Université Lumière de Bujumbura

Faculté d’Informatique de Gestion

Bac3

Cours : Administration réseaux sous Windows server

Msc : NKESHIMANA Egide

CHAP I: Généralités sur le Windows Server

CHAP II : Gestion des annuaires (Active directory Domain Service)

CHAP III : Installation et Configuration d'un serveur DNS

CHAP IV : Installation et Configuration d'un serveur DHCP

CHAP V : Gestion de comptes d'utilisateur et les stratégies de groupes

CHAP VI : Gestion des sauvegardes et Restaurations

CHAP VII : Partage et sécurité

CHAP VIII : Gestion des réseaux TCP/IP (SNMP)

CHAP I: Généralités sur le Windows Server

I.1.Introduction

Un administrateur de réseau, ou par parataxe administrateur réseau, est une personne

chargée de la gestion de réseaux informatiques, c'est-à-dire de gérer les comptes et les
matériels informatiques d'une organisation (entreprise par exemple). Cela peut concerner
notamment des concentrateurs, commutateurs, routeurs, modems, pare-feu, proxy,
connectivité Internet, les réseaux privés virtuels (VPN).
L'administrateur de réseaux est souvent assisté d'un ingénieur architecte informatique qui
conçoit une architecture de réseau (voir aussi DMZ, DNS, LAN, NAT, SAN, WAN).
L'administration de réseau est une discipline de l‟informatique qui peut éventuellement s'étendre à
la téléphonie.
L'administrateur de réseau est parfois administrateur de système ; il gère alors également les postes
de travail (PC, Macintosh), imprimantes et serveurs de l'entreprise.

Le rôle d‟un administrateur réseau consiste à :

 Mettre en place et maintenir l‟infrastructure du réseau (organisation,.
. . ).
 Installer et maintenir les services nécessaires au fonctionnement du réseau.
 Assurer la sécurité des données internes au réseau (particulièrement face aux attaques
extérieures).
 S‟assurer que les utilisateurs “n‟outrepassent” pas leurs droits.
 Gérer les “logins” (i.e. noms d‟utilisateurs, mot de passe, droits d‟accès,
permissions particulières, . . . ).
 Gérer les systèmes de fichiers partagés et les maintenir.
L‟administrateur réseau est responsable de ce qui peut se passer à partir du réseau administré.
I.2. Présentation de Microsoft

Des présentations de Microsoft sont bien évidemment disponibles sur le Net mais il est quand même
important de savoir situer la technologie étudiée dans les nombreux domaines où Microsoft se
place.

Tout d'abord, l'entreprise a été fondée en 1975 par Bill Gates et Paul Allen. Si Bill Gates est connu
du grand public, Paul Allen l'est beaucoup moins. Il est avant tout un informaticien passionné par la
programmation. C'est notamment lui qui négociera le système d'exploitation QDOS, père de
MSDOS qui fera la fortune de Microsoft.

Lors d'une rencontre, les deux cofondateurs ont posé pour une photo souvenir semblable à celle qui
avait été prise 32 ans auparavant.

Depuis MS-DOS et les premières versions de Windows, Microsoft a beaucoup élargi ses domaines
d'activités.

Au niveau des systèmes d'exploitation, la version Windows Client a évolué pour passer de Windows
1.0 à Windows 12 aujourd'hui. Le client de Microsoft reste l'incontestable leader sur ce marché en
rassemblant 90% des utilisateurs d'ordinateurs (Source Gartner 2015). Dans un même temps, la
version serveur s'est améliorée afin d'apporter de plus en plus de fonctionnalités et de services aux
entreprises soucieuses de mettre en place des systèmes d'information organisés et uniformisés. Les
OS Microsoft étaient aussi Mobile. Bien avant les derniers Windows Phone, Windows Mobile et
Windows Embeded (embarqué) étaient très présents sur le marché des PDA et autres outils comme
des scanners de code barre, caisses enregistreuses...

Du côté logiciel, Microsoft propose également une large panoplie d'outils. La suite Microsoft
Office est de loin la plus connue. Aujourd'hui présente sur la quasi-totalité des plateformes, la suite
Office de Microsoft est également implémentée dans le cloud via Office 365 qui a récemment
dépassé son concurrent principal Google Apps. Office n'est bien évidemment pas le seul outil que
propose Microsoft. On retrouve également le navigateur Internet Explorer, les outils de
développement comme Visual Studio, les applications serveur comme SharePoint ou la messagerie
Exchange.

Plus récemment, c'est dans le domaine du multimédia que la société s'est investie. Les produits
comme la Xbox, la table surface ou écran surface, lunettes à réalité augmentée n'ont pas encore une
place prédominante sur le marché mais font souvent l'actualité des articles IT.

Enfin, Microsoft s'est inscrit récemment comme un acteur incontournable du Cloud Computing.
Leader sur le Marché du SaaS avec Office 365 et second sur le PaaS derrière Amazon, Microsoft a
su prendre le virage du dématérialisé pour proposer aux entreprises les meilleurs environnements de
production sans les contraintes de gestion.

I.3.Windows Server 2012

Microsoft Windows Serveur 2012, apporte avec lui son lot de nouveautés dans l'administration des
services essentiellement destinés aux entreprises.

Il faut dans un premier temps comprendre que les versions des systèmes d'exploitation serveur
suivent les versions des clients. Il est donc logique de retrouver des similitudes dans les interfaces
de gestion par exemple. De plus, il est tout à fait possible d'utiliser un système serveur en tant que
client. Des services supplémentaires peuvent être installés afin de créer un environnement de
travail convivial pour tous les types d'utilisateurs. Même si dans un premier temps l'intérêt peut
paraître limité, il faut savoir que c'est plus courant que l'on ne se l'imagine.

En effet, dans les entreprises qui font de la virtualisation de postes de travail, la version serveur
est souvent celle utilisée car elle permet de consolider les ressources consommées par les
utilisateurs. Cela s'explique car la version serveur permet à plusieurs utilisateurs d'utiliser en même
temps un seul ordinateur physique.

Les services proposés aux clients du serveur sont, pour une grande partie, primordiaux au bon
fonctionnement de l'architecture ou de l'entreprise. Il conviendra donc d'apprendre à les rendre
hautement disponibles.

Prenons un premier exemple simple : un serveur de partage de fichiers. Ce serveur permet à

l'ensemble des collaborateurs de disposer d'un espace d'enregistrement sécurisé et de partage des
fichiers sur lesquels ils travaillent. On comprend facilement que si les collaborateurs ne peuvent
plus s'échanger leurs documents de travail facilement mais doivent utiliser une clé USB, les temps
de réalisation des tâches peuvent s'allonger considérablement.
La stabilité et la sécurité d'un tel environnement sont très importantes. Au fil des versions serveurs,
ces deux points se sont bien améliorés. On notera par exemple l'arrivée du filtrage sortant du pare-
feu Windows dans la version 2008.

I.4. Les versions de Windows Serveur 2012

On distingue principalement 4 versions de Windows Serveur 2012 :

• Windows Server 2012 R2 Foundation

• Windows Server 2012 R2 Essentials
• Windows Server 2012 R2 Standard
• Windows Server 2012 R2 Datacenter

Si l'on souhaite comparer correctement ces versions, il est préférable de faire 2 groupes:
Foundation-Essentials d'un côté et Standard-Datacenter de l'autre. En effet, beaucoup plus de
limitations sont présentes pour les versions Foundation-Essentials comme le nombre d'utilisateurs
(respectivement 15 et 25), la virtualisation non supportée ou encore le mode core inexistant. Alors
que pour les versions Standard-Datacenter, toutes les limitations pré-citées disparaissent.

Il existe également 3 autres versions de Windows Serveur 2012 qui ont chacune des spécificités:

• Microsoft Hyper-V Server 2012 R2

• Windows Storage Server 2012 R2 Standard
• Windows Storage Server 2012 R2 Workgroup

Microsoft Hyper-V Server 2012 R2 est une version spécialement dédiée à la virtualisation. Elle
reprend la quasi totalité des fonctionnalités du rôle Hyper-V présent sur les versions Standard et
Datacenter. Cependant, les autres fonctionnalités sont désactivées et l'administration se fait dans un
premier temps sans interface graphique.

Les versions Microsoft Storage Server 2012 R2 (Standard et Workgroup) sont des systèmes
optimisés pour le stockage des données NAS ou iSCSI à travers un réseau local ou étendu.

NAS : Network Attached Storage est comparable à un serveur de fichiers. Son objectif premier est
de mettre à disposition des espaces de stockage (dossiers) sur un réseau local.

iSCSI : Internet Small Computer System Interface partage également un espace de stockage sur un
réseau local ou étendu (WAN). A la différence du NAS, l'iSCSI va mettre à disposition un disque
dur sur le réseau et non un dossier
I.5. L’ interface de Windows Server 2012

Une des nouveautés la plus remarquée et décriée de Windows Serveur 2012 est son interface
utilisateur. Comme dit précédemment, les versions serveurs suivent les versions clientes de
Windows, c'est donc avec une interface Metro UI et sans le menu Démarrer qu'est arrivé Windows
Serveur 2012.

Laissons ici de côté les opinions sur la disparition de ce célèbre menu Démarrer des versions de
Windows ("réapparu" avec la version Windows 10) pour nous concentrer sur l'utilisation serveur de
cette interface.

Il y a comme un air de famille non ? Contrairement à ce que l'on pourrait penser, cette interface n'est
pas moins efficace que la précédente. Toutes les applications et consoles d'administration sont
répertoriées de la même manière qu'avec le menu Démarrer dans la partie Apps accessible avec la
petite flèche en bas de l'écran de démarrage (Start Screen).

Il y a même un changement majeur dans cette version : la recherche ! Presque catastrophique dans
les précédentes versions, elle est devenue rapide, pertinante et facile d'accès.

Sur le Start Screen, on retrouve les principaux outils sous forme de tuile. La tuile Outils
d'administration est particulièrement pratique car elle rassemble l'ensemble des consoles utiles au
paramétrage, au diagnostic et à l'analyse du serveur :

• Observateur d'événements
• Analyseur de performances
 • La console de services
• et bien d'autres ...

La tuile la plus utilisée reste probablement celle qui permet de revenir au bureau Windows !

C'est également sur le Start Screen qu'il est possible de verrouiller la session ou de se déconnecter
en cliquant sur son compte utilisateur en haut à droite.

Autre nouveauté dans l'interface; l'apparition des Charms. Il y a beaucoup de traduction française
de ce volet d'action ou volet des paramètres ou encore barre de charmes. Selon la traduction
officielle Microsoft, on devrait dire Icônes ou Talismans (dans Visual Studio).

Ce volet Charms est accessible en plaçant la souris en bas à droite de l'écran ou avec le raccourci
Windows + C.

On retrouve ici trois icônes :

• Recherche
• Start Screen • Paramètres

Intéressons-nous ici plus particulièrement au menu des paramètres qui propose des raccourcis vers :

• Le panneau de configuration
• Les options de personnalisation du serveur. Options limitées si la fonctionnalité Expérience
bureau n'est pas installée.
• Les informations sur le système
 • Le centre d'aide

Dans la partie basse du menu, des icônes de paramètres sont disponibles comme le réseau, le son (si
activé), les notifications et les options d'arrêt/redémarrage du serveur.

La partie Paramètres du volet Charms est accessible directement via le raccourci Windows + I.

Passons maintenant au menu Démarrer ou plutôt aux raccourcis accessibles via un clic droit sur le
bouton Windows.
Ce menu n'a pas la classe de son défunt parent mais a le mérite de proposer les raccourcis vers les
interfaces d'administration les plus utilisées sous Windows Serveur, en particulier :

• Système : pour accéder à l'ensemble des informations du serveur, changer son nom, entrer la
clé de licence ou encore activer le bureau à distance

• Gestion de l'ordinateur : permet entre autres de configurer les périphériques, les disques
durs, les utilisateurs du serveur
• Command prompt : affiche l'interface de commande originale de Windows

Pour terminer cette partie présentation de l'interface de Windows Serveur 2012, voici une liste des
raccourcis clavier :

Combinaison Description

<Windows> ou Ctrl + Ouvre l'écran de démarrage (Start Screen)

Echap

<Windows> + C Ouvre le volet Charms

<Windows> + E Ouvre l'explorateur de fichiers

<Windows> + F Ouvre la recherche de fichiers

<Windows> + I Ouvre le volet des paramètres

<Windows> + L Verrouille la session

<Windows> + Q Ouvre la recherche de paramètres et/ou de fichiers

<Windows> + R Ouvre la fenêtre de lancement d'application

<Windows> + U Affiche les options d'ergonomie

<Windows> + W Ouvre la recherche de paramètres

<Windows> + X Ouvre le menu des raccourcis du bouton Windows en bas à gauche de

l'écran

Ctrl + Shift + Echap Affiche le Gestionaire de tâches

I.6. Les Etapes d'installation de Windows Server 2012

L'installation d'un Windows Serveur dans ces récentes versions est assez simple et rapide. Elle se
déroule en 5 étapes principales.

Pour l'installation, vous devez avoir en votre possession 5 informations :

• Les informations régionales : heure, type de clavier et langue. Il est possible d'installer un

serveur en anglais sur l'heure Paris avec un type de clavier Azerty.

• L'édition à installer : Standard, Datacenter... L'installateur ne laissera peut-être pas le choix
de l'édition si le média d'installation n'en comporte pas plusieurs.
• La clé d'activation. Dans certains cas (en fonction du média utilisé), cette partie peut être
ignorée mais la clé sera quand même demandée après l'installation. • Le type d'installation :
Mise à niveau ou Personnalisée
• L'allocation de l'espace disque.

Le premier écran permet la configuration de la langue, l'heure et le type de clavier. Dans le cas où
le serveur serait utilisé par plusieurs personnes dans différents pays et avec des claviers différents,
une configuration avancée (une fois le serveur installé) permet d'ajouter plusieurs claviers sur un
même serveur. La personne qui souhaitera utiliser le serveur pourra choisir son clavier directement
dans la barre des tâches.

Cette partie du panneau de configuration permet d'ajouter des langages et sélectionner celui par
défaut. Le langage tout en haut de la liste sera celui par défaut du serveur.

Des options sont également disponibles pour les langages :

• Téléchargement du pack de langues. Quand une langue est ajoutée, le serveur ne passe pas
directement dans cette nouvelle langue. Seules les options de clavier sont disponibles. Pour
une grande majorité des langues, le pack est disponible en téléchargement dans les options.
A la fin du téléchargement, le serveur pourra passer d'une langue à l'autre.
• Services de texte. Pour le français, plusieurs configurations sont possibles. L'option Accents
Majuscule permet au correcteur de spécifier un mot incorrect s'il prend un accent sur la
première lettre qui est en majuscule. Exemple : commencer une phrase par éventuellement.
Il est également possible de forcer le correcteur orthographique dans la version traditionelle
ou nouvelle. La version traditionnelle respecte les règles d'orthographe en vigueur avant la
réforme de 1990.

•
La prochaine étape est le choix de la version du serveur. Lors de l'installation d'une version
Standard ou Datacenter, 2 choix sont possibles:

• Serveur Core : cette option pour les versions Standard et Datacenter est décrite un peu plus
loin dans la suite du cours.
• Serveur avec Interface Graphique Utilisateur (GUI): correspond à l'installation classique
de Windows Serveur avec l'interface étudiée précédemment.

Le choix du type d'installation dépend de plusieurs facteurs :

• Une version de Windows Serveur est-elle déjà présente sur l'ordinateur ?

• Les fichiers et les applications du serveur doivent-ils être conservés ?
• L'ordinateur est-il nouveau ?
• L'ordinateur doit-il être remis à zéro ?

Si l'ordinateur est neuf ou a besoin d'une nouvelle installation pour une remise à zéro, il faut choisir
l'option "Personnalisée".

S'il faut migrer les fichiers et les applications de l'ordinateur, l'option "Mise à niveau" est
préférable.

Si un sytème d'exploitation est déjà présent sur le serveur, que l'un ou l'autre des types d'installation
est choisi, une sauvegarde de l'ensemble des données est très fortement recommandée.
Dans le cas d'une Mise à niveau, toutes les versions antérieures à Windows Serveur 2012 ne
peuvent pas être migrées. Il existe ce que Microsoft appelle des chemins de migration. Voici un
tableau synthétique des migrations possibles :

Sytème en cours d'exécution Version(s) accessible(s)

Windows Serveur 2008 R2 Datacenter avec Windows Serveur 2012 R2 Datacenter

SP1

Windows Serveur 2008 R2 Entreprise avec Windows Serveur 2012 R2 Standard ou Datacenter
SP1

Windows Serveur 2008 R2 Standard avec Windows Serveur 2012 R2 Standard ou Datacenter
SP1
Windows Serveur 2012 Datacenter Windows Serveur 2012 R2 Datacenter

Windows Serveur 2012 Standard Windows Serveur 2012 R2 Standard

Windows Serveur 2008 Entreprise ou Windows Server 2012 Standard, Windows Server
Entreprise avec SP2 2012 Datacenter

De manière générale, jusqu'a 2 versions précédentes peuvent être migrées vers la version actuelle de
Windows Serveur. Exemple : si la version actuelle est 2012, les versions 2008 et 2008 R2
pourraient être migrées. Si la version actuelle est 2012 R2, seules les versions 2008 R2 et 2012
pourront être migrées directement.

