriture : Permet de créer des fichiers et sous-dossier, de modifier ses attributs et d’afficher le
propriétaire.
• Lecture : Affiche les fichiers, sous-dossier, attributs de dossier, propriétaire et autorisations du
dossier.
• Affichage du contenu des dossiers : Affichage seul du contenu direct du dossier.

4.4.3. Impact de la copie et du déplacement sur les
autorisations NTFS

Toutes les opérations de copie héritent des autorisations du dossier cible. Seul le déplacement vers la même
partition permet le maintien des autorisations.

Les fichiers déplacés depuis une partition NTFS vers une partition FAT perdent leurs attributs et leurs
descripteurs de sécurité.

Les attributs de fichiers pendant la copie/le déplacement d’un fichier à l’intérieur d’une partition ou entre
deux partitions sont gérés ainsi: Administrer et gérer un environnement Microsoft Windows Server
2003
25 / 76

• Copier à l’intérieur d’une partition : Crée un nouveau fichier identique au fichier original. Il hérite
des permissions du répertoire de destination.

• Déplacer à l’intérieur d’une partition : Ne crée pas un nouveau fichier. Il y a seulement une mise à
jour des pointeurs du dossier. Garde les permissions appliquées à l’origine au fichier.

• Déplacer vers une autre partition : Crée un nouveau fichier identique à l’original et détruit le
fichier original. Le nouveau fichier hérite des permissions du répertoire de destination.

4.4.4. Présentation de l’héritage NTFS

Sur le système de fichier NTFS de Windows 2003, les autorisations que vous accordez à un dossier parent
sont héritées et propagées à tous les sous-dossiers, et les fichiers qu’il contient. Tous les nouveaux fichiers
et dossiers créés dans ce dossier hériteront aussi de ces permissions.

Par définition, toutes les autorisations NTFS d’un dossier créé seront héritées par les dossiers et fichiers
qu’il contiendra.

Il est possible de bloquer cet héritage (pour des raisons de sécurité) afin que les permissions ne soient pas
propagées aux dossiers et aux fichiers contenus dans le dossier parent.

Pour bloquer l’héritage des permissions, afficher les propriétés du dossier, allez dans l’onglet Sécurité, puis
cliquez sur le bouton « Paramètres avancés » désactiver la case à cocher « Permettre aux autorisations
héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées
sont spécifiquement définies ici .».
Dans la nouvelle fenêtre, cliquer Copier si vous souhaitez garder les autorisations précédemment héritées
sur cet objet, ou alors cliquer Supprimer afin de supprimer les autorisations héritées et ne conserver que les
autorisations explicitement spécifiées.

4.4.5. Identification des autorisations effectives

Lorsque vous accordez des autorisations à un utilisateur, à un groupe ou à un utilisateur, il est parfois
gênant de s’y retrouver parmi entre les groupes auquel il appartient et les autorisations hérités.

Lorsque l’on définit des autorisations, il est possible qu’un même utilisateur obtienne plusieurs
autorisations différentes car il est membre de différents groupes.
Dans ce cas, les autorisations se cumulent et en résultent l’autorisations la plus forte (ex : lecture + contrôle
total Î contrôle total).

Lorsqu’un utilisateur ne se trouve pas dans la DACL de l’objet, il n’a aucune autorisation dessus. C’est une
autorisation « Refuser » implicite.

Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers.

Les autorisations « Refuser » sont prioritaires sur les autres autorisations et ceci dans TOUT les cas (ex :
contrôle total + refuser lecture Î La lecture sera bien refusé).

Le propriétaire à la possibilité d’affecter les autorisations qu’il désire sur tous les fichiers dont il est le
propriétaire même si il n’a pas d’autorisations contrôle total dessus.

Un administrateur qui doit modifier les autorisations sur un fichier NTFS doit tout dabord se
l’approprier.
Administrer et gérer un environnement Microsoft Windows Server
2003
26 / 76

Il est possible de vérifier les permissions effectives d’un
utilisateur à l’aide de l’onglet Autorisations effectives de la
fenêtre de paramètres de sécurité avancé.

