est consultant et formateur sur les systèmes d’exploi ... · l’auteur commence par décrire...

Administration

Nicolas BONNET

ISBN

: 97

8-2-

7460

-922

0-4

29,9

0 €

Ce livre sur Windows Server 2012 R2 s’adresse à un public d’Administrateurs ou Techniciens Systèmes qui souhaitent acquérir des compétences pour administrer un environnement Windows Server 2012 R2.

L’auteur commence par décrire les concepts Active Directory ; compo-sants d’ADDS, schéma, forêt Active Directory, structure de l’annuaire... Le lecteur est ensuite invité à se familiariser avec l’implémentation d’un contrôleur de domaine virtualisé et d’un contrôleur de domaine en lecture seule (RODC). Le chapitre se termine par l’administration quo-tidienne de l’Active Directory ainsi que la gestion de la base de données.

La gestion des utilisateurs étant une tâche quotidienne pour un admi-nistrateur, le lecteur va se familiariser avec la configuration d’une poli-tique de sécurité et la gestion d’une stratégie de mot de passe affinée (PSO). Après avoir vu la configuration d’un compte de service, les stratégies de groupe (GPO) sont étudiées. Le lecteur prendra connais-sance des notions d’extensions côté client, de stratégies de groupe par défaut mais également des différentes opérations qu’il est possible d’effectuer sur une infrastructure de stratégies de groupe (délégation, sauvegarde, maintenance...). La partie GPO est clôturée avec la redi-rection de dossier, l’exécution de scripts et la mise en place de préférences.Les chapitres suivants traitent de l’implémentation d’un serveur DHCP (Dynamic Host Configuration Protocol), du rôle DNS (Domain Name System) et du rôle WDS (Windows Deployment Services).

La partie réseau traite la configuration de l’accès distant via une connexion VPN (Accès à distance, NPS, Direct Access) ainsi que l’im-plémentation de la solution NAP (Network Access Protection) permet-tant la mise en place de règles à respecter pour qu’un poste puisse accéder au réseau de l’entreprise.

Enfin la dernière partie du livre est consacrée à la gestion et à l’opti-misation d’un système de fichiers (mise en place des quotas, filtrage de fichiers par extension...) au cryptage des données et à la mise en place d’un système d’audit ainsi qu’à la surveillance et la mainte-nance des serveurs (WSUS, journal d’évènements...).

Windows Server 2012 R2 Administration

Pour plus d’informations :

Win

dow

s Se

rver

201

2 R2

- Ad

min

istrat

ion

Les chapitres du livre

Avant-propos • Généralités • Instal-lation et configuration d’Hyper-V • Gestion d’un annuaire AD DS • Ges-tion de l’environnement • Mise en place des stratégies de groupe • Implémentation d’un serveur DHCP • Configuration et maintenance de DNS • Déploiement et support de WDS • Gestion et protection de l’accès distant • Optimisation des services de fichiers • Encryption de données et audit • Implémentation du serveur WSUS • Surveillance des serveurs

Nicolas BONNET est Consultant et Formateur sur les systèmes d’exploi-tation Microsoft depuis plusieurs années. Il est certifié MCT (Microsoft Certified Trainer) et transmet au lec-teur, à travers cet ouvrage, toute son expérience sur les technologies ser-veur et leur évolution. Ses qualités pédagogiques aboutissent à un livre réellement efficace sur l’administra-tion de Windows Server 2012 R2.

Windows Server 2012 R2

1Table des matières

Avant-propos

Chapitre 1Généralités

1. Le gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.1 Création d’un groupe de serveurs . . . . . . . . . . . . . . . . . . . . . . . . 191.2 Installation d’un rôle à distance . . . . . . . . . . . . . . . . . . . . . . . . . 211.3 Suppression d’un groupe de serveurs . . . . . . . . . . . . . . . . . . . . . 22

2. Serveur en mode installation minimale . . . . . . . . . . . . . . . . . . . . . . . 232.1 Installation de rôles avec une installation en mode Core . . . . . 262.2 Ajouter/supprimer l'interface graphique. . . . . . . . . . . . . . . . . . . 282.3 Configuration avec sconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3. Hyper-V. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333.1 Pré-requis matériels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333.2 Les machines virtuelles sous Hyper-V. . . . . . . . . . . . . . . . . . . . . 343.3 La mémoire dynamique avec Hyper-V . . . . . . . . . . . . . . . . . . . . 353.4 Le disque dur des machines virtuelles . . . . . . . . . . . . . . . . . . . . . 373.5 Les captures instantanées dans Hyper-V . . . . . . . . . . . . . . . . . . 403.6 Gestion des réseaux virtuels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Chapitre 2Installation et configuration d’Hyper-V