Certaines versions avec moins d'options (standard) peuvent être migrées vers des versions plus
complètes si besoin mais ce changement entraîne une conversion de licence.

Enfin, un Windows Serveur 2003 ne peut pas être migré vers une version 2012 ou supérieure. Une
migration préalable vers une version 2008 est obligatoire. Cependant, un changement de serveur
avec migration des services plutôt qu'une migration du sytème d'exploitation est une alternative
tout à fait viable.

Une dernière chose importante est à prendre en compte lors d'une migration. Les rôles et services
proposés par le serveur à migrer peuvent avoir des prérequis de configuration ou de mise à jour
avant ou après la migration. D'autres peuvent tout simplement ne pas supporter une migration de
système d'exploitation de ce type.
Le dernier écran de configuration apparaîtra lors d'une installation personnalisée. Normalement,
tous les disques directement attachés à l'ordinateur apparaîtront. Il faut choisir un disque ou une
partition respectant les prérequis minimums d'installation. En général, on considère que 50Go est
une valeur correcte pour la partition du système.

Dans certains cas, le disque dur souhaité pour l'installation peut ne pas apparaître. Cela se produit
lorsque les disques sont liés à une carte contrôleur de disques présente dans le serveur ou lorsqu'un
RAID est mis en place.

RAID : Redundant Array of Independent Disks. Système de stockage permettant de mutualiser les
disques durs. Cette technologie est expliquée dans la seconde partie de ce cours.

Pour que les disques soient pris en compte, il faut ajouter les drivers de la carte RAID dans la clé
USB d'installation et charger le driver avec l'option prévue à cet effet.

L'installation va ensuite se dérouler. Elle prendra environ 15 minutes. Ce temps d'installation

dépend beaucoup des performances de l'ordinateur et du média utilisé.
Pendant l'installation, l'ordinateur peut être amené à redémarrer plusieurs fois. La dernière étape
consiste à entrer le mot de passe du compte Administrateur local du serveur.

Le mot de passe doit respecter plusieurs règles de complexité :

• Le mot de passe doit contenir au minimum 8 caractères

• Le mot de passe ne peut contenir le nom du compte utilisateur
• Le mot de passe doit contenir au moins 3 caractères des catégories suivantes :
o Lettre majuscule
o Lettre miniscule
o Numéro de base 10
o Un caractère non alphanumérique (!, #, €...)

I.7. Prérequis et méthodes de déploiement

L‟ordinateur sur lequel sera installé le système d'exploitation serveur de Windows doit respecter un
minimum de caractéristiques matérielles. Les ordinateurs étant aujourd'hui de plus en plus
puissants, ces prérequis ne sont plus vraiment des contraintes.

On distinguera 3 catégories de prérequis pour l'installation d'un Windows Serveur 2012 R2 :

 • Minimum : Sans ce minimum, le système ne s'installera pas ou l'expérience utilisateur sera
fortement dégradée.
• Recommandé : Avec ces recommandations, le serveur tournera correctement.
• Maximum : C'est les limites de Windows Serveur.

Type Minimum Recommandé Maximum

Processeur 1,4 GHz 64 bits 2,0 GHz 640 processeurs logiques

Mémoire 512 Mo 4 Go 4 To

Disque 32 Go 80 Go MBR : 2 To/disque (64 To)<br/>

GPT : 18 Eo (exaoctets)

Autres Super VGA (800x600). Ecran,

clavier, souris et une carte réseau

Microsoft a quelques fois été critiqué pour la consomation massive des ressources matérielles que
demandaient les systèmes Windows. On remarque aujourd'hui que ce n'est plus le cas. Les
minimums n'ont pas changé depuis la version 2008. Les versions depuis 2008 ont d'ailleurs des
prérequis moins importants que la version 2003 (64bits) qui demandait par exemple 1Go de RAM
minimum.

Jusqu'à la version 2008 R2, Microsoft proposait toujours 2 versions de ses sytèmes d'exploitation :
32 et 64 bits. La principale différence réside dans la capacité du système à gérer la mémoire RAM
de l'ordinateur. Si le serveur disposait de plus de 4Go de RAM, il fallait utiliser la version 64bits.

Au début, ces 2 versions (32 et 64 bits) ont causé quelques problèmes de stabilité pour les
applications. Dans la théorie, le principe était : "Qui peut le plus peut le moins". Or, certaines
applications 32bits supportaient mal le 64bits. Aujourd'hui la question ne se pose plus.

Microsoft continue de publier des versions 32 bits de son sytème client (Windows 10 32 bits) pour
conserver une compatibilité avec les ordinateurs d'un autre temps même s'il est estimé qu'il ne reste
que 70 millions d'ordinateurs exécutant une version 32 bits de Windows.

Le maximum de mémoire indiqué est celui des versions Standard, Datacenter et Hyper-V de
Windows Serveur. Pour les autres versions, la limite est de 32 ou 64Go.
 Pour Windows 10, la limite est de 2To sauf pour la version Home qui est limitée à 128Go.

En ce qui concerne les maximums pour les disques, les notions de GPT et MBR sont abordées dans
la seconde partie. Pour information, 1 exaoctet (Eo) correspond à 1 000 000 de teraoctet (To).

Lorsque du matériel est vendu aux entreprises ou aux particuliers, il peut être certifié par
Microsoft. Avec ce logo, l'acheteur a la garantie que le matériel est conforme aux normes de
Microsoft et aura, en théorie, moins de problèmes avec celui-ci. Heureusement, la quasi totalité des
ordinateurs non certifiés supportent très bien Windows Serveur et/ou Windows Client (7, 8, 10).

Lorsque des nouvelles versions de Windows sont en préparation, les serveurs/ordinateurs peuvent
également afficher un logo spécifiant qu'ils sont certifiés pour la prochaine version.

Méthodes d'installation

Le déploiement des systèmes d'exploitation est une problématique toujours d'actualité en entreprise.
En effet, s'il est aisé d'utiliser un CD ou une clé USB pour installer son ordinateur personnel, cette
méthode, bien qu'efficace, devient laborieuse lorsque le nombre d'ordinateurs augmente.

Cette problématique est vraie pour les ordinateurs clients mais aussi pour les serveurs. Les services
proposés par un serveur se sont multipliés et par conséquent les serveurs également. De plus, une
règle que l'on peut comparer à une coutume veut qu'un serveur ne propose qu'un seul service.
Même si des services peuvent être mutualisés sur un seul serveur, le fait de dédier un serveur à un
service permet d'apporter de la stabilité et de la sécurité.

Par exemple, un serveur, hébergeant plusieurs services (partage de fichiers et DHCP), tombe en
panne à cause d'un disque défectueux. Les utilisateurs n'ont ni accès à leurs fichiers, ni au réseau.
En séparant les services, ils auraient pu continuer de travailler sur internet, boîte mail... pendant que
les administrateurs restaurent le serveur de fichiers.

Ceci entraîne donc des déploiements massifs de systèmes d'exploitation serveur dans l'entreprise.
Cette tâche n'est pas des plus plaisante car elle est chronophage pour les administrateurs. Il faut
donc que le déploiement soit au maximum automatisé et personnalisé.

Pour cela, plusieurs méthodes sont possibles. Certaines de ces méthodes sont mises en place par
Microsoft mais il existe également beaucoup d'outils et logiciels souvent propriétaires qui
permettent de créer des tâches de déploiement automatisées et personnalisables.

L'objectif ici va donc être de voir comment on peut apporter l'image système Windows Serveur
sur l'ordinateur cible. Sachez que ces méthodes sont également disponibles pour le déploiement des
Windows clients (7, 8, 10).

Il y a 5 moyens de déployer Windows Serveur sur un ordinateur:

 • Le système est déjà installé sur le matériel. Ce n'est pas le plus courant pour les serveurs
mais très répandu pour les ordinateurs personnels. En entreprise, on préfèrera toujours
réinstaller un sytème paramétré pour les besoins de l'entreprise.
• Le CD/DVD est la méthode la plus "ancienne" mais qui peut encore être possible dans
certains cas. On lui préfèrera largement la clé USB.
• La clé USB a remplacé le CD/DVD que ce soit pour le déploiement, pour l'installation de
logiciels ou pour le partage de données. Elle est beaucoup plus simple à utiliser et plus
rapide que le CD. Aujourd'hui, beaucoup d'ordinateurs ne sont même plus livrés avec un
lecteur CD/DVD.
• L'image disque ou le clônage de disque est une méthode très rapide et très efficace pour le
déploiement de systèmes d'exploitation.
• Le déploiement par le réseau est une solution viable sur le long terme et dans des
environnements hétérogènes. Cette méthode permet un déploiement massif (contrairement à
la clé USB) et personnalisable mais plus lent que l'image disque.

I.7. Activation de Windows

Plusieurs types de licences et plusieurs manières d'activer une version de Windows existent. Ici, on
se contentera de parler des moyens d'activation des licences. On n'entrera pas dans le domaine
complexe de l'achat, du prix et du renouvellement de celles-ci.

A l'installation ou après, Windows demande une clé d'activation et saura le faire rappeler si la clé
n'a pas été correctement validée. L'objectif est de valider que la version de Windows est bien
authentique.

Si le système n'est pas correctement activé, plusieurs limites sont mises en place automatiquement :

• Un avertissement est affiché sur le bureau

• Lors de la connexion, la fenêtre d'activation s'affiche
• Le système s'arrête toutes les heures
• Seules les mises à jour de sécurité peuvent être installées

La vérification de l'authenticité d'un Windows se fait en 2 étapes :

• L'Activation •
 La Validation

L'Activation va créer une association entre la clé de licence et la configuration matérielle de

l'ordinateur. La plupart des licences n'autorisent une activation que sur un seul ordinateur. C'est
donc l'Activation qui va permettre à Microsoft de s'assurer que cette clé n'est pas utilisée ailleurs.

La Validation est le processus en ligne de vérification. L'association réalisée précédemment est

envoyée à Microsoft qui validera l'authenticité du système d'exploitation.

Pour obtenir plus d'informations sur la licence utilisée, il y a la commande : slmgr -dli
Plus généralement, la commande slmgr permet de gérer en ligne de commande tout ce qui concerne
la licence du système.

On distinguera 3 types de licence :

• Boîte

• OEM
• Volume

Les licences de types "boîte" sont celles que l'on achète sans ordinateur. La boîte contient la licence
et les droits d'utilisation. Cette version ne peut être installée que sur un seul ordinateur à la fois et
supporte les changements de matériel.

Les licences OEM (Original Equipment Manufacturer) sont liées à un ordinateur et sa

configuration matérielle. Un changement de matériel important (carte mère) entraîne une obligation
de rachat de licence. Cependant, contrairement à la version Boîte, les licences OEM sont 2 à 3 fois
moins cher.

Enfin, les licences en Volume sont réservées aux entreprises pour faciliter les déploiements de
postes de travail et de serveurs avec la même clé d'activation.

Afin de simplifier l'activation des licences en entreprise, plusieurs méthodes existent :

• Multiple Activation Keys (MAK) activation

• Key Management Service (KMS) activation
• Active Directory-based activation

La clé MAK représente une seule clé qui pourra être utilisée sur plusieurs ordinateurs différents.
Chaque clé MAK permet un nombre d'activations limité établi par le contrat de licence avec
Microsoft. Le pool contenant les clés est hébergé par Microsoft. Chaque ordinateur qui utilise la clé
entraîne une décrémentation du nombre d'activations possible avec celle-ci.
Le service KMS est un Rôle de Windows Serveur 2012. Il permet la gestion centralisée de
l'Activation des licences dans le réseau de l'entreprise. Les clients n'ont plus besoin de se connecter
directement à Microsoft pour l'Activation de la clé.

Le service KMS et la clé MAK peuvent être utilisés en simultané.

L'activation par l'intermédiaire d'Active Directory va permettre d'extrêmement simplifier

l'Activation des clients. En effet, chaque ordinateur qui rejoindra l'Active Directory sera
automatiquement activé. Un ordinateur doit être en contact avec le serveur active directory au moins
une fois tous les 180 jours pour rester authentique.

Seuls les ordinateurs Windows Serveur 2012, Windows 8 ou version supérieure sont compatibles
avec ce mode d'activation. Il est également possible de gérer les licences de la suite Office à partir
de sa version 2013.

Enfin, l'outil Volume Activation Management Tool (VAMT) est la console de gestion des services
d'activation de Microsoft (KMS ou via Active Directory). Il permettra notamment de :

• Ajouter et supprimer des ordinateurs

• Suivre l'état d'activation
• Gérer les clés
I.8. Le Gestionnaire de Serveur

Le Gestionnaire de Server (Server Manager en anglais) est la console principale d'administration

du serveur. C'est à partir de cette console que l'on peut configurer le serveur, l'administrer et
également accéder aux autres consoles de gestion.

Il donne une vision d'ensemble de l'état de santé du serveur et de ses Rôles.

Le Dashboard : (Tableau de bord) est la page principale du Gestionnaire de Serveur et donne accès
à l'ensemble des fonctionnalités.

L'encart 1 : est en quelque sorte le message de bienvenue avec les raccourcis de configuration
classés par étapes. Il peut être caché lorsque le serveur est prêt à être lancé en production.

L'encart 2 : est une des nouveautés de Windows Serveur 2012. C'est un résumé de l'état de santé
de tous les Rôles du serveur et des groupes de serveurs. Cela permet en un instant d'avoir accès aux
informations importantes :

• Les événements : pour les services ou les serveurs, tout ce qui se passe est enregistré sous
forme d'événement. Seuls les événements critiques sont remontés dans cette interface.

• Les services : affichent les services qui ont des problèmes de démarrage et permet de lancer
un démarrage manuel.
• Performance : remonte les informations de surcharge du serveur ou des groupes de serveurs
• Résultats BPA : Best Practices Analyser (BPA ou Analyseur des Bonnes Pratiques). C'est
un outil disponible pour les serveurs ou les Rôles qui va analyser les configurations pour
déterminer si celles-ci peuvent poser un problème et proposer une correction si c'est le cas.

3. Dans la partie haute droite: on retrouve deux menus, Gérer et Outils (pour Manage et Tools).
Le menu Gérer permet l'ajout ou la suppression des Rôles et Fonctionnalités.

Il est également possible d'ajouter des serveurs et de créer des Groupes de Serveurs. Ajouter un
serveur ne va pas créer un nouveau serveur mais va ajouter un serveur existant au Gestionnaire de
Serveur afin qu'il puisse être administré par celui-ci. Lorsque l'on a plusieurs serveurs qui
fournissent le même service, on peut les rassembler dans un Groupe de Serveurs afin d'en
simplifier la gestion. L'application d'une configuration pourra ainsi être réalisée via le Gestionnaire
de Serveur pour tous les serveurs appartenant aux même groupe.

Enfin, deux options sont disponibles pour la configuration de l'interface : l'intervalle de temps de
rafraîchissement de la page et la désactivation du lancement automatique de la console.
Le menu Outils donne accès à toutes les consoles d'administration du serveur. Ce menu est
dynamique en fonction des Rôles ajoutés au serveur. De plus, ces consoles permettent également de
gérer les autres serveurs même si le Rôle n'est pas installé localement. Par exemple, on peut gérer le
serveur DHCP depuis le serveur de partage de fichiers. Pour cela, il faut avoir préalablement installé
la console de gestion du DHCP.

4. Dans le menu à gauche du tableau de bord : on retrouve le Serveur Local et les Groupes
de Serveurs (encart 4). Par défaut, un Groupe de Serveur est créé : Tous les Serveurs. Ce groupe
rassemble l'ensemble des serveurs géré par le serveur local. Il permet en une page de savoir quels
sont les problèmes sur l'infrastructure.

Sur la page Serveur Local, il y a plusieurs parties : Propriétés, Evénements, Services, BPA,
Performance et Rôles et Fonctionnalités. Excepté pour la partie Propriétés, les autres donnent, en
une page, un état de santé détaillé du serveur local.
La partie Propriétés donne la possibilité de visualiser les configurations basiques du serveur et
d'accéder aux interfaces de modifications de ces configurations. On notera notamment la possibilité
d'accéder aux éléments suivants :

• Nom et Domaine du serveur

• Administration à distance
• Configuration IP
• Gestion des mises à jours

5. Enfin, dans le menu à droite de la fenêtre du tableau de bord , on retrouve les Rôles
installés sur le serveur. Certains Rôles peuvent être gérés directement depuis cette interface, d'autres
présentent juste leur état de santé et doivent être gérés via une autre console.

I.9. Installer Windows Server 2012 sous VirtualBox (avec l’ISO MS)

Ce point est dédié à la création d‟une machine virtuelle Windows Server 2012 RC sous VirtualBox;

a) Prérequis

1. Téléchargez le logiciel (gratuit) de virtualisation Oracle VirtualBox.

2. Lancez l‟exécutable pour installer le logiciel

3. Téléchargez l‟ISO de Windows Server 2012 (en version RC au moment de l‟écriture de ce

post)

4. nb) Création de la machine virtuelle

5. Ouvrez VirtualBox; cliquez sur « New ».

6. Cliquez sur « Suivant ».

7. Saisissez un nom, choisissez « Microsoft Windows » et « Windows 8 (64 bit) » dans les listes
déroulantes. Cliquez sur « Suivant ».
8. Sélectionnez la quantité de RAM à allouer au serveur; je la configure ici à 3 Go sur mon PC
physique équipé de 8 Go. Cliquez sur « Suivant ».

