ch7
DESCRIPTION
YTRYRTTRANSCRIPT
-
CH7 Windows
Introduction
-
3Historique MS-DOS 1985 : Windows 1.0 1987 : Windows 2.0 1990 : Windows 3.0
Historique 1993 : Windows 3.1 1993 : Windows NT 3.1
1993 : Windows for Workgroups 3.11 1994 : Windows NT Workstation 3.5 1995 : Windows 95
3
Historique MS-DOS 1985 : Windows 1.0 1987 : Windows 2.0 1990 : Windows 3.0
Historique 1993 : Windows 3.1 1993 : Windows NT 3.1
1993 : Windows for Workgroups 3.11 1994 : Windows NT Workstation 3.5 1995 : Windows 95
-
4Historique 1996 : Windows NT 4.0 1998 : Windows 98 1999 : Windows 98 Second Edition 2000 : Windows Millenium 2000 : Windows 2000 2001 : Windows XP 2003 : Windows 2003 2006 : Windows Vista 2008 : Windows Server 2008
4
Historique 1996 : Windows NT 4.0 1998 : Windows 98 1999 : Windows 98 Second Edition 2000 : Windows Millenium 2000 : Windows 2000 2001 : Windows XP 2003 : Windows 2003 2006 : Windows Vista 2008 : Windows Server 2008
-
58
Windows NT NT est bas sur le projet MACH
Micro-kernel services de base restreint mais simple ! stable
+ serveurs travaillant en mode utilisateur memory server, display server, process server, file server,
network server 32 bits Les processus ont des espaces mmoires bien
spars permet davoir certain process en mode protg
-
9Windows NT 4 GUI mme interface que Windows 95 Scalability Modle client/serveur - deux versions
NT 4 workstation NT 4 server
Support support de beaucoup de hardware supporte OpenGL
-
9Windows NT 4 GUI mme interface que Windows 95 Scalability Modle client/serveur - deux versions
NT 4 workstation NT 4 server
Support support de beaucoup de hardware supporte OpenGL
-
10
Windows NT 4 Server Permet la mise en uvre dapplications ou
services client/serveur base de donnes, serveur de messagerie,
serveur de fichiers, dimpression File and print services inclus en standard
clients MS-DOS, Windows 3.1, Windows 95, Unix, OS/2, Macintosh
Supporte plusieurs protocoles NetBIOS sur TCP/IP, DLC, IPX
Windows NT 4 Server Autres capacits fournies en standard
serveur DHCP (NT 4 workstation possde un client DHCP intgr) Windows Internet Naming Service (WINS)
Base de donnes distribue des mappings nom !IP ; enregistrement dynamique, queries.
Data protection features disk striping, RAID 5, disk mirroring
Remote Access Server (RAS) Interface avec Novell Netware et Macintosh
10
Windows NT 4 Server Permet la mise en uvre dapplications ou
services client/serveur base de donnes, serveur de messagerie,
serveur de fichiers, dimpression File and print services inclus en standard
clients MS-DOS, Windows 3.1, Windows 95, Unix, OS/2, Macintosh
Supporte plusieurs protocoles NetBIOS sur TCP/IP, DLC, IPX
Windows NT 4 Server Autres capacits fournies en standard
serveur DHCP (NT 4 workstation possde un client DHCP intgr) Windows Internet Naming Service (WINS)
Base de donnes distribue des mappings nom !IP ; enregistrement dynamique, queries.
Data protection features disk striping, RAID 5, disk mirroring
Remote Access Server (RAS) Interface avec Novell Netware et Macintosh
-
11
Windows NT 4 Server Account lockout security
Protection contre les attaques sur les mots de passe
Administrative tools Server Manager User Manager User Manager for Domains
NT 4 server + BackOffice suite Microsoft BackOffice Suite pour Windows
NT 4 server : Systems Management Server (SMS) SQL server Exchange Server Internet Information Server (IIS) Distributed File System (DFS) Server Index Server
11
Windows NT 4 Server Account lockout security
Protection contre les attaques sur les mots de passe
Administrative tools Server Manager User Manager User Manager for Domains
NT 4 server + BackOffice suite Microsoft BackOffice Suite pour Windows
NT 4 server : Systems Management Server (SMS) SQL server Exchange Server Internet Information Server (IIS) Distributed File System (DFS) Server Index Server
-
12
Windows NT 4 Workstation Version pour stations de travail
Standalone Peer-to-peer networking (workgroup) Membre dun Domain
Mmes kernel et GUI que NT 4 Server Optimis en tant que client Fourni avec les outils dadministration de
la machine locale (user accounts, permissions)
13
-
16
Windows NT 4 en rseau Workgroup
aka the peer-to-peer model Partage de ressources Les machines se voient dans le
voisinage rseau Sur chaque machine qui possde des
ressources, prciser qui peut y accder Utilisateurs locaux Administration clate entre les diffrentes
machines
Workgroup
16
Windows NT 4 en rseau Workgroup
aka the peer-to-peer model Partage de ressources Les machines se voient dans le
voisinage rseau Sur chaque machine qui possde des
ressources, prciser qui peut y accder Utilisateurs locaux Administration clate entre les diffrentes
machines
Workgroup
-
17
Windows NT 4 en rseau Domain
Partage de ressources Administration centralise Une seule base de donnes (plate !) des user
accounts, groupes, stations NT, etc. SAM Security Accounts Manager
Notion de Domain Controllers 1 Primary Domain Controller PDC de 0 n Backup Domain Controllers BDC
Domain
17
Windows NT 4 en rseau Domain
Partage de ressources Administration centralise Une seule base de donnes (plate !) des user
accounts, groupes, stations NT, etc. SAM Security Accounts Manager
Notion de Domain Controllers 1 Primary Domain Controller PDC de 0 n Backup Domain Controllers BDC
Domain
-
18
NT 4 domains A logical (abstract) group, controlled by a server, to be joined by
individual computers needing access to the resources and security it provides.