1. Installation du rôle Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

2. Création et installation d’une machine virtuelle . . . . . . . . . . . . . . . . 492.1 Création et paramétrage de la VM . . . . . . . . . . . . . . . . . . . . . . . 492.2 Installation du système d'exploitation . . . . . . . . . . . . . . . . . . . . 532.3 Configuration post-installation. . . . . . . . . . . . . . . . . . . . . . . . . . 56

2Administration


Chapitre 3Gestion d'un annuaire AD DS

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

2. Présentation d’Active Directory Domain Services . . . . . . . . . . . . . . . 592.1 Les différents composants d’AD DS . . . . . . . . . . . . . . . . . . . . . . 592.2 Vue d’ensemble des notions de schéma

et de forêt Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612.3 La structure de l’annuaire Active Directory . . . . . . . . . . . . . . . . 64

3. Implémentation de contrôleurs de domaine virtualisés. . . . . . . . . . . 683.1 Déploiement de contrôleurs de domaine virtualisés . . . . . . . . . 693.2 Gestion des contrôleurs de domaine virtualisés . . . . . . . . . . . . . 70

4. Implémentation d'un RODC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714.1 Gestion de la mise en cache sur un RODC . . . . . . . . . . . . . . . . . 734.2 Administration locale sur les contrôleurs

de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

5. Administration d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 875.1 Présentation des différentes consoles AD . . . . . . . . . . . . . . . . . . 875.2 Les modules Active Directory pour PowerShell . . . . . . . . . . . . . 885.3 Gestion des rôles FSMO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895.4 Utilisation d’un compte de service . . . . . . . . . . . . . . . . . . . . . . . 905.5 Restauration d'un compte à l'aide de la corbeille AD. . . . . . . . . 915.6 Sauvegarde et restauration d’Active Directory. . . . . . . . . . . . . . 94

6. Gestion de la base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 946.1 La base de données Active Directory. . . . . . . . . . . . . . . . . . . . . . 956.2 Utilisation de la commande NTDSUtil . . . . . . . . . . . . . . . . . . . 956.3 Redémarrage du service Active Directory . . . . . . . . . . . . . . . . . . 966.4 Création d’un snapshot AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 976.5 Restauration d’un objet du domaine. . . . . . . . . . . . . . . . . . . . . . 98


Chapitre 4Gestion de l’environnement

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

2. Automatisation de la gestion des comptes utilisateurs . . . . . . . . . . . 992.1 Configuration de la politique de sécurité . . . . . . . . . . . . . . . . . 1022.2 Gestion de la stratégie de mots de passe affinée. . . . . . . . . . . . 1062.3 Configuration des comptes de services . . . . . . . . . . . . . . . . . . . 109

3. Stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1123.1 Gestion de la configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1133.2 Vue d’ensemble des stratégies de groupe . . . . . . . . . . . . . . . . . 1133.3 Extensions côté client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1143.4 Stratégies de groupe par défaut . . . . . . . . . . . . . . . . . . . . . . . . . 1153.5 Stockage des stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . 1153.6 GPO Starter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1173.7 Sauvegarde et restauration d’une stratégie de groupe . . . . . . . 1183.8 Délégation de l’administration . . . . . . . . . . . . . . . . . . . . . . . . . 1193.9 PowerShell avec les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

4. Mise en place et administration des stratégies de groupe . . . . . . . . 1214.1 Liens d’une GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1224.2 Ordre d’application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1234.3 Héritage et option d'application . . . . . . . . . . . . . . . . . . . . . . . . 1244.4 Mise en place des filtres pour gérer l’étendue . . . . . . . . . . . . . . 1264.5 Fonctionnement d'une stratégie

de groupe avec les liaisons lentes . . . . . . . . . . . . . . . . . . . . . . . . 1284.6 Récupération des stratégies par les postes clients . . . . . . . . . . 128

5. Maintenance d’une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . 1305.1 Stratégie de groupe résultante . . . . . . . . . . . . . . . . . . . . . . . . . . 1325.2 Rapport RSOP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1325.3 Utilisation des journaux d’événements. . . . . . . . . . . . . . . . . . . 1345.4 Liaison lente et mise en cache des stratégies de groupe . . . . . . 1355.5 Configuration d'une politique de sécurité Kerberos . . . . . . . . . 136

