~~SLIDESHOW~~ ====== SI5 - Windows 2003 : Les outils d'administration ====== TP 05 - mardi 14 février et jeudi 16 février 2012 ===== Objectifs ===== * découvrir les fonctionnalités des outils d'administration * Outils de gestion de l'ordinateur, console d'administration personnalisée * installer les outils d'administration sur un **client XP** ===== Prérequis ===== * nous utiliserons le serveur **srv2003PN** installé lors du précédent TP * une machine cliente **XP** dans le même réseau est également nécessaire ===== Présentation des outils d'administration ===== Les outils d'administration sont accessibles par le menu **Démarrer/Outils d'administration** ou à l'aide de la **console d'administration MMC** (//Microsoft Management Console//) qui permet de regrouper tous les outils d'administration dans une seule interface. {{:si5..c3_g1.png|}} Comme avec Windows 9x, vous pouvez personnaliser le menu **Démarrer**, la **Barre de tâches** et le **Bureau** pour regrouper les outils que vous utilisez le plus souvent. Les outils d'administration que nous utiliserons dans cet ouvrage sont les suivants : * Outil **Gestion de l'ordinateur : ** il permet d'effectuer la plupart des tâches concernant l'ordinateur local (ou distant). Donne l'accès aux outils système (observateur d'événements, dossiers partagés...), aux outils disques (partitions, défragmenteur...) et à la gestion des services (arrêt, démarrage...). * Outil **Observateur d'événements :** ses journaux consignent les informations relatives à des problèmes dus au matériel (périphérique manquant ou mal installé), au système (échec d'un service), au logiciel (erreur dans l'exécution d'une requête), de sécurité (résultat de l'audit sur les tentatives d'intrusion...). * Outils **Stratégie de sécurité du domaine** et **Stratégie de sécurité du contrôleur de domaine :** ils regroupent **les restrictions sur les comptes** (longueur des mots de passe, verrouillage du compte...), **les droits des utilisateurs** (ouverture de session locale ou à distance, exécution de tâches sur l'ordinateur...),** les stratégies d'audit**, les **options de sécurité** de l' ordinateur ... //Sur les serveurs membres et les stations de travail, ces 2 consoles n'existent pas et sont remplacées par** stratégie de sécurité locale**// * **Outil Utilisateurs et ordinateurs Active Directory :** il permet de gérer les objets de l'annuaire, c'est-à-dire les utilisateurs, les groupes, les comptes d'ordinateur, et toutes les ressources publiées dans l'annuaire. ===== Outil Gestion de l'ordinateur ===== Cet outil donne accès à un certain nombre de composants que nous allons rencontrer dans cet ouvrage. Il a l'avantage de les regrouper dans une seule console d'administration. * **Cliquez Démarrer/Outils d'administration/Gestion de l'ordinateur** ou cliquez avec le bouton droit sur le **Poste de travail** (sur le bureau ou dans Démarrer) puis **Gérer**. {{:si5..c3_g2.png|{{:si5..c3_g2.png|}}}} Nous allons voir comment utiliser certains de ces outils ===== OBSERVATEUR D'ÉVÉNEMENTS ===== Il permet d'accéder à plusieurs journaux qui consignent les événements au fur et à mesure qu'ils se produisent. Il est possible de consulter les journaux d'un ordinateur distant. Il est possible également de rechercher ou de trier les événements sur différents critères : date, heure, type d'événement... * Sélectionnez **Observateur d'événements** dans **Outils système**. {{:si5..c3_g3.png|}} **Application :** liste les événements générés par certains logiciels, par exemple SQL Server, et tous les événements programmés par les développeurs des applications. **Serveur DNS :** liste les événements générés par le service DNS et n'est présent que si votre ordinateur joue le rôle de serveur de nom DNS. **Sécurité :** liste les événements dont vous avez demandé l'audit. Une clé indique une réussite. Un cadenas indique un échec. **Système :** liste les événements générés par le système d'exploitation et par les services. Les autres journaux n'existent que sur les contrôleurs de domaine Active Directory. **Service d'annuaire :** liste les événements générés par les services **Active Directory**(NTDS). **Service de réplication de fichiers :** liste les événements générés par les **services de réplication de fichiers** (NTFRS). * Cliquez **Système** puis cliquez le menu **Action :** {{:si5..c3_g4.png|}} Les actions suivantes sont possibles sur les journaux : * La sauvegarde d'un journal consiste à l'enregistrer **(Action Enregistrer le fichier journal sous...)