ch7

CH7 Windows

Introduction

3Historique MS-DOS 1985 : Windows 1.0 1987 : Windows 2.0 1990 : Windows 3.0

Historique 1993 : Windows 3.1 1993 : Windows NT 3.1

1993 : Windows for Workgroups 3.11 1994 : Windows NT Workstation 3.5 1995 : Windows 95

3

Historique MS-DOS 1985 : Windows 1.0 1987 : Windows 2.0 1990 : Windows 3.0

Historique 1993 : Windows 3.1 1993 : Windows NT 3.1

1993 : Windows for Workgroups 3.11 1994 : Windows NT Workstation 3.5 1995 : Windows 95

4Historique 1996 : Windows NT 4.0 1998 : Windows 98 1999 : Windows 98 Second Edition 2000 : Windows Millenium 2000 : Windows 2000 2001 : Windows XP 2003 : Windows 2003 2006 : Windows Vista 2008 : Windows Server 2008

4

Historique 1996 : Windows NT 4.0 1998 : Windows 98 1999 : Windows 98 Second Edition 2000 : Windows Millenium 2000 : Windows 2000 2001 : Windows XP 2003 : Windows 2003 2006 : Windows Vista 2008 : Windows Server 2008

58

Windows NT NT est bas sur le projet MACH

Micro-kernel services de base restreint mais simple ! stable

+ serveurs travaillant en mode utilisateur memory server, display server, process server, file server,

network server 32 bits Les processus ont des espaces mmoires bien

spars permet davoir certain process en mode protg

9Windows NT 4 GUI mme interface que Windows 95 Scalability Modle client/serveur - deux versions

NT 4 workstation NT 4 server

Support support de beaucoup de hardware supporte OpenGL

10

Windows NT 4 Server Permet la mise en uvre dapplications ou

services client/serveur base de donnes, serveur de messagerie,

serveur de fichiers, dimpression File and print services inclus en standard

clients MS-DOS, Windows 3.1, Windows 95, Unix, OS/2, Macintosh

Supporte plusieurs protocoles NetBIOS sur TCP/IP, DLC, IPX

Windows NT 4 Server Autres capacits fournies en standard

serveur DHCP (NT 4 workstation possde un client DHCP intgr) Windows Internet Naming Service (WINS)

Base de donnes distribue des mappings nom !IP ; enregistrement dynamique, queries.

Data protection features disk striping, RAID 5, disk mirroring

Remote Access Server (RAS) Interface avec Novell Netware et Macintosh

10

Windows NT 4 Server Permet la mise en uvre dapplications ou

services client/serveur base de donnes, serveur de messagerie,

serveur de fichiers, dimpression File and print services inclus en standard

clients MS-DOS, Windows 3.1, Windows 95, Unix, OS/2, Macintosh

Supporte plusieurs protocoles NetBIOS sur TCP/IP, DLC, IPX

Windows NT 4 Server Autres capacits fournies en standard

serveur DHCP (NT 4 workstation possde un client DHCP intgr) Windows Internet Naming Service (WINS)

Base de donnes distribue des mappings nom !IP ; enregistrement dynamique, queries.

Data protection features disk striping, RAID 5, disk mirroring

Remote Access Server (RAS) Interface avec Novell Netware et Macintosh

11

Windows NT 4 Server Account lockout security

Protection contre les attaques sur les mots de passe

Administrative tools Server Manager User Manager User Manager for Domains

NT 4 server + BackOffice suite Microsoft BackOffice Suite pour Windows

NT 4 server : Systems Management Server (SMS) SQL server Exchange Server Internet Information Server (IIS) Distributed File System (DFS) Server Index Server

11

Windows NT 4 Server Account lockout security

Protection contre les attaques sur les mots de passe

Administrative tools Server Manager User Manager User Manager for Domains

NT 4 server + BackOffice suite Microsoft BackOffice Suite pour Windows

NT 4 server : Systems Management Server (SMS) SQL server Exchange Server Internet Information Server (IIS) Distributed File System (DFS) Server Index Server

12

Windows NT 4 Workstation Version pour stations de travail

Standalone Peer-to-peer networking (workgroup) Membre dun Domain

Mmes kernel et GUI que NT 4 Server Optimis en tant que client Fourni avec les outils dadministration de

la machine locale (user accounts, permissions)

13

16

Windows NT 4 en rseau Workgroup

aka the peer-to-peer model Partage de ressources Les machines se voient dans le

voisinage rseau Sur chaque machine qui possde des

ressources, prciser qui peut y accder Utilisateurs locaux Administration clate entre les diffrentes

machines

Workgroup

16

Windows NT 4 en rseau Workgroup

aka the peer-to-peer model Partage de ressources Les machines se voient dans le

voisinage rseau Sur chaque machine qui possde des

ressources, prciser qui peut y accder Utilisateurs locaux Administration clate entre les diffrentes

machines

Workgroup

17

Windows NT 4 en rseau Domain

Partage de ressources Administration centralise Une seule base de donnes (plate !) des user

accounts, groupes, stations NT, etc. SAM Security Accounts Manager

Notion de Domain Controllers 1 Primary Domain Controller PDC de 0 n Backup Domain Controllers BDC

Domain

17

Windows NT 4 en rseau Domain

Partage de ressources Administration centralise Une seule base de donnes (plate !) des user

accounts, groupes, stations NT, etc. SAM Security Accounts Manager

Notion de Domain Controllers 1 Primary Domain Controller PDC de 0 n Backup Domain Controllers BDC

Domain

18

NT 4 domains A logical (abstract) group, controlled by a server, to be joined by

individual computers needing access to the resources and security it provides.