9. Conservez l‟option « Créer un nouveau disque dur » sélectionnée. Cliquez sur « Suivant ».
10. Conservez l‟option « VDI » sélectionnée. Cliquez sur « Suivant ».

11. Sélectionnez « Taille fixe ». Cliquez sur « Suivant ».

12. Utilisez l‟icône dossier pour modifier le chemin de stockage du VDI, fixez la taille à 32 GO
(Taille minimum recommandée par Microsoft). Cliquez sur « Suivant ».

13. Cliquez sur « Suivant ».

14. Le disque se crée.

15. Sélectionnez votre machine virtuelle dans la liste puis cliquez sur « Configuration ».

16. Cliquez sur « Système » dans le menu de gauche et configurez comme ci-dessous.
17. Cliquez sur l‟onglet « Processeur » et configurez comme ci-dessous.

18. Cliquez sur l‟onglet « Acceleration » et configurez comme ci-dessous.

Note : Le support de support de VT-x ou d’AMD-V doit être autorisé au niveau du BIOS.
19. Suivez les étapes ci-dessous pour charger l‟ISO. Sélectionnez l‟ISO téléchargé à l‟étaoe 3.

20. Cliquez sur « OK » en bas de la fenêtre pour valider les modifications.

21. Sélectionnez votre machine virtuelle et cliquez sur « Démarrer ».

22. Windows démarre.

 c) Configuration de Windows

23. Choisissez vos préférences. Cliquez sur « Next ».

24. Cliquez sur « Install now ».

25. Choisissez la version de Windows que vous souhaitez installer (avec GUI dans mon cas).
Cliquez sur « Next ».
26. Cochez « I accept … ». Cliquez sur « Next ».

27. Choisissez l‟installation « Custom ».

28. Cliquez sur « Next ».

29. L‟installation débute.

30. Saisissez un mot de passe pour le compte administrateur. Cliquez sur « Finish ».

31. Loguez vous, Windows Server 2012 est à vous ! Enjoy !

Rôles et Fonctionnalités

Sur un Windows Serveur, on distingue 2 types de "service" :

• Les Rôles

• Les Fonctionnalités

Les rôles vont représenter le ou les services principaux que va fournir votre serveur aux
clients.

Quand on parle de client, ce n'est pas forcément le système d'exploitation client de

Windows
(Windows 7,8,10...) mais tous les périphériques (ordinateurs, téléphones, tablettes...) qui
consommeront le service délivré par le serveur.

Il y a 17 rôles disponibles sur Windows Serveur 2012. On peut citer en exemples Hyper-V
(l'hypervisor de Microsoft), le DHCP, Active Directory (Domain Services, Certificates Services) ou
encore le rôle DNS.

Ces Rôles peuvent également avoir des Services de rôles. C'est le cas par exemple des services de
fichiers et de stockage. Il est possible d'activer, à la demande, les différents services qu'offre ce rôle
: iSCSI, NFS, DFS...
 NFS : Network File System est un système de partage
de fichiers utilisé principalement par

DFS : Distributed File System est un service

de partage de fichiers rassemblant plusieurs
serveurs afin de fournir une infrastructure de partage
uniforme et redondante. Cette technologie sera abordée
les ordinateurs Linux et UNIX. plus en détails dans la suite du cours.

Les Fonctionnalités de Windows Serveur peuvent être comparées à des logiciels/outils qui vont
être utilisés par les Rôles du serveur. Par exemple, certains rôles peuvent avoir besoin du
Framework .NET 3.5 pour fonctionner correctement. Les consoles d'administration des Rôles sont
également des Fonctionnalités qui sont ajoutées automatiquement lors de l'ajout d'un rôle.

Une Fonctionnalité n'est pas forcément obligatoire pour un rôle mais peut lui apporter une plus
value comme le Failover Clustering qui va permettre à un rôle (Hyper-V par exemple) de devenir
hautement disponible.

Sachez enfin que les Fonctionnalités et les Rôles peuvent être des prérequis à l'installation d'outils
non natifs de Windows Serveur comme SharePoint...

Il est tout à fait possible d'installer plusieurs Rôles et Fonctionnalités en même temps mais mieux
vaut vérifier que ce soit possible avant de lancer l'installation. De plus, certains Rôles ne peuvent
pas coexister sur un même serveur. Une recherche sur TechNet est vivement conseillée avant toute
installation.
 TechNet représente plusieurs sites internet de Microsoft (Bibliothèque, Wiki, Blogs, Forums)
où tout le monde peut trouver les informations qu'il recherche sur n'importe quel produit
Miccrosoft. On l'appelle aussi la Bible Microsoft.

Enfin, les fichiers d'installation de quelques Fonctionnalités ne sont plus directement intégrés au
serveur lors de l'installation mais restent présents sur l'iso d'installation. Vous devrez, pour ces
Fonctionnalités, spécifier le chemin d'accès aux fichiers d'installation, c'est le cas pour le
Framework
.NET 3.5.

Par défaut, le chemin des fichiers d'installation est D:\Sources\SxS\

CHAP II : GESTION DES ANNUAIRES (Active directory et LDAP)

Toutes les entreprises travaillant avec des serveurs en environnement Microsoft utilisent les
services de domaines Active Directory disponibles sous Windows Server.

Mais, qu'est-ce qu'un Active Directory au fait ?

L‟Annuaire Active Directory est un service d‟annuaire de Microsoft intégré aux versions serveur de
Windows fonctionnant en TCP/IP permettant de référencer et d‟organiser des objets comme des
comptes utilisateurs, des noms de partages, des autorisations à l‟aide de groupes de domaine, etc.

II.1 Intérêts d’un annuaire

L‟intérêt principal de l‟Active Directory dans les entreprises est centré sur les quatre points
essentiels.

- Administration centralisée et simplifiée : la gestion des objets, notamment des comptes

utilisateurs et ordinateurs est simplifiée, car tout est centralisé dans l‟annuaire Active
Directory. De plus, on peut s‟appuyer sur cet annuaire pour de nombreuses tâches annexes
comme le déploiement de stratégies de groupe sur ces objets.
- Unifier l’authentification : un utilisateur authentifié sur une machine, elle-même
authentifiée, pourra accéder aux ressources stockées sur d‟autres serveurs ou ordinateurs
enregistrés dans l‟annuaire (à condition d‟avoir les autorisations nécessaires). Ainsi, une
authentification permettra d‟accéder à tout un système d‟information par la suite, surtout que
de nombreuses applications sont capables de s‟appuyer sur l‟Active Directory pour
l‟authentification. Un seul compte peut permettre un accès à tout le système d‟information, ce
qui est fortement intéressant pour les collaborateurs.

- Identifier les objets sur le réseau : chaque objet enregistré dans l‟annuaire est unique, ce
qui permet d‟identifier facilement un objet sur le réseau et de le retrouver ensuite dans
l‟annuaire.

- Référencer les utilisateurs et les ordinateurs : l‟annuaire s‟apparente à une énorme base de
données qui référence les utilisateurs, les groupes et les ordinateurs d‟une entreprise. On
s‟appuie sur cette base de données pour réaliser de nombreuses opérations : authentification,
identification, stratégie de groupe, déploiement de logiciels, etc.

Les informations peuvent ainsi être centralisées dans un annuaire de référence afin de faciliter
l‟administration du système d‟information.

Il permet aux administrateurs réseaux de gérer centralement les ordinateurs interconnectés, de

définir des stratégies pour un ensemble ou groupe d'utilisateurs, et de déployer centralement de
nouvelles applications à une multitude d'ordinateurs.

II.2 La structure de l’Active Directory

II.2.1. Les classes et les attributs

Au sein de l‟annuaire Active Directory, il y a différents types d‟objets, comme par exemple
les utilisateurs, les ordinateurs, les serveurs, les unités d‟organisation ou encore les groupes.
En fait, ces objets correspondent à des classes, c‟est-à-dire des objets disposant des mêmes
attributs.

De ce fait, un objet ordinateur sera une instance d‟un objet de la classe « Ordinateur » avec
des valeurs spécifiques à l‟objet concerné.

Certains objets peuvent être des containers d‟autres objets, ainsi, les groupes permettront de
contenir plusieurs objets de types utilisateurs afin de les regrouper et de simplifier
l‟administration. Par ailleurs, les unités d‟organisation sont des containers d‟objets afin de
faciliter l‟organisation de l‟annuaire et permettre une organisation avec plusieurs niveaux.

Sans les unités d‟organisations, l‟annuaire ne pourrait pas être trié correctement et
l‟administration serait moins efficace. Comparez les unités d‟organisations à des dossiers qui
permettent de ranger les objets à l‟intérieur, si cela est plus compréhensible pour vous.

II.2.2. Le schéma

Par défaut, tout annuaire Active Directory dispose de classes prédéfinies ayant chacune une
liste d‟attributs bien spécifique, et propre à tout annuaire, cela est défini grâce à un schéma.
Le schéma contient la définition de toutes les classes et de tous les attributs disponibles et
autorisés au sein de votre annuaire. Il est à noter que le schéma est évolutif, le modèle de base
n‟est pas figé et peut évoluer selon vos besoins, voir même pour répondre aux prérequis de
certaines applications.

Par exemple, l‟application de messagerie Microsoft Exchange effectue des modifications au

schéma lors de son installation.

Les modifications du schéma doivent être réalisées avec précaution, car l‟impact est important
et se ressentira sur toute la classe d‟objets concernée. Pour preuve, le schéma est protégé et les
modifications contrôlées, puisque seuls les membres du groupe « Administrateurs du
schéma » peuvent, par défaut, effectuer des modifications.

Console pour gérer le schéma de l'annuaire Active Directory

II.2.3. Les partitions d’annuaire

La base de données Active Directory est divisée de façon logique en trois partitions de
répertoire (appelé « Naming Context »). Ces trois partitions sont la partition de schéma, la
partition de configuration, et la partition de domaine.

• La partition de schéma : cette partition contient l'ensemble des définitions des classes et
attributs d‟objets, qu‟il est possible de créer au sein de l'annuaire Active Directory. Cette
partition est unique au sein d‟une forêt.

• La partition de configuration : cette partition contient la topologie de la forêt (informations

sur les domaines, les liens entre les contrôleurs de domaines, les sites, etc.). Cette partition est
unique au sein d‟une forêt.

• La partition de domaine : cette partition contient les informations de tous les objets d'un
domaine (ordinateur, groupe, utilisateur, etc.). Cette partition est unique au sein d‟un domaine,
il y aura donc autant de partitions de domaine qu‟il y a de domaines.
CHAP III. CONTROLEUR DE DOMAINE ET DOMAINE

Dans ce chapitre, nous allons aborder les notions de contrôleur de domaine et de domaine,
avec notamment la différence entre un groupe de travail et un domaine afin de bien
comprendre l‟évolution entre les deux modes.

III.1. Groupe de travail et domaine

Pour continuer l‟apprentissage de l‟Active Directory, il est intéressant de voir ce que

représente le passage du mode « Groupe de travail » au mode « Domaine ».

Pour rappel, toutes les machines sous Windows sont par défaut dans un groupe de travail
nommé « WORKGROUP », et qui permet de mettre en relation des machines d‟un même
groupe de travail, notamment pour le partage de fichiers, mais il n‟y a pas de notions
d‟annuaire, ni de centralisation avec ce mode de fonctionnement.

III.1.1. Modèle « Groupe de travail »

- Une base d’utilisateurs par machine : appelée « base SAM », cette base est unique sur
chaque machine et non partagée, ainsi, chaque machine contient sa propre base d‟utilisateurs
indépendante les unes des autres.

- Très vite inadapté dès que le nombre de postes et d’utilisateurs augmente, car cela
devient lourd en administration et les besoins différents.

- Création des comptes utilisateurs en nombre, car chaque utilisateur doit disposer d‟un
compte sur chaque machine, les comptes étant propres à chaque machine.

- Simplicité de mise en œuvre et ne nécessite pas de compétences particulières en

comparaison à la gestion d‟un annuaire Active Directory.

III.1.2. Modèle « Domaine »

- Base d’utilisateurs, de groupes et d’ordinateurs centralisée. Un seul compte utilisateur

est nécessaire pour accéder à l‟ensemble des machines du domaine.

- L’annuaire contient toutes les informations relatives aux objets, tout est centralisé sur le
contrôleur de domaine, il n‟y a pas d‟éparpillement sur les machines au niveau des comptes
utilisateurs.

- Ouverture de session unique par utilisateur, notamment pour l‟accès aux ressources
situées sur un autre ordinateur ou serveur.

- Chaque contrôleur de domaine contient une copie de l’annuaire, qui est maintenue à jour
et qui permet d‟assurer la disponibilité du service et des données qu‟il contient. Les
contrôleurs de domaine se répliquent entre eux pour assurer cela.

- Administration et gestion de la sécurité centralisée.

III.2. Les contrôleurs de domaine
III.2.1. Qu’est-ce qu’un contrôleur de domaine ?

Lorsque l‟on crée un domaine, le serveur depuis lequel on effectue cette création est promu au
rôle de « contrôleur de domaine » du domaine créé. Il devient contrôleur du domaine, ce qui
implique qu‟il sera au cœur des requêtes à destination de ce domaine. De ce fait, il devra
vérifier les identifications des objets, traiter les demandes d‟authentification, veiller à
l‟application des stratégies de groupe ou encore stocker une copie de l‟annuaire Active
Directory.

Un contrôleur de domaine est indispensable au bon fonctionnement du domaine, si l‟on éteint

le contrôleur de domaine ou qu‟il est corrompu, le domaine devient inutilisable.

De plus, lorsque vous créez le premier contrôleur de domaine dans votre organisation,
vous créez également le premier domaine, la première forêt, ainsi que le premier site.
Nous aborderons la notion de forêt et de site dans un autre chapitre. Gardez à l‟esprit qu‟un
contrôleur de domaine est un serveur qui contient une copie de l‟annuaire Active Directory.

III.2.1.1. Le fichier de base de données NTDS.dit

Sur chaque contrôleur de domaine, on trouve une copie de la base de données de l‟annuaire
Active Directory. Cette copie est symbolisée par un fichier « NTDS.dit » qui contient
l‟ensemble des données de l‟annuaire.

À noter qu‟il est possible de réaliser des captures instantanées de ce fichier afin de le consulter
en mode « hors ligne » avec des outils spécifiques.

III.2.1.2. La réplication des contrôleurs de domaine

De nos jours, il est inévitable d‟avoir au minimum deux contrôleurs de domaine pour
assurer la disponibilité et la continuité de service des services d‟annuaire. De plus, cela permet
d‟assurer la pérennité de la base d‟annuaire qui est très précieuse. À partir du moment où une
entreprise crée un domaine, même si ce domaine est unique, il est important de mettre en
place au minimum deux contrôleurs de domaine.

Sur les anciennes versions de Windows Server, notamment Windows Server 2000 et
Windows Server 2003, le mécanisme FRS (File Replication Service) était utilisé pour la
réplication. Depuis Windows Server 2008, FRS est mis de côté pour laisser la place à DFSR
(Distributed File System Replication), qui est plus fiable et plus performant.

Ainsi, les contrôleurs de domaine répliquent les informations entre eux à intervalle régulier,
afin de disposer d‟un annuaire Active Directory identique. Sans rentrer dans les détails, un
numéro de version est géré par les contrôleurs de domaine, ce qui permet à un contrôleur de
domaine de savoir s‟il est à jour ou non par rapport à la version la plus récente de l‟annuaire.

Sur le schéma ci-dessous, on trouve deux contrôleurs de domaine, présent au sein d‟un même
domaine et qui réplique entre eux des informations. Des postes de travail client sont
également présents et intégrés dans ce domaine, ils contactent les contrôleurs de domaine pour
effectuer différentes actions (authentification d‟un utilisateur, demande d‟accès à une
ressource...).

Comme on peut le voir sur le schéma ci-dessous, lorsqu‟il y a plusieurs contrôleurs de

domaine, les requêtes sont réparties.
Par ailleurs, les contrôleurs de domaine répliquent le dossier partagé « SYSVOL » qui est
utilisé pour distribuer les stratégies de groupe et les scripts de connexion.

III.3. Domaine, arbre et forêt

Intéressons-nous à la structure globale d‟une architecture Active Directory, où l‟on trouvera

potentiellement plusieurs domaines, des arbres et une forêt.

III.3.1. Symbolisation d‟un domaine

Lorsque vous verrez des schémas d‟architecture Active Directory, vous verrez les domaines
représentés par des triangles. Ainsi, notre domaine « ulbu.edu.bi » pourrait être schématisé
ainsi :

Ulbu.edu.bi

Au sein du domaine schématisé ci-dessous, on retrouvera tout un ensemble d’Unités

d’Organisation remplies d’objets de différentes classes : utilisateurs, ordinateurs, groupes,
contrôleurs de domaine, etc.
De nombreuses entreprises ont plusieurs succursales, ce qui implique plusieurs sites sur
différents emplacements géographiques. Selon l‟importance de ces sites, on pourra envisager
de créer un sous-domaine au domaine principal, voir même plusieurs sous-domaines selon le
nombre de succursales. Voyons un exemple.