** dans un fichier en vue de l'archiver pour l'analyser ultérieurement **(Action Ouvrir un fichier journal)**. * Une fois le journal sauvegardé, on peut l'effacer dans l'observateur d'événements **(Action Effacer tous les événements)**. * Il est possible de limiter la taille des journaux et de décider quoi faire en cas de débordement **(Action Propriétés)**, afin de ne pas saturer l'espace disque. Ainsi, vous pouvez sauvegarder une fois par semaine les journaux et demander à ce qu'ils soient vidés tous les huit jours. {{:si5..c3_g5.png|}} ===== DOSSIERS PARTAGÉS ===== Les **Dossiers partagés** permettent d'afficher et de modifier les connexions et les ressources partagées de l'ordinateur local. * Sélectionnez **Dossiers partagés** dans **Outils système**. * Le dossier **Partages** inventorie les ressources partagées disponibles sur l'ordinateur et leur chemin d'accès local. Il est possible de créer un nouveau partage ou d'arrêter un partage actuel {{:si5..c3_g6.png|}} Le dossier **Sessions** informe sur les utilisateurs du réseau connectés à l'ordinateur. {{:si5..c3_g7.png|}} Pour déconnecter un utilisateur d'un ordinateur ou d'un fichier : * Sélectionnez **Sessions** dans **Dossiers partagés**. * Pointez l'utilisateur désiré puis cliquez droit **Fermer la session**. //En effectuant un clic droit sur le dossier Sessions, vous pouvez ) déconnecter toutes les sessions, pour des tâches de maintenance par exemple.// * Le dossier ** Fichiers ouverts** donne des informations sur les fichiers ouverts sur le serveur (Utilisateur, Type, Mode d'ouverture...). {{:si5..c3_g8.png|}} Vous pouvez fermer un fichier en pointant le fichier désiré puis en cliquant droit **Fermer le fichier ouvert**. Il est possible de démarrer ou d'arrêter un service particulier à partir de cet outil ou directement à partir de l'outil d'administration **Services**. * Cliquez **Services et applications** puis **Services**. {{:si5..c3_g9.png|}} * Effectuez un clic droit sur le service sur lequel vous voulez agir. Le menu contextuel vous présente les actions possibles sur ce service : {{:si5..c3_g10.png|}} Vous avez la possibilité suivant son état précédent de le démarrer, de l’arrêter... Il est possible également de modifier son type de démarrage en cliquant **Propriétés**. * Effectuez un clic droit sur le service **Spouleur d'impression** puis **Propriétés**. {{:si5..c3_g11.png|}} L'onglet **Connexion** permet de définir si le service peut ouvrir une session sur l'ordinateur et avec quel profil matériel il est activé. * L'onglet **Récupération** permet de définir les actions à effectuer en cas de défaillance du service. * Cliquez l'onglet **Récupération**. * Dans la zone **Première défaillance**, sélectionnez **Redémarrer le service**. Ainsi, si une défaillance du spouleur survient, il sera automatiquement redémarré par le système. Vous pouvez également définir une fréquence de comptage des défaillances. * L'onglet **Dépendances** permet d'afficher les services dont dépend le service sélectionné et ceux qui dépendent de lui. Parmi les **Outils système,** on trouvera sur une station Windows XP Professionnel ou un serveur autonome, l'outil **Utilisateurs et groupes locaux** qui permet de gérer les utilisateurs locaux. Cet outil n'apparaît pas sur un contrôleur de domaine. ===== Stratégies de sécurité ===== Outre le fait de créer des utilisateurs et de les affecter à un ou des groupes, il faut leur accorder certains droits : accéder au serveur localement, arrêter le serveur... Il faut également pouvoir définir des restrictions sur