4Administration


Chapitre 5Mise en place des stratégies de groupe

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

2. Modèles d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1372.1 Les fichiers ADMX et ADML. . . . . . . . . . . . . . . . . . . . . . . . . . . 1382.2 Mise en place du magasin central . . . . . . . . . . . . . . . . . . . . . . . 1382.3 Utilisation des filtres sur les modèles d’administration. . . . . . 139

3. Configuration de la redirection de dossiers et des scripts . . . . . . . . 1403.1 Présentation de la redirection de dossiers . . . . . . . . . . . . . . . . . 1403.2 Configuration de la redirection . . . . . . . . . . . . . . . . . . . . . . . . . 1413.3 Utilisation de scripts dans les stratégies de groupe . . . . . . . . . 142

4. Configuration des préférences de stratégie de groupe . . . . . . . . . . . 1424.1 Vue d’ensemble des préférences. . . . . . . . . . . . . . . . . . . . . . . . . 1424.2 Comparaison entre les stratégies et les préférences . . . . . . . . . 144

5. Gestion des logiciels à l’aide des GPO . . . . . . . . . . . . . . . . . . . . . . . . 147

Chapitre 6Implémentation d’un serveur DHCP

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

2. Rôle du service DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1492.1 Fonctionnement de l'allocation d'une adresse IP . . . . . . . . . . . 1502.2 Utilisation d’un relais DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . 151

3. Installation et configuration du rôle DHCP . . . . . . . . . . . . . . . . . . . 1513.1 Ajout d'une nouvelle étendue . . . . . . . . . . . . . . . . . . . . . . . . . . 1533.2 Configuration des options dans le DHCP. . . . . . . . . . . . . . . . . 1563.3 Réservation de bail DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1603.4 Mise en place des filtres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162


4. Base de données DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1674.1 Présentation de la base de données DHCP . . . . . . . . . . . . . . . . 1674.2 Sauvegarde et restauration de la base de données . . . . . . . . . . 1684.3 Réconciliation et déplacement de la base de données . . . . . . . 169

5. Haute disponibilité du service DHCP . . . . . . . . . . . . . . . . . . . . . . . . 174

6. IPAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1776.1 Les spécifications d'IPAM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1786.2 Les fonctionnalités d'IPAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Chapitre 7Configuration et maintenance de DNS

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

2. Installation de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1952.1 Vue d’ensemble de l’espace de noms DNS . . . . . . . . . . . . . . . . 1962.2 Séparation entre DNS privé/public . . . . . . . . . . . . . . . . . . . . . . 1972.3 Déploiement du DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

3. Configuration du rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1983.1 Composants du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1983.2 Requêtes effectuées par le DNS. . . . . . . . . . . . . . . . . . . . . . . . . 1993.3 Enregistrement de ressources du serveur DNS . . . . . . . . . . . . . 2003.4 Fonctionnement du serveur de cache . . . . . . . . . . . . . . . . . . . . 202

4. Configuration des zones DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2034.1 Vue d’ensemble des zones DNS. . . . . . . . . . . . . . . . . . . . . . . . . 2034.2 Zones de recherche directes et zones de recherche inversée . . 2044.3 Délégation de zone DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

5. Configuration du transfert de zone. . . . . . . . . . . . . . . . . . . . . . . . . . 2055.1 Présentation du transfert de zone . . . . . . . . . . . . . . . . . . . . . . . 2055.2 Sécurisation du transfert de zone . . . . . . . . . . . . . . . . . . . . . . . 206

6. Gestion et dépannage du serveur DNS . . . . . . . . . . . . . . . . . . . . . . . 207

6Administration


Chapitre 8Déploiement et support de WDS

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

2. Les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . . . . 2112.1 Les composants de WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2122.2 Pourquoi utiliser WDS ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

3. Implémentation du rôle WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2143.1 Installation et configuration du serveur . . . . . . . . . . . . . . . . . . 2153.2 Gestion des déploiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

4. Administration du service WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

5. Automatisation du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Chapitre 9Gestion et protection de l’accès distant