A domain is a grouping of computers and users that eases administration of the computers and user accounts.
NT Server is required to create a domain. The NT Servers on your network will all share a common user account and security database, thus enabling each user to have a single account which is recognized on all servers in the domain.
Security policies such as how long passwords remain valid are also held in common by all servers in a domain. NT workstations can also be members of a domain; the benefit they derive is the ability to recognize user accounts that are created on the servers in the domain, but security policies on a workstation are always independent of the domain security policies.
NT 4 domains Le PDC contient la SAM qui est rplique sur les BDC Un utilisateur se loggue dans le domaine et
plus sur un serveur particulier Lauthentification se fait sur un des DC En cas de panne du PDC un BDC peut tre
promu Autre serveurs (non DC) : member servers Grands environnements : plusieurs domaines! possibilit de trusts entre domaines
19
Primary Domain Controller Le PDC contient la SAM pour tout le domaine La SAM ne peut tre modifie que sur un PDC
(read-only sur les BDC) Les outils dadministrations peuvent cependant tre
installes ailleurs (BDC) Premier serveur installer pour crer un
domaine Possde le SID du domaine
Rplication de la SAM vers les BDC par push (toutes les 5 minutes / aprs modif.)
Primary Domain Controller
-
19
Primary Domain Controller Le PDC contient la SAM pour tout le domaine La SAM ne peut tre modifie que sur un PDC
(read-only sur les BDC) Les outils dadministrations peuvent cependant tre
installes ailleurs (BDC) Premier serveur installer pour crer un
domaine Possde le SID du domaine
Rplication de la SAM vers les BDC par push (toutes les 5 minutes / aprs modif.)
Primary Domain Controller
20
Backup Domain Controller Le BDC contient une copie de la SAM
en read-only Optionnel, de 0 n BDC prsents pour
des questions de redondance dcharger le PDC pour les logon
authentication processes besoins de localit (ex.: domain tendu sur
plusieurs sites physiques ! un BDC par site) Mme domain SID sur tous les DC
Member servers NT 4 Server (tout comme le PDC et les BDC) Ne contiennent pas de copie de la SAM! pas de domain SID, mais un machine SID! pas utiliss pour lauthentification! ni pour la gestion du domaine
Rle : file server, print server, application server
Peuvent changer de domaine impossible pour un PDC ou BDC
-
20
Backup Domain Controller Le BDC contient une copie de la SAM
en read-only Optionnel, de 0 n BDC prsents pour
des questions de redondance dcharger le PDC pour les logon
authentication processes besoins de localit (ex.: domain tendu sur
plusieurs sites physiques ! un BDC par site) Mme domain SID sur tous les DC
Member servers NT 4 Server (tout comme le PDC et les BDC) Ne contiennent pas de copie de la SAM! pas de domain SID, mais un machine SID! pas utiliss pour lauthentification! ni pour la gestion du domaine
Rle : file server, print server, application server
Peuvent changer de domaine impossible pour un PDC ou BDC
21
Les trusts
-
21
Les trusts
22
Les trusts Quand il y a plusieurs domaines,
typiquement : un domaine avec des utilisateurs, groupes un domaine avec des ressources (file
servers, imprimantes) On va pouvoir tablir des trusts
les accounts du domaine trust seront ds lors utilisables pour laccs aux ressources du domaine trustant
Les trusts Les trusts de NT 4 sont unidirectionnels
-
22
Les trusts Quand il y a plusieurs domaines,
typiquement : un domaine avec des utilisateurs, groupes un domaine avec des ressources (file
servers, imprimantes) On va pouvoir tablir des trusts
les accounts du domaine trust seront ds lors utilisables pour laccs aux ressources du domaine trustant
Les trusts Les trusts de NT 4 sont unidirectionnels
23
Les trusts mais il suffit den faire un dans chaque
sens.
Les trusts Exemple
-
25
Les 4 modles de domaines NT
Microsoft dfinit 4 modles Single domain model Master domain model Multiple master domain model Complete trust domain model
Les 4 modles de domaines NT Un domaine =
Taille max. de la SAM dun domaine : 40 MB Environ 40.000 accounts/objects max.
Users, groups, NT member workstations... Points considrer :
Nombre daccounts Etendue gographique du domaine Manire dont seront dfinis les users et les
ressources
25
Les 4 modles de domaines NT
Microsoft dfinit 4 modles Single domain model Master domain model Multiple master domain model Complete trust domain model
Les 4 modles de domaines NT Un domaine =
Taille max. de la SAM dun domaine : 40 MB Environ 40.000 accounts/objects max.
