{{{Qu’est ce que MMC}}}

MMC = Microsoft Management Console

Pour faire simple, il s’agit de la console d’administration de windows. Il s’agit la d’un outils souple et entièrement configurable.

Ainsi, il est possible de rassembler les seuls outils nécéssaires aux services tournant sur le serveur.
Il est également possible de déléguer des tâches d’administration à des utilisateurs ou à des groupes, ce qui peut s’avérer utile.

Pour l’installation des outils d’administration, il faut passer par :

{{ajout suppression de programme => ajouter des nouveaux programmes => CDrom ou disquette => adminpack.msi*}}

*Il se trouve dans le rep i386 du cd d’install

<doc108|center>

Les programmes fraichement installés se trouvent dans le repértoire %systemroot%/system32

{{{Personalisation des Outils}}}

Le principe est simple :
– Il s’agit de créer ses propres consoles à partir d’une console vierge.
– Nous ajouterons uniquement les outils d’administration dont nous aurons besoin.

Pour simplifier, la console d’administration de windows n’est qu’un contenant prêt à accueillir les outils d’aministration de windows.

On ajoute des composantes enfichables ou snapins (composant de gestion ) qui se trouve dans les outils d’administration.

{{Démarrarer => executer => mmc.exe}}

<doc111|center>

Il est également possible de personnaliser l’interface et ainsi supprimer la barre des taches, ou les menus par exemple.

Il suffit pour ça d’aller dans :
{{Affichage => personnaliser}}

<doc112|center>

Passons maintenant à l’ajout de composants d’aministration.

—–

Pour l’exercice, nous allons considérer que nous avons un {{serveur web}} et un {{serveur DNS}}.

Il faut aussi que les serveurs IIS et DNS soient installés.

Il nous faudra également un utilisateur {{toto}} ayant les droits d’administration sur le serveur DNS.

cf article sur l’installation d’IIS et du DNS ainsi que la gestion d’utilisateur (tout ça à venir…

—–

Nous allons donc faire une console personnalisée regroupant ces 2 services :

{{Menu Console => Ajouter/Supprimer un composant logiciel}} puis cliquez sur {{ajouter}} situé en bas à gauche.

<doc110|center>

Sélectionnez ensuite les services {{DNS}} et {{Service Internet IIS}}.

<doc113|center>

Vous n’avez plus qu’à enregistrer votre console et vous pouvez maintenant gérer les services sélectionnés à partir de cette console.

{{{Les différents modes :}}}

Pour finir, nous allons déléguer la gestion du {{serveur DNS}} à l’utilisateur {{toto}} préalablement créer et ayant le droit d’administrer le serveur DNS. Dans le cas contraire, il ne pourra modifier et configurer des DNS.

Donc un premier temps, il faut créer l’utilisateur {{toto}} (cf article sur la gestion des utilisateurs qui est a venir…).

Ensuite il suffit de faire un clique droit sur DNS => Nouvelle fenêtre à partir d’ici.

<doc114|center>

Une nouvelle console apparait contenant avec uniquement le service DNS.

Il ne reste plus qu’a empécher l’utilisateur de modifier la console, de l’enregistrer et de donner les {{droits de lecture}} à l’ utilisateur {{toto}}.

Pour empêcher l’utilisateur de modifier la console, aller dans le menu {{console => option}}.

Il faut sélectionner ici {{Mode utilisateur – accès limité fenêtre multiple}}

<doc115|center>

Voici précisément la signification des 4 choix possibles :

{{Mode auteur}} : Accès total à la console pour le propriétaire. Les autres utilisateurs n’y ont pas accès
{{Mode utilisateur – accès total}} : Accès total pour l’utilsateur, il peut la modifier
{{Mode utilisateur – accès limité,fenêtre Multiple}} : l’utilisateur ne peut modifier la console
{{mode utilisateur – accès limité,fenêtre Unique}} : idem que Mode utilisateur – accès limité,fenêtre Multiple.

Enregistrez votre console dans un répertoire accèssible à l’utilisateur. Sachez également que vous pouvez lui envoyer par mail ;).

Pour finir, donnez lui les droits de lecture en faisant un {{clique droit => propriété => Sécurité => Ajouter}} puis sélectionnez l’utilisateur {{toto}} et validez.

—–

Bien sur tout ceci est à titre d’exemple et pour que l’utilisateur toto puisse modifier les enregistrement DNS, il faudrait lui donner les droit qui vont bien sur le serveur DNS. Un article sera bientôt publié à ce sujet.

—–

—-
{{{Plan}}}

{{I Qu’est ce que le registre ?
II Les divers éditeurs de registre
III Structure de la base de registre}}

—-

{{{I Qu’est ce que le registre ?}}}

À l’origine, les windows antérieurs aux 16 bit utilisaient des fichiers textes pour stocker les paramètres du système. Ces fichiers possèdait l’extension .ini (par ex win.ini, system.ini) et l’administrateur devait modifier ces fichiers à la main lorsqu’il ne pouvait le faire via le panneau de configuration.