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

2. Composants d’une infrastructure de service d’accès réseau . . . . . . 2252.1 Présentation du rôle Services de stratégie et accès réseau . . . . 2262.2 Authentification et autorisation réseau . . . . . . . . . . . . . . . . . . 2272.3 Méthodes d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . 2272.4 Vue d’ensemble de la PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2282.5 Intégration du DHCP avec routage et accès distant . . . . . . . . 228

3. Configuration de l’accès VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2293.1 Les connexions VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2293.2 Protocoles utilisés pour le tunnel VPN . . . . . . . . . . . . . . . . . . . 2293.3 Présentation de la fonctionnalité VPN Reconnect . . . . . . . . . . 2303.4 Configuration du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2313.5 Présentation du kit CMAK . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

4. Vue d’ensemble des politiques de sécurité . . . . . . . . . . . . . . . . . . . . 232

5. Présentation du Web Application Proxy et du proxy RADIUS. . . . 233


6. Support du routage et accès distant . . . . . . . . . . . . . . . . . . . . . . . . . 2346.1 Configuration des logs d’accès distant . . . . . . . . . . . . . . . . . . . 2346.2 Résolution des problèmes du VPN . . . . . . . . . . . . . . . . . . . . . . 235

7. Configuration de DirectAccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2367.1 Présentation de DirectAccess . . . . . . . . . . . . . . . . . . . . . . . . . . . 2367.2 Composants de DirectAccess. . . . . . . . . . . . . . . . . . . . . . . . . . . 2367.3 La table de stratégie de résolution de noms . . . . . . . . . . . . . . . 2377.4 Pré-requis pour l’implémentation de DirectAccess . . . . . . . . . 238

8. Présentation du rôle Network Policy Server . . . . . . . . . . . . . . . . . . . 239

9. Configuration du serveur RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . 2399.1 Notions sur le client RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . 2399.2 Stratégie de demande de connexion . . . . . . . . . . . . . . . . . . . . . 240

10. Méthode d’authentification NPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 24010.1 Configurer les templates NPS . . . . . . . . . . . . . . . . . . . . . . . . . . 24010.2 L'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

11. Surveillance et maintenance du rôle NPS . . . . . . . . . . . . . . . . . . . . . 242

12. Vue d’ensemble de la solution NAP . . . . . . . . . . . . . . . . . . . . . . . . . 24312.1 Méthode d’application de NAP . . . . . . . . . . . . . . . . . . . . . . . . . 24312.2 Architecture de la plateforme NAP . . . . . . . . . . . . . . . . . . . . . . 245

13. Processus d’application NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24613.1 Mise en place d’IPsec avec NAP. . . . . . . . . . . . . . . . . . . . . . . . . 24613.2 Le 802.1x avec NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24613.3 Mise en place de NAP avec un serveur VPN . . . . . . . . . . . . . . . 24713.4 Utilisation de NAP pour DHCP. . . . . . . . . . . . . . . . . . . . . . . . . 247

14. Validation de l’état de santé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

15. Surveillance et support du serveur NAP . . . . . . . . . . . . . . . . . . . . . . 248

8Administration


Chapitre 10Optimisation des services de fichiers

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

2. Vue d’ensemble du rôle FSRM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

3. Gestion du serveur de fichiers à l’aide de FSRM. . . . . . . . . . . . . . . . 2653.1 Gestion des quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2653.2 Gestion du filtrage de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . 2743.3 Les rapports de stockage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

4. Implémentation de la classification de fichiers . . . . . . . . . . . . . . . . 2774.1 Présentation des règles de classification . . . . . . . . . . . . . . . . . . 2774.2 Les tâches de gestion des fichiers. . . . . . . . . . . . . . . . . . . . . . . . 279

5. Le système DFS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2795.1 Présentation de l’espace de noms DFS . . . . . . . . . . . . . . . . . . . 2805.2 La réplication DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2815.3 Fonctionnement de l’espace de noms . . . . . . . . . . . . . . . . . . . . 2825.4 La déduplication de données . . . . . . . . . . . . . . . . . . . . . . . . . . . 2835.5 Scénarios DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

6. Configuration de l’espace de noms . . . . . . . . . . . . . . . . . . . . . . . . . . 2876.1 Mise en place du service DFS. . . . . . . . . . . . . . . . . . . . . . . . . . . 2886.2 Optimisation d'un espace de noms . . . . . . . . . . . . . . . . . . . . . . 288