Users, groups, NT member workstations... Points considrer :
Nombre daccounts Etendue gographique du domaine Manire dont seront dfinis les users et les
ressources
-
26
Single domain model
Les 4 modles de domaines NT Single domain model
Petit environnement rseau Simple grer
Pas de trusts grer Administration la plus centralise possible Point faible / bottleneck : lunique PDC si
beaucoup daccounts (! SAM large)
26
Single domain model
Les 4 modles de domaines NT Single domain model
Petit environnement rseau Simple grer
Pas de trusts grer Administration la plus centralise possible Point faible / bottleneck : lunique PDC si
beaucoup daccounts (! SAM large)
-
27
Master domain model
Les 4 modles de domaines NT Master domain model
Tous les accounts sont centraliss dans un master (i.e. accounts) domain!Gestion centralise des accounts
Ressources dcentralises avec gestion dcentralises
administrateurs locaux chaque domaine de ressources
Trusts unidirectionnels des domaines ressources vers le domaine master
27
Master domain model
Les 4 modles de domaines NT Master domain model
Tous les accounts sont centraliss dans un master (i.e. accounts) domain!Gestion centralise des accounts
Ressources dcentralises avec gestion dcentralises
administrateurs locaux chaque domaine de ressources
Trusts unidirectionnels des domaines ressources vers le domaine master
-
28
Multiple master domain model
Les 4 modles de domaines NT Multiple master domain model
Permet dviter la limite de 40.000 accounts prsente dans le (single) master domain model
Utile pour les environnements disperss gographiquement
Gestion plus complexe Trusts plus complexes et nombreux
28
Multiple master domain model
Les 4 modles de domaines NT Multiple master domain model
Permet dviter la limite de 40.000 accounts prsente dans le (single) master domain model
Utile pour les environnements disperss gographiquement
Gestion plus complexe Trusts plus complexes et nombreux
-
29
Complete trust domain model
Les 4 modles de domaines NT Complete trust domain model
Modle dcentralis Gestion des accounts et ressources diffrente pour
chaque domaine Complexe mettre en place (trusts) et grer Permet des security policies diffrentes (une
par domaine) ex.: contraintes sur les mots de passe
Typique dans les socits avec IT dcentralise (et sans coordination centrale)
viter
29
Complete trust domain model
Les 4 modles de domaines NT Complete trust domain model
Modle dcentralis Gestion des accounts et ressources diffrente pour
chaque domaine Complexe mettre en place (trusts) et grer Permet des security policies diffrentes (une
par domaine) ex.: contraintes sur les mots de passe
Typique dans les socits avec IT dcentralise (et sans coordination centrale)
viter
-
30
User accounts et groupes Les user accounts sont globaux au domaine
rsident sur le PDC (dans la SAM) un account dans un domaine permet de se logguer
sur nimporte quelle station du domaine pour grer les permissions et accs, on peut grouper
les accounts dans des groupes groupes globaux groupes locaux
Ne pas confondre avec les accounts locaux tre dans un domaine nempche pas la cration
daccounts et de groupes locaux (SAM locale vs SAM du domaine) (ex.: administrator du domaine ! administrator local dune station)
Deux sortes de groupes Groupes globaux
contiennent des user accounts dun mme domaine
peuvent tre utiliss dans de multiples domaines (ex. accs une ressource dun autre domaine) do le nom global
30
User accounts et groupes Les user accounts sont globaux au domaine
rsident sur le PDC (dans la SAM) un account dans un domaine permet de se logguer
sur nimporte quelle station du domaine pour grer les permissions et accs, on peut grouper
les accounts dans des groupes groupes globaux groupes locaux
Ne pas confondre avec les accounts locaux tre dans un domaine nempche pas la cration
daccounts et de groupes locaux (SAM locale vs SAM du domaine) (ex.: administrator du domaine ! administrator local dune station)
Deux sortes de groupes Groupes globaux
contiennent des user accounts dun mme domaine
peuvent tre utiliss dans de multiples domaines (ex. accs une ressource dun autre domaine) do le nom global
-
31
Deux sortes de groupes Groupes locaux
contiennent des comptes utilisateur et des groupes globaux
potentiellement extrieurs au domaine dans lequel le groupe local est dfini
si et seulement si il existe un trust vers les domaines de ces accounts et global groups
local = utilis pour les [permissions au niveau des] accs des ressources dans le domaine local
Gestion des utilisateurs Utilisateurs prdfinis :
administrator et guest Cration dun user :
31
Deux sortes de groupes Groupes locaux
contiennent des comptes utilisateur et des groupes globaux
potentiellement extrieurs au domaine dans lequel le groupe local est dfini
si et seulement si il existe un trust vers les domaines de ces accounts et global groups
local = utilis pour les [permissions au niveau des] accs des ressources dans le domaine local
Gestion des utilisateurs Utilisateurs prdfinis :
administrator et guest Cration dun user :
-
32
Gestion des utilisateurs Chaque utilisateur peut avoir
un profil, une home, un logon script
Gestion des utilisateurs Un profil (profile) utilisateur contient
prfrences utilisateur affichage, wallpaper, screensaver mappings imprimantes variables denvironnement bookmarks IE mailbox dOutlook Express
32
Gestion des utilisateurs Chaque utilisateur peut avoir
un profil, une home, un logon script
Gestion des utilisateurs Un profil (profile) utilisateur contient
prfrences utilisateur affichage, wallpaper, screensaver mappings imprimantes variables denvironnement bookmarks IE mailbox dOutlook Express
-
33
Gestion des utilisateurs Trois types de profiles
Local : local la machine (NT 4 Workstation) Roaming : stock sur serveur, ce profil suit
lutilisateur peu importe la station o il se loggue (copy in au logon et copy out au logoff)
Mandatory : profil local ou roaming mis en read-only par ladministrateur
modifications possibles par lutilisateur mais non sauves
Policies Policies : rgles appliques des user
accounts, des machines rgles sur les mots de passe protection de registry settings prfrences utilisateur limitation des accs au rseau
Il existe des templates
33