A domain is a grouping of computers and users that eases administration of the computers and user accounts.

NT Server is required to create a domain. The NT Servers on your network will all share a common user account and security database, thus enabling each user to have a single account which is recognized on all servers in the domain.

Security policies such as how long passwords remain valid are also held in common by all servers in a domain. NT workstations can also be members of a domain; the benefit they derive is the ability to recognize user accounts that are created on the servers in the domain, but security policies on a workstation are always independent of the domain security policies.

NT 4 domains Le PDC contient la SAM qui est rplique sur les BDC Un utilisateur se loggue dans le domaine et

plus sur un serveur particulier Lauthentification se fait sur un des DC En cas de panne du PDC un BDC peut tre

promu Autre serveurs (non DC) : member servers Grands environnements : plusieurs domaines! possibilit de trusts entre domaines

19

Primary Domain Controller Le PDC contient la SAM pour tout le domaine La SAM ne peut tre modifie que sur un PDC

(read-only sur les BDC) Les outils dadministrations peuvent cependant tre

installes ailleurs (BDC) Premier serveur installer pour crer un

domaine Possde le SID du domaine

Rplication de la SAM vers les BDC par push (toutes les 5 minutes / aprs modif.)

Primary Domain Controller

19

Primary Domain Controller Le PDC contient la SAM pour tout le domaine La SAM ne peut tre modifie que sur un PDC

(read-only sur les BDC) Les outils dadministrations peuvent cependant tre

installes ailleurs (BDC) Premier serveur installer pour crer un

domaine Possde le SID du domaine

Rplication de la SAM vers les BDC par push (toutes les 5 minutes / aprs modif.)

Primary Domain Controller

20

Backup Domain Controller Le BDC contient une copie de la SAM

en read-only Optionnel, de 0 n BDC prsents pour

des questions de redondance dcharger le PDC pour les logon

authentication processes besoins de localit (ex.: domain tendu sur

plusieurs sites physiques ! un BDC par site) Mme domain SID sur tous les DC

Member servers NT 4 Server (tout comme le PDC et les BDC) Ne contiennent pas de copie de la SAM! pas de domain SID, mais un machine SID! pas utiliss pour lauthentification! ni pour la gestion du domaine

Rle : file server, print server, application server

Peuvent changer de domaine impossible pour un PDC ou BDC

20

Backup Domain Controller Le BDC contient une copie de la SAM

en read-only Optionnel, de 0 n BDC prsents pour

des questions de redondance dcharger le PDC pour les logon

authentication processes besoins de localit (ex.: domain tendu sur

plusieurs sites physiques ! un BDC par site) Mme domain SID sur tous les DC

Member servers NT 4 Server (tout comme le PDC et les BDC) Ne contiennent pas de copie de la SAM! pas de domain SID, mais un machine SID! pas utiliss pour lauthentification! ni pour la gestion du domaine

Rle : file server, print server, application server

Peuvent changer de domaine impossible pour un PDC ou BDC

21

Les trusts

21

Les trusts

22

Les trusts Quand il y a plusieurs domaines,

typiquement : un domaine avec des utilisateurs, groupes un domaine avec des ressources (file

servers, imprimantes) On va pouvoir tablir des trusts

les accounts du domaine trust seront ds lors utilisables pour laccs aux ressources du domaine trustant

Les trusts Les trusts de NT 4 sont unidirectionnels

22

Les trusts Quand il y a plusieurs domaines,

typiquement : un domaine avec des utilisateurs, groupes un domaine avec des ressources (file

servers, imprimantes) On va pouvoir tablir des trusts

les accounts du domaine trust seront ds lors utilisables pour laccs aux ressources du domaine trustant

Les trusts Les trusts de NT 4 sont unidirectionnels

23

Les trusts mais il suffit den faire un dans chaque

sens.

Les trusts Exemple

25

Les 4 modles de domaines NT

Microsoft dfinit 4 modles Single domain model Master domain model Multiple master domain model Complete trust domain model

Les 4 modles de domaines NT Un domaine =

Taille max. de la SAM dun domaine : 40 MB Environ 40.000 accounts/objects max.

Users, groups, NT member workstations... Points considrer :

Nombre daccounts Etendue gographique du domaine Manire dont seront dfinis les users et les

ressources

25

Les 4 modles de domaines NT

Microsoft dfinit 4 modles Single domain model Master domain model Multiple master domain model Complete trust domain model

Les 4 modles de domaines NT Un domaine =

Taille max. de la SAM dun domaine : 40 MB Environ 40.000 accounts/objects max.