7. Configuration et support de DFS-R . . . . . . . . . . . . . . . . . . . . . . . . . 2897.1 Fonctionnement de la réplication . . . . . . . . . . . . . . . . . . . . . . . 2897.2 Processus de réplication initial. . . . . . . . . . . . . . . . . . . . . . . . . . 2897.3 Support du système de réplication . . . . . . . . . . . . . . . . . . . . . . 2907.4 Opérations sur la base de données. . . . . . . . . . . . . . . . . . . . . . . 290


Chapitre 11Encryption de données et audit

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

2. Présentation d’EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2932.1 Fonctionnement d’EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2942.2 Récupération d’un fichier crypté . . . . . . . . . . . . . . . . . . . . . . . . 296

3. Configuration de l’audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2983.1 Vue d’ensemble de la politique d’audit . . . . . . . . . . . . . . . . . . . 2983.2 Spécification des paramètres d'audit

sur un fichier ou un dossier . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2993.3 Activation de la politique d’audit . . . . . . . . . . . . . . . . . . . . . . . 3033.4 Politique d’audit avancée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305

Chapitre 12Implémentation du serveur WSUS

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

2. Présentation du rôle WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

3. Pré-requis nécessaires pour le rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . 312

4. Déploiement de mises à jour avec WSUS . . . . . . . . . . . . . . . . . . . . . 3124.1 Configuration du client de mise à jour . . . . . . . . . . . . . . . . . . . 3124.2 Administration de WSUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3144.3 Présentation des groupes d’ordinateurs. . . . . . . . . . . . . . . . . . . 3154.4 Approbation des mises à jour. . . . . . . . . . . . . . . . . . . . . . . . . . . 315

10Administration


Chapitre 13Surveillance des serveurs

1. Le Gestionnaire des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

2. Le Moniteur de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340

3. L’Analyseur de performances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345

4. Les journaux d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3594.1 Création d'une vue personnalisée . . . . . . . . . . . . . . . . . . . . . . . 3624.2 Abonnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

99

Chapitre 4Gestion de l’environnement

Gestion de l’environnement1. IntroductionLa gestion des utilisateurs est une tâche quotidienne pour un administrateursystème et réseau. Les comptes utilisateurs permettent l'authentification depersonnes physiques souhaitant accéder à une ressource du domaine.

2. Automatisation de la gestion des comptes utilisateursEn plus des consoles Active Directory, il est possible de procéder à la gestiondes objets à l'aide d'outils en ligne de commande.

CSVDE (Comma-Separated Values Data Exchange) est un outil permettantl'export et l'import d'objets dans un annuaire Active Directory. Des fichiers auformat CSV (Comma-Separated Value) sont utilisés pour les différentes opéra-tions. Ce type de fichier peut être modifié à l'aide du bloc-notes (notepad)présent dans les systèmes d'exploitation Windows ou avec Microsoft Excel.

Syntaxe de la commande

csvde -f NomFichier.csv

Le commutateur -f est utilisé afin d'indiquer le fichier à utiliser. Lacommande permet par défaut d'effectuer une exportation.

© E

diti

ons

ENI -

All

righ

ts r

eser

ved

100Administration


Différents commutateurs peuvent être utilisés :

-d RootDN : permet de définir le conteneur où débute l'exportation. Pardéfaut, le conteneur sélectionné est la racine du domaine.

-p ÉtendueRecherche : détermine l'étendue de la recherche (Base, OneLe-vel, Subtree).

-r Filtre : permet la mise en place d'un filtre LDAP.

-l ListeAttributs : fournit la liste des attributs sur lesquels il est néces-saire d'effectuer une recherche. Chacun de ces attributs est séparé des autrespar une virgule.

Remarque

Exemples d'attributs : givenName, userPrincipalName,…

-i : informe la commande qu'il est nécessaire d'effectuer une importation.Pour rappel, une exportation est effectuée par défaut.

-k : le commutateur -k permet d'ignorer les erreurs lors de l'importation.Ainsi, l'exécution de la commande se poursuit même si une erreur de typenon-respect de contrainte ou objet existant est rencontrée.

101Gestion de l’environnementChapitre 4

Une deuxième commande peut être utilisée, ldifde. Cette instruction DOSpermet comme pour csvde d'effectuer des opérations d'importation oud'exportation, de plus il est possible d'effectuer des modifications sur un objet(contrairement à csvde).

Pour effectuer ces opérations des fichiers portant l'extension LDIF (LDAP DataInterchange Format) sont nécessaires. Ces fichiers contiennent des blocs delignes qui constituent chacun une opération. Il est évident qu'un fichier peutcontenir plusieurs actions, dans ce cas chaque bloc est séparé des autres parune ligne blanche.