4.4.6. Cumul des autorisations NTFS et des
autorisations de partage

Lorsqu’ un utilisateur est sujet aussi bien aux autorisations NTFS qu’aux autorisations de partage, ses
permissions effectives s’obtiennent en combinant le niveau maximum d’autorisations indépendamment
pour les autorisations NTFS et pour les autorisations de partage (ex : Lecture pour les autorisations de
partage et modification pour les autorisations NTFS).

Une fois les deux autorisations définies, il suffit de prendre la plus restrictive des deux.

Exemple :
Partage – lecture + NTFS – contrôle total Î lecture
et inversement
Partage – contrôle total + NTFS – lecture Î lecture

4.5. Mise en place des fichiers hors connexion

4.5.1. Présentation des fichiers hors connexion

Les fichiers Hors Connexion remplacent le Porte-Document et fonctionnent de manière similaire à l’option
« Visualiser Hors-Connexion » d’Internet Explorer. Ainsi il est possible pour les utilisateurs itinérants de
continuer à accéder à leurs ressources réseau alors qu’ils sont déconnectés de celui-ci.

Pour activer la fonction de mise hors-connexion coté serveur il suffit de partager un dossier et d’activer son
cache afin de le rendre disponible hors connexion. Trois mode de mise en cache sont alors disponibles :

- Cache manuel pour les documents : réglage par défaut. Les utilisateurs doivent spécifier quels
documents ils souhaitent rendre disponibles hors connexion.

- Cache automatique pour les documents : tous les fichiers ouverts par un utilisateur sont mis en cache
sur son disque dur pour une utilisation hors connexion – les versions anciennes du document sur le disque
sont automatiquement remplacées par des versions plus récentes du partage quand elles existent.

- Cache automatique pour les programmes : cette mise en cache est unidirectionnelle et ne concerne que
les fichiers dont les modifications des utilisateurs doivent être ignoré (ex : tarifs, applications, …). Elle
permet notamment un gain de performance car les fichiers sont alors consulté en local et non pas sur le
réseau. Elle est activée via l’option « Optimisé pour les performances ».

La mise en cache peut être aussi activée par la commande NET SHARE et le commutateur /cache.
Administrer et gérer un environnement Microsoft Windows Server
2003
27 / 76

L’utilitaire de Synchronisation, vous permet de spécifier les fichiers qui seront synchronisées, le type de
connexions employée pour cette synchronisation (pour empêcher par exemple une synchronisation lorsque
l’on est connecté au réseau à distance via un modem) et le moment où cette synchronisation est effectuée
(lors d’une connexion, d’une déconnexion, lorsque l’ordinateur est en veille,…).

Lorsque vous synchronisez, si vous avez édité un fichier hors connexion et qu’un autre utilisateur a fait de
même, alors, il vous sera demandé si vous souhaitez :
Garder et renommer votre exemplaire
Écraser votre exemplaire avec la version disponible sur le réseau
Écraser la version disponible sur le réseau et perdre les modifications de l’autre utilisateur
Administrer et gérer un environnement Microsoft Windows Server
2003
28 / 76

5. Implémentation de l’impression

5.1. Présentation de l’impression dans la
famille Windows Server 2003

5.1.1. Terminologie de l’impression

• Pilote d’impression : Logiciel permettant d’implémenter sur l’ordinateur le langage de
communication de l’imprimante.
• Tâche d’impression : Tout document qui est envoyé pour être imprimer.
• Serveur d’impression : Ordinateur centralisant les tâches d’impressions et gérant la file d’attente
d’impression. Il contient le pilote d’imprimante propre à chacun des périphériques d’impression
connectés. Ce pilote est disponible dans la version de chacun des clients qui vont utiliser le serveur
pour demander des travaux d’impression (Windows 95, 98, NT, 2000, 2003, …).
• Imprimante : C’est l’interface logicielle qu’il y a entre le périphérique d’impression et Windows.
Concrètement, le file d’attente du périphérique d’impression (à ne pas confondre avec votre Epson
ou votre Canon).
• Spouleur d’impression : Le spouleur d’impression est chargé de recevoir, stocker et d’envoyer
vers le bon périphérique d’impression, les tâches d’impression.
• File d’attente d’impression : C’est l’ensemble des tâches d’impression dans leurs ordre d’arrivé.
• Port Imprimante : Interface logique de communication avec le périphérique d’impression.
• Périphérique d’impression : C’est le périphérique physique réalisant les tâches d’impressions (c’est
votre Epson ou votre Canon).