Gestion des utilisateurs Trois types de profiles
Local : local la machine (NT 4 Workstation) Roaming : stock sur serveur, ce profil suit
lutilisateur peu importe la station o il se loggue (copy in au logon et copy out au logoff)
Mandatory : profil local ou roaming mis en read-only par ladministrateur
modifications possibles par lutilisateur mais non sauves
Policies Policies : rgles appliques des user
accounts, des machines rgles sur les mots de passe protection de registry settings prfrences utilisateur limitation des accs au rseau
Il existe des templates
-
34
Policies
Policies
34
Policies
Policies
-
35
Fichiers et shares File system : NTFS
systme de permissions volu sur les fichiers et rpertoires chaque objet a un owner
Permissions NTFS
35
Fichiers et shares File system : NTFS
systme de permissions volu sur les fichiers et rpertoires chaque objet a un owner
Permissions NTFS
-
36
Fichiers et shares Share = partage dun rpertoire
(et de ses sous-rpertoires et fichier) UNC : \\SERVER\SHARE Permissions NTFS + permissions du share
NT 4 et RAID RAID = Redundant Array of Inexpensive Disks RAID software implment sous NT 4
(version Server) : RAID 0, 1 et 5
39
Dploiement Installation automatise de lOS
NT 4 unattended installation installation automatise par des scripts
sysprep + outils commerciaux : Ghost Dploiement dapplications
sysdiff outils commerciaux : SMS
Backup Utilitaire ntbackup Modes de sauvegarde :
normal copy incremental differential daily
copy copies all selected files and does not clear the archive attributes. Does not affect other backup operations, useful between normal and incremental backups. daily copies all selected files that have been modified that day. The archive attribute is not cleared. differential copies files created or changed since the last normal or incremental. Does not clear the archive attribute. Restoration requires the last normal AND differential. incremental copies files created or changed since the last normal or incremental. The archive attribute is cleared. Restoration requires the last normal AND ALL incrementals made since the last normal. normal copies all selected files and clears the archive attribute on each file. You only need the most recent copy to restore all the files. Usually the first backup set created.
-
41
42
-
43
44
Introduction Nom initialement prvu : Windows NT 5 Cf. NT 4 nous ne prsenterons que les
nouveauts introduites par Windows 2000 dans ce chapitre
Changement majeur : introduction de lActive Directory service dannuaire compatible LDAP
4 versions diffrentes
-
45
Introduction Windows 2000 Professional
pour les workstations max. 2 CPU, max. 4 GB RAM, pas de clustering, pas
de Terminal Server Windows 2000 Server
max. 4 CPU, max. 4 GB RAM, clustering max. 2 nodes, Terminal Services
Windows 2000 Advanced Server (8 CPU, 8 GB) Windows 2000 Data Center (32 CPU, 64 GB, 4
nodes)
Positionnement Windows 2000 Server pour :
File/Print/Web services Application services Infrastructure services Communications services
Windows 2000 Professional : Corporate desktops Mobile/laptop systems
45
Introduction Windows 2000 Professional
pour les workstations max. 2 CPU, max. 4 GB RAM, pas de clustering, pas
de Terminal Server Windows 2000 Server
max. 4 CPU, max. 4 GB RAM, clustering max. 2 nodes, Terminal Services
Windows 2000 Advanced Server (8 CPU, 8 GB) Windows 2000 Data Center (32 CPU, 64 GB, 4
nodes)
Positionnement Windows 2000 Server pour :
File/Print/Web services Application services Infrastructure services Communications services
Windows 2000 Professional : Corporate desktops Mobile/laptop systems
-
46
Nouveauts En rsum,
plus rapide moins de redmarrages ! plus de fonctionnalits plus robuste plus scalable
Principales nouveauts
Ct serveur Active Directory Dynamic DNS Distributed File System (DFS) QoS IPSec Group Policy Objects (GPO) IIS, Certificate Services, WMI
46
Nouveauts En rsum,
plus rapide moins de redmarrages ! plus de fonctionnalits plus robuste plus scalable
Principales nouveauts
Ct serveur Active Directory Dynamic DNS Distributed File System (DFS) QoS IPSec Group Policy Objects (GPO) IIS, Certificate Services, WMI
-
47
Principales nouveauts
Ct client Support dActive Directory MMC Microsoft Management Console Internet Explorer 5 DirectX WSH Windows Scripting Host FAT32, NTFS5, UDF Windows Installer, Plug and Play, USB, WDM, AGP
Nouveauts : file service NTFS version 5 Support de quotas
assez limit : par user par volume Distributed File System (DFS)
arborescence virtuelle des fichiers et rpertoires partags, masquant leur localisation physique relle sur diffrents serveurs/shares
EFS
47
Principales nouveauts
Ct client Support dActive Directory MMC Microsoft Management Console Internet Explorer 5 DirectX WSH Windows Scripting Host FAT32, NTFS5, UDF Windows Installer, Plug and Play, USB, WDM, AGP
Nouveauts : file service NTFS version 5 Support de quotas
assez limit : par user par volume Distributed File System (DFS)
arborescence virtuelle des fichiers et rpertoires partags, masquant leur localisation physique relle sur diffrents serveurs/shares
EFS
-
48
Nouveauts : file service Distributed Link Tracking
permet de retrouver la trace dun fichier dplac
Indexing service systme dindexation pour acclrer les
recherches (locales ou travers le rseau) Gestion des disques et partitions
basic disks vs dynamic disks Montages la Unix
Architecture Notion de domaines NT4 PDC, BDC ! notion unique de Domain
Controllers (tous quivalents) Mode natif
serveurs et wokstations en version 2000 Mode mixte
certaines stations sont encore NT 4, voire 9x, certains serveurs ventuellement NT 4
certains serveurs 2000 agissent en tant que serveurs NTLM
fonctionnalits limits (pas de GPO, RIS, Kerberos)
48
Nouveauts : file service Distributed Link Tracking
permet de retrouver la trace dun fichier dplac
Indexing service systme dindexation pour acclrer les
recherches (locales ou travers le rseau) Gestion des disques et partitions
basic disks vs dynamic disks Montages la Unix
Architecture Notion de domaines NT4 PDC, BDC ! notion unique de Domain
Controllers (tous quivalents) Mode natif
serveurs et wokstations en version 2000 Mode mixte
certaines stations sont encore NT 4, voire 9x, certains serveurs ventuellement NT 4