Depuis les windows 32 bits (NT,3.x,95…), tous les paramètres sont réunis dans une seule base de donnée appelé le {{registre}}.

Le registre est donc une base de donnée contenant tout les paramètres de configuration du systéme.

Il s’agit aussi bien de la configuration du système d’exploitation que la configuration matériel, software, et utilisateur.

Cela se présente sous forme de clé prenant des valeurs hexadecimales ou décimales selon la p’tite case cochée.

{{{II Les divers éditeurs de registre}}}

Deux utilitaires existent par defaut sous windows 2000 :

– {{regedit}} : cet éditeurs est hérité directement de windows 95. De part ce fait, il ne dispose pas de fonctionnalités de sécurités qui étaient intégrer à NT/2000.
– {{regedt32}} : cet éditeur permet également de modifier les différentes clé. Il est apparu avec windows NT 3.1. Il permet entre autres à un administrateur d’interdire et d’enregistrer les accès aux paramètres du registre.

D’autres utilitaires existent. je les testes et ceux que j etrouve pas mal seront listé ici.

{{{III Structure de la base de registre}}}

Comme vous pouvez le constater, la base de registre est organisée sous forme d’arbres et de sous arbres.

À première vu ça à l’air opaque, alors tachons de débrousailler un peu tout ça afin d’y voir plus clair

Le registre est divisé en 5 arborescences appelés {{ruche}} :

– {{HKEY_CLASSES_ROOT}}: informations relative aux associations de fichiers et à la gestion des OLE.
– {{HKEY_CURRENT_USER}}: profil utilisateur de l’utilisateur courant.
– {{HKEY_USERS}} : configuration de l’environnement de l’utilisateur.
– {{HKEY_CURRENT_CONFIG}} : information sur la configuration matériel courant.
– {{HKEY_LOCAL_MACHINE}} : configuration logicielle et matériel du système.

HKEY-CLASSES-ROOT, HKEY-CURRENT-CONFIG sont des liens symboliques (ou raccourci) :

HKEY-CLASSES-ROOT => HKEY_LOCAL_MACHINE/Software/Classes

HKEY-CURRENT-CONFIG => HKEY_LOCAL_MACHINE/System/currentcontrolset/hardwareProfil/le_user/

{{Décomposition du HKEY_LOCAL_MACHINE}}

Il est composé de 5 branches :

– Hardware = périphériques
– SAM = base des comptes
– Security = sécurité du system
– Software = logiciels
– System = Système d’eploitation (OS)

Chaque branche comprend des sous-branches qui contiennent des clés qui ont une sous-clé comme valeurs. C’est cette sous-clé qui est à modifier par une valeur binaire, décimal ou hexadecimal.

Chaque clé possède un type.
Voici les différents types que peut prendre une clé :

-{{REG_BINARY}} : Données binaires brutes. La plupart des informations sur les composants matériels sont enregistrées sous cette forme.
-{{REG_DWORD}} : Données représentées par un nombre long de 4 octets (un entier 32 bits). De nombreux paramètres de pilotes de périphériques et de services sont de ce type. Les valeurs connexes sont DWORD_LITTLE_ENDIAN (l’octet le moins important se trouve à l’adresse la plus basse) et REG_DWORD_BIG_ENDIAN (l’octet le moins important se trouve à l’adresse la plus haute).
-{{REG_EXPAND_SZ}} : Chaîne de données à longueur variable. Ce type de données comprend des variables résolues lorsqu’un programme ou un service utilise les données.
-{{REG_MULTI_SZ}} : Chaîne multiple. Généralement des listes ou plusieurs valeurs dans un format lisible. Les entrées sont séparées par des espaces, des virgules ou autre ponctuation.
-{{REG_SZ}} : Chaîne de texte à longueur fixe.
-{{REG_RESOURCE_LIST / REG_RESOURCE_REQUIREMENTS_LIST / REG_FULL_RESOURCE_DESCRIPTOR}} : tableaux imbriqués destinés à stocker une liste de ressources de pilote ou de matériel.
-{{REG_NONE}} : Données sans type spécifique. Données écrites dans le Registre par le système ou les applications.
-{{REG_LINK}} : Chaîne Unicode nommant une liaison symbolique.
-{{REG_QWORD}} : Données représentées par un nombre entier 64 bits. Apparue dans Windows 2000.

Bien sur toutes ces infos sont bien stockées quelque part !