5.1.2. Types de clients d’impression supportés par
Windows 2003

5.1.2.1. Clients Microsoft

Les clients 32 bits & 64 bits Microsoft (à partir de Windows 95), sont capables de télécharger les pilotes
d’impressions directement à partir du serveur d’impression. Ceci se fait à l’aide du partage administratifs
print$.

Pour les clients 16 bits Microsoft (famille MS-DOS), l’installations des pilotes est manuelle sur chaque
poste client en ayant pris soin de télécharge les bonnes versions de pilotes.

5.1.2.2. Clients NetWare

Pour supporter les clients NetWare, il est obligatoire d’avoir installé les services de fichiers et
d’impressions pour NetWare. Le protocole IPX/SPX peut lui aussi être nécessaire sur les clients et le
serveur si les clients n’implémente pas TCP/IP.

5.1.2.3. Clients Macintosh

Les clients Macintosh nécessitent l’installation des services d’impression Microsoft pour Macintosh. Le
protocole Appletalk est lui aussi nécessaire pour la communication avec les clients Macintosh.

5.1.2.4. Clients UNIX

Les clients UNIX nécessitent l’installation des services d’impression Microsoft pour UNIX. Les clients se
connectent au serveur LPD en suivant les spécifications LPR.
Administrer et gérer un environnement Microsoft Windows Server
2003
29 / 76

5.1.2.5. Clients IPP (Internet Printing Protocol)

Le support des clients IPP est assuré sous Windows 2003 à la suite de l’installation de IIS (Internet
Information Services) ou de PWS (Personal Web Server).

5.1.3. Fonctionnement de l’impression

Il existe deux méthode dans un environnement Windows 2003 pour pouvoir Imprimer :

5.1.3.1. Impression sans serveur d’impression

Dans ce cas les différents clients se connectent directement à l’imprimante réseau (cette imprimante doit
être équipée d’une carte réseau intégrée).

Inconvénients liés :

• Chacun des clients hébergent sa propre file d’attente, impossible de connaître sa position par
rapport aux autres clients.
• Les messages d’erreur sont retournés uniquement vers le client dont la tâche d’impression est en
cours.
• Le spouling est réalisé sur le client et non pas sur le serveur ce qui engendre une charge de travail
supplémentaire sur le client.

5.1.3.2. Impression avec serveur d’impression

Dans ce cas les différents clients se connectent via un serveur d’impression qui peut être lui-même
connecté à une imprimante réseau ou directement relié au périphérique d’impression.

Avantages liés :

• Le serveur gère la distribution des pilotes aux clients.
• La file d’attente est unique pour tous les clients qui peuvent donc voir de façon effective leurs
positions dans la file d’attente.
• Les messages d’erreur sont retournés sur tous les clients dont la tâche d’impression est en cours.
• Certains traitement sont transmis et réaliser directement par le serveur d’impression.

5.2. Installation et partage d’imprimantes

5.2.1. Imprimantes locale et imprimantes réseau

Une imprimante locale est une imprimante qui va être directement relié au serveur d’impression par un
câble de type USB, parallèle (LPT) ou Infrarouge (IR).

Une imprimante réseau est une imprimante qui va être relié au serveur d’impression via l’infrastructure
réseau et la mise en place d’un protocole réseau comme TCP/IP, IPX/SPX ou AppleTalk.

5.2.2. Installation et partage d’une imprimante

Vous devez avoir les privilèges d’Administrateur afin d’ajouter une imprimante à votre serveur. L’assistant
d’Ajout d’imprimante vous guide pendant tout le processus qui vous permettra de définir quel périphérique
d’impression est disponible, sur quel port physique le périphérique d’impression est branché, quel pilote
utiliser, ainsi que le nom du périphérique d’impression sous lequel il sera connu sur le réseau.
Administrer et gérer un environnement Microsoft Windows Server
2003
30 / 76

Dans le cas d’une imprimante réseau, il est nécessaire de créer un port TCP/IP avec l’adresse IP de
l’imprimante réseau.