certains serveurs 2000 agissent en tant que serveurs NTLM
fonctionnalits limits (pas de GPO, RIS, Kerberos)
-
49
Active Directory Directory Service arborescent (! SAM de
NT4) compatible LDAP v3 Organis en
Forts, arbres, domaines, OUs
49
Active Directory Directory Service arborescent (! SAM de
NT4) compatible LDAP v3 Organis en
Forts, arbres, domaines, OUs
-
50
Active Directory Active Directory : service d'annuaire central Scurit, distribution, partionnement, rplication Point de consolidation (accounts, groupes,
machines, ...) Annuaire (recherche d'objets) Conu pour des environnements de toutes
tailles du simple serveur avec quelques centaines d'objets quelques milliers de serveurs et millions d'objets
Active Directory Concepts habituels
objets, attributs containers (OU) structure arborescente namespace
50
Active Directory Active Directory : service d'annuaire central Scurit, distribution, partionnement, rplication Point de consolidation (accounts, groupes,
machines, ...) Annuaire (recherche d'objets) Conu pour des environnements de toutes
tailles du simple serveur avec quelques centaines d'objets quelques milliers de serveurs et millions d'objets
Active Directory Concepts habituels
objets, attributs containers (OU) structure arborescente namespace
-
51
Active Directory Domaines :
entit de base de lAD entit autonome pour la scurit politique
de scurit commune user accounts, administrateurs, contrle daccs
organis en Organizational Units (OU) contient des objets (users, workstations,
printers, ressources) partitionnement logique un domaine peut
tre rparti sur plusieurs sites physiques
Active Directory Domaines (suite) :
plusieurs Domain Controllers (DC) rplication multi-master
modifications auprs de nimporte quel DC plus de notion de PDC (read/write) et BDC (read)
AD supporte plusieurs domaines organiss en arbres (trees), eux-mmes organiss
en forts (forests)
51
Active Directory Domaines :
entit de base de lAD entit autonome pour la scurit politique
de scurit commune user accounts, administrateurs, contrle daccs
organis en Organizational Units (OU) contient des objets (users, workstations,
printers, ressources) partitionnement logique un domaine peut
tre rparti sur plusieurs sites physiques
Active Directory Domaines (suite) :
plusieurs Domain Controllers (DC) rplication multi-master
modifications auprs de nimporte quel DC plus de notion de PDC (read/write) et BDC (read)
AD supporte plusieurs domaines organiss en arbres (trees), eux-mmes organiss
en forts (forests)
-
52
Active Directory Domaines (suite) :
Organisational Units seul container LDAP support dans lAD partitionnement logique dun domaine contiennent les feuilles (users, computers) entit de dlgation des droits dadministration
Sites dcoupe gographique sur base des subnets IP utile pour
utiliser le DC le plus proche optimiser les rplications
Organisation logique (domaines, OUs) vs gographique (sites)
52
Active Directory Domaines (suite) :
Organisational Units seul container LDAP support dans lAD partitionnement logique dun domaine contiennent les feuilles (users, computers) entit de dlgation des droits dadministration
Sites dcoupe gographique sur base des subnets IP utile pour
utiliser le DC le plus proche optimiser les rplications
Organisation logique (domaines, OUs) vs gographique (sites)
-
53
Rplication entre sites
Active Directory Tree
domaines organiss de manire hirarchique partageant un mme schma formant un namespace continu trusts bidirectionnels et transitifs entre
domaines du mme arbre Global Catalog commun
53
Rplication entre sites
Active Directory Tree
domaines organiss de manire hirarchique partageant un mme schma formant un namespace continu trusts bidirectionnels et transitifs entre
domaines du mme arbre Global Catalog commun
-
54
Active Directory Tree
Active Directory Forest
ensemble darbres nayant pas un namespace commun (pas de racine commune)
54
Active Directory Tree
Active Directory Forest
ensemble darbres nayant pas un namespace commun (pas de racine commune)
-
55
Active Directory Forest
schma commun tous les arbres et domaines
Global Catalog commun trusts bidirectionnels entre arbres
Bref, Forest ~= Tree lexception du nommage disjoint
Active Directory Le Global Catalog
Contient tous les objets de tous les domaines de lannuaire, et un sous-ensemble des attributs de ces objets
Utilis pour les recherches dans lannuaire pour viter davoir suivre des referrals vers
diffrents domaines lors de recherches travers la fort
Une copie du GC dans chaque domaine (sur un des DC du domaine)
55
Active Directory Forest
schma commun tous les arbres et domaines
Global Catalog commun trusts bidirectionnels entre arbres
Bref, Forest ~= Tree lexception du nommage disjoint
Active Directory Le Global Catalog
Contient tous les objets de tous les domaines de lannuaire, et un sous-ensemble des attributs de ces objets
Utilis pour les recherches dans lannuaire pour viter davoir suivre des referrals vers
diffrents domaines lors de recherches travers la fort
Une copie du GC dans chaque domaine (sur un des DC du domaine)
-
56
Active Directory Autres key features de lAD
Intgration complte avec le D-DNS pour le nommage et la localisation les noms de Domaines correspondent des noms
DNS sampledom.company.com
Authentification via Kerberos 5 Accessible en LDAP Rplication
Intgration AD DNS
56
Active Directory Autres key features de lAD
Intgration complte avec le D-DNS pour le nommage et la localisation les noms de Domaines correspondent des noms
DNS sampledom.company.com
Authentification via Kerberos 5 Accessible en LDAP Rplication
Intgration AD DNS
-
57
Nommage LDAP et DNS
Recherche dans un Active Directory dune entre sur base de son email :
[delavaa@TW020998 delavaa]$ ldapsearch -d 0 -v -x -W -H ldap://dc.windomain.company.be -b "dc=windomain,dc=company,dc=be" -D "cn=queryuser,ou=Key managers,dc=windomain,dc=company,dc=be" [email protected]
ldap_initialize( ldap://dc.windomain.company.be )Enter LDAP Password:filter: [email protected]: ALLversion: 2## filter: [email protected]# requesting: ALL## Delava Alain, Users, Trasys, windomain, company, bedn: CN=Delava Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=beobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: usercn: Delava Alain !!!!