On part du domaine de base « ulbu.edu.bi », auquel on ajoute deux sous-domaines : «

buja.ulbu.edu.bi » et « goma.ulbu.edu.bi» puisque nous avons deux succursales, une à
Bujumbura, l‟autre à Goma. Voici la représentation de cette arborescence :

Ulbu.edu.b

Buja.ulbu.edu.bi Goma.ulbu.edu.bi.

Sur le cas ci-dessus, les domaines «buja.ulbu.edu.bi» et «goma.ulbu.edu.bi» sont des sous-
domaines du domaine racine «ulbu.edu.bi». On appel généralement ces domaines, « des
domaines enfants ».

III.3.2. La notion d’arbre

La notion d‟arbre doit vous faire penser à un ensemble avec différentes branches. Lorsqu‟un
domaine principal contient plusieurs sous-domaines on parle alors d‟arbre, où chaque sous-
domaine au domaine racine représente une branche de l‟arbre.

Un arbre est un regroupement hiérarchique de plusieurs domaines.

Par exemple, la schématisation des domaines utilisés précédemment représente un arbre :

 Ulbu.edu.b

Buja.ulbu.edu.bi Goma.ulbu.edu.bi

Les domaines d’un même arbre partagent un espace de nom contigu et hiérarchique,
comme c’est le cas avec l’exemple du domaine « ulbu.edu.bi ».

III.3.3. La notion de forêt

Une forêt est un regroupement d‟une ou plusieurs arborescences de domaine, autrement dit
d‟un ou plusieurs arbres. Ces arborescences de domaine sont indépendantes et distinctes bien
qu‟elles soient dans la même forêt.

L‟exemple que nous utilisons jusqu‟à maintenant avec le domaine principal et les deux sous
domaines représente une forêt. Seulement, cette forêt ne contient qu‟un seul arbre.

Imaginons maintenant que nous rachetons la société « Learn-Online » et que nous décidons de
créer un domaine racine « learn-online.local », ainsi que trois sous-domaines pour les deux
succursales situées à Paris et Rennes, et un troisième sous-domaine pour un environnement de
développement situé à Rennes. On obtiendra : paris.learn-online.local, rennes.learn-
online.local et dev.rennes.learn-online.local. On obtiendra un arbre avec la racine « learn-
online.local ».

Voici l‟arbre obtenu :

Pour simplifier l‟administration, les accès et unifier le système d‟information, on peut décider
de créer cet arbre « Learn-Online » dans la même forêt que celle où se situe l‟arbre « IT-
Connect ».

On peut alors affirmer que les différentes arborescences d‟une forêt ne partagent pas le même
espace de nom et la même structure.

Ainsi, on obtiendra une jolie forêt :

Mais alors, une forêt pour quoi faire ?

Vous devez vous dire, c‟est bien joli de créer une forêt, de regrouper les domaines entre eux,
mais alors qu‟est-ce que ça apporte ?

- Tous les arbres d‟une forêt partagent un schéma d‟annuaire commun

- Tous les domaines d‟une forêt partagent un « Catalogue Global » commun (nous verrons
plus tard ce qu‟est un catalogue global)

- Les domaines d‟une forêt fonctionnent de façon indépendante, mais la forêt facilite les
communications entre les domaines, c‟est-à-dire dans toute l‟architecture.

- Création de relations entre les différents domaines de la forêt

- Simplification de l‟administration et flexibilité. Un utilisateur du domaine « paris.it-

connect.local » pourra accéder à des ressources situées dans le domaine « rennes.learn-
online.local » ou se connecter sur une machine du domaine « paris.learn-online.local », si les

Un système de noms de domaine (DNS) dispose d‟une base de données de noms distribuée.

III.4. Différents types d’Active directory

Cinq rôles permettent de répondre à des besoins différents, mais ils sont capables de fonctionner
ensemble et de se « répartir les tâches », car ils sont conçus pour assumer un rôle bien spécifique.

III.4.1 ADDS – Active Directory Domain Services

Comme son nom l‟indique, ADDS permet la mise en place des services de domaine Active
Directory, autrement dit la mise en œuvre d‟un domaine et d‟un annuaire Active Directory.

Ce rôle permet de gérer au sein d‟un annuaire les utilisateurs, les ordinateurs, les groupes, etc.
afin de proposer l‟ouverture de session via des mécanismes d‟authentification et le contrôle
d‟accès aux ressources.

III.4.2.ADCS - Active Directory Certificate Services

Ce rôle apporte une couche sécurité supplémentaire au sein du système d‟information puisqu‟il permet
de gérer et de créer des clés ainsi que des certificats. Ce rôle est compatible avec de nombreuses
applications, ce qui offre un intérêt supplémentaire à l‟utiliser pour augmenter la sécurité de manière
générale.

ADCS est composé de différents modules qui permettent d‟effectuer des demandes de certificats de
diverses façons : par le web, par le réseau, etc.

III.4.3. ADFS - Active Directory Federation Services

Depuis Windows Server 2008, un rôle nommé « ADFS » est disponible. Il s‟agit d‟un service de
fédération qui permet de simplifier l‟accès à des applications, que l‟on se trouve ou non sur le même
réseau.
Principalement, ADFS permet l‟intégration d‟un mécanisme SSO (Single Sign-On) c‟est-à-dire
l‟authentification unique. Je m‟explique. On se connecte sur le portail ADFS avec ses identifiants, et si
l‟authentification réussit on obtient directement l‟accès à l‟application cible sans devoir se ré
authentifier.

Ainsi, les demandes d‟authentification pour accéder aux applications sont centralisées et des jetons
d‟accès sont distribués aux clients, si l‟accès est autorisé.

III.4.4. ADRMS - Active Directory Rights Management Services

Il permet de gérer finement les autorisations sur les fichiers des utilisateurs. Il ne se limite pas aux
simples autorisations comme « accès en lecture » ou « accès en lecture et écriture », ce sont plutôt des
droits comme : « J’autorise les utilisateurs à sauvegarder le fichier, mais je n’autorise pas l’impression
du fichier ».

ADRMS est une application « client – serveur », cela implique qu‟ADRMS s‟intègre dans les
applications pour créer de l‟interaction. De ce fait, les applications doivent être compatibles, ce qui est
le cas des versions de Microsoft Office Entreprise, Professional Plus et Integral.

Finalement, ADRMS augmente la sécurité de vos fichiers au niveau des accès, ce qui permet de mieux
protéger l‟information.

III.4.5. ADLDS - Active Directory Lightweight Directory Services

Historiquement appelé « ADAM » pour un Active Directory en mode application, le rôle ADLDS se
rapproche du mode ADDS classique à la différence qu‟il n‟implique pas la création d‟un domaine, mais
fonctionne directement en mode instance, où plusieurs instances d‟ADLDS peuvent être exécutées sur le
serveur.

L‟intérêt est de pouvoir créer un annuaire autonome qui permettra de créer une base d‟utilisateurs,
pouvant être utilisé dans le cadre d‟un processus d‟authentification auprès de l‟annuaire LDAP. Par
contre, ces utilisateurs ne peuvent pas être utilisés pour mettre en place du contrôle d‟accès, car il n‟y a
pas cette notion de sécurité due à l‟absence de contrôleur de domaine.

III.4.6.ADRMS - Active Directory Rights Management Services

. Il permet de gérer finement les autorisations sur les fichiers des utilisateurs. Il ne se limite pas aux
simples autorisations comme « accès en lecture » ou « accès en lecture et écriture », ce sont plutôt des
droits comme : « J’autorise les utilisateurs à sauvegarder le fichier, mais je n’autorise pas l’impression
du fichier ».

ADRMS est une application « client – serveur », cela implique qu‟ADRMS s‟intègre dans les
applications pour créer de l‟interaction. De ce fait, les applications doivent être compatibles, ce qui est
le cas des versions de Microsoft Office Entreprise, Professional Plus et Integral.

Finalement, ADRMS augmente la sécurité de vos fichiers au niveau des accès, ce qui permet de mieux
protéger l‟information.

III.4.7. ADLDS - Active Directory Lightweight Directory Services

Historiquement appelé « ADAM » pour un Active Directory en mode application, le rôle ADLDS se
rapproche du mode ADDS classique à la différence qu‟il n‟implique pas la création d‟un domaine, mais
fonctionne directement en mode instance, où plusieurs instances d‟ADLDS peuvent être exécutées sur le
serveur.

L‟intérêt est de pouvoir créer un annuaire autonome qui permettra de créer une base d‟utilisateurs,
pouvant être utilisé dans le cadre d‟un processus d‟authentification auprès de l‟annuaire LDAP. Par
contre, ces utilisateurs ne peuvent pas être utilisés pour mettre en place du contrôle d‟accès, car il n‟y a
pas cette notion de sécurité due à l‟absence de contrôleur de domaine.

III.8. Installer Active Directory Domain Services (ADDS) sur Windows Server 2012

Nous allons voir dans ce point comment installer ADDS (Active Directory Domain Services) sur un

serveur Windows Server 2012, afin de pouvoir l‟utiliser comme contrôleur de domaine. a)

Installation

1. Lancer le « Server Manager.

2. Cliquez sur « Add roles and features ».

3. Cliquez sur « Next ».

4. Laissez le choix « Role-based or feature-based installation » sélectionné. Cliquez sur « Next ».

5. Laissez le premier choix coché, votre serveur (que je n‟ai pas renommé …) étant sélectionné.
Cliquez sur « Next ».
6. Sélectionnez le rôle « Active Directory Domain Services » dans la liste. Cliquez sur « Next ».

7. La liste des features qui vont être installées s‟affiche. Cliquez sur « Add features ».
8. Cliquez sur « Next ».

9. La liste des features s‟affiche. Cliquez sur « Next ».

10. Une page informative s‟affiche. Cliquez sur « Next ».

11. Cliquez sur « Restart the destination server automatically if required », cliquez sur « Yes » dans
la popup, puis cliquez sur « Install » pour démarrer l‟installation.
12. L‟installation débute.

13. L‟installation s‟achève. Cliquez sur « Close ».

A noter qu‟un message vous indique que la configuration est requise; c‟est ce que nous allons voir
juste après.

b) Configuration

14. En haut de la fenêtre du Server manager cliquez sur l‟icône « Notifictions », puis cliquez sur le
lien « Promote this server to a domain controller ».

15. La fenêtre de configuration s‟ouvre. Cliquez sur « Add a new forest », saisissez le nom du
domaine racine que vous souhaitez créer (ici spasipe.local). Ciquez sur « Next ».
16. Sélectionnez le niveau fonctionnel de la forêt et du domaine racine. Conservez « „Windows
Server 2012 Release Candidate » sélectionné pour ces 2 choix.

Saisissez un mot de passe pour le DSRM.

Cliquez sur « Next ».

17. Cliquez sur « Next » sans vous soucier du message d‟avertissement.

18. « SPASIPE » est prérempli comme nom « NetBios » (à rappprocher du domaine « spasipe.local
» configuré précedemment); cà convient, cliquez sur « Next ».
19. Modifiez si besoin les chemins des répertoires (base de données, log et sysvol) et cliquez sur «
Next ».

20. Dans l‟optique de rejouer cette installation, il vous est possible d‟exporter la configuration sous
forme d‟un script PowerShell en cliquant sur « View script ». Cliquez sur « Next ».
22. La configuration d‟ADDS se lance; les warning de l‟étape précédente sont de nouveau afffichés,
et au final un message vous indique que le serveur va redémarrer. Cliquez sur « Close ».
23. Le serveur reboot; votre domaine est désormais disponible.
III.9. Gérer les groupes dans une infrastructure Active Directory
sous Windows Server 2012

Lorsque vous créez une infrastructure Active Directory, vous avez la possibilité de créer
Les groupes d'utilisateurs avec une étendue et un type spécifique.

Les groupes permettent de :

 simplifier la gestion des droits sur les dossiers présents sur une partition utilisant le
système de fichiers NTFS
 gérer les autorisations sur les partages réseau
 faire du filtrage pour l'application de vos objets de stratégies de groupe
 envoyer du courrier (e-mails) à une série d'utilisateurs en les ciblant via le groupe
dans lequel ils sont

III.9.1. Créer un nouveau groupe

Pour créer un nouveau groupe sur votre infrastructure Active Directory, faites un clic
droit "Nouveau" sur l'unité d'organisation (OU) ou le conteneur (CN) où vous souhaitez
le créer.
Comme vous pouvez le voir, vous pouvez choisir une étendue et un type de groupe.

Pour les étendues de groupe, vous pouvez choisir entre :

 domaine local :
- ces groupes peuvent contenir des objets (utilisateurs, groupes, ...) de n'importe
quel domaine
- ces groupes ne peuvent être utilisés que pour définir des autorisations sur des
ressources présentes dans le même domaine que ce groupe
 globale (ou "internationale" dans la documentation française de Microsoft) :
- ces groupes peuvent contenir uniquement des objets (utilisateurs, groupes, ...)
présents dans le même domaine que le groupe lui-même
- ces groupes peuvent être utilisés pour définir des autorisations sur des ressources
présentes dans d'autres domaines de la même forêt
 universelle :
- ces groupes peuvent contenir des objets (utilisateurs, groupes, ...) de n'importe
quel domaine de la même forêt
- ces groupes sont utilisés pour définir des autorisations sur des ressources
présentes dans la même forêt que ce groupe

Pour le type de groupe, vous avez le choix entre :

  sécurité : ce type de groupe possède un identificateur de sécurité (SID) et permet
donc, par exemple, de définir des autorisations sur diverses ressources et/ou des
droits NTFS sur des dossiers et des fichiers
 distribution : ce type de groupe ne peut être utilisé qu'avec des solutions de
messagerie, comme Microsoft Exchange Server, par exemple.
Cela permet par exemple d'envoyer des e-mails à une liste d'utilisateurs.

Pour vous montrer la différence entre un groupe de sécurité et un groupe de distribution,

nous allons créer des 2 groupes :

 MySecurityGroup : qui est un groupe de type "Sécurité"

 MyDistribGroup : qui est un groupe de type "Distribution"
Les 2 nouveaux groupes apparaissent.

III.9.2. Groupe de distribution

Les groupes de distribution sont utilisés pour l'envoi de courriers (via Microsoft
Exchange, par exemple).

Attention : les groupes de distribution ne possèdent pas d'identificateur de sécurité

(SID) et ne peuvent pas servir pour attribuer des droits NTFS sur des dossiers, ...
III.9.3. Groupe de sécurité

Les groupes de sécurité possèdent les mêmes fonctionnalités que les groupes de
distribution, mais ils possèdent également un SID. Ce qui n'est pas le cas pour les
groupes de distribution.
Grâce aux groupes de sécurité, vous pourrez, par exemple, gérer les droits NTFS sur des
dossiers.
Pour cela, faites un clic droit sur un dossier et allez dans l'onglet "Sécurité".
Ensuite, cliquez sur Modifier.
Cliquez sur le bouton : Ajouter.
Si vous cherchez les groupes disponibles dans votre domaine Active Directory, vous
verrez que seul le groupe de sécurité s'affichera.
Ce qui prouve que les groupes de distributions ne peuvent pas être utilisés pour gérer les
droits NTFS sur des dossiers.

III.9.4.Changer l'étendue d'un groupe

Lorsque vous créez un groupe, vous pouvez choisir entre 3 étendues : Domaine local,
globale et universelle.
Néanmoins, bien qu'il soit possible de modifier l'étendue après sa création, vous ne
pouvez pas toujours changer d'une étendue vers une autre (en une seule fois).

Par exemple, lorsque le groupe a une étendue de "Globale", son étendue ne peut pas
devenir "Domaine local".
Ceci dit, la solution qui fonctionne toujours consiste à passer par l'étendue "Universelle"
et d'appliquer les changements pour que toutes les étendues soient déverrouillées.
Pour le moment, l'étendue de ce groupe est "Globale", mais nous allons la changer en
"Universelle".
Cliquez sur "Appliquer".
Maintenant que l'étendue de ce groupe est "Universelle", vous pouvez choisir n'importe
quelle étendue de groupe.

Choisissons par exemple "Domaine local", puis nous cliquons sur "Appliquer".
Maintenant que l'étendue est "Domaine local", l'étendue "Globale" est grisée.

Pas problème, repassons par l'étendue "Universelle" et cliquons sur "Appliquer".

Les différentes étendues de groupes sont à nouveau disponibles.
Nous remettons l'étendue "Globale" que nous avions choisie au début et nous cliquons
sur "Appliquer".

L'étendue "Domaine local" redevient grisée.

III.9.5. Ajouter des utilisateurs dans un groupe

Si vous affichez les propriétés d'un groupe, vous verrez qu'il peut bien évidemment
contenir des membres, mais aussi appartenir eux-mêmes à d'autres groupes.
Pour ajouter un utilisateur à un groupe, allez dans l'onglet "Membres" et cliquez sur le
bouton "Ajouter".
Indiquez le nom de l'utilisateur à ajouter ou cherchez-le en cliquant sur le bouton
"Avancé".