Le partage d’une imprimante se fait dans les mêmes conditions que l’ajout d’une imprimante, c’est à dire
qu’il faut être Administrateur. Un clic droit sur l’imprimante, puis Propriétés, là il faut choisir l’onglet
Partage. Choisir le nom de partage de l’imprimante sur le réseau, et ensuite ajouter tous les pilotes
nécessaires aux clients qui vont utiliser cette imprimante (en cliquant sur ‘Pilotes supplémentaires’).

Le partage d’une imprimante sur un serveur membre publie l’imprimante automatiquement dans
Active Directory. Pour annuler cette publication, décocher l’option « Lister dans l’annuaire ».

5.3. Autorisations d’imprimantes partagées

Il existe trois niveaux d’autorisations pour définir les accès d’une imprimante partagée :

• Impression : L’utilisateur peut imprimer des documents.
• Gestion des documents : L’utilisateur peux imprimer et il peux gérer complètement la file d’attente
de l’impression.
• Gestion d’imprimantes : Permet de modifier les autorisations de l’imprimantes, de gérer la file
d’attente et d’imprimer.

Le principe de gestion de cette ACL est identique à la gestion des ACL du système de fichier NTFS.

5.4. Gestion des pilotes d’imprimantes

Windows 2003 Server offre le téléchargement
automatique des pilotes pour les clients qui tournent
sous Windows 2003, Windows XP, Windows 2000,
Windows NT 4, Windows NT 3.51 et Windows
95/98.

La plateforme Itanium est même supporté avec
Windows XP et Windows 2003.

Cela est transmis au client via le partage
administratif admin$ sur le serveur d’impression.

Administrer et gérer un environnement Microsoft Windows Server
2003
31 / 76

6. Administration de l’impression

6.1. Changement de l’emplacement du
spouleur d’impression

Le spooleur d’impression est un exécutable qui est en charge de la gestion de l’impression.

Il est effectue notamment les taches suivantes :

• Gestion de l’emplacement des pilotes imprimantes.
• Récupérer les documents, les stocker et les envoyer à l’imprimante.
• Planification du travail d’impression.

Par défaut, le spouleur d’impression se trouve dans le répertoire système à l’emplacement
%SystemRoot%\System32\Spool\Printers.

Il peut être nécessaire de changer son emplacement pour des questions de performances ou de place.

En effet, l’accès aux fichiers système et au répertoire du spouleur simultanément va faire perdre en
performance car la tête de lecture du disque va faire des aller retour incessant.
De plus des problèmes de fragmentation de fichiers pourraient apparaître sur le disque au vu des écritures
multiples.
Le déplacement du fichier du spouleur est aussi utile dans le simple cas de la saturation du disque dur qui le
contient.
Il est aussi intéressant de pourvoir définir des quota (en terme de taille de fichier et non en terme de nombre
d’impressions) en utilisant la fonctionnalité de quota du système de fichier NTFS. Pour cela il est
indispensable d’isoler les fichiers du spouleur sur un volume dédié.
Pour finir, une simple implémentation d’un système de disque dur à tolérance de pannes incite à déplacer
les fichiers du spouleur.

En prenant en compte l’ensemble de ces considérations, il est conseillé de déplacer les fichiers du spouleur
sur un disque dédié possédant son propre contrôleur de disques.

Une fois la décision prise, il suffit d’aller dans le panneau de configuration « Imprimantes et télécopieurs »,
puis dans le menu fichier de cliquer sur « Propriétés de Serveur d’impression ».
Ensuite dans « Avancé », de modifier le champ « Dossier du spouleur ».
Une fois la modification effectuée, il vous suffit de redémarrer le spouleur (NET STOP SPOOLER et NET
START SPOOLER).

Il est recommandé que les travaux d’impressions en cours soient finis avant de déplacer les fichiers du
spouleur.

6.2. Définition des priorités d’imprimantes

Les priorités d’impression sont fixées en créant plusieurs imprimantes logiques qui pointent vers le même
périphérique d’impression et en leur assignant individuellement des priorités.

L’échelle des priorités va de 1 (la plus faible, par défaut) à 99, la plus forte. Il faut ensuite limiter via
l’onglet sécurité l’utilisation de chacune des imprimantes aux bons utilisateurs.