57
Nommage LDAP et DNS
Recherche dans un Active Directory dune entre sur base de son email :
[delavaa@TW020998 delavaa]$ ldapsearch -d 0 -v -x -W -H ldap://dc.windomain.company.be -b "dc=windomain,dc=company,dc=be" -D "cn=queryuser,ou=Key managers,dc=windomain,dc=company,dc=be" [email protected]
ldap_initialize( ldap://dc.windomain.company.be )Enter LDAP Password:filter: [email protected]: ALLversion: 2## filter: [email protected]# requesting: ALL## Delava Alain, Users, Trasys, windomain, company, bedn: CN=Delava Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=beobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: usercn: Delava Alain !!!!
-
59
Agenda Outils dadministration Gestion des utilisateurs et groupes Group Policies Objects Dynamic DNS DHCP Terminal Services Gestion des disques Windows 2003
Outils dadministration MMC : Microsoft Management Console
Permet douvrir, crer, sauver les outils dadministration (appels MMC consoles ou MMC snap-ins )
La MMC ne permet pas deffectuer des actions dadministration : elle accueille des outils prvus pour cela
Peut tre excute sur un DC comme sur une station du domaine
60
MMC
MMC
-
60
MMC
MMC
61
MMC snap-ins Active Directory Users and Computers
Gestion de lAD : OUs, users, computers Active Directory Domains and Trusts
Gestion des trusts Active Directory Sites and Services
Gestion des sites (gographiques / subnets IP) DHCP DNS
MMC snap-ins WINS Group Policy Management Distributed File System Computer Management
-
61
MMC snap-ins Active Directory Users and Computers
Gestion de lAD : OUs, users, computers Active Directory Domains and Trusts
Gestion des trusts Active Directory Sites and Services
Gestion des sites (gographiques / subnets IP) DHCP DNS
MMC snap-ins WINS Group Policy Management Distributed File System Computer Management
65
Agenda Outils dadministration Gestion des utilisateurs et groupes Group Policies Objects Dynamic DNS DHCP Terminal Services Gestion des disques Windows 2003
Users and groups Les OUs ne sont pas des groupes
Permettent de grouper des users et des computers pour
Ladministration dlgue Lapplication de GPO (Policies)
Mais pas pour grer les permissions et lesdroits
! notion de groupes (groups), (similaire NT 4)
-
66
Users and groups : thorie (1/9) Rights vs Permissions
Rights (droits) : donne la possibilit des utilisateurs deffectuer des tches systme
par exemple : changer lheure sur un PC, grer une zone DNS
Permissions : rgles rgulant la manire dont les utilisateurs peuvent utiliser / accder une ressource
par exemple : un folder, un fichier, une imprimante
Users and groups : thorie (2/9) SID Security IDentifier
Nombre unique gnr la cration de laccount, du groupe, de la machine
Premire partie du SID : identifie le domaine Second partie : Relative SID = RID : identifie lobjet
(account)
70
Users and groups : thorie (9/9) Comment a marche ?