Users, groups, NT member workstations... Points considrer :

Nombre daccounts Etendue gographique du domaine Manire dont seront dfinis les users et les

ressources

26

Single domain model

Les 4 modles de domaines NT Single domain model

Petit environnement rseau Simple grer

Pas de trusts grer Administration la plus centralise possible Point faible / bottleneck : lunique PDC si

beaucoup daccounts (! SAM large)

26

Single domain model

Les 4 modles de domaines NT Single domain model

Petit environnement rseau Simple grer

Pas de trusts grer Administration la plus centralise possible Point faible / bottleneck : lunique PDC si

beaucoup daccounts (! SAM large)

27

Master domain model

Les 4 modles de domaines NT Master domain model

Tous les accounts sont centraliss dans un master (i.e. accounts) domain!Gestion centralise des accounts

Ressources dcentralises avec gestion dcentralises

administrateurs locaux chaque domaine de ressources

Trusts unidirectionnels des domaines ressources vers le domaine master

27

Master domain model

Les 4 modles de domaines NT Master domain model

Tous les accounts sont centraliss dans un master (i.e. accounts) domain!Gestion centralise des accounts

Ressources dcentralises avec gestion dcentralises

administrateurs locaux chaque domaine de ressources

Trusts unidirectionnels des domaines ressources vers le domaine master

28

Multiple master domain model

Les 4 modles de domaines NT Multiple master domain model

Permet dviter la limite de 40.000 accounts prsente dans le (single) master domain model

Utile pour les environnements disperss gographiquement

Gestion plus complexe Trusts plus complexes et nombreux

28

Multiple master domain model

Les 4 modles de domaines NT Multiple master domain model

Permet dviter la limite de 40.000 accounts prsente dans le (single) master domain model

Utile pour les environnements disperss gographiquement

Gestion plus complexe Trusts plus complexes et nombreux

29

Complete trust domain model

Les 4 modles de domaines NT Complete trust domain model

Modle dcentralis Gestion des accounts et ressources diffrente pour

chaque domaine Complexe mettre en place (trusts) et grer Permet des security policies diffrentes (une

par domaine) ex.: contraintes sur les mots de passe

Typique dans les socits avec IT dcentralise (et sans coordination centrale)

viter

29

Complete trust domain model

Les 4 modles de domaines NT Complete trust domain model

Modle dcentralis Gestion des accounts et ressources diffrente pour

chaque domaine Complexe mettre en place (trusts) et grer Permet des security policies diffrentes (une

par domaine) ex.: contraintes sur les mots de passe

Typique dans les socits avec IT dcentralise (et sans coordination centrale)

viter

30

User accounts et groupes Les user accounts sont globaux au domaine

rsident sur le PDC (dans la SAM) un account dans un domaine permet de se logguer

sur nimporte quelle station du domaine pour grer les permissions et accs, on peut grouper

les accounts dans des groupes groupes globaux groupes locaux

Ne pas confondre avec les accounts locaux tre dans un domaine nempche pas la cration

daccounts et de groupes locaux (SAM locale vs SAM du domaine) (ex.: administrator du domaine ! administrator local dune station)

Deux sortes de groupes Groupes globaux

contiennent des user accounts dun mme domaine

peuvent tre utiliss dans de multiples domaines (ex. accs une ressource dun autre domaine) do le nom global

30

User accounts et groupes Les user accounts sont globaux au domaine

rsident sur le PDC (dans la SAM) un account dans un domaine permet de se logguer

sur nimporte quelle station du domaine pour grer les permissions et accs, on peut grouper

les accounts dans des groupes groupes globaux groupes locaux

Ne pas confondre avec les accounts locaux tre dans un domaine nempche pas la cration

daccounts et de groupes locaux (SAM locale vs SAM du domaine) (ex.: administrator du domaine ! administrator local dune station)

Deux sortes de groupes Groupes globaux

contiennent des user accounts dun mme domaine

peuvent tre utiliss dans de multiples domaines (ex. accs une ressource dun autre domaine) do le nom global

31

Deux sortes de groupes Groupes locaux

contiennent des comptes utilisateur et des groupes globaux

potentiellement extrieurs au domaine dans lequel le groupe local est dfini

si et seulement si il existe un trust vers les domaines de ces accounts et global groups

local = utilis pour les [permissions au niveau des] accs des ressources dans le domaine local

Gestion des utilisateurs Utilisateurs prdfinis :

administrator et guest Cration dun user :

31

Deux sortes de groupes Groupes locaux

contiennent des comptes utilisateur et des groupes globaux

potentiellement extrieurs au domaine dans lequel le groupe local est dfini

si et seulement si il existe un trust vers les domaines de ces accounts et global groups

local = utilis pour les [permissions au niveau des] accs des ressources dans le domaine local

Gestion des utilisateurs Utilisateurs prdfinis :

administrator et guest Cration dun user :

32

Gestion des utilisateurs Chaque utilisateur peut avoir

un profil, une home, un logon script

Gestion des utilisateurs Un profil (profile) utilisateur contient

prfrences utilisateur affichage, wallpaper, screensaver mappings imprimantes variables denvironnement bookmarks IE mailbox dOutlook Express

32

Gestion des utilisateurs Chaque utilisateur peut avoir

un profil, une home, un logon script

Gestion des utilisateurs Un profil (profile) utilisateur contient

prfrences utilisateur affichage, wallpaper, screensaver mappings imprimantes variables denvironnement bookmarks IE mailbox dOutlook Express

33

Gestion des utilisateurs Trois types de profiles

Local : local la machine (NT 4 Workstation) Roaming : stock sur serveur, ce profil suit

lutilisateur peu importe la station o il se loggue (copy in au logon et copy out au logoff)

Mandatory : profil local ou roaming mis en read-only par ladministrateur

modifications possibles par lutilisateur mais non sauves

Policies Policies : rgles appliques des user

accounts, des machines rgles sur les mots de passe protection de registry settings prfrences utilisateur limitation des accs au rseau