les mots de passe, verrouiller un compte le cas échéant... ==== STRATÉGIES DE COMPTE ==== Vous pouvez affecter d'autres restrictions sur les comptes utilisateur : sur les mots de passe, le verrouillage du compte, le cryptage après « X » tentatives d'accès infructueuses, etc. Nous utiliserons l'outil **Stratégie de sécurité du domaine** pour tout ce qui est commun au domaine (les stratégies de compte notamment). * Cliquez **démarrer Outils d'administration**puis **stratégie de sécurité du domaine** * Dans le dossier **Paramètres Windows**, cliquez **paramètres de sécurité** * Développez **Stratégies de comptes** puis cliquez **stratégie de mot de passe** {{:si5..c3_g12.png|}} * Double-cliquez **longueur minimale du mot de passe** {{:si5..c3_g13.png|}} * Le cas échéant, modifiez la valeur fixée à 7 caractères puis cliquez **OK**. * Cliquez avec le bouton droit **Le mot de passe doit respecter des exigences de complexité** puis **Aide**. Vous constatez que ce paramètre étant activé par défaut, cela oblige vos utilisateurs à avoir des mots de passe contenant 3 types de caractères parmi les 4 suivants : majuscules, minuscule, chiffres et caractères spéciaux. Au besoin, désactivez ce paramètre mais de nos jours, il est conseillé de le conserver même s'il est plus contraignant. * Développez **Stratégies de comptes** puis **Stratégies de verrouillage du compte**. {{:si5..c3_g14.png|}} * Double-cliquez **Seuil de verrouillage du compte** * Cochez la case **Définir ce paramètre de stratégie**. * Sélectionnez **3 tentatives** puis cliquez **OK** {{:si5..c3_g15.png|}} La boîte de dialogue s'ouvre et vous propose des valeurs par défaut pour les stratégies **Réinitialiser le compteur de verrouillages du compte après et Durée de verrouillage des comptes**. {{:si5..c3_g16.png|}} * Cliquez **OK** pour valider les paramètres proposés. Ainsi, dès que trois tentatives d'ouverture de sessions infructueuses auront été réalisées, le compte sera verrouillé durant 30 minutes et nécessitera le déverrouillage par un administrateur. Le protocole d'authentification, sécurisé par défaut de Windows 2003 est KerberosV5 (conforme à la RFC 1510). Vous pouvez en modifier les valeurs par défaut à l'aide des stratégies définies dans **Stratégie Kerberos**. ==== DROIT DES UTILISATEURS ==== Nous utiliserons l'outil **Stratégie de sécurité du contrôleur de domaine** pour tout ce qui concerne notre contrôleur de domaine (accès à la console du serveur...). * Cliquez **Démarrer/Programmes/Outils d'administration**. * Sélectionnez **Stratégie de sécurité du contrôleur de domaine** . * Développez le dossier **Paramètres Windows** puis **Paramètres de sécurité**. * Développez **Stratégies locales** puis **Attribution des droits utilisateur**. Vous remarquerez que, par défaut, le droit **Accéder à cet ordinateur depuis le réseau** est accordé aux groupes **Tout le Monde, Administrateurs** et **Utilisateurs authentifiés**. Pour améliorer la sécurité, nous allons supprimer le groupe **Tout le Monde**. {{:si5..c3_g17.png|}} * Double-cliquez **Accéder à cet ordinateur depuis le réseau** * Cliquez **Tout le Monde** dans la liste puis **Supprimer**, puis **OK** pour valider * Pour définir les autres droits, double-cliquez de même sur le droit d'accès et affectez des groupes ou des utilisateurs en cliquant le bouton **Ajouter**. Exemple : vous voulez donner à un des utilisateurs du groupe **Commerciaux** la responsabilité de la sauvegarde. Il suffit de sélectionner dans la liste le droit **Sauvegarder des fichiers et des répertoires** et d'y ajouter cet utilisateur ; lui seul au sein de son groupe, pourra alors effectuer la sauvegarde. //Pour cet exemple une seconde façon de procéder, plus simple et plus logique, est d'ajouter cet utilisateur au groupe **Opérateurs de sauvegarde**, ce groupe ayant le droit de sauvegarde par défaut.