Lorsque le user veut accder un objet, Windows va voir si un des SID de l access token du user est dans lACL de lobjet
si il est dans un ACE de type AccessAllowed (et dans aucun AccessDenied), lutilisateur a accs lobjet (de la manire dcrite dans lACE)
Les groupes
-
71
Rappel : NT4 - Deux sortes de groupes
Groupes globaux contiennent des user accounts dun mme
domaine peuvent tre utiliss dans de multiples
domaines (ex. accs une ressource dun autre domaine) do le nom global
Rappel : NT4 - Deux sortes de groupes
Groupes locaux contiennent des comptes utilisateur et des
groupes globaux potentiellement extrieurs au domaine dans
lequel le groupe local est dfini si et seulement si il existe un trust vers les
domaines de ces accounts et global groups local = utilis pour les [permissions au niveau
des] accs des ressources dans le domaine local
71
Rappel : NT4 - Deux sortes de groupes
Groupes globaux contiennent des user accounts dun mme
domaine peuvent tre utiliss dans de multiples
domaines (ex. accs une ressource dun autre domaine) do le nom global
Rappel : NT4 - Deux sortes de groupes
Groupes locaux contiennent des comptes utilisateur et des
groupes globaux potentiellement extrieurs au domaine dans
lequel le groupe local est dfini si et seulement si il existe un trust vers les
domaines de ces accounts et global groups local = utilis pour les [permissions au niveau
des] accs des ressources dans le domaine local
-
72
Les groupes Nouveauts de Windows 2000
Le concept de Universal Group Limbrication de groupes Lutilisation de groupes comme distribution
lists (en combinaison avec MS Exchange ou autre application de messagerie AD-enabled )
Les groupes peuvent contenir des membres non lis la scurit (important quand un groupe est utilis la fois pour la scurit et une distribution list)
Possibilit davoir des groupes distribution list only, pas utilisables pour la scurit (permissions/droits)
Les groupes : 3 types 3 types de
groupes
72
Les groupes Nouveauts de Windows 2000
Le concept de Universal Group Limbrication de groupes Lutilisation de groupes comme distribution
lists (en combinaison avec MS Exchange ou autre application de messagerie AD-enabled )
Les groupes peuvent contenir des membres non lis la scurit (important quand un groupe est utilis la fois pour la scurit et une distribution list)
Possibilit davoir des groupes distribution list only, pas utilisables pour la scurit (permissions/droits)
Les groupes : 3 types 3 types de
groupes
-
73
Les groupes : 3 types Universal Group The simplest form of group; can appear in ACLs
anywhere in the forest and can contain other Universal Groups, Global Groups, and users from anywhere in the forest. Small installations can use Universal Groups exclusively and avoid dealing with Global and Local Groups. A Universal Group and its members appear in the Global Catalog (GC). Universal Groups are applicable only to native mode domains.
Global Group Can appear on ACLs anywhere in the forest. It can contain users and other Global Groups (this nesting of Global Groups is only available when the domain is running in native mode) only from the domain in which the Global Group exists. So, except for the option of nesting groups, it is exactly the same as an NT 4 Global Group. Global Group names appear in the GC, but their members still are assigned to the domain.
Domain Local Group Can be used on ACLs only at servers in its own domain; can contain Domain Local Groups from the domain in question as well as users, Global Groups, and Universal Groups from any domain in the forest. Thus, except for the introduction of Universal Groups and the option of nesting groups, it is exactly the same as an NT 4 Local Domain Group. Domain Local Groups are valid only in the domain in which they are defined, and thus dont appear in the GC at all.
Les groupes : 2 variantes
74
Dmonstration 3 Cration dun groupe Illustration des permissions
-
75
Agenda Outils dadministration Gestion des utilisateurs et groupes Group Policies Objects Dynamic DNS DHCP Terminal Services Gestion des disques Windows 2003
Group Policies Objects Avec la dlgation de droits dadministration, les
GPO sont un des plus grands avantages de lAD (pour ladministrateur systme)
Comme en NT 4, il sagit dappliquer automatiquement un ensemble de rgles ou proprits des machines et des utilisateurs
Une GPO peut tre applique diffrents niveaux : Site, Domaine, OU (SDOU)
Hritage (sous-OUs) et possibilit de blocage (via les security groups)
76
GPO vs Profile - dfinitions Profile A collection of user environment
settings that the user is at liberty to change. Profiles may or may not follow the user if he chooses to log in to another computer, and their settings are stored in many locations, including the Registry, Desktop, Profiles directory, My Documents, and so forth.
Group Policy A collection of user environment settings, specified by the administrator. A Group Policy is stored in a central location and always affects the users or computers covered by the policy.
GPO categories Software Installation : les administrateurs ont la
possibilit dassigner slectivement et de publier des applications sur des workstations Application Assignment : permet dupgrader ou supprimer des
applications automatiquement sur des workstations Application Publishing : lapplication apparat dans la liste des
composants quun utilisateur peut installer sur sa station via Add/Remove Programs dans le Control Panel. Ces applications peuvent aussi tre installes la premire utilisation
Security Settings : permet de restreindre laccs certains fichiers, folders, cls de registry, servicePermet aussi de grer certain settings des stations
-
76
GPO vs Profile - dfinitions Profile A collection of user environment
settings that the user is at liberty to change. Profiles may or may not follow the user if he chooses to log in to another computer, and their settings are stored in many locations, including the Registry, Desktop, Profiles directory, My Documents, and so forth.
Group Policy A collection of user environment settings, specified by the administrator. A Group Policy is stored in a central location and always affects the users or computers covered by the policy.
GPO categories Software Installation : les administrateurs ont la
possibilit dassigner slectivement et de publier des applications sur des workstations Application Assignment : permet dupgrader ou supprimer des
applications automatiquement sur des workstations Application Publishing : lapplication apparat dans la liste des
composants quun utilisateur peut installer sur sa station via Add/Remove Programs dans le Control Panel. Ces applications peuvent aussi tre installes la premire utilisation
Security Settings : permet de restreindre laccs certains fichiers, folders, cls de registry, servicePermet aussi de grer certain settings des stations
77
GPO categories Administrative Templates : Rminiscence des
templates pour les System Policies de NT 4. Permet aux administrateurs de customiser certain Registry settings (desktop settings, application settings). En dautres mots, les settings inscrits dans les sous-arbres HKEY_LOCAL_MACHINE (HKLM) et HKEY_CURRENT_USER (HKCU) de la registry.
Folder Redirection : utilise pour le roaming, cette fonction permet de rediriger des folders locaux vers un espace sur serveur, par exemple My Documents, de manire transparente pour lutilisateur.
Logon/Logoff, Startup/Shutdown Scripts : scripts pouvant tre excuts au logon, au logoff de lutilisateur, et au startup ou shutdown de la machine.