Il existe des templates

33

Gestion des utilisateurs Trois types de profiles

Local : local la machine (NT 4 Workstation) Roaming : stock sur serveur, ce profil suit

lutilisateur peu importe la station o il se loggue (copy in au logon et copy out au logoff)

Mandatory : profil local ou roaming mis en read-only par ladministrateur

modifications possibles par lutilisateur mais non sauves

Policies Policies : rgles appliques des user

accounts, des machines rgles sur les mots de passe protection de registry settings prfrences utilisateur limitation des accs au rseau

Il existe des templates

34

Policies

Policies

34

Policies

Policies

35

Fichiers et shares File system : NTFS

systme de permissions volu sur les fichiers et rpertoires chaque objet a un owner

Permissions NTFS

35

Fichiers et shares File system : NTFS

systme de permissions volu sur les fichiers et rpertoires chaque objet a un owner

Permissions NTFS

36

Fichiers et shares Share = partage dun rpertoire

(et de ses sous-rpertoires et fichier) UNC : \\SERVER\SHARE Permissions NTFS + permissions du share

NT 4 et RAID RAID = Redundant Array of Inexpensive Disks RAID software implment sous NT 4

(version Server) : RAID 0, 1 et 5

39

Dploiement Installation automatise de lOS

NT 4 unattended installation installation automatise par des scripts

sysprep + outils commerciaux : Ghost Dploiement dapplications

sysdiff outils commerciaux : SMS

Backup Utilitaire ntbackup Modes de sauvegarde :

normal copy incremental differential daily

copy copies all selected files and does not clear the archive attributes. Does not affect other backup operations, useful between normal and incremental backups. daily copies all selected files that have been modified that day. The archive attribute is not cleared. differential copies files created or changed since the last normal or incremental. Does not clear the archive attribute. Restoration requires the last normal AND differential. incremental copies files created or changed since the last normal or incremental. The archive attribute is cleared. Restoration requires the last normal AND ALL incrementals made since the last normal. normal copies all selected files and clears the archive attribute on each file. You only need the most recent copy to restore all the files. Usually the first backup set created.

41

42

43

44

Introduction Nom initialement prvu : Windows NT 5 Cf. NT 4 nous ne prsenterons que les

nouveauts introduites par Windows 2000 dans ce chapitre

Changement majeur : introduction de lActive Directory service dannuaire compatible LDAP

4 versions diffrentes

45

Introduction Windows 2000 Professional

pour les workstations max. 2 CPU, max. 4 GB RAM, pas de clustering, pas

de Terminal Server Windows 2000 Server

max. 4 CPU, max. 4 GB RAM, clustering max. 2 nodes, Terminal Services

Windows 2000 Advanced Server (8 CPU, 8 GB) Windows 2000 Data Center (32 CPU, 64 GB, 4

nodes)

Positionnement Windows 2000 Server pour :

File/Print/Web services Application services Infrastructure services Communications services

Windows 2000 Professional : Corporate desktops Mobile/laptop systems

45

Introduction Windows 2000 Professional

pour les workstations max. 2 CPU, max. 4 GB RAM, pas de clustering, pas

de Terminal Server Windows 2000 Server

max. 4 CPU, max. 4 GB RAM, clustering max. 2 nodes, Terminal Services

Windows 2000 Advanced Server (8 CPU, 8 GB) Windows 2000 Data Center (32 CPU, 64 GB, 4

nodes)

Positionnement Windows 2000 Server pour :

File/Print/Web services Application services Infrastructure services Communications services

Windows 2000 Professional : Corporate desktops Mobile/laptop systems

46

Nouveauts En rsum,

plus rapide moins de redmarrages ! plus de fonctionnalits plus robuste plus scalable

Principales nouveauts

Ct serveur Active Directory Dynamic DNS Distributed File System (DFS) QoS IPSec Group Policy Objects (GPO) IIS, Certificate Services, WMI

46

Nouveauts En rsum,

plus rapide moins de redmarrages ! plus de fonctionnalits plus robuste plus scalable


Ct serveur Active Directory Dynamic DNS Distributed File System (DFS) QoS IPSec Group Policy Objects (GPO) IIS, Certificate Services, WMI

47


Ct client Support dActive Directory MMC Microsoft Management Console Internet Explorer 5 DirectX WSH Windows Scripting Host FAT32, NTFS5, UDF Windows Installer, Plug and Play, USB, WDM, AGP

Nouveauts : file service NTFS version 5 Support de quotas

assez limit : par user par volume Distributed File System (DFS)

arborescence virtuelle des fichiers et rpertoires partags, masquant leur localisation physique relle sur diffrents serveurs/shares

EFS

47


Ct client Support dActive Directory MMC Microsoft Management Console Internet Explorer 5 DirectX WSH Windows Scripting Host FAT32, NTFS5, UDF Windows Installer, Plug and Play, USB, WDM, AGP

Nouveauts : file service NTFS version 5 Support de quotas

assez limit : par user par volume Distributed File System (DFS)

arborescence virtuelle des fichiers et rpertoires partags, masquant leur localisation physique relle sur diffrents serveurs/shares