Notre utilisateur "InformatiUser" fait maintenant partie de notre groupe de sécurité

"MySecurityGroup".
Comme expliqué précédemment, un groupe peut aussi faire partie d'un autre groupe
Active Directory.
Pour cela, allez dans l'onglet "Membre de" et cliquez sur : Ajouter.
Indiquez le nom du groupe dans lequel vous souhaitez ajouter le groupe en cours de
modification.

Comme vous pouvez le voir, notre groupe "MySecurityGroup" se trouve maintenant dans
le groupe "MyDistribGroup".

Attention : n'utilisez pas trop ce genre d'imbrication de groupes, car en ajoutant un

groupe dans un autre, il est possible que les utilisateurs d'un groupe enfant reçoivent des
droits qui étaient prévus uniquement aux membres du groupe parent.
L'imbrication de groupes peut donc poser un problème de sécurité dans certains cas.
Donc, avant d'imbriquer des groupes dans d'autres groupes, assurez-vous que cela
n'influera pas négativement sur votre infrastructure système.
Pour ajouter un utilisateur dans un groupe, vous pouvez aussi faire un clic droit "Ajouter
à un groupe" sur l'utilisateur souhaité.

Indiquez le nom du groupe dans lequel vous voulez ajouter cet utilisateur.

Le message "L'opération Ajouter au groupe est terminée" apparait.

Comme vous pouvez le voir, l'utilisateur souhaité a bien été ajouté dans le groupe
souhaité.

III.9.6. Déléguer la gestion d'un groupe

Dans les grandes entreprises, lorsque vous possédez de nombreux utilisateurs et que
ceux-ci sont peut-être répartis sur différents sites géographiques, il peut être intéressant
de déléguer la gestion d'un groupe à un administrateur local (par exemple).
Pour cela, dans les propriétés du groupe souhaité, allez dans l'onglet "Géré par" et cliquez
sur "Modifier".
Indiquez par exemple, le nom de votre administrateur IT local.
Dans notre cas, son compte est : IT_Manager.

Si nécessaire, vous pouvez même l'autoriser à gérer la liste des membres de ce groupe en
cochant la case : Le gestionnaire peut mettre à jour la liste des membres.
III.9.8.Les principales classes

Avant de s‟intéresser aux attributs, nous allons rapidement voir les principales classes d‟objets, puisque
ce sont ces classes qui contiennent les attributs que nous verrons après.

Nom Description

Les ordinateurs clients intégrés au

Ordinateur domaine, mais aussi les serveurs et
les contrôleurs de domaine

Enregistrer des contacts, sans

Contact
autorisation d‟authentification

Regrouper des objets au sein d‟un

groupe, notamment pour simplifier
l‟administration (attribution de
Groupe
droits à un service « informatique »
qui correspond à un groupe nommé
« informatique », par exemple)
 Dossier pour créer une arborescence
Unité d’organisation
et organiser les objets.

Imprimante Ressource de type « imprimante »

Comptes utilisateurs qui permettent

de s‟authentifier sur le domaine, et
Utilisateur
accéder aux ressources, aux
ordinateurs

Le tableau ci-dessus regroupe les classes d‟objets les plus utilisées et les plus courantes.

Je tiens à préciser tout de même que par défaut l'Active Directory intègre déjà des containers
(Users, Builtin, etc) et qui, à la différence des unités d'organisation natives, ne peuvent pas se voir
appliquer des stratégies de groupe (GPO) et qu'il n'est pas possible de créer une délégation sur ces
containers.

C'est petite précision étant dite, intéressons-nous aux attributs.

III.9.9. Les identifiants uniques : DistinguishedName et GUID

Chaque objet dispose d’identifiants uniques qui sont représentés par deux attributs : le
DistinguishedName et le GUID.

A. Le DistinguishedName

Cet identifiant unique également appelé « DN » représente le chemin LDAP qui permet de trouver
l‟objet dans l‟annuaire Active Directory.

Voici un autre exemple :

- Domaine : ugl.edu.bi
- Unité d’organisation où se trouve l’objet : informatique
- Nom de l’objet : egide

Le DN de cet objet utilisateur sera :

cn=egide,ou=informatique,dc=ugl.edu.bi=bi

Dans ce DN, on trouve un chemin qui permet de retrouver l‟objet, différents éléments sont utilisés :

Identification de l’élément Description

CommonName – Nom commun –

cn
Nom de l‟objet final ciblé
 OrganizationalUnit – Unité
ou
d‟organisation

Composant de domaine – Utilisé

pour indiquer le domaine cible, avec
dc
un élément « dc » par partie du
domaine

Le DN peut être très long si l‟arborescence de l‟annuaire est importante et que l‟objet se trouve à la fin
de cette arborescence. De plus, le DN peut changer régulièrement si l‟objet est déplacé, ou si une unité
d‟organisation dont il dépend est renommée puisqu‟il contient de manière nominative les objets.

B. Le GUID

Le GUID (Globally Unique IDentifier) est un identificateur global unique qui permet d‟identifier un
objet d‟un annuaire Active Directory. Il correspond à l‟attribut « ObjectGUID » dans le schéma Active
Directory.

Il est attribué à l’objet dès sa création et ne change jamais, même si l’objet est déplacé ou modifié.
Le GUID suit un objet de la création jusqu‟à la suppression.

Codé sur 128 bits, le GUID d‟un objet est unique au sein d’une forêt et il est généré par un
algorithme qui garantit son unicité. Des informations aléatoires, d‟autres non, comme l‟heure de
création de l‟objet .

III. Les attributs indispensables

Après avoir vu les attributs ObjectGUID et DistinguishedName, continuons notre quête des attributs
avec ce tableau qui récapitule les attributs que l‟on manipule le plus souvent.

Nom de l’attribut
Nom de l’attribut
dans la console Description
dans le schéma
Active Directory

Valeur que devra utiliser

« Nom d‟ouverture de
l‟objet pour
sAMAccountName session de
s‟authentifier sur le
l‟utilisateur »
domaine

« Nom d‟ouverture de
Nom complet de
UserPrincipalName session de
l‟utilisateur avec le
l‟utilisateur »
domaine inclus.
concaténé au nom du
 domaine sous la forme Également appelé UPN
« @it-connect.local »

description Description Description de l‟objet

Adresse de messagerie
mail Adresse de messagerie
attribuée à l‟objet

Égal à « 1 » s‟il s‟agit

d‟un compte de type
adminCount -
« Administrateur », égal
à « 0 » s‟il ne l‟est pas

Nom complet qui sera

DisplayName Nom complet affiché pour cet
utilisateur

givenName Prénom Prénom de l‟utilisateur

Nombre d‟ouverture de
logonCount - session réalisée par cet
objet

Date à laquelle le
Date d‟expiration du compte ne sera plus
accountExpires
compte utilisable (peut être
vide)

Identifiant de sécurité
ObjectSID - unique qui permet
d‟identifier un objet

Dernière fois que le mot

pwdLastSet -
de passe fût modifié

userAccountControl - État du compte – Une

dizaine de codes
 différents sont possibles

CHAP IV : Installation et Configuration d'un serveur DNS

IV.1. La structure du serveur DNS

Un système de noms de domaine (DNS) dispose d‟une base de données de noms distribuée.

• Les noms de la base de données DNS établissent une arborescence logique, connue comme
l'espace de nommage.
• Chaque nœud ou domaine de l‟espace de nommage dispose d‟un nom et peut contenir des
sous-domaines.
• Les domaines et sous-domaines se regroupent par zones pour permettre l‟administration
distribuée de l‟espace de nommage (les zones détaillées ci-dessous).
• Le nom du domaine identifie la position de celui-ci sur l‟arborescence logique du DNS, en
séparant chaque branche de l‟arbre par un point, possédant un nom unique de 63 caractères
au plus.

Sur la figure suivante, sont affichés divers domaines, où se trouve Mondomaine, et un hôte appelé
host, à l‟intérieur du domaine mondomaine.com. Si quelqu‟un désire contacter avec ce host, il
devra alors utiliser le nom complet host.mondomaine.com. On parle alors de nom totalement
qualifié ou FQDN (Fully Qualified Domain Name).

IV.2. Étapes de l’installation :

1. Renommer le serveur
2. Configurer un adressage IP statique
3. Installer les services de Contrôleur de Domaines
4. Configurer le serveur DNS
5. Configurer l‟interface d‟écoute du serveur DNS
6. Configurer le DNS forwarding
7. Changez la configuration IP du serveur en remplaçant le serveur DNS configuré par lui-
même

1. Renommer le serveur
Accédez a la console de gestion du serveur
Cliquez sur le nom du serveur pour le modifier
Cliquez sur « Change », modifiez le nom de l‟ordinateur, puis cliquez sur « OK »
 Après avoir confirmé, redémarrez le système pour la prise en compte de la modification

Suite au redémarrage, vous constaterez que le nom du serveur a changé

2. Configurer un adressage IP statique

Revenez dans la console de gestion du serveur
Cliquez sur le lien vers la configuration du port Ethernet
Cliquez droit sur l‟adaptateur réseau, et accédez aux propriétés

Sélectionnez le protocole IPv4, accédez au propriétés et insérez les informations réseaux

pour le serveur
 Cliquez sur OK pour confirmer
3. Installer les services de Contrôleur de Domaines
Toujours dans la console de gestion, accédez a « Manage » puis « Add Roles and Features »
Suivez les instructions suivants

Choisissez « Role-Based or feature-based installation » pour ajouter des rôles et

fonctionnalités
Sélectionnez votre serveur dans le pool de serveurs :

Sélectionnez le service « Active Directory Domain Services »

Confirmez l‟installation de ces fonctionnalités

Puis sélectionnez aussi le serveur DNS

Confirmez l‟installation de ces fonctionnalités

Cliquez sur « Next » pour continuer

Laissez par défaut et continuez avec « Next »

Lisez les informations sur ADDS comme ci-dessous et cliquez sur « Next »
Cliquez sur « Install » pour lancer l‟installation

L‟installation progresse, patientez un moment

Il faut maintenant élever le serveur en contrôleur de domaine, cliquez sur « Promote this
server
to a domain controller »
Sélectionnez « Add a new forest » et donnez un nom a votre domaine (exemples :
mylab.local
ou monentreprise.local), cliquez sur « Next » pour continuer
Insérez le mot de passe pour accéder au mode de restauration de l‟Active Directory, veuillez
bien garder ce mot de passe en cas d‟incident dans le futur, ceci pourrait bien vous sauver la

vie

Laissez tel quel et cliquez sur « Next »

Entrez le nom Netbios du nom de domaine, système devrait déjà générer un nom par rapport
a votre nom de domaine Laissez par défaut et cliquez sur
 « Next » Révisez et confirmez vos paramétrages, puis cliquez
sur « Next »

Le serveur va effectuer les dernieres verifications des pre-requis

Lorsque tout est OK, vous aurez possibilité de lancer l‟installation
Attention ! Le serveur redémarrera automatiquement sans donner d’avertissement, veuillez
sauvegarder tout processus en cours sur le serveur s’il y en a.
L‟avertissement se trouve en bas de cette fenêtre avant l‟installation

L‟installation est en cours, veuillez patienter.

Après redémarrage, vous pouvez désormais vous authentifier avec votre identifiant
administrateur du domaine « MONDOMAINE\Administrateur »
4. Configurer le serveur DNS

Revenez maintenant dans la console de gestion du serveur

Sous le menu Tools, cliquez sur DNS

La console de gestion du serveur DNS s‟affiche, nous allons créer une zone inversée (elle
n‟est pas créée automatiquement), cette zone vous permettra de résoudre des noms à partir
de l’adresse IP
Déployez dans le menu le serveur DNS, puis faites un clic droit sur « Reverse Lookup Zones
» puis « New Zone »

L‟assistant de création de nouvelle zone s‟affiche, cliquez sur « Next »

Choisissez le type de zone, choisissez « Primary zone » et cochez l‟option pour intégrer la
zone DNS dans l‟Active Directory, cliquez sur « Next »

Laissez par défaut sur « To all DNS servers running on domain controllers in this domain »
Sélectionnez « IPv4 Reverse Lookup Zone »

Tapez les 3 premiers octets de votre adressage IP

Choisissez le mode de mise a jour automatique des données de la zone DNS

Cliquez sur « Finish » pour terminer

Deployez dans le menu lateral, Serveur > Forward Lookup Zones > mondomaine.local
Double cliquez sur l‟entrée qui correspond au serveur

Cochez l‟option pour créer automatiquement un pointeur (PTR) dans la zone de recherche
inversée
5. Configurer l’interface d’écoute du serveur DNS Toujours dans la console de gestion DNS,
faites un clic droit sur le serveur puis accédez aux propriétés

Sous l‟onglet « Interfaces », sélectionnez « Only the following IP adresses » pour seulement
sélectionner l‟adresse IP au format IPv4
 6. Configurer le DNS forwarding
Toujours dans les propriétés du serveur DNS, accédez a l‟onglet « Forwarders » Créez, si cela n‟est
pas fait, une entrée contenant l‟adresse de serveurs DNS externe.
7. Changez la configuration IP du serveur en remplaçant le serveur DNS configuré par lui-
même
Voila, nous avons installé un serveur contrôleur de domaine Active Directory et configuré un
serveur DNS sous Windows Server 2012.
CHAP IV : Installation et Configuration d'un serveur DHCP

IV. 1. Présentation

Le DHCP (Dynamic Host Configuration Protocol) : Un serveur DHCP délivre des adresses IP de
façon automatique aux ordinateurs se connectant au réseau. En plus d'une adresse IP le serveur
DHCP vous informe de la configuration réseau tel que la passerelle par défaut et le masque de sous-
réseau.

Dans un réseau informatique, les machines sont identifiées avec une adresse IP. Cette adresse IP
peut être soit configurée manuellement en intervenant physiquement sur la machine et en
configurant les paramètres IP de la machine ce qui dans la cadre d‟une entreprise de grande taille est
difficile à maintenir soit il peuvent être configurés automatiquement.

C‟est donc dans cette deuxième option qu‟intervient le serveur DHCP. Le serveur DHCP (Dynamic
Host Configuration Protocol) permet donc d‟attribuer automatiquement des adresses IP aux
machine du réseau. Il possède une base d‟adresses qui est configurée et qu‟il peut distribuer et
ensuite en fonction des demandes qui lui parviennent, il va pouvoir attribuer une adresse à la
machine.

Le serveur DHCP va pouvoir configurer plusieurs paramètres et non pas uniquement l‟adresse IP. Il
va pouvoir renseigner entre autres le netmask, la passerelle par défaut ainsi que différentes options
comme par exemple l‟adresse des serveurs DNS ou le nom du domaine.

IV. 2. Fonctionnement du protocole DHCP

Le principe de fonctionnement de DHCP se base sur une relation client-serveur.

Lorsqu‟une machine a besoin d‟obtenir une adresse IP, elle va d‟abord envoyer un message de type
broadcast pour savoir est-ce qu‟il y‟a un serveur DHCP sur le réseau et quel est son adresse (DHCP
Discover).

Si un serveur DHCP est présent il va donc recevoir le message de la machine. Il va a se moment la

regarder si dans sa base d‟adresse il a une adresse qu‟i peut proposer à la machine. SI oui il envoie
une réponse directement à la machine avec l‟adresse IP qu‟il lui propose (DHCP Offer).

Le machine reçoit le message et répond au serveur DHCP en indiquant si elle accepte cette adresse
IP que lui propose le serveur DHCP. Si oui elle envoie donc une requête au serveur en lui indiquant
qu‟elle veut utiliser cette adresse. (DHCP Request).
Le serveur DHCP reçoit la requête de la machine et finalement renvoie à son tour un message
indiquant que tout est ok et que l‟adresse lui est assignée (DHCP Ack).

Le serveur DHCP devra être autorisé dans l‟Active Directory si celui est joint à un domaine pour
qu‟il puisse avoir l‟autorisation de donner des adresses à des machines clientes.

IV.3. Terminologie pour le serveur DHCP

Étendue : Une étendue est la plage consécutive complète des adresses IP probables d‟un réseau.
Les étendues désignent généralement un sous-réseau physique unique de votre réseau auquel sont
offerts les services DHCP. Les étendues constituent également pour le serveur le principal moyen
de gérer la distribution et l‟attribution d‟adresses IP et de tout autre paramètre de configuration
associé aux clients du réseau.

Étendue globale : Une étendue globale est un regroupement administratif des étendues pouvant
être utilisé pour prendre en charge plusieurs sous-réseaux logiques IP sur le même sous-réseau
physique.
Les étendues globales contiennent uniquement une liste d‟étendues membres ou d‟étendues enfants
qui peuvent être activées ensemble. Les étendues globales ne sont pas utilisées pour configurer
d‟autres détails concernant l‟utilisation des étendues. Pour configurer la plupart des propriétés
utilisées dans une étendue globale, vous devez configurer individuellement les propriétés des
étendues membres.