Ils sont tous dans le répertoire %SystemrRoot%\system32\config :

Voici les différents fichiers :

– HKEY_LOCAL_MACHINE\SAM : Sam, Sam.log, Sam.sav
– HKEY_LOCAL_MACHINE\Security : Security, Security.log, Security.sav
– HKEY_LOCAL_MACHINE\Software : Software, Software.log, Software.sav
– HKEY_LOCAL_MACHINE\System : System, System.alt, System.log, System.sav
– HKEY_CURRENT_CONFIG : System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log
– HKEY_USERS\DEFAULT : Default, Default.log, Default.sav

{{{FAT 16}}

Partition windows => < 500Mo

{{FAT 32}}
Evolution du fat 16 => < 2Go

{{NTFS}}
Prend en charge la gestion des quota, individuel, il integrre un adressage de 64bits

Il découpe ses partion en unité d’aallocation (cluster)

{{PARTAGE eds fichier}}

Partage des ressource afin de le rendre accessible aux utilisateurs

Par defaut certaine ressource sont partagé (pour l’admin)
Ils sont caché, seul l’admin peeut y accéder

\\nomord\c$
\\nomord\admin$
\\nomord\ipc$ <= communication et process
\\nomordi\print$

$ = partage admin

{{Système de fichier DFS}}

Distributed File System

Ça permet de regrouper sous une arborescence unique et logique plusieurs répertoires situés physiquement à différent endroit du réseau.

2 types de DFS :

{{Autonome :}} réside sur un seul la topologie DFS.

{{A tolérance à panne :}} Intégrer à Active Directory

Marche FAT (sans droit).

Pour créer une DFS :
administration => systemme de fichier distribuer DFS.
Action => nouvele dfs

{{La compression}}

cf compact

{{Les quotas}}

{{Le cryptage}}

Permet de protéger des données
Il utilise des clé de cryptage

Permet de chiffrer les fichier ou dossier mais pas les données.
Pour cela on utilisera une solution ipsec ou ssl.

La ligne de commande DOS : cipher

C:\>cipher /k
pour générer la clé

C:\>cipher /e rep => crypte

C:\>cipher /d rep => décrypte

{{IPSEC}}
Client réponse seul :permet de er le trffic IP normalement répond

Sécuriser le serveur : autorise de communiquer qu’au travers d’IPSEC

Serveur : envoi les message crypté mais accepte les requete non crypté

Chaque personne doit posséder un compte utilisateur pour se connecter au domaine et accéder au ressource réseaux.

Lorsque vous transformer un 2000 en contrôleur de domaine, les informations de group et de user (base sam) sont mise à jour dans active directory.

2 comptes par default : adminstrateur et invité.

Renommer l’administrateur : il est conseiller de le renommer !

Il est conseiller également de désactiver l’affichage du dernier user connecté.

Utilisateur Invité : Pour utilisateur occasionnel ou peu expérimenté. Ce compte est désactivé par default et n’as pas de mots de passe. Le renommer ! L’activation de se compte représente un faille importante dans le système.

{{Création d’un compte user :}}

dans utilisateur et ordinateur active directory.
Pas plus de 20 caractére pour le nom de session.

Les objet créé sont automatiquement répliqué sur les autres controleur de domaine.
<img102|center>

{{group domaine local :}}

– compte user
– groupe globaux d’un domaine
– groupe universel d’un domaine

{{Création de group :}}

– Groupe globaux : groupe prédéfine
– Groupe locaux

{{ Profile utilisateur errant}}

Un user se loggue sur n’importae quel machine du réseau peut téléchargé son profile.

Windows compare celui ci avec celui qui se trouve sur la machine sur lequel il vient de se lopgger s’il existe.
Seul les modif apoporté au proofil seront téléchargé.

Profile errant obligatoire : dans le cas ou on veut utiliser le même profile utilisateur, il est imposé à l’utilisateur et en lecteur seul. Il a juste accès au bueau et au répertoire partagé.

Pour ce faire. il faut renommer NTUSER.DAT en NTUSER.MAN

Il est fortement recommander de passé les profil itinérant sur un autre ordinateur que le controleur de domaine.

Le répertoire de base (dossier d’accueil) servira pour l’utilisateur à enregistrer ses donners. !!! ne pas oublier les permission sur ce répertoire.

{{Définition :}} La stratégie de groupe sont des paramètres applicables à des utilisateurs, groupes d’utilisateurs, ordinateur et se définisse au niveau d’un site d’un domaine ou d’un OU et sont applicable à tout les objet qui sont dans le conteneur ou est appliqué la stratégie.

Vous pouvez :
– modifier le bureau des user
– statgéie de compte
– application
– paramétrer la sécurité
– executer des script
– mettre des audit

<img99|center>

Les stratégie de groupe, appelé GPO sont regroupé en 2 catégorie :
– GPC Group Policy Contener : objet AD qui représente les attribue de la gpo
– GPT Group Policy Template : contient les paramètre de la GPO

Lorsque l’on créer unue stratégie de group, on peut la lier à un site, OU, domaine

On ne peut appliquer une startégie que sur des OU déjà créer ou pré existant.