EFS

48

Nouveauts : file service Distributed Link Tracking

permet de retrouver la trace dun fichier dplac

Indexing service systme dindexation pour acclrer les

recherches (locales ou travers le rseau) Gestion des disques et partitions

basic disks vs dynamic disks Montages la Unix

Architecture Notion de domaines NT4 PDC, BDC ! notion unique de Domain

Controllers (tous quivalents) Mode natif

serveurs et wokstations en version 2000 Mode mixte

certaines stations sont encore NT 4, voire 9x, certains serveurs ventuellement NT 4

certains serveurs 2000 agissent en tant que serveurs NTLM

fonctionnalits limits (pas de GPO, RIS, Kerberos)

48

Nouveauts : file service Distributed Link Tracking

permet de retrouver la trace dun fichier dplac

Indexing service systme dindexation pour acclrer les

recherches (locales ou travers le rseau) Gestion des disques et partitions

basic disks vs dynamic disks Montages la Unix

Architecture Notion de domaines NT4 PDC, BDC ! notion unique de Domain

Controllers (tous quivalents) Mode natif

serveurs et wokstations en version 2000 Mode mixte

certaines stations sont encore NT 4, voire 9x, certains serveurs ventuellement NT 4

certains serveurs 2000 agissent en tant que serveurs NTLM

fonctionnalits limits (pas de GPO, RIS, Kerberos)

49

Active Directory Directory Service arborescent (! SAM de

NT4) compatible LDAP v3 Organis en

Forts, arbres, domaines, OUs

49

Active Directory Directory Service arborescent (! SAM de

NT4) compatible LDAP v3 Organis en

Forts, arbres, domaines, OUs

50

Active Directory Active Directory : service d'annuaire central Scurit, distribution, partionnement, rplication Point de consolidation (accounts, groupes,

machines, ...) Annuaire (recherche d'objets) Conu pour des environnements de toutes

tailles du simple serveur avec quelques centaines d'objets quelques milliers de serveurs et millions d'objets

Active Directory Concepts habituels

objets, attributs containers (OU) structure arborescente namespace

50

Active Directory Active Directory : service d'annuaire central Scurit, distribution, partionnement, rplication Point de consolidation (accounts, groupes,

machines, ...) Annuaire (recherche d'objets) Conu pour des environnements de toutes

tailles du simple serveur avec quelques centaines d'objets quelques milliers de serveurs et millions d'objets

Active Directory Concepts habituels

objets, attributs containers (OU) structure arborescente namespace

51

Active Directory Domaines :

entit de base de lAD entit autonome pour la scurit politique

de scurit commune user accounts, administrateurs, contrle daccs

organis en Organizational Units (OU) contient des objets (users, workstations,

printers, ressources) partitionnement logique un domaine peut

tre rparti sur plusieurs sites physiques

Active Directory Domaines (suite) :

plusieurs Domain Controllers (DC) rplication multi-master

modifications auprs de nimporte quel DC plus de notion de PDC (read/write) et BDC (read)

AD supporte plusieurs domaines organiss en arbres (trees), eux-mmes organiss

en forts (forests)

51

Active Directory Domaines :

entit de base de lAD entit autonome pour la scurit politique

de scurit commune user accounts, administrateurs, contrle daccs

organis en Organizational Units (OU) contient des objets (users, workstations,

printers, ressources) partitionnement logique un domaine peut

tre rparti sur plusieurs sites physiques


plusieurs Domain Controllers (DC) rplication multi-master

modifications auprs de nimporte quel DC plus de notion de PDC (read/write) et BDC (read)

AD supporte plusieurs domaines organiss en arbres (trees), eux-mmes organiss

en forts (forests)

52


Organisational Units seul container LDAP support dans lAD partitionnement logique dun domaine contiennent les feuilles (users, computers) entit de dlgation des droits dadministration

Sites dcoupe gographique sur base des subnets IP utile pour

utiliser le DC le plus proche optimiser les rplications

Organisation logique (domaines, OUs) vs gographique (sites)

52


Organisational Units seul container LDAP support dans lAD partitionnement logique dun domaine contiennent les feuilles (users, computers) entit de dlgation des droits dadministration

Sites dcoupe gographique sur base des subnets IP utile pour

utiliser le DC le plus proche optimiser les rplications

Organisation logique (domaines, OUs) vs gographique (sites)

53

Rplication entre sites

Active Directory Tree

domaines organiss de manire hirarchique partageant un mme schma formant un namespace continu trusts bidirectionnels et transitifs entre

domaines du mme arbre Global Catalog commun

53

Rplication entre sites


domaines organiss de manire hirarchique partageant un mme schma formant un namespace continu trusts bidirectionnels et transitifs entre

domaines du mme arbre Global Catalog commun

54


Active Directory Forest

ensemble darbres nayant pas un namespace commun (pas de racine commune)

54



ensemble darbres nayant pas un namespace commun (pas de racine commune)

55


schma commun tous les arbres et domaines

Global Catalog commun trusts bidirectionnels entre arbres

Bref, Forest ~= Tree lexception du nommage disjoint

Active Directory Le Global Catalog

Contient tous les objets de tous les domaines de lannuaire, et un sous-ensemble des attributs de ces objets

Utilis pour les recherches dans lannuaire pour viter davoir suivre des referrals vers

diffrents domaines lors de recherches travers la fort

Une copie du GC dans chaque domaine (sur un des DC du domaine)