Chaque opération nécessite de posséder l'attribut DN (Distinguished Name)ainsi que l'opération à effectuer (Add, Modify, Delete).

Syntaxe de la commande

ldifde -f NomFichier.ldif

Le commutateur -f est utilisé afin d'indiquer le fichier à utiliser. La com-mande permet par défaut d'effectuer une exportation.

Comme pour la commande csvde, plusieurs commutateurs peuvent être uti-lisés :

-i : permet d'effectuer une importation. Par défaut, une exportation est effec-tuée.

-k : le commutateur -k permet d'ignorer les erreurs lors de l'importation.Ainsi l'exécution de la commande se poursuit même si une erreur de type non-respect de contrainte ou objet existant est rencontrée.

-s NomServeur : indique le serveur sur lequel il est nécessaire de se connec-ter.

-t Port : indique le port à utiliser (port par défaut : 389).

-d NDRacine : permet de situer la racine de la recherche.

-r Filtre : permet la mise en place d'un filtre LDAP.

© E

diti

ons

ENI -

All

righ

ts r

eser

ved

102Administration


2.1 Configuration de la politique de sécurité

La politique de sécurité permet de définir un ensemble de paramètres quis'appliquent à plusieurs objets. On retrouve dans cette politique deux types deparamètres différents :

– Paramètre de sécurité

– Paramètre de verrouillage

Les deux peuvent évidemment être configurés pour une machine spécifique(stratégie de groupe locale) ou l'ensemble des objets d'un domaine AD (géné-ralement configuré dans la Default Domain Policy).

Paramètres de sécurité

Plusieurs types de paramètres peuvent être configurés dans la politique.

L'âge minimal du mot de passe permet d'indiquer le temps minimum avantqu'un utilisateur puisse de nouveau changer son mot de passe. L'âge maximalindique lui le nombre de jours pendant lequel le mot de passe reste valide. Unefois ce délai passé, l'utilisateur doit changer son mot de passe pour pouvoirouvrir une session sur le domaine. L'historique de mot de passe est égalementà prendre en compte, il permet d'interdire les x derniers mots de passe utilisés.

103Gestion de l’environnementChapitre 4

Attention à ne pas mettre une trop grosse valeur au niveau de ce paramètre,sans quoi les utilisateurs risquent fortement d'être mécontents.

Lors de la création du domaine Active Directory, la complexité des mots depasse est activée, ce paramètre implique la nécessité de respecter des critèresspécifiques dans le mot de passe. En effet, le mot de passe est considéré commecomplexe dès lors :

– Qu'il respecte trois des quatre critères suivants : – Majuscules– Minuscules– Caractères alphanumériques– Caractères spéciaux

– Qu'il ne contient pas le prénom ou le nom de l'utilisateur.

Cela complique la recherche du mot de passe par un éventuel pirate mais peut(très souvent d'ailleurs) être difficilement accepté par les utilisateurs. Il estpréférable de baisser les exigences en termes de sécurité plutôt que de voir lesmots de passe marqués en clair sur l'écran ou sous le clavier.

Un autre paramètre important dans une politique de mot de passe est lalongueur minimale. En effet, il permet d'indiquer le nombre de caractères quele mot de passe doit contenir.

© E

diti

ons

ENI -

All

righ

ts r

eser

ved

104Administration


Paramètres de verrouillage

Ces paramètres permettent la configuration du verrouillage.

La durée de verrouillage est celle pendant laquelle le compte utilisateur ne peutouvrir de session. Pour un déverrouillage manuel effectué par l'administrateur,il est nécessaire de configurer le paramètre à 0.

Le nombre de tentatives infructueuses limite le nombre d'essais en échec.Ainsi le compte concerné est verrouillé une fois ce nombre de tentativesatteint. La valeur 0 implique des tentatives infructueuses illimitées car lecompte n'est alors jamais verrouillé.

Il est nécessaire de remettre à zéro le compteur du nombre de tentativesinfructueuses sans quoi la politique de verrouillage n'a plus de sens. Ainsi unautre paramètre entre en compte dans la politique de verrouillage, il s'agitcette fois de la mise à jour du compteur (du nombre de tentatives en échec)après un certain nombre de minutes.

est consultant et formateur sur les systèmes d’exploi ... · l’auteur commence par décrire...

Documents