Pour mettre en place les priorités d’une imprimante, il suffit de se rendre dans l’onglet Avancé, puis de
remplir la zone ‘Priorité’ avec la valeur voulue.
Administrer et gérer un environnement Microsoft Windows Server
2003
32 / 76

Les priorités ne sont pris en compte qu’au niveau de la file d’attente donc si un long travail
d’impression est en cours, même l’arrivé d’un travail prioritaire n’arrètera pas le travail en cours.

6.3. Planification de la disponibilité des
l’imprimantes

Afin de pouvoir relayer un certain nombre d’impression à des plages horaires précisent (des gros travaux
d’impressions que l’on souhaite voir réaliser la nuit), il est possible de spécifier dans les propriétés de
l’imprimante une plage horaire de disponibilité qui permettra à tous les documents envoyés à cette
imprimante (et ce quelques soit le moment de la journée) de pouvoir être réalisée uniquement pendant la
plage horaire de disponibilité de l’imprimante.

Il est conseillé lors de la mise en place de la planification de la disponibilité de l’imprimante de créer deux
imprimantes pointant vers le même périphérique d’impression et de restreindre l’accès de cette imprimante
à l’aide de l’onglet sécurité.

6.4. Configuration d’un pool d’impression

Si vous avez de grosses charges d’impression, vous pouvez utiliser un ou plusieurs périphériques
d’impression identiques pour ne faire qu’une imprimante logique. C’est le Print Pooling (Pool
d’impression). Le pool d’impression ne comporte pas nécessairement que des périphériques d’impression
locaux, il peut aussi comporter des périphériques d’impression munis de carte (interface) réseau.

Quand un travail d’impression sera réceptionné par le serveur, alors, il sera envoyé au premier périphérique
d’impression qui sera disponible.

Pour créer un pool d’impression, il faut se rendre dans l’onglet « Port », puis cliquer la case « Activer le
pool d’imprimante » et il ne reste plus qu’à choisir sur quels ports sont connectés les périphériques
d’impression.
Administrer et gérer un environnement Microsoft Windows Server
2003
33 / 76

7. Gestion d’accès aux objets dans les
unités d’organisation

7.1. Structure des unités d’organisation

Une unité d’organisation est un objet conteneur utilisé pour organiser les objets au sein du
domaine.

Il peut contenir d’autres objets comme des comptes d’utilisateurs, des groupes, des
ordinateurs, des imprimantes ainsi que d’autres unités d’organisation.

Les unités d’organisation permettent d’organiser de façon logique les objets de l’annuaire Active Directory.
Il s permettent, un peu à la manière des dossiers dans les disques durs, d’ordonner les objets sous une
représentation physique (emplacements des utilisateurs ou des ordinateurs) des objets ou représentation
logique (département d’appartenance des utilisateurs ou des ordinateurs).

Il est fortement déconseillé de dépasser les 5 niveau d’imbrications d’unité d’organisation.

Les unités d’organisation facilitent la délégation d’administration selon l’organisation des objets.

Les unités d’organisation permettent aussi de déployer les stratégies de groupes efficacement et de manière
ciblée. De plus la hiérarchie créée à l’aide des unités d’organisation va permettre un système d’héritage
pour les stratégies de groupes.

7.2. Modification des autorisations sur les
objets Active Directory

7.2.1. Autorisations sur les objets Active Directory

Les autorisations Active Directory permettent de restreindre l’accès des utilisateurs on contenu de
l’annuaire à savoir les objets ou leurs propriétés.

Tout comme les autorisations NTFS, des autorisations standard et spéciales sont disponible aussi bien en
« Accepter » ou en « Refuser ».

Lorsqu’un utilisateur ne se trouve pas dans la DACL de l’objet, il n’a aucune autorisation dessus. C’est une
autorisation « Refuser » implicite.

Les autorisations peuvent être définies sur les objets ou sur les unités d’organisation qui bénéficient de la
propriété d’héritage pour transmettre ces autorisations aux objets enfants.
Cette fonctionnalité peut être bloquer pour éviter si nécessaire.

Dans tout les cas, les objets déplacés héritent des autorisations de l’unité d’organisation de destination.