// De même, si vous souhaitez permettre à un utilisateur n'ayant pas de privilèges administratifs d'ouvrir une session sur votre serveur, ajoutez-le dans **Ouvrir une session localement**. Il est néanmoins préférable d'inclure l'utilisateur à un groupe disposant de ce droit. ===== Personnalisation des outils d'administration ===== Nous allons voir comment créer des consoles d'administration (MMC), personnalisées en fonction des tâches administratives et des utilisateurs concernés. * Depuis une fenêtre **Invite de commandes** ou le menu **Exécuter**, tapez la commande **mmc**. {{:si5..c3_g18.png|}} * Dans la fenêtre ci-dessus, sélectionnez le menu **Fichier Ajouter/supprimer un composant logiciel enfichable**. {{:si5..c3_g19.png|}} * Vérifiez que **Racine de la console** est sélectionnée et cliquez le bouton **Ajouter**. * Sélectionnez **Dossiers partagés** dans la liste et cliquez **Ajouter**. {{:si5..c3_g20.png|}} Une nouvelle boîte de dialogue s'ouvre en fonction des composants sélectionnés {{:si5..c3_g21.png|}} * Vous pouvez cocher la case Autoriser la modification... (cette case apparaît ou non suivant le composant sélectionné) si vous désirez utiliser cette console d'administration à partir d'un ordinateur distant (autre que le serveur). * Laissez sélectionnée la case **L'ordinateur local... ** (par défaut) puis cliquez **Terminer**. * Dans la fenêtre **Ajout d'un composant logiciel enfichable autonome**, sélectionnez de même les autres composants dont vous avez besoin. Les composants les plus utiles sont notamment le **Défragmenteur de disque**, les **Dossiers partagés**, le **Gestionnaire de périphériques, l'Observateur d'événements** et **Utilisateurs et ordinateurs Active Directory**. * Cliquez le bouton** Ajouter** pour chaque composant sélectionné. * Cliquez **Fermer** pour revenir à la fenêtre précédente, où s'affichent à présent les composants que vous avez sélectionnés : {{:si5..c3_g22.png|}} * Cliquez OK (sauf si vous souhaitez ajouter d'autres composants). On revient à la fenêtre initiale qui contient les outils que vous venez d'ajouter : {{:si5..c3_g23.png|}} Pour rendre cette console plus explicite, il est conseillé de renommer le dossier « Racine de la console » par quelque chose de plus précis (par ex : « Gestion du serveur »). * Cliquez avec le bouton droit sur le libellé **Racine de la console** et sélectionnez **Renommer** dans le menu contextuel puis tapez **Gestion du serveur** puis validez. Maintenant, nous allons enregistrer la console que nous avons créée. * Sélectionnez le menu **Fichier Enregistrer**, tapez un nom de fichier : **admin**, laissez l'emplacement par défaut : **Outils d'administration** puis cliquez **Enregistrer**. La console que vous venez de créer apparaît désormais dans le menu **Démarrer/Programmes/Outils d'administration/admin**. Remarquez qu'étrangement elle n'apparaît pas dans **Démarrer/Programmes/Outils d'administration** qui est un raccourci qui ne prend pas en compte les éléments personnalisés. * Sélectionnez le menu** Fichier Enregistrer**, tapez un nom de fichier : **admin**, choisissez le **Bureau** comme emplacement puis cliquez **Enregistrer**. //Les consoles sont sauvegardées au format *.msc et peuvent être distribuées à des groupes d'utilisateurs. Dans les options de la console, on peut définir les niveaux de sécurité des utilisateurs de chaque console.// ====== Mode de la console ===== La MMC (//Microsoft Management Console//) est par défaut en mode auteur, c'est-à-dire modifiable par ajout/suppression d'éléments. Une fois que vous avez créé votre console vous pouvez la passer en **mode utilisateur** ce qui empêche l'ajout/suppression de composants et de sauvegarder la console. * Ouvrez le menu **Fichier/Options**. * Cliquez la flèche de la zone **Mode de console :** {{:si5..c3_g24.png|}} Quatre modes sont possibles pour la console * **Mode auteur :** permet de créer la console, d'effectuer tous les ajouts de composants, de créer des vues, des tâches... * **Mode utilisateur - accès total :** empêche d'ajouter des composants. * **Mode utilisateur - accès limité, fenêtre multiple :** empêche d'ajouter des composants et de fermer la fenêtre existante, il peut créer d'autres fenêtres. * **Mode utilisateur - accès limité, fenêtre unique :** accès restreint, rien n'est modifiable. * Dans **Mode de console**, sélectionnez **Mode utilisateur - accès limité, fenêtre unique**. * Changez d'icône en cliquant sur **Changer d'icône...