Plage d’exclusion : Une plage d’exclusion est une séquence limitée d‟adresses IP dans une étendue,
exclue des offres de service DHCP. Les plages d‟exclusion permettent de s‟assurer que toutes les
adresses de ces plages ne sont pas offertes par le serveur aux clients DHCP de votre réseau.

Pool d’adresses : Une fois que vous avez défini une étendue DHCP et appliqué des plages
d‟exclusion, les adresses restantes forment le pool d’adresses disponible dans l‟étendue. Les
adresses de pool peuvent faire l‟objet d‟une affectation dynamique par le serveur aux clients DHCP
de votre réseau.

Bail : Un bail est un intervalle de temps, spécifié par un serveur DHCP, pendant lequel un
ordinateur client peut utiliser une adresse IP affectée. Lorsqu‟un bail est accordé à un client, le bail
est actif.
Avant l‟expiration du bail, le client doit renouveler le bail de l‟adresse auprès du serveur. Un bail
devient inactif lorsqu‟il arrive à expiration ou lorsqu‟il est supprimé du serveur. La durée d‟un bail
détermine sa date d‟expiration et la fréquence avec laquelle le client doit le renouveler auprès du
serveur.

Réservation : Utilisez une réservation pour créer une affectation de bail d‟adresse permanente par
le serveur DHCP. Les réservations permettent de s‟assurer qu‟un périphérique matériel précis du
sousréseau peut toujours utiliser la même adresse IP.

Types d’options : Les types d’options sont d‟autres paramètres de configuration client qu‟un
serveur DHCP peut affecter lors du service de baux aux clients DHCP. Par exemple, certaines
options régulièrement utilisées comprennent des adresses IP pour les passerelles par défaut
(routeurs), les serveurs WINS et les serveurs DNS. Généralement, ces types d‟options sont activés
et configurés pour chaque étendue. La console DHCP vous permet également de configurer les
types d‟options par défaut utilisés par toutes les étendues ajoutées et configurées sur le serveur. La
plupart des options sont prédéfinies via la RFC 2132, mais vous pouvez utiliser la console DHCP
pour définir et ajouter des types d‟options personnalisés si nécessaire.

Classes d’options : Une classe d’options est un moyen pour le serveur de continuer à gérer les
types d‟options proposés aux clients. Lorsqu‟une classe d‟options est ajoutée au serveur, les clients
de cette classe peuvent être fournis en types d‟options spécifiques à la classe pour leur
configuration. Pour Microsoft® Windows® 2000 et Windows XP, les ordinateurs clients peuvent
également spécifier un ID de classe lorsqu‟il communique avec le serveur. Pour des clients DHCP
plus récents qui ne prennent pas en charge le processus d‟ID de classe, le serveur peut être configuré
avec les classes par défaut à utiliser lors du placement des clients dans une classe. Les classes
d‟options peuvent être de deux types : les classes de fournisseurs et les classes d‟utilisateurs.

IV.4. Installation et configuration du service DHCP

Nous allons commencer par attribuer une adresse IP statique à notre ordinateur en modifiant le
protocole IPV4 de notre carte réseau et lui attribuer les valeurs suivantes :

Note : L'adresse 192.168.42.254 n'est d'autre que celle de mon routeur donc veillé à bien changer
cette valeur par celle de votre propre routeur.

Retourner dans le panneau de configuration Windows Server 2012.

Cliquer sur "Gérer" puis "Ajouter des rôles et des fonctionnalités".

Cliquer sur suivant jusqu‟à tomber sur le "Pool de serveur".

Sélectionnez votre ordinateur (ici « srvpedago-01 ») puis sélectionner "Serveur DHCP" et enfin
"Ajouter les fonctionnalités".

Attendez la fin de l'installation et cliquer sur "Terminer la configuration DHCP"

Vérifiez que vous avez les bonnes fonctionnalités prêtent à être installer comme ci-dessous :

Validez l'installation.

Vous devriez voir apparaître cette fenêtre :

Validez l'autorisation et le résumé avant de fermer la fenêtre.

Retour au panneau de configuraiton.

Dans le volet gauche séléctionnez "DHCP". Cliquer droit sur votre serveur puis "Gestionnaire
DHCP" comme ci-dessous :
Ensuite cliquer sur "IPv4" puis "Nouvelle étendue" Configurez ensuite votre nouvelle étendue
comme ceci :

Note : N'oubliez pas de remplacer l'adresse IP par celle de votre routeur

Inutile d'ajouter des exclusions pour le moment. Valider simplement la plage d'adresse ainsi que la
durée du bail.

Cliquer sur suivant

Ajouter votre routeur (ici 192.168.42.254) et valider

Valider la page sans modifications.

Valider et terminer la configuration de votre nouvelle étendue.

Retour sur le "Gestionnaire DHCP"

Cliquer sur "Options d'étendue", cliquer droit sur "Server DNS" puis "Propriétés". Ajoutez ensuite
votre nouvelle adresse (ici 192.168.42.254) et valider comme ci-dessous :

Voilà, votre serveur DHCP est maintenant pleinement configuré et fonctionnel.

CHAP V : GESTION DE COMPTES D'UTILISATEUR ET LES STRATEGIES DE
GROUPES
V.1. Création des utilisateurs, groupes et unités d’organisation

Avant de commencer, il est nécessaire d‟installer un Active Directory.

Notre exemple est réalisé sur un Windows serveur 2012. Nous allons créer les utilisateurs, groupes
dans lesquels vont être membres ces utilisateurs et unité organisationnelle dans l‟annuaire. Cela
dans la mise en place des premiers postes de travail dans une entreprise. Nous avons élaboré un
schéma simpliste pour représenter notre entreprise, c‟est-à-dire un contrôleur de domaine et une
station de travail.

Création

Nous allons commencer à peupler notre Active Directory. Pour ce faire nous devons lancer la
console Utilisateurs et ordinateurs Active Directory. On peut la lancer depuis le Gestionnaire de
serveur puis sous la rubrique AD DS. Un clic droite sur notre serveur puis on choisit Utilisateurs et
ordinateurs Active Directory.
On arrive sur la console.

Unité organisationnelle Nous allons créé une unité organisationnelle afin d‟y mettre l‟ensemble
des utilisateurs et groupes mise en place pour ces utilisateurs dans le cadre de notre entreprise. On
se place dans l‟arbre à la hauteur de notre domaine ogelin.local. Selon la créateur du domaine, vous
pouvez avoir un ogelin.ad.
On fait un clic droite dans la fenêtre de droite, puis Nouveau et on choisit Unité d’organisation.

Une fois cette étape faite, nous devons choisir le nom de notre unité.
L‟option supplémentaire Protéger le conteneur contre une suppression accidentelle est apparu avec
Windows serveur 2012. Cette option n‟est pas présente dans Windows serveur 2008.

Nouvel utilisateur

Nous allons créer une unité organisationnelle MpolFamily. Lorsque cela est fait, nous pouvons créer
les premiers utilisateurs de notre entreprise avec un bouton droite ensuite Nouveau puis Utilisateur.

Avec notre nouvel utilisateur, nous allons commencer à peupler notre unité. On répète le même
schéma pour tous les nouveaux utilisateurs. Dans notre exemple, nous allons créer un utilisateur qui
s‟appelle Nicola.
On a repris pour simplifier le prénom nicola pour le nom d‟ouverture de session. On voit que Nicola
a deux moyens pour ouvrir une session. Nous avons l‟UMP, c‟est-à-dire la forme d‟adresse email,
nicola@ogelin.local ou par l‟intermédiaire d‟une authentification Windows NT ou 2000 avec le
nom du domaine backslash suivi du prénom, OGELIN\nicola.

Après avoir presser sur le bouton Suivant, on doit saisir un mot de passe complexe. Complexe veut
dire que le mot de passe doit contenir au moins 7 caractères avec au moins 3 des éléments suivants :

• une majuscule
• une minuscule
• un nombre
• un symbole
L‟option L’utilisateur doit changer le mot de passe à la prochaine ouverture de session forcera
Nicola à changer le mot de passe transmis et entré ci-dessus à la première connexion sur le domaine.
Après avoir entré le mot de passe, nous obtenons un résumé des informations de l‟utilisateur Nicola.

On clique sur Terminer et l‟utilisateur est créé.

S‟il on affiche les propriétés nouvellement créé avec un clique droite puis Propriétés ou en double
cliquant dessus, on voit que l‟on a beaucoup plus d‟informations que dans l‟assistant. On peut alors
remplir le bureau, le numéro de téléphone, etc. de l‟utilisateur.

On peut notamment faire démarrer un programme à l‟ouverture de session ou permettre de le

contrôle à distance. On va pouvoir mettre plusieurs utilisateurs dans un groupe. On répète la même
opération en complétant le profil pour chaque utilisateur.

Nouveau groupe

Bouton de droite puis Nouveau et Groupe.

On rappelle brièvement les choix possible dans l‟encadré Étendue du groupe et Type de groupe. Les
informations redonnées ici sont présentes sur technet. Il est fortement recommandé d‟utiliser les
groupes globaux ou les groupes universels plutôt que les groupes de domaines locaux lorsque vous
spécifiez des autorisations sur des objets d‟annuaire qui sont répliqués vers le catalogue global.

Étendue du groupe

Domaine local : Les membres des groupes de domaines locaux incluent d‟autres groupes et
comptes issus de domaines Windows Server 2003, Windows 2000, Windows NT, Windows Server
2008 et Windows Server 2008 R2. Les membres de ces groupes ne peuvent recevoir des
autorisations qu‟au sein d‟un domaine. Les groupes avec une étendue de domaine local vous
permettent de définir et de gérer l‟accès aux ressources dans un seul domaine.

Vous pouvez simplifier cette tâche d‟administration de routine en créant un groupe avec une
étendue de domaine local et en lui affectant l‟autorisation d‟accéder à l‟imprimante. Placez les cinq
comptes d‟utilisateurs dans un groupe avec une étendue globale et ajoutez ce groupe au groupe avec
une étendue de domaine local. Pour octroyer l‟accès à une nouvelle imprimante aux cinq
utilisateurs, affectez au groupe une autorisation d‟étendue de domaine local pour accéder à la
nouvelle imprimante. Tous les membres du groupe à étendue globale reçoivent automatiquement
l‟accès à la nouvelle imprimante.

Globale :Les membres des groupes globaux peuvent inclure d‟autres groupes et comptes provenant
uniquement du domaine où le groupe est défini. Les membres de ces groupes peuvent recevoir des
autorisations dans n‟importe quel domaine de la forêt. Utilisez les groupes à étendue globale pour
gérer des objets d‟annuaire qui nécessitent une maintenance quotidienne, tels que les comptes
d‟utilisateurs et d‟ordinateurs. Étant donné que les groupes à étendue globale ne sont pas répliqués à
l‟extérieur de leur propre domaine, vous pouvez modifier fréquemment les comptes dans un groupe
à étendue globale sans causer de trafic de réplication vers le catalogue global.

Universelle :

Les membres des groupes universels peuvent inclure d‟autres groupes et comptes provenant des
domaines de la forêt ou de l‟arborescence de domaine. Les membres de ces groupes peuvent
recevoir des autorisations dans n‟importe quel domaine de la forêt ou de l‟arborescence de domaine.
Utilisez les groupes à étendue universelle pour consolider les groupes qui s‟étendent sur plusieurs
domaines. Pour ce faire, ajoutez les comptes aux groupes à étendue globale et insérez ces groupes
dans des groupes à étendue universelle. Lorsque vous utilisez cette stratégie, les changements
d‟appartenance dans les groupes à étendue globale n‟affectent pas les groupes à étendue universelle.

Par exemple, dans un réseau composé de deux domaines, Europe et UnitedStates, et un groupe à
étendue globale intitulé GLAccounting dans chaque domaine, créez un groupe à étendue universelle
intitulé UAccounting qui possède les deux groupes GLAccounting comme membres,
UnitedStates\GLAccounting et Europe\GLAccounting. Vous pouvez ensuite utiliser le groupe
UAccounting n‟importe où dans l‟entreprise. Tout changement affectant l‟appartenance des groupes
individuels GLAccounting n‟entraîne pas la réplication du groupe UAccounting.

Ne modifiez pas fréquemment l‟appartenance d‟un groupe à étendue universelle. Tout changement
apporté à l‟appartenance de ce type de groupe entraîne la réplication de l‟appartenance entière du
groupe vers chaque catalogue global de la forêt.

Type de groupe

On trouve deux types de groupes : distribution et sécurité. On utilise les groupes de distribution pour
créer des listes de distribution électronique et ceux de sécurité pour affecter des autorisations à des
ressources partagées. Les groupes de distribution ne sont pas sécurisés, ce qui signifie qu‟ils ne
peuvent pas être répertoriés dans les listes de contrôle d‟accès discrétionnaire (DACL).

Les groupes de sécurité permettent :

• Assigner des droits d‟utilisateurs à des groupes de sécurité dans AD DS.

• Affecter des autorisations aux groupes de sécurité sur des ressources.
Dans notre cas, nous avons une groupe d‟utilisateur. Nous allons choisir l‟étendu du groupe Globale car
nous avons un assez fréquent aux informations et le type de groupe Sécurité afin d‟accéder à des
partages.

Dans ce groupe commerciaux, nous allons ajouter des utilisateurs. Dans les propriétés ou en double
cliquant sur le groupe voulu, nous pouvons nous rendre l‟onglet Membres et ajouter les membres
que l‟on souhaite. On clique sur Ajouter… puis sur Avancé… et on recherche nos utilisateurs.

On peut également taper directement le nom dans les noms des objets à sélectionner puis Vérifier
les noms. Nous pouvons ajouter par exemple une utilisatrice qui s‟appelle Nathalia.

On utilisera ces groupes créés pour donner des droits sur des fichiers, imprimantes, base de données,
etc. On pourra appliquer une stratégie de groupes à MpolFamily afin de conditionner
l‟environnement de travail des personnes faisant partis de cette unité organisationnelle.
V.2. Connexion à un serveur (Machine cliente sur un serveur)

Pour joindre des ordinateurs exécutant Windows Server 2008 R2 (version finale) et Windows 7
(version finale) au domaine :

1. Ouvrez une session sur l‟ordinateur avec le compte

Administrateur local.
Cliquez sur Démarrer, cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Propriétés.
La boîte de dialogue Système s‟ouvre.
2. Dans Paramètres de nom d‟ordinateur, de domaine et de groupe de travail, cliquez sur
Modifier les paramètres. La boîte de dialogue Propriétés système s‟ouvre.
3. Cliquez sur Modifier. La boîte de dialogue Modification du nom ou du domaine de
l‟ordinateur s‟ouvre.
4. Dans Nom de l‟ordinateur, dans Membre de, sélectionnez Domaine, puis tapez le nom du
domaine auquel joindre l‟ordinateur. Par exemple, si le nom de domaine est exemple.com,
tapez exemple.com.
5. Cliquez sur OK. La boîte de dialogue Sécurité Windows s‟ouvre.
6. Dans Modification du nom ou du domaine de l‟ordinateur, dans Nom d‟utilisateur, tapez le
nom d‟utilisateur. Dans Mot de passe, tapez le mot de passe, puis cliquez sur OK.
7. La boîte de dialogue Modification du nom ou du domaine de l‟ordinateur s‟ouvre et vous
souhaite la bienvenue dans le domaine.
8. Cliquez sur OK.
9. La boîte de dialogue Modification du nom ou du domaine de l‟ordinateur affiche un
message indiquant que vous devez redémarrer l‟ordinateur pour appliquer les modifications.
Cliquez sur OK.
10. Dans la boîte de dialogue Propriétés système, sous l‟onglet Nom de l‟ordinateur, cliquez sur
Fermer.
11. La boîte de dialogue Microsoft Windows s‟ouvre et affiche un message indiquant de
nouveau que vous devez redémarrer l‟ordinateur pour appliquer les modifications.
12. Cliquez sur Redémarrer maintenant.
CHAP VII : Partage et sécurité

VI.1. Serveur de fichiers

Un des rôles les plus courants pour un serveur Windows est le serveur de fichiers. Grâce à ce rôle,
on va pouvoir mettre à disposition en toute sécurité des fichiers sur le réseau. On pourra gérer des
droits d’accès (lecture, écriture, modification…). Fournir ce type de rôle dans un réseau permet de
centraliser le point de stockage des fichiers, facilitant ainsi la sauvegarde, la restauration, et
permettant à plusieurs personnes de travailler ensemble sur un même fichier.

Pour qu‟un fichier soit accessible sur votre réseau, un protocole doit être utilisé. Sous Linux, il
s‟agit majoritairement du NFS (Network File System). Sous Windows, il est possible d‟utiliser ce
protocole, mais il n‟est pas aussi intégré au système que l‟est le protocole SMB, aussi appelé CIFS.
SMB pour Server Message Block et CIFS pour Common Internet File System.

Ce protocole se caractérise par un client natif intégré à Microsoft Windows et un serveur que vous
allez installer et configurer. Il se base sur NTFS pour la gestion des droits d‟accès et les partages
sont accessibles via un chemin universel (UNC - Universal Naming Convention) du
type\\serveur\partage.