Une GPO est un objet stock dans lAD. Quand elle est dapplication sur un objet,par exemple une OU, lobjet en question possde un pointeur vers la GPO (link).
-
84
Agenda Outils dadministration Gestion des utilisateurs et groupes Group Policies Objects Dynamic DNS DHCP Terminal Services Gestion des disques Windows 2003
85
Windows Server 2003 Successeur de Windows 2000 Mme concept au niveau de larchitecture
Active Directory (fort, arbre, domaine, OU) Quatre versions
Windows Server 2003, Standard Edition Windows Server 2003, Enterprise Edition Windows Server 2003, Data Center Edition Windows Server 2003, Web Edition
Windows Server 2003 Windows Server 2003, Standard Edition, is a reliable network operating system that delivers
business solutions quickly and easily. Its a great choice for small-business and departmental use. The Standard Edition supports file and printer sharing, offers secure Internet connectivity, and enables centralized desktop application deployment.
Windows Server 2003, Enterprise Edition, is built for the general-purpose needs of businesses of all sizes. Its an ideal platform for applications, Web services, and infrastructure, delivering high reliability, performance, and excellent business value. The Enterprise Edition is a full-function server operating system that supports up to eight processors, provides enterprise-class features such as eight-node clustering, and provides support for up to 32 GB of memory. Its available for Intel Itaniumbased computers and will soon be available for 64-bit computing platforms capable of supporting eight processors and 64 GB of memory.
Windows Server 2003, Datacenter Edition, is built for mission-critical applications that require the highest levels of scalability and availability. Microsoft believes that the Datacenter Edition is the most powerful and functional server operating system that the company has ever produced. It supports up to 32-way symmetric multiprocessing (SMP) and 64 GB of memory. It provides both eight-node clustering and load-balancing services as standard features. It will soon be available for 64-bit computing platforms capable of supporting 32 processors and 128 GB of memory.
Windows Server 2003, Web Edition, is a new addition to the Windows family of server operating systems. Microsoft provides the Web Edition for building and hosting Web applications, Web pages, and XML Web services. Microsoft designed it for use primarily as an Internet Information Services (IIS) 6.0 Web server. It provides a platform for rapidly developing and deploying XML Web services and applications that use ASP.NET technology, which is a key part of the .NET Framework.
-
86
Whats new in Windows Server 2003
Active Directory Dploiement et gestion simplifis Optimisation de la scurit Amlioration des performances et de la fiabilit Outil de migration de NT Windows 2000/2003
(ADMT) Possibilit de renommer un domaine Facilits pour modifier le schma GPMC : Group Policy Management Console Authentification inter-forts Rplication / caching amliore (! remote offices) etc. !
Whats new in Windows Server 2003
Services dapplication Support XML Framework .NET etc.
Clustering Clustering Services NLB : Networl Load Balancer
File and print services Support de WebDAV Rplication du DFS amliore Shadow Copy etc.
86
Whats new in Windows Server 2003
Active Directory Dploiement et gestion simplifis Optimisation de la scurit Amlioration des performances et de la fiabilit Outil de migration de NT Windows 2000/2003
(ADMT) Possibilit de renommer un domaine Facilits pour modifier le schma GPMC : Group Policy Management Console Authentification inter-forts Rplication / caching amliore (! remote offices) etc. !
Whats new in Windows Server 2003
Services dapplication Support XML Framework .NET etc.
Clustering Clustering Services NLB : Networl Load Balancer
File and print services Support de WebDAV Rplication du DFS amliore Shadow Copy etc.
-
87
Whats new in Windows Server 2003
IIS 6 Services de gestion
GPMC Nouveaux paramtres configurables par GPO Meilleure gestion des updates etc.
Rseau IPv6 PPPoE ICF : Internet Connection Firewall 802.1x etc.
Whats new in Windows Server 2003
Scurit IAS (serveur RADIUS) Scurit Wi-Fi Fonctions dencryption Installation par dfaut de Windows Server 2003
beacoup plus scurise Tout nest pas activ / ouvert par dfaut :-)
etc. Gestion du stockage Terminal Services etc.
87
Whats new in Windows Server 2003
IIS 6 Services de gestion
GPMC Nouveaux paramtres configurables par GPO Meilleure gestion des updates etc.
Rseau IPv6 PPPoE ICF : Internet Connection Firewall 802.1x etc.
Whats new in Windows Server 2003
Scurit IAS (serveur RADIUS) Scurit Wi-Fi Fonctions dencryption Installation par dfaut de Windows Server 2003
beacoup plus scurise Tout nest pas activ / ouvert par dfaut :-)
etc. Gestion du stockage Terminal Services etc.
-
40
Rfrences MCSE NT Server 4 Support and Maintenance
Study Guide (Exam 70-244), Matthew Sheltz and JamesChellis, Sybex, 2001
Windows NT 4 : The Complete Reference, Griffith Wm. Kadnier, McGraw-Hill / Osborne, 1997
Mmoire Rseaux multi-utilisateurs postes fixes , Alain Delava, U.L.B., 2001
Windows 2000 et Active Directory
Partie 3 - Chapitre 12
89
Rfrences Site web http://www.microsoft.com Windows 2000 Server Architecture and
Planning, Morten Strunge Nielsen (MCSE), 2nd Edition, The Coriolis Group, 2001
Technet Introducing Windows Server 2003, Jerry
Honeycutt, Microsoft Press, 2003. Mmoire Rseaux multi-utilisateurs
postes fixes , Alain Delava, U.L.B., 2001