Pour pouvoir visualiser les fonctions de modifications des autorisations sur les objets Active Directory,
dans l’outil « Utilisateur et ordinateur Active Directory », cochez l’option « Fonctionnalités avancées »
dans le menu « Affichage ». Il suffit ensuite d’afficher les propriétés de l’objet ou de l’unité d’organisation.

7.2.2. Définitions des autorisations effectives
Administrer et gérer un environnement Microsoft Windows Server
2003
34 / 76

Lorsque vous accordez des autorisations à un utilisateur, à un groupe ou à un utilisateur, il est parfois
gênant de s’y retrouver parmi entre les groupes auquel il appartient et les autorisations hérités.

Lorsque l’on définit des autorisations, il est possible qu’un même utilisateur obtienne plusieurs
autorisations différentes car il est membre de différents groupes.
Dans ce cas, les autorisations se cumulent et en résultent l’autorisations la plus forte (ex : lecture + contrôle
total Î contrôle total).

Les autorisations « Refuser » sont prioritaires sur les autres autorisations et ceci dans TOUT les cas (ex :
contrôle total + refuser lecture Î La lecture sera bien refusé).

Lorsqu’un utilisateur ne se trouve pas dans la DACL de l’objet, il n’a aucune autorisation dessus. C’est une
autorisation « Refuser » implicite.

Le propriétaire à la possibilité d’affecter les autorisations qu’il désire sur tous les fichiers dont il est le
propriétaire même si il n’a pas d’autorisations contrôle total dessus.

7.3. Délégation du contrôle des unités
d’organisation

Il est possible de déléguer un certain niveau d’administration d’objets Active Directory à n’importe quel
utilisateur, groupe ou unité organisationnelle.

Ainsi, vous pourrez par exemple déléguer certains droits administratifs d’une unité organisationnelle
Ventes à un utilisateur de cette UO.

L’un des principaux avantages qu’offre cette fonctionnalité de délégation de contrôle est qu’il n’est plus
nécessaire d’attribuer des droits d’administration étendus à un utilisateur lorsqu’il est nécessaire de
permettre à celui-ci d’effectuer un certain nombre de tâches.

Ainsi, sous NT4, si l’on souhaitait qu’un utilisateur dans un domaine gère les comptes d’utilisateurs pour
son groupe, il fallait le mettre dans le groupe des Opérateurs de comptes, ce qui lui permettait de gérer tous
les comptes du domaine.

Avec Active Directory, il suffira de faire un clic-droit sur l’UO dans laquelle on souhaite lui déléguer cette
tâche et de sélectionner « Déléguer le contrôle ». On pourra définir quelques paramètres comme les
comptes concernés par cette délégation et le type de délégation, dans notre cas, « Créer, supprimer et gérer
des comptes d’utilisateur » (On peut affiner en déléguant des tâches personnalisées comme par exemple
uniquement le droit de réinitialiser les mots de passe sur l’UO ou un objet spécifique de l’UO, …).
Administrer et gérer un environnement Microsoft Windows Server
2003
35 / 76

8. Implémentation des stratégies de
groupes

8.1. Description des stratégies de groupe

8.1.1. Présentation des stratégies de groupes

Les Stratégies de Groupe sont une collection de variables de configuration d'environnement de l’utilisateur
et de l’ordinateur qui sont imposées par le système d'exploitation et non modifiable par l'utilisateur.

Une stratégie de groupe peut s’appliquer à un site, un domaine ou à une unité d’organisation et peut être
assigné plusieurs fois simultanément sur différents conteneurs.

Les stratégies de groupes sont aussi appelées GPO pour Group Policy Object.

8.1.2. Description des paramètres de configuration
des utilisateurs et des ordinateurs

La console de gestion des stratégies de groupes se divise en deux arborescences : Ordinateur et
Utilisateurs :

• Les paramètres de stratégies de groupe pour les ordinateurs définissent le comportement du système
d’exploitation, d’une partie du bureau et la configuration de la sécurité.
• Les paramètres de stratégies de groupe pour les utilisateurs définissent les options d’applications
affectées et publiées, la configuration des applications et les paramètres du bureau.