55


schma commun tous les arbres et domaines

Global Catalog commun trusts bidirectionnels entre arbres

Bref, Forest ~= Tree lexception du nommage disjoint

Active Directory Le Global Catalog

Contient tous les objets de tous les domaines de lannuaire, et un sous-ensemble des attributs de ces objets

Utilis pour les recherches dans lannuaire pour viter davoir suivre des referrals vers

diffrents domaines lors de recherches travers la fort

Une copie du GC dans chaque domaine (sur un des DC du domaine)

56

Active Directory Autres key features de lAD

Intgration complte avec le D-DNS pour le nommage et la localisation les noms de Domaines correspondent des noms

DNS sampledom.company.com

Authentification via Kerberos 5 Accessible en LDAP Rplication

Intgration AD DNS

56

Active Directory Autres key features de lAD

Intgration complte avec le D-DNS pour le nommage et la localisation les noms de Domaines correspondent des noms

DNS sampledom.company.com

Authentification via Kerberos 5 Accessible en LDAP Rplication

Intgration AD DNS

57

Nommage LDAP et DNS

Recherche dans un Active Directory dune entre sur base de son email :

[delavaa@TW020998 delavaa]$ ldapsearch -d 0 -v -x -W -H ldap://dc.windomain.company.be -b "dc=windomain,dc=company,dc=be" -D "cn=queryuser,ou=Key managers,dc=windomain,dc=company,dc=be" [email protected]

ldap_initialize( ldap://dc.windomain.company.be )Enter LDAP Password:filter: [email protected]: ALLversion: 2## filter: [email protected]# requesting: ALL## Delava Alain, Users, Trasys, windomain, company, bedn: CN=Delava Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=beobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: usercn: Delava Alain !!!!

57

Nommage LDAP et DNS

Recherche dans un Active Directory dune entre sur base de son email :

[delavaa@TW020998 delavaa]$ ldapsearch -d 0 -v -x -W -H ldap://dc.windomain.company.be -b "dc=windomain,dc=company,dc=be" -D "cn=queryuser,ou=Key managers,dc=windomain,dc=company,dc=be" [email protected]

ldap_initialize( ldap://dc.windomain.company.be )Enter LDAP Password:filter: [email protected]: ALLversion: 2## filter: [email protected]# requesting: ALL## Delava Alain, Users, Trasys, windomain, company, bedn: CN=Delava Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=beobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: usercn: Delava Alain !!!!

59

Agenda Outils dadministration Gestion des utilisateurs et groupes Group Policies Objects Dynamic DNS DHCP Terminal Services Gestion des disques Windows 2003

Outils dadministration MMC : Microsoft Management Console

Permet douvrir, crer, sauver les outils dadministration (appels MMC consoles ou MMC snap-ins )

La MMC ne permet pas deffectuer des actions dadministration : elle accueille des outils prvus pour cela

Peut tre excute sur un DC comme sur une station du domaine

60

MMC

MMC

60

MMC

MMC

61

MMC snap-ins Active Directory Users and Computers

Gestion de lAD : OUs, users, computers Active Directory Domains and Trusts

Gestion des trusts Active Directory Sites and Services

Gestion des sites (gographiques / subnets IP) DHCP DNS

MMC snap-ins WINS Group Policy Management Distributed File System Computer Management

61

MMC snap-ins Active Directory Users and Computers

Gestion de lAD : OUs, users, computers Active Directory Domains and Trusts

Gestion des trusts Active Directory Sites and Services

Gestion des sites (gographiques / subnets IP) DHCP DNS

MMC snap-ins WINS Group Policy Management Distributed File System Computer Management

65


Users and groups Les OUs ne sont pas des groupes

Permettent de grouper des users et des computers pour

Ladministration dlgue Lapplication de GPO (Policies)

Mais pas pour grer les permissions et lesdroits

! notion de groupes (groups), (similaire NT 4)

66

Users and groups : thorie (1/9) Rights vs Permissions

Rights (droits) : donne la possibilit des utilisateurs deffectuer des tches systme

par exemple : changer lheure sur un PC, grer une zone DNS

Permissions : rgles rgulant la manire dont les utilisateurs peuvent utiliser / accder une ressource

par exemple : un folder, un fichier, une imprimante

Users and groups : thorie (2/9) SID Security IDentifier

Nombre unique gnr la cration de laccount, du groupe, de la machine

Premire partie du SID : identifie le domaine Second partie : Relative SID = RID : identifie lobjet

(account)

70

Users and groups : thorie (9/9) Comment a marche ?

Lorsque le user veut accder un objet, Windows va voir si un des SID de l access token du user est dans lACL de lobjet

si il est dans un ACE de type AccessAllowed (et dans aucun AccessDenied), lutilisateur a accs lobjet (de la manire dcrite dans lACE)

Les groupes

71

Rappel : NT4 - Deux sortes de groupes

Groupes globaux contiennent des user accounts dun mme

domaine peuvent tre utiliss dans de multiples

domaines (ex. accs une ressource dun autre domaine) do le nom global


Groupes locaux contiennent des comptes utilisateur et des

groupes globaux potentiellement extrieurs au domaine dans

lequel le groupe local est dfini si et seulement si il existe un trust vers les

domaines de ces accounts et global groups local = utilis pour les [permissions au niveau

des] accs des ressources dans le domaine local

71


Groupes globaux contiennent des user accounts dun mme

domaine peuvent tre utiliss dans de multiples

domaines (ex. accs une ressource dun autre domaine) do le nom global


Groupes locaux contiennent des comptes utilisateur et des

groupes globaux potentiellement extrieurs au domaine dans

lequel le groupe local est dfini si et seulement si il existe un trust vers les

domaines de ces accounts et global groups local = utilis pour les [permissions au niveau

des] accs des ressources dans le domaine local

72

Les groupes Nouveauts de Windows 2000

Le concept de Universal Group Limbrication de groupes Lutilisation de groupes comme distribution

lists (en combinaison avec MS Exchange ou autre application de messagerie AD-enabled )