Si SMB peut vous faire penser à SAMBA (souvent rencontré sous Linux), c‟est totalement normal,
SAMBA est une implémentation open source du protocole propriétaire SMB de Microsoft. Vous
pourrez donc partager vos fichiers via SMB et y avoir accès sur vos clients Linux.

VI.2. Installation du rôle Serveur de fichiers

Sur votre gestionnaire de serveurs, vous avez sûrement observé la présence d‟un rôle dont nous
n‟avions pas parlé, alors qu‟il était déjà installé : Le rôle Serveur de fichiers et de stockage :
 Rôle
Serveur de fichiers et de stockage installé par défaut

En effet, pour stocker des fichiers, il convient de gérer le stockage. Le mieux étant de mettre en
œuvre un disque dédié à cet effet (ou plusieurs). Il est proposé donc de créer deux disques de 10 Gio
sur votre machine virtuelle.

Pour cela, éteignez votre machine virtuelle et rendez-vous sur le menu de VirtualBox dans l‟option
“Machine”, puis sélectionnez “Paramètres”. Au passage, vous avez vu que Windows vous
demande un motif pour l‟arrêt de votre serveur :
Motif d‟arrêt et redémarrage d‟un serveur

Cela permet d‟identifier la raison de l‟arrêt. En effet, si vous arrêtez votre serveur, ses rôles,
fonctionnalités et services deviennent indisponibles. Il convient alors de s‟assurer que cela est dû à
une maintenance programmée ou à un événement non planifié. Cela permettra d‟identifier
clairement cet arrêt comme étant programmé et légitime, et donc de basculer ce temps
d'indisponibilité dans les temps de maintenance.

Vous en saurez plus dans le cours Supervision. Je vous propose donc de choisir le motif “Système
d’exploitation : reconfiguration (planifiée)”.

Rendez-vous dans la section “Stockage”, et sur votre contrôleur ajoutez deux nouveaux disques :

Ajout de deux disques virtuels à votre serveur

Redémarrez votre serveur et rendez-vous à nouveau dans l‟espace Serveur de fichiers et de

stockage, vous devriez voir les deux disques nouvellement installés :
Deux nouveaux disques

Hormis la première étape, les deux suivantes se font dans la partie “Pool de stockage” :
Création d‟un pool de stockage et d‟un disque virtuel.
 Le pool est
fin prêt

Sélectionnez ensuite votre pool de stockage et créez un disque virtuel. Pour le cas de Gift S.A., je
vous propose de partir sur un miroir simple qui utilisera les deux disques pour stocker les données
(les fichiers seront écrits en simultané sur les deux disques, la perte d‟un disque est transparente !).
 Création d‟un
disque virtuel

Ensuite, vous devrez choisir le mode d‟approvisionnement de l‟espace. Pour cela, deux options
existent, fin ("thin" en anglais) et fixe. Dans ce dernier cas, fixe, l‟espace total du volume est
proposé ; dans le cas de l‟approvisionnement fin, vous fixez la taille.

L‟avantage est qu‟il est possible de fournir un espace réduit puis de pouvoir l‟augmenter par la
suite. Il est également possible d‟afficher plus d’espace que réellement disponible physiquement.

Approvisionnement de l‟espace disque

Finalisez la création de ce disque, et créez le volume qui accueillera vos données et se présentera
avec une lettre de lecteur, ainsi qu‟un système de fichiers (NTFS par défaut).
Pour ma part, j‟ai mis en œuvre un disque virtuel en miroir en approvisionnement fin de 1 To (oui,
à partir de mes deux disques de 10 Gio).

Nouveau disque de données de 1 To en miroir sur les deux disques physiques de 10 Gio.

Volume associé au disque virtuel de 1 Tio

L'approvisionnement fin est pratique pour anticiper les besoins. Il autorise une certaine souplesse
dans l‟approvisionnement d‟espace.

Sachez que vous aurez de toute façon une alerte dès que vous aurez atteint 70 % de l‟espace physique
réel. Il vous faudra à ce moment-là ajouter de nouveaux disques physiques afin de fournir le stockage
nécessaire.

Je vous propose donc de rester raisonnable, avec 10 Gio de disque virtuel en miroir :

Volume de données avec 10 Gio en miroir sur les deux

disques physiques

Je vous propose d‟en rester là pour la gestion du stockage, le fonctionnement étant globalement le
même que sous Linux.

VI.3. Partager un dossier par l’explorateur de fichier

Cette solution est souvent utilisée et marche pour l‟ensemble des versions de Windows serveur et
bureau.
1. Ouvrir l‟explorateur et aller à l‟emplacement du fichier à partager.

2. Faire un clic droit sur le dossier1 et cliquer sur

Propriétés 1.

3. Aller sur l‟onglet Partage 1 puis cliquer sur Partage

avancé 2.

4. Cocher la case Partager ce dossier 1 et cliquer sur

Autorisations 2.
5. Configurer les autorisations de partage en fonction des besoins 1 puis cliquer sur Appliquer 2
et
OK 3.

6. Cliquer de nouveau sur Appliquer 1 et OK 2 pour fermer la fenêtre Partage avancé.

7. Le dossier est partagé et le chemin 1 visible dans
les propriétés.

8. Tester le partage directement depuis le serveur entrant l‟adresse ci-dessus dans l‟explorateur
Windows.

Partager

VI.4. Création de partage avec le gestionnaire de serveur

Maintenant que vous avez votre support pour vos données, il vous faut un dossier pour stocker les
différents fichiers. Rendez-vous dans la partie “Volumes”, puis dans l‟encart “Ressources
partagées” :
Ressources partagées

Vous retrouvez bien votre volume de 10 Gio, mais il vous est demandé d‟installer des rôles et
fonctionnalités supplémentaires. Très exactement, en suivant le lien proposé, vous aurez à installer
les services permettant d‟aller plus loin dans la fourniture de fichiers en réseaux :
Services du rôle Serveur de fichiers

Maintenant que votre rôle est complètement installé, vous avez la possibilité de créer un nouveau
partage :

Nouveau partage sur le volume E:\

Vous avez le choix entre 5 propositions via l‟assistant de création de partages :

• SMB simple : le plus simple, vous fournissez un partage sur votre réseau via SMB ;
• SMB avancé : permet d‟aller plus loin que le précédent en gérant des quotas et des droits
avancés ;
• SMB Applications : utilisé pour Hyper-V et les bases de données ou autres serveurs ;
• NFS simple : identique à SMB simple mais via NFS (avec donc une meilleure compatibilité
avec Linux) ;
• NFS avancé : idem SMB avancé.

Je vous propose de rester sur SMB simple. Il vous est ensuite demandé le chemin d‟accès (E: pour
l‟exemple) et le nom du partage (ce qui se trouvera après serveur\ dans le chemin UNC suivant :
\\serveur\partage ). Je vous propose de l'appeler “Sensible”.

Choix du mode de partage

Vous remarquez alors que Windows créera ce répertoire dans un répertoire “Shares” qui accueillera
tous les partages de ce volume. De même, l‟accès via un
chemin UNC est affiché\\SRVDHCPPAR01\Sensible.
Je vous le redis, pour être sûr que vous vous en rappeliez dans votre pratique pro, le nommage du
serveur est vraiment important .

Enfin, il vous sera proposé de configurer les paramètres de votre partage avec une option cochée par
défaut : Autoriser la mise en cache du partage.

Il s‟agit là d‟une nouvelle fonctionnalité depuis Windows Server 2012, qui permet de synchroniser
le partage sur un poste et de vous fournir un accès à vos données, même si le serveur n‟est plus
accessible.

L‟activation de l‟énumération basée sur l‟accès permet de n‟afficher dans l‟explorer Windows que
les partages auxquels l‟utilisateur a accès. C‟est une option intéressante qui permet de masquer un
partage sensible aux utilisateurs ne disposant d‟aucun droit sur les données en question, je vous
propose d‟activer cette option.

Paramètres de partage

Enfin, la dernière et peut-être la plus importante, la possibilité de chiffrer l‟accès aux données.
Il ne s‟agit que du chiffrement de l‟accès au données et non du chiffrement des données elles-
mêmes.

Ensuite, vous devez choisir des utilisateurs (ou mieux, des groupes) qui pourront disposer d‟accès
spécifiques en fonction de leurs besoins, par exemple pour le “Principal” utilisateur authentifié, les

droits peuvent être Lecture seule :

Autorisations pour Sensible

Une fois que vous avez terminé avec l‟affectation des droits (qui est beaucoup plus simple, couplée
à un Active Directory), vous pouvez valider. Vous avez alors un récapitulatif des paramètres
choisis :
Paramètres du partage

Et voilà, votre partage est disponible via \\SRVDHCPPAR01\Sensible (à modifier avec le nom de
votre serveur).

Accédez à votre partage

Pour cela, rien de plus simple sous Windows, un client SMB est intégré à l‟explorer, il suffit
d‟entrer le chemin UNC du partage dans la barre d‟adresse et Windows vous en affiche le contenu :
Accès au partage Sensible

Par défaut, l‟administrateur n‟est pas obligatoirement libre de gérer les fichiers, il peut ne pas avoir
accès aux données de “Sensible” s‟il n‟en a pas le besoin. Il pourra tout de même effectuer ses
tâches d‟administration sans pouvoir voir le contenu des données !

Accès refusé pour l‟administrateur local sur le dossier “Sensible”

Il ne vous reste plus qu‟à autoriser les flux sur votre pare-feu pour fournir l‟accès à votre serveur
de fichiers. Vous utilisez le protocole SMB, il faut donc ouvrir le port 445/TCP à destination de
votre serveur sur votre réseau.

En résumé

• Le serveur de fichiers est un rôle par défaut qui n‟est pas complètement installé, il faut
terminer l‟ajout de certaines fonctionnalités afin de pouvoir mettre en place un partage ;
• Il existe deux grands types de protocoles disponibles, SMB et NFS, l‟un propriétaire
Microsoft, l‟autre plutôt orienté vers le monde Unix, avec notamment une implémentation
sous Linux et Mac OS ;
• Il est possible de chiffrer l’accès aux données via SMB ;
• Windows Server met en œuvre une virtualisation des disques afin de faciliter la sécurisation
en miroir ou la parité, pour garantir la fiabilité d‟un partage.
CHAP VII : Gestion des sauvegardes et Restaurations

VII.1. Présentation

Il est possible de sauvegarder les éléments qui se trouvent sur un serveur tournant sous
Windows Serveur.

Cette fonctionnalité est très utile pour les entreprises en possédant un (voir plusieurs) et qui abritent
desus des applications métiers, des machines virtuelles Hyper-V, des dossiers partagées, etc...

En effet, en cas de problèmes, il est possible de récupérer les données grâce aux sauvegardes qui
auront été effectuées.

Nous allons commencer par installer la fonctionnalité sur le serveur.

VII.2. Installation de la fonctionnalité

Sur votre serveur, ouvrez le "Gestionnaire de serveur" puis dans la partie supérieure droite de la
fenêtre, cliquez sur "Gérer" > "Ajouter des rôles et des fonctionnalités".

Dans l "Assistant Ajout de rôles et fonctionnalités", vous avez un certain nombre d'étapes
proposées:

• "Avant de commencer" : vous n'avez aucune action à effectuer sur cette page si ce n'est de
cliquer sur "Suivant".
• "Type d'installation" : Sélectionnez "Installation basée sur un rôle ou une fonctionnalité".
• "Sélection du serveur" : Choisissez sur quel serveur vous souhaitez installer l'utilitaire de
sauvegarde (Autrement dit, choisissez le serveur que vous voulez sauvegarder).
• "Rôles de serveurs" : Faîtes "suivant" en ne cochant/décochant aucuns rôles.
• "Fonctionnalités" : Ici, vous devrez descendre dans les fonctionnalités proposées et cocher
"Sauvegarde Windows Serveur". Cliquez ensuite sur "Suivant".
 • "Confirmation" : Cliquez sur "Installer".
• "Résultats" : Cliquez sur "Fermer".

La Fonctionnalité étant à présent installée, cliquez sur Outils dans le Gestionnaire de serveur (à
droite de "Gérer") puis sélectionnez "Sauvegarde Windows Serveur" dans la liste.

Une nouvelle fenêtre s'ouvrira, nous amenant à la partie suivante.

VII.3. Configuration de la sauvegarde

Vous voilà dans l'assistant permettant de configurer les sauvegardes ou de récupérer des données.

Dans le bandeau de gauche, cliquez sur "Sauvegarde locale".

Vous aurez alors le bandeau "Actions" qui s'affichera à droite.

Dans celui-ci vous avez plusieurs options:

• "Planification de sauvegarde..." : Comme son nom l'indique, cette option de permettra de

programmer les sauvegardes. Nous y reviendrons rapidement.
• "Sauvegarde Unique..." : Encore une fois, comme son l'indique, celle-ci nous permet de faire
une sauvegarde à l'instant T.
 • "Récupérer..." : Permettant de récupérer des données, cette option sera détaillée dans la
partie suivante.

Planification de la sauvegarde

Cliquez sur son nom pour lancer l'assistant. Après un temps de chargement, l'"Assistant
Planification de sauvegarde" se lance avec plusieurs étapes:

• "Mise en route" : Celle-ci vous explique ce que vous pouvez faire avec.
• "Sélectionnez la configuration de sauvegarde" : 2 choix s'offrent à vous:

o "Serveur complet" : Sauvegarde toutes les données et applications présentes sur le

serveur ainsi que l'état du système. Faîtes "suivant et vous aurez alors accès à
"Spécifier l'heure de la sauvegarde".
o "Personnalisée" : Choisissez ce que vous voulez sauvegarder. Faîtes "suivant" et
vous aurez accès à une étape supplémentaire "Sélectionner les éléments à
sauvegarder" avant "Spécifier l'heure de la sauvegarde".
• "Sélectionner les éléments à sauvegarder" : Cette étape à lieu uniquement si vous avez choisi
"Personnalisée" à l'étape précédente. Vous pouvez ajouter les éléments à sauvegarder en
cliquant sur "Ajouter des éléments". Vous n'avez alors qu'à cocher les éléments de
l'arborescence qui s'ouvre et faire "OK" puis "suivant".
• "Spécifier l'heure de la sauvegarde" : c'est ici que vous choisissez l'heure de sauvegarde.
Vous pouvez choisir d'effectuer une sauvegarde par jour ou plusieurs. Le mieux est de
choisir un horaire dans la soirée car la sauvegarde pourra se faire tranquillement dans la
nuit.
• "Spécifier le type de destination" : Vous avez ici le choix entre 3 options. Une description se
trouve sous chacune d'entres elles. Je vous conseille quand même de choisir la première
avec un disque de sauvegarde par jour. Comme ça les sauvegardes sont réparties sur
plusieurs disques et si l'un d'entre eux venait à lâcher, vous aurez les sauvegardes des
autres disques.

Quelle que soit l'option que vous choisissez, vous devrez spécifier la destination de l'élément
qui contiendra la sauvegarde. Je vais ici choisir la première option avec le disque dédié.

• "Sélectionner le disque de destination" : Vous pouvez choisir ici le disque sur lequel la
sauvegarde devra être stockée. Si rien n'apparait dans le cadre, cliquez alors sur "Afficher
tous les disques disponibles.." et sélectionnez celui que vous désirez. Une fois que le disque
est choisi, vous pouvez alors cliquez sur "suivant" puis "oui".
 • "Confirmation" : Vous avez alors un résumé des paramètres choisis. Si tout est bon, cliquez
sur "Terminé", sinon revenez en arrière pour modifier les étapes. Enfin, cliquez sur
"Terminer".

Sauvegarde unique

Cette option permet de faire une sauvegarde à l'instant T. Elle s'effectue donc dès que vous l'avez
paramétrée.

Elle aussi possède quelques étapes:

• "Options de sauvegarde" : Pouvez choisir d'utiliser les mêmes paramètres que la sauvegarde
planifiée (éléments à sauvegarder, destination), ou d'en utiliser d'autres. Si vous choisissez la
seconde option, vous aurez les étapes "Sélectionnez la configuration de sauvegarde" +
Sélectionner les éléments à sauvegarder" + "Spécifier le type de destination" + "Sélectionner
le disque de destination" vues dans la partie précédente.
• "Confirmation" : Vous avez alors un résumé des paramètres choisis. Si tout est bon, cliquez
sur "Sauvegarde". Celle-ci se lancera alors.
Rapport de Sauvegarde

Quel que soit le type de sauvegarde que vous choisissez, vous aurez un historique des sauvegardes
dans la partie centrale de l'application. Vous saurez alors si la sauvegarde s'est correctement
déroulée ou non. Si vous double-cliquez sur une sauvegarde, vous aurez plus d'informations et une
description de l'erreur si celle-ci à échouée.
VII.4. Récupération de contenu

Lorsque vous lancer l"Assistant Récupération", Il va comme les autres, vous proposer gentiment
quelques étapes:

• "Mise en route" : Vous devez ici sélectionnez où se trouve votre sauvegarde entre "Ce
serveur" et "Un autre emplacement". Comme j'ai choisit de faire la sauvegarde sur un disque
externe, je choisis "Un autre emplacement" puis clique sur "suivant".
• "Spécifiez un type d'emplacement" : on a le choix entre "Lecteurs locaux" ou "Dossier
partagé distant". Je choisis la première option puis clique sur "suivant".
• "Sélectionner un emplacement de sauvegarde" : on choisi ici dans le bandeau déroulant le
disque contenant notre sauvegarde". Cliquez ensuite sur "suivant".