8.2. Implémentation d’objets de stratégie de
groupe

8.2.1. Les outils permettant d’implémenter les GPO.

Les différents outils permettant d’éditer les stratégies de groupes sont les suivants :

• Utilisateurs et ordinateurs Active Directory : Permet d’éditer les stratégies associés au domaine et
aux unités d’organisation.
• Sites et services Active Directory : Permet d’éditer les stratégies associés aux sites.
• Stratégie de sécurité locale : Permet d’éditer les stratégies locale des machines.

L’outil Gestion des stratégies de groupe est disponible pour faciliter la gestion des GPO, celui-ci reprend
les interfaces et fonctionnalités des outils suivants :

• Utilisateurs et ordinateur Active Directory.
• Sites et services Active Directory.

Ainsi que des modules d’administration des stratégies :

• Module de vérification des stratégies résultantes (RSoP, Resultant Set of Policy).
• Module de sauvegarde et de restauration des objets de stratégie de groupe.
• Module de copie et d’import des objets de stratégies de groupes.
• Intégration du filtrage par le langage WMI (Windows Management Instrumentation). Administrer et gérer un environnement Microsoft Windows Server
2003
36 / 76

• Module de génération de rapport.
• Module de recherche des objets de stratégie de groupe.

L’outil Gestion des stratégies de groupe n’est pas fournie avec Windows Serveur 2003. Il est
nécéssaire de le télécharger sur le site de microsoft à l’adresse http://www.microsoft.com

8.2.2. Les modèles d’administration

L’ensemble de la description des GPO se trouve dans des fichiers dont l’extension est « .adm ».

Ceux-ci contiennent une description hiérarchique des modifications à effectuer sur les clients pour mettre
en place la stratégie sur le client.
Ils contiennent aussi, les options de restrictions pour les valeurs, la valeur par défaut, l’explication de
chaque paramètre et les versions de Windows qui prennent en charge le paramètre.

Rien ne vous empêche de créer vos propres modèles d’administration pour gérer des éléments qui ne le sont
pas nativement.

8.2.3. Description d’un lien d’objet de stratégie de
groupe.

Une stratégie de groupe est composée d’un objet Active Directory et d’un dossier dont le nom est le SID de
la GPO et qui se trouve dans le répertoire SYSVOL celui-ci étant répliqué sur tous les contrôleurs de
domaine.

Cet objet une fois créé et paramétré peut être lié à un ou plusieurs conteneur (Sites, Domaines, Unités
d’organisation).

De même, plusieurs GPO peuvent être liée à un même conteneur.

8.2.4. Héritage de l’autorisation de stratégie de
groupe dans Active Directory

L’ordre dans lequel les objets GPO (Group Policy Object – Objet de Stratégie de Groupe) sont appliqués
dépend du conteneur Active Directory auquel les objets GPO sont liés.

Ils sont hérités et sont appliqués dans l’ordre suivant : au site, au domaine, puis aux unités d’organisations.

8.3. Administration du déploiement d’une
stratégie de groupe

8.3.1. Impact de l’existence d’objets de stratégie de
groupe conflictuels

Les stratégies sont cumulatives, ce qui signifie que plusieurs stratégies peuvent entrer en conflit sur un
même paramètre.

Lorsqu’il y a un conflit entre deux GPO appliqués, la GPO conflictuelle la plus proche du client est
appliquée. Lorsque les deux GPO sont définis à un même niveau (par exemple sur la même OU), la GPO
appliquée est celle qui se trouve en haut de la liste des stratégies de groupe appliquées au conteneur.
Administrer et gérer un environnement Microsoft Windows Server
2003
37 / 76

Toutefois, les paramètres de sécurité IP et les droits utilisateurs font exceptions. Le dernier objet GPO (le
plus proche du client) remplace totalement tout autre objet GPO.

Dans certain cas il peut être intéressant de changer ce mode de résolution de conflit comme par exemple
lorsque l’on a délégué l’administration d’une UO à une personne et que l’on souhaite empêcher à cette
personne d’avoir le dernier mot sur l’application d’un paramètre précis.

Pour cela vous pouvez utiliser l’option « Ne pas passer outre » qui va empêcher qu’une GPO plus proche
de l’objet utilisateur ou ordinateur ne prime sur une GPO plus éloigné.

Vous avez aussi « Bloquer l’héritage des stratégies » qui va stopper les fonctions d’héritage.