Les groupes peuvent contenir des membres non lis la scurit (important quand un groupe est utilis la fois pour la scurit et une distribution list)

Possibilit davoir des groupes distribution list only, pas utilisables pour la scurit (permissions/droits)

Les groupes : 3 types 3 types de

groupes

72

Les groupes Nouveauts de Windows 2000

Le concept de Universal Group Limbrication de groupes Lutilisation de groupes comme distribution

lists (en combinaison avec MS Exchange ou autre application de messagerie AD-enabled )

Les groupes peuvent contenir des membres non lis la scurit (important quand un groupe est utilis la fois pour la scurit et une distribution list)

Possibilit davoir des groupes distribution list only, pas utilisables pour la scurit (permissions/droits)

Les groupes : 3 types 3 types de

groupes

73

Les groupes : 3 types Universal Group The simplest form of group; can appear in ACLs

anywhere in the forest and can contain other Universal Groups, Global Groups, and users from anywhere in the forest. Small installations can use Universal Groups exclusively and avoid dealing with Global and Local Groups. A Universal Group and its members appear in the Global Catalog (GC). Universal Groups are applicable only to native mode domains.

Global Group Can appear on ACLs anywhere in the forest. It can contain users and other Global Groups (this nesting of Global Groups is only available when the domain is running in native mode) only from the domain in which the Global Group exists. So, except for the option of nesting groups, it is exactly the same as an NT 4 Global Group. Global Group names appear in the GC, but their members still are assigned to the domain.

Domain Local Group Can be used on ACLs only at servers in its own domain; can contain Domain Local Groups from the domain in question as well as users, Global Groups, and Universal Groups from any domain in the forest. Thus, except for the introduction of Universal Groups and the option of nesting groups, it is exactly the same as an NT 4 Local Domain Group. Domain Local Groups are valid only in the domain in which they are defined, and thus dont appear in the GC at all.

Les groupes : 2 variantes

74

Dmonstration 3 Cration dun groupe Illustration des permissions

75


Group Policies Objects Avec la dlgation de droits dadministration, les

GPO sont un des plus grands avantages de lAD (pour ladministrateur systme)

Comme en NT 4, il sagit dappliquer automatiquement un ensemble de rgles ou proprits des machines et des utilisateurs

Une GPO peut tre applique diffrents niveaux : Site, Domaine, OU (SDOU)

Hritage (sous-OUs) et possibilit de blocage (via les security groups)

76

GPO vs Profile - dfinitions Profile A collection of user environment

settings that the user is at liberty to change. Profiles may or may not follow the user if he chooses to log in to another computer, and their settings are stored in many locations, including the Registry, Desktop, Profiles directory, My Documents, and so forth.

Group Policy A collection of user environment settings, specified by the administrator. A Group Policy is stored in a central location and always affects the users or computers covered by the policy.

GPO categories Software Installation : les administrateurs ont la

possibilit dassigner slectivement et de publier des applications sur des workstations Application Assignment : permet dupgrader ou supprimer des

applications automatiquement sur des workstations Application Publishing : lapplication apparat dans la liste des

composants quun utilisateur peut installer sur sa station via Add/Remove Programs dans le Control Panel. Ces applications peuvent aussi tre installes la premire utilisation

Security Settings : permet de restreindre laccs certains fichiers, folders, cls de registry, servicePermet aussi de grer certain settings des stations

76

GPO vs Profile - dfinitions Profile A collection of user environment

settings that the user is at liberty to change. Profiles may or may not follow the user if he chooses to log in to another computer, and their settings are stored in many locations, including the Registry, Desktop, Profiles directory, My Documents, and so forth.

Group Policy A collection of user environment settings, specified by the administrator. A Group Policy is stored in a central location and always affects the users or computers covered by the policy.

GPO categories Software Installation : les administrateurs ont la

possibilit dassigner slectivement et de publier des applications sur des workstations Application Assignment : permet dupgrader ou supprimer des

applications automatiquement sur des workstations Application Publishing : lapplication apparat dans la liste des

composants quun utilisateur peut installer sur sa station via Add/Remove Programs dans le Control Panel. Ces applications peuvent aussi tre installes la premire utilisation

Security Settings : permet de restreindre laccs certains fichiers, folders, cls de registry, servicePermet aussi de grer certain settings des stations

77

GPO categories Administrative Templates : Rminiscence des

templates pour les System Policies de NT 4. Permet aux administrateurs de customiser certain Registry settings (desktop settings, application settings). En dautres mots, les settings inscrits dans les sous-arbres HKEY_LOCAL_MACHINE (HKLM) et HKEY_CURRENT_USER (HKCU) de la registry.

Folder Redirection : utilise pour le roaming, cette fonction permet de rediriger des folders locaux vers un espace sur serveur, par exemple My Documents, de manire transparente pour lutilisateur.