<img101|center>

Paramètre Logiciel : sert à paramétrer les logiciel
Paramètre Windows :
permet d’exécuter des scrip à l’ouverture et fermeture de session

fichier dans sysvol : registry.pol

Les stratégie sont rafraichi toute les 90mn. Sur les controleur de domaine et serveur membre toute le 5mn

On peut modifier ses valeurs.
=> Stratégie de groupe => Configuration Utilisateur => modèle d’admin => systeme => startégie de groupe => Intervalle de d’actualisation.

{{Héritage :}}

Les stratégie sont hérité des conteneurs parents.

{{Application}}

La stratégie permet de distribué des applicatiopn ou service pAck

Windows Installer : permet d’installer, maintenir, réparer des applications (package .msi)

——-
net user
net account
net group
net localgroup
——-

——-
{Plan :}

I – Contexte
II – Mise en Place
III – Test

——{I – Contexte}

Nous avons un réseau local qui désire se connecter à internet. Le FAI n’as fournit qu’1 seule adresse IP. Il va donc falloir faire de la translation d’adresse (NAT : Voir Article). C’est à dire substitué l’adresse IP pivé du poste local par l’adresse IP public attribué par le FAI.

{{Détail des adresses IP:}}
Adresse Réseaux local : 192.168.1.0/24
Adresse du Routeur (pate réseau local) : 192.168.1.254
Adresse IP Public : 195.5.250.25

{II – Mise en Place}

Dans un premier temps, nous allons nous configurer les 2 cartes réseau du routeur.

{III – Test}

– Regrouper tout les objets
– C’est une base annuaire

Liste des protocoles utilisé Active Directory
– TCP/IP-
– DNS
– DHCP
– SNTP (simple Network Time Protocol)
– LDAP (ce protocol s’appuie sur l’annuaire)
– Kerberos (authentification)
– Certificat X509 (encryptage de dossier EFS)

Sur NT4 => 40 000 objets
Sur 2K => +sieur milliers d’objet

2 controlleur de domaine sur un domaine (tolérance de panne)

Tout les controleur de domaine dispose des même information grace à la {{réplication}} appelé Multimaitre

{{{Structure Active Directory}}}

– Organisation par arbre regruopé en forêt.
– OU : Organization Units. Par domaine. Elle regroupe tout les objets réseaux par domaine. Pour déléguer un domaine, on délèguera le ‘OU’.

—–

zolie dessin
——

Objet : Compte User, Imprimante, Server, répertoire partagé…

<doc97|center>

Chaque objet a un UID

{{{Instalation AC}}}

ntds.dit dans %systemroot%
Format de partition NTFSpour le stockage du rep systeme partager SYSVOL afin de gérer correctement les droits.

Commande d’install DCPROMO.exe

La base SAM sur NT sera porté sur la base d’annuaire. Les infos comptes seront concervé.

Si active est déjà installer dcpromo le remettra en server autonome.

Le DNS doit être installé !

Avec dcpromo ont peut :
– ajouter un controleur de domaine au domaine existant
– ajouter un domaine enfant
– ajouter un arbre dans une forêt existant

choix d’un mode de domaine :
– mode mixte : commutation d’un domaine 2000 avec un domaine NT
– mode natif : utiliser les fonction d’AD valable pour le domaine actif

{{{Le Controleur de Domaine}}}

{{Son rôle}}

Le Maître d’Opération:
-maître de schema : permet le nommage de domaine
-maître de nommage : ajout/suppression de domaine dans la forêt
-maître émulateur : controleur principal de domaine (joue le role de cpd pour les clients NT)
– maître d’identificateur relatif

=>Outil d’admin=> Domaines et approbations Active Directory

{{Le server de catalogue globale}}

C’est un controleur de domaine dans lequel sont référencé tout les attribues de tout les objet d’AC.

La base de donnée AD est divisé en 3 partie :
– partition de schema
– partition de configuration
– partition de domaine

Sert à faire une recherche dans une foret. Ils sont utilisé dans les processus d’ouverture d’une session

Lorsqu’un client se loggue, le catalogue va être consulter et donner accès aux ressources : il donne un « jeton » d’accès.

{{Duplication}}

Mise à jour de la base de domaine sur tout les servers (appellé aussi multimaitre)

Les sites sont indépandant de la structure logique des domaines. Il regroupe 1 ou plusieur sous réseaux.

2 type de site :
– intrasite : mise à jour de la base d’annuaire à l’intérieur d’un site (se fait automatiquement)
– intersite : représente le traffic circulant entre les sites distant (connexion lente) (se fait manuellemnt)

Le 1er site par default est automatiquement créé, il contient tout les sous réseau et dès qu’un controleur de domaine est ajouté, il appartient à ce site.

<doc98|center>