8.3.2. Attributs d’un lien d’objet de stratégie de
groupe

8.3.2.1. Option Appliqué

Cette option n’est disponible qu’après l’installation de la console « Gestion des stratégies de groupe ».

L’option « Appliqué » est un attribut du lien qui lie l’objet GPO aux conteneurs (sites, domaines, UO).

Cette option propre à chaque liaison d’une GPO permet de forcer l’application de son contenu.

Elle est aussi appelé Ne pas passer outre lorsque la console « Gestion des stratégies de groupe » n’est pas
installée.

8.3.2.2. Activation et désactivation d’un lien

Cette option permet de ne plus appliquer une GPO à un conteneur sans pour autant supprimer le lien qui les
lie.

8.3.3. Filtrage du déploiement d’une stratégie de
groupe

Vous pouvez décider d’appliquer les GPO seulement à des groupes et pas à d’autres à l’aide de cette
option.

En effet, chaque objet GPO va être lié à une ACL qui va définir quels sont les utilisateurs, ordinateurs ou
groupes qui vont pouvoir accéder à l’objet GPO donc pouvoir appliquer ces paramètres.

Ainsi si vous désirez appliquer une GPO seulement sur le groupe Administrateur, il vous suffit d’afficher
les sécurités de l’objet GPO et de retirer l’autorisation Appliquer la stratégie de groupe à tous les autres
utilisateurs à l’exception du groupe « Administrateurs ». Administrer et gérer un environnement Microsoft Windows Server
2003
38 / 76

9. Gestion de l’environnement utilisateur
à l’aide des stratégies de groupes

9.1. Configuration de paramètres de stratégie
de groupe

9.1.1. Présentation des stratégies de groupes

L’implémentation des stratégies de groupes va permettre de centraliser la gestion de l’environnement des
utilisateurs. Ainsi les GPO vont permettre de définir les droits nécessaires aux utilisateurs.

Lorsque vous administrer l’environnement d’un utilisateur de façon centralisé, vous pouvez intervenir sur
les éléments suivants :

• Administration des utilisateurs et des ordinateurs : Modification des propriétés du bureau à l’aide
de modification distante de la base de registre.
• Déploiement de logiciels : Automatisation complète de l’installation des programmes sur les
postes clients en fonction du profil de l’utilisateur.
• Application des paramètres de sécurité : Permet de modifier le contexte de sécurité de
l’environnement utilisateur.
• Définition d’un environnement adapté : Possibilité de rediriger certains répertoire sensible ou de
bloquer la modification de leurs contenus.

9.1.2. Paramètres Non configuré, Activé et Désactivé

Avant même la définition des propriétés d’un paramètre de stratégie de groupe, il est nécessaire de choisir
si vous allez configurer ce paramètre et si oui, si vous allez l’activer ou le désactiver.

En effet tout paramètre a une valeur par défaut. Si vous souhaitez laisser cette valeur par défaut, il vous
suffit de ne pas configurer le paramètre. Si vous souhaitez modifier ce paramètre, vous avez le choix dan la
plupart des cas entre « Activé » ou « Désactivé » ce paramètre.

Exemple : Supprimer le menu Exécuter du menu Démarrer.

• Non configuré : Le menu Exécuter va s’afficher sauf si n’importe quelle autre GPO spécifie le
contraire.
• Activé : Le menu Exécuter va être supprimé sauf si une GPO ayant une priorité plus importante
spécifie le contraire.
• Désactivé : Le menu Exécuter va s’afficher sauf si une GPO ayant une priorité plus importante
spécifie le contraire.

Certains paramètres demande une configuration plus importante qu’un simple choix booléen. Si dans ce
cas, une GPO ayant une priorité plus importante spécifie des propriétés différentes pour le paramètre,
l’ensemble des propriétés sera remplacé.

9.2. Attribution des scripts avec la stratégie
de groupe

Grâce à une stratégie de groupe, vous pouvez affecter des scripts aux machines ou aux utilisateurs.

Forums d'entraide informatique - Astuces - Conseils

#1 16-08-2008 16:36:27

Création et administration d'un serveur microsoft windows 2003

#2 16-08-2008 16:36:45

Re: Création et administration d'un serveur microsoft windows 2003

Pied de page des forums