Logon/Logoff, Startup/Shutdown Scripts : scripts pouvant tre excuts au logon, au logoff de lutilisateur, et au startup ou shutdown de la machine.

Une GPO est un objet stock dans lAD. Quand elle est dapplication sur un objet,par exemple une OU, lobjet en question possde un pointeur vers la GPO (link).

84


85

Windows Server 2003 Successeur de Windows 2000 Mme concept au niveau de larchitecture

Active Directory (fort, arbre, domaine, OU) Quatre versions

Windows Server 2003, Standard Edition Windows Server 2003, Enterprise Edition Windows Server 2003, Data Center Edition Windows Server 2003, Web Edition

Windows Server 2003 Windows Server 2003, Standard Edition, is a reliable network operating system that delivers

business solutions quickly and easily. Its a great choice for small-business and departmental use. The Standard Edition supports file and printer sharing, offers secure Internet connectivity, and enables centralized desktop application deployment.

Windows Server 2003, Enterprise Edition, is built for the general-purpose needs of businesses of all sizes. Its an ideal platform for applications, Web services, and infrastructure, delivering high reliability, performance, and excellent business value. The Enterprise Edition is a full-function server operating system that supports up to eight processors, provides enterprise-class features such as eight-node clustering, and provides support for up to 32 GB of memory. Its available for Intel Itaniumbased computers and will soon be available for 64-bit computing platforms capable of supporting eight processors and 64 GB of memory.

Windows Server 2003, Datacenter Edition, is built for mission-critical applications that require the highest levels of scalability and availability. Microsoft believes that the Datacenter Edition is the most powerful and functional server operating system that the company has ever produced. It supports up to 32-way symmetric multiprocessing (SMP) and 64 GB of memory. It provides both eight-node clustering and load-balancing services as standard features. It will soon be available for 64-bit computing platforms capable of supporting 32 processors and 128 GB of memory.

Windows Server 2003, Web Edition, is a new addition to the Windows family of server operating systems. Microsoft provides the Web Edition for building and hosting Web applications, Web pages, and XML Web services. Microsoft designed it for use primarily as an Internet Information Services (IIS) 6.0 Web server. It provides a platform for rapidly developing and deploying XML Web services and applications that use ASP.NET technology, which is a key part of the .NET Framework.

86

Whats new in Windows Server 2003

Active Directory Dploiement et gestion simplifis Optimisation de la scurit Amlioration des performances et de la fiabilit Outil de migration de NT Windows 2000/2003

(ADMT) Possibilit de renommer un domaine Facilits pour modifier le schma GPMC : Group Policy Management Console Authentification inter-forts Rplication / caching amliore (! remote offices) etc. !


Services dapplication Support XML Framework .NET etc.

Clustering Clustering Services NLB : Networl Load Balancer

File and print services Support de WebDAV Rplication du DFS amliore Shadow Copy etc.

86


Active Directory Dploiement et gestion simplifis Optimisation de la scurit Amlioration des performances et de la fiabilit Outil de migration de NT Windows 2000/2003

(ADMT) Possibilit de renommer un domaine Facilits pour modifier le schma GPMC : Group Policy Management Console Authentification inter-forts Rplication / caching amliore (! remote offices) etc. !


Services dapplication Support XML Framework .NET etc.

Clustering Clustering Services NLB : Networl Load Balancer

File and print services Support de WebDAV Rplication du DFS amliore Shadow Copy etc.

87


IIS 6 Services de gestion

GPMC Nouveaux paramtres configurables par GPO Meilleure gestion des updates etc.

Rseau IPv6 PPPoE ICF : Internet Connection Firewall 802.1x etc.


Scurit IAS (serveur RADIUS) Scurit Wi-Fi Fonctions dencryption Installation par dfaut de Windows Server 2003

beacoup plus scurise Tout nest pas activ / ouvert par dfaut :-)

etc. Gestion du stockage Terminal Services etc.

87


IIS 6 Services de gestion

GPMC Nouveaux paramtres configurables par GPO Meilleure gestion des updates etc.

Rseau IPv6 PPPoE ICF : Internet Connection Firewall 802.1x etc.


Scurit IAS (serveur RADIUS) Scurit Wi-Fi Fonctions dencryption Installation par dfaut de Windows Server 2003

beacoup plus scurise Tout nest pas activ / ouvert par dfaut :-)

etc. Gestion du stockage Terminal Services etc.

40

Rfrences MCSE NT Server 4 Support and Maintenance

Study Guide (Exam 70-244), Matthew Sheltz and JamesChellis, Sybex, 2001

Windows NT 4 : The Complete Reference, Griffith Wm. Kadnier, McGraw-Hill / Osborne, 1997

Mmoire Rseaux multi-utilisateurs postes fixes , Alain Delava, U.L.B., 2001

Windows 2000 et Active Directory

Partie 3 - Chapitre 12

89

Rfrences Site web http://www.microsoft.com Windows 2000 Server Architecture and

Planning, Morten Strunge Nielsen (MCSE), 2nd Edition, The Coriolis Group, 2001

Technet Introducing Windows Server 2003, Jerry

Honeycutt, Microsoft Press, 2003. Mmoire Rseaux multi-utilisateurs

postes fixes , Alain Delava, U.L.B., 2001

ch7

Documents

windows server

windows nt nt

windows nt workstation

windows vista

windows millenium

windows xp

windows for workgroups

workstation nt