• "Sélectionner un serveur" : Choisissez le serveur dont vous souhaiter récupérer des données
puis faîtes "suivant".
• "Sélectionner une date de sauvegarde" : Vous pouvez choisir le date de la sauvegarde que
vous voulez récupérer.

• "Sélectionner le type de récupération" : Différentes options s'offrent à vous selon le type de

données que vous voulez récupérer. Encore une fois, une description claire se trouve sous
chaque option. Selon certaines options, vous aurez en plus les étapes "Sélectionner les
 éléments à récupérer" et "Spécifier les options de récupérations", cette dernière vous permet
de choisir où est-ce que vous voulez stocker les éléments récupérés.
• "Confirmation" : Cette étape récapitule les réglages que vous avez choisis et propose enfin
de récupérer vos données en cliquant sur "Récupérer".
• "Staut" : Vous informe de l'avancement de la récupération. Une fois celle ci terminée, vos
données ont été récupérées.

Conclusion

Vous savez à présent sauvegarder les données présentes sur le serveur et les récupérer en cas de
besoin. Encore une fois ces options sont bien pratiques pour les entreprises possédant un ou
plusieurs serveurs et qui stockent des données dessus
CHAP VIII : Gestion des réseaux TCP/IP (SNMP)

VIII.1. Présentation du service SNMP

Simple Network Management Protocol (abrégé SNMP), en français « protocole simple de gestion
de réseau », est un protocole de communication qui permet aux administrateurs réseau de gérer les
équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels à
distance.

Il permet l‟interrogation d‟équipement informatique pour en effectuer la supervision et le

diagnostic. Ce protocole est utilisé par les logiciels de supervision comme :

Centreon est un outil de supervision/monitoring au même titre que Observium, Nagios ou

vFogLight, avec plus ou moins de fonctionnalités. C'est-à-dire que cet outil permet de connaître en
temps réel l'état des serveurs supervisés.

PRTG (Paessler Router Traffic Grapher) est un logiciel qui permet grâce à l'analyse de trames
SNMP de créer des graphiques sur le trafic réseau. PRTG est aussi capable de faire du sniffing.

LoriotPro est un logiciel de surveillance, d'administration et de gestion des réseaux, des systèmes
d'informations et de l'équipement informatique (matériel, logiciels, périphériques, etc). L'application
dispose d'outils particuliers pour détecter les ordinateurs connectés au réseau, via leur adresse IP
(carte topologique disponible grâce aux routeurs et au PING), et contrôler l'activité des systèmes par
le biais du protocole SNMP et d'un compilateur de MIB intégré, entre autres.

Multi Router Traffic Grapher (MRTG) est un logiciel développé sous licence GNU/GPL à
l'initiative de Tobi Oetiker. Ce logiciel permet de surveiller et mesurer le trafic réseau. Il utilise le
protocole SNMP pour interroger des équipements réseaux tels que des routeurs, commutateurs, ou
bien encore serveurs, disposant d'une MIB. MRTG a été développé en Perl , et peut être lancé sous
Windows, Linux, MacOS et NetWare.

ZABBIX est un logiciel libre permettant de surveiller l'état de divers services réseau, serveurs et
autres matériels réseau et produisant des graphiques dynamiques de consommation des ressources.
C'est un logiciel open source créé par Alexei Vladishev.

agios (anciennement appelé Netsaint) est une application permettant la surveillance système et
réseau. Elle surveille les hôtes et services spécifiés, alertant lorsque les systèmes ont des
dysfonctionnements et quand ils repassent en fonctionnement normal. C'est un logiciel libre sous
licence GPL.
Pour lancer l'installation, ouvir le Panneau de Configuration Windows puis sélectionner
Programmes et fonctionnalités.
Choisir alors l'option : Activer ou désactiver des fonctionnalités Windows
Procédezr à la sélection du serveur sur lequel vous souhaitez installer l'agent SNMP
Sélectionnez l'option Fonctionnalités puis Service SNMP
Le programme s'installe ensuite
VIII.2. Configuration du service Windows Agent SNMP

L'étape suivant consiste à configurer le service SNMP que l'on vient d'ajouter.
Ouvrir la fenêtre Services dans le Panneau de Configuration, option Outils d'administrations

Sélectionner le Service SNMP

Dans l'onglet général, conserver les valeurs par défaut

Dans l'onglet Agent, vérifier que dans Service les cases sont toutes cochées, ajoutez l'information
Contact et Emplacement (lieu où se trouve la machine).

Contact sera disponible en tant que variable SNMP "syscontact" et Emplacement sera disponible en
tant que variable SNMP "syslocation".

Ce sont des objets SNMP standard décrits dans le RFC1213 (fichier de MIB).
L'onglet Sécurité permet de définir les communautés SNMP et les managers SNMP autorisés à
accéder au serveur Windows avec des requêtes SNMP.

Les communauté SNMP (snmp community) sont utilisé comme pour contrôler les accès aux agents.

Les valeurs assignées dans l'agent et dans le manager SNMP (LoriotPro) doivent être identiques
pour que le manager puisse faire des requêtes SNMP à l'agent.

Dans l'exemple ci-dessous, la valeur public a été assignée pour les requêtes de lecture seule
(requête
SNMP GET) et la valeur private a été assignée pour les requêtes de lecture et écriture (requête
SNMP GET et SET).

Remarque: contrairement à notre exemple, évitez d'utiliser les valeurs public et private qui sont des
valeurs très communes et très connues et qui n'offrent aucune sécurité de controle d'accès au agent.

Ajouter ensuite les adresses IP des manager SNMP comme LoriotPro qui seront autorisés à faire des
requêtes sur le serveurs WINDOWS.
Evitez de laisser l'option Accepter de n'importe quel Hôte cela vous apprtera un niveau de sécurité
plus élevé contre l'intrusion et la découverte.

L'onglet Interruption fait référence au terme angalis TRAP. Les Trap sont envoyé par l'agent SNMP
vers le manager SNMP à son initiative.

Les TRAP Windows sont en Version 1 de SNMP.

IL faut définir à ce stade les manager SNMP vers lesquels les TRAP devront être envoyés. Ajouter
les dans la liste.

La communauté SNMP des Trap doit être définie préalablement, elle permet au manager SNMP de
filtrer éventuellement en entrée les TRAP à prendre en compte. Ce filtrage est disponible ave
LoriotPro.
La configuration est términé, redémarrer le service SNMP pour prndre en compte vos modifications.

Vérification du fonctionnement

Pour vérifier le fonctionnement de votre agent SNMP, ajouter le serveur dans l'annuaire LoriotPro.
Ensuite vous pouvez vérifier que l'agent répond bien aux requêtes SNMP avec un SNMP Walk.

Sélectionner le serveur dans l'annuaire puis Tools puis SNMP Walker.

Un agent correctement configuré doit répondre sur les MIB suivantes:

• RFC1213
• IF-MIB
• SNMPv2-MIB
• LENTREPRISE-MIB

Pour tester l'envoi des TRAP, il est possible d'utiliser l'outil Advanced Query puis de faire une
requête sur le sysname par exemple en indiquent volontairement une communauté erronée.

Une autre option consite à faire un stop du service SNMP. Un Trap Cold Start doit apparaitre dans
l'écran de réception des Trap de LoriotPro.
EXEMPLE DE SERVEUR D’APPLICATION

Avec RemoteApp, les utilisateurs peuvent accéder à des applications virtuelles qui s‟exécutent dans
un centre de calcul ou dans une machine virtuelle dans le cloud. Mais elles se comportent comme si
elles étaient exécutées en local.

INTRODUCTION

Le serveur TSE, Terminal server ou en français : service de bureau à distance, est un rôle de
Windows server permettant à de multiples clients de se connecter sur une ou plusieurs sessions en
même temps sur un même serveur et de publier des collections d‟applications à distance «
RemoteApp » à ses utilisateurs via une interface web ou directement via une connexion «
RemoteApp » de Windows. Ce service nécessite qu‟Active Directory soit installé sur un autre
serveur du réseau.

Avec Windows Server 2012, nous pouvons diffuser des applications qui peuvent être utilisées par
des machines clientes. C‟est le système « RemoteApp ». Cette solution est incluse au service de
Bureau à distance et permet de faire tourner des applications lourdes sur le serveur depuis des
ordinateurs clients.

Les applications tournent sur le serveur et le client reçoit en réalité qu‟un « stream » de
l‟application. Ceci permet d'économiser de l'argent dans une entreprise en achetant un gros serveur
et des clients légers pour les employés.

Ce tutoriel, vous apprendra à installer un serveur TSE et ses solutions de « RemoteApp » et de

bureau à distance.

INSTALLATION & CONFIGURATION

Pour commencer, ouvrez le gestionnaire de serveur et cliquez sur "Ajouter des rôles et des
fonctionnalités". Ensuite, sélectionnez "Installation basée sur un rôle ou une fonctionnalité".

Cochez la case "Services Bureau à distance".

Dans notre cas, nous cocherons ces différents services de rôles :

• Accès Bureau à distance par le Web :

 o Il permet aux utilisateurs d‟accéder aux connexions « RemoteApp » par le biais du
navigateur web :

https://{srv-nom.domaine.extension}/RDWeb

o Ou bien via le menu démarrer dans le panneau de configuration dans le service de «

Connexions distantes » et ensuite dans « Configurer une nouvelle connexion avec les
connexions RemoteApp et Bureau à distance ».

• Gestionnaire de licences des services Bureau à distance :

o Il permet de manipuler les licences nécessaires des programmes installés.

• Hôte de session Bureau à distance :

o Il permet d‟héberger les programmes « RemoteApp » ou des bureaux à distances d‟une

collection de sessions. (La limite est d‟une collection par serveur TSE).

• Passerelle des services Bureau à distance :

o Il permet aux utilisateurs d'accéder aux programmes "RemoteApp", des bureaux virtuels
depuis l'extérieur via une connexion sécurisée d‟entreprise ou via internet.

• Service Broker pour les connexions Bureau à distance :

o Il permet la répartition la charge et la gestion de multiples serveurs TSE.

o Ce service est uniquement nécessaire si vous voulez faire plusieurs serveur TSE.

Si la case "Accès Bureau à distance par le Web" est cochée, Windows Server installera le serveur
web IIS (s'il n'est pas déjà installé). Ce dernier sera configuré automatiquement.
Le service NPS sera aussi installé automatiquement. Vous laissez tout par défaut et continuez
l‟installation. Il permet de modifier les stratégies d'accès réseau, néanmoins il ne nous intéressera
pas dans ce tutoriel. Mais, laissez cette case cochée.

Il ne vous restera plus qu‟à confirmer l‟installation et redémmarer le serveur. Pour la prochaine
étape, encore dans le gestionnaire de serveur, cliquez sur "Ajouter des rôles et des fonctionnalités"
et sélectionnez "Installation des services Bureau à distance".

Cocher « Déploiement standard » permet le choix manuel des serveurs où vous désirez déployer vos
services. Dans cette démonstration tout sera installé sur le même serveur.
Ensuite «Déploiement de bureaux basés sur une session». Ce déploiement permet d'utiliser les
«RemoteApp» directement sur le serveur. Les applications tournent sur le serveur dans une session
utilisateur et non dans une machine virtuelle. Il est plus lourd de faire tourner les applications sur des
ordinateurs virtuels que sur des sessions d‟utilisateurs.

Continuez en gardant les informations par défaut. Choisissez aussi sur quel serveur vous désirez
installer vos services. Un serveur de licences vous permet de publier vos applications payantes dans
lequel vous insèrerez les codes des licences officielles. Pour l‟installer, rendez-vous dans le «
Gestionnaire de serveur » > « Services Bureau à distance » > « Vue d‟ensemble » et cliquez sur «
gestionnaire de licence …» ( de Bureau à distance).
Sélectionnez votre serveur, confirmez et le gestionnaire de licences sera déployé. Pour l‟ouvrir allez
dans « Outil » > « Terminal Server » > « Gestionnaire de licence des services Bureau à distance ».

Ensuite Activez le en faisant un clic droit sur le nom du serveur puis cliquez sur « Activer le serveur
».
Renseignez les informations qui vous seront demandées lors de l‟activation, si vous n‟avez pas les
licences pour disposerez d‟une période d‟essaie de 120 jours. Par exemple on peut voir que la
licence de Windows serveur 2012 est activée sur les utilisateurs actuels du serveur TSE.

A ce niveau toutes les installations sont terminées, nous allons rajouter alors une collection «
RemoteApp » assignez à un groupe d‟utilisateur existant que nous appellerons Groupe-Test. Dans
cette collection nous mettrons des programmes de bureautique comme Excel, Office ,un client pour
se connecter à l‟ERP de l‟entreprise, voir même des logiciels industriels.

Pour créer une collection, allez dans « Services Bureau à distance » > « Collection » > « TÂCHES »
> « Créer une collection de session » ou bien un lien s‟affichera de maniére explicite sur
Gestionnaire de serveur.

Nommez cette collection, assignez la au serveur de votre choix et au groupe de votre choix et laissez
le reste par défaut. Maintenant rajoutons des applications.

Allez dans votre nouvelle collection, dans le moniteur « PROGRAMMES REMOTEAPP », cliquez
sur « TÂCHES » > « Publier des programmes RemoteApp »
Selectionnez le programme à diffuser.

Confirmez et votre application sera ajoutée à la liste de « RemoteApp ».

UTILISATION DES "REMOTEAPP"

Une fois tout installé et configuré, connectez-vous à l‟adresse sur l‟un de vos ordinateurs clients:
https://{srv-nom.domaine.extension}/RDWeb.

Si la page affiche une erreur de certificat, c‟est que ce dernier n‟a pas été signé par une autorité
reconnu et est donc auto-signé. (Je vous invite à vous renseigner sur
https://technet.microsoft.com/frfr/windowsserver/dd448615.aspx)

Vous pouvez néanmoins installer le certificat auto-signé, l‟acceptation d‟un certificat est
indispensable pour vous connecter au « RemoteApp » via l‟explorateur Windows.
- Pour Internet exploreur il vous suffit de faire un clic droit dans l‟icône de sécurité dans la barre
d‟url pour qu‟on vous propose d‟installer le certificat.

- Pour Firefox allez dans les « informations sur la page » > « Sécurité » > « Afficher le certificat » >
« Détails » > « Exporter »

Une fois le certificat exporté sur le bureau par exemple, ajoutez lui l‟extension « .cer », cliquez
dessus, installez le en le plaçant dans votre magasin de certificats parmi les « Autorités de
certification racines de confiance »

A ce stade, vous n‟aurez plus d‟erreur de certificat, vous pourrez vous connecter depuis
l‟explorateur en plus du naviguateur.
Retournons sur la page des « RemoteApp » et connectez vous.

Si tout fonctionne correctement vous pourrez désormais lancer vos applications publiées via cette
interface web.
Et vous accéderez à cette page, pour forcer la mise à jour des « RemoteApp ». sSi vous ne les voyez
pas toutes affiché, allez dans « Détails » et cliquez sur « Mettre à jour ».

Vous pouvez maintenant afficher vos ressources et créer un raccourcis du dossier sur votre bureau.

L‟ouverture des applications est identiques à celle de l‟interface web, mais, il est toujours plus
simple pour les utilisateurs en entreprise d‟avoir leur raccourcis à porté sur leur bureau.
Si vous avez des problémes lors de la connection via votre explorateur, c‟est que vos certificats ne
sont pas corrects et je vous invite à revenir plus haut à l‟explication des certificats.

GESTION DES UTILISATEURS

Le serveur TSE permet d‟ouvrir plusieurs sessions utilisateur sur un même serveur, des clients
légers d‟entreprise basés sur des OS légers peuvent donc ce connecter à un espace de travail sur le
serveur avec les outils nécessaires au bon déroulement de leur travail. Pour la sécurité du serveur,
pensez à créer une GPO que vous appliquerez aux groupes assignez au collection de session;par
exemple dans ma démonstration le « Groupe-test » par exemple, la GPO aura pour but de confiner
les utilisateurs à une utilisation simple du serveur et autoriser la connection bureau à distance.

Il suffit simplement d'assignée un groupe à la collection pour que ces utilisateurs puissent se
connecter.

Il est possible d‟administrer les ordinateurs clients du serveur TSE via le gestionnaire de serveur,
dans le service bureau à distance en allant dans la collection de sessions. Vous pouvez prendre le
contrôle des machines à distance ou juste les monitorer, déconnecter ou fermer des sessions et
envoyez des messages systéme aux utilisateurs.

Vous pouvez prendre le contrôle des machines à distance ou juste les monitorer, déconnecter ou
fermer des sessions et envoyez des messages systémes aux utilisateurs.
Pour modifier les paramétres de la collection allez dans les propriétés de la collection en cliquant
sur « TÂCHES » , vous pourrez modifier la collection, soumettre un autre groupe au serveur TSE,
mais aussi ajouter d'autre paramétre comme des limites de temps de session, les paramétres
d'encryptage de sécurité, de répartition de charge du serveur broker etc ...