** puis validez. * De retour dans la fenêtre principale, enregistrez la console avec **Enregistrer sous** pour lui donner un autre nom, puisqu'elle ne pourra plus être modifiée en raison du mode de console choisi. Les consoles MMC ainsi créées et sauvegardées, peuvent être distribuées par : copie du fichier .msc, utilisation d'un dossier partagé, de stratégies de groupes, via e-mail, via téléchargement (FTP, HTTP)... ====== Création de tâches ====== * Cliquez sur l’icône de la console **admin** sur le bureau pour lancer la console que vous avez créée. * Cliquez le composant **Dossiers partagé** puis le menu **Action/Nouvelle vue de la liste des tâches....** * Cliquez **Suivant** lorsque **l'Assistant Nouvelle vue de la liste des tâches** apparaît. {{:si5..c3_g25.png|}} * Cliquez **Aucune liste** dans la zone **Style du volet d'informations** proposer la liste de vos tâches prédéfinies sous forme d'icônes * Cliquez **Texte** dans la zone **Style des descriptions de tâche** pour afficher une description détaillée des tâches disponibles puis cliquez **Suivant**. {{:si5..c3_g26.png|}} * **Cliquez Élément d'arborescence sélectionné** pour n'appliquer cette vue qu'à l'élément que vous allez sélectionner puis cliquez **Suivant**. * Donnez un nom et une description à votre liste de tâches puis cliquez **Suivant**. * Cliquez **Terminer**. L'assistant de création de tâches est lancé automatiquement. * Cliquez **Suivant** {{:si5..c3_g27.png|}} * Vérifiez que l'option **Commande de menu** est sélectionnée puis **Suivant**. En fait, vous allez redéfinir les commandes de menu donc il va falloir spécifier l'objet auquel va s'appliquer la commande. Nous allons définir la tâche comme dans la fenêtre ci-après. * Cliquez **Tâche des éléments de l'arborescence** dans la zone **Source de la commande** {{:si5..c3_g28.png|}} * Dans la zone **Arborescence de la console**, développez **Dossiers partagés (local)** puis cliquez **Partages**. {{:si5..c3_g29.png|}} * Sélectionnez **Nouveau partage..** . dans la liste **Commandes disponibles** puis cliquez **Suivant**. * Modifiez le nom et la description de la tâche en **mon nouveau partage** puis cliquez **Suivant**. Une liste d'icônes vous est proposée pour identifier votre tâche : {{:si5..c3_g28.png|}} * Choisissez {{:si5..c3_g31.png|}} au milieu de la liste {{:si5..c3_g32.png|}} * Cochez **Exécuter cet Assistant à nouveau** pour créer une nouvelle tâche (puis annuler). * **Cliquez Terminer**. {{:si5..c3_g33.png|}} Vous pouvez cliquer sur la tâche **Nouveau partage** pour la lancer (puis annuler) ===== Installation des outils d'administration sur un client ===== Sur les serveurs autonomes ou les stations de travail Windows XP, les outils d'administration d'Active Directory ne sont pas installés par défaut. Vous pouvez néanmoins (et cela est même recommandé) décider d'administrer votre domaine Windows Server 2003 à partir d'une station de travail. Pour ce faire, il vous faudra installer les outils d'administration du domaine Active Directory sur le poste d'administration. Cela n'est possible qu'avec un client Windows XP, les clients Windows 2000 et 9x ne pouvant remplir cette fonction. * lancez une **machine XP** cliente * Insérez le CD-Rom de Windows Server 2003 dans le lecteur puis double-cliquez le programme **i386\ADMINPAK.MSI.** {{:si5..c3_g34.png|}} * Cliquez **Suivant** lorsque l'assistant d'installation s'affiche * Cliquez **Terminer** après l'installation. Le menu **Démarrer/Outils d'administration** contient des outils supplémentaires relatifs au domaine Active Directory, notamment **Utilisateurs et ordinateur, Active Directy**. * Vous pouvez utiliser ces outils sans être connecté en tant qu'Administrateur à l'aide de la commande **runas** ou **Exécuter en tant que**. * Ouvrez une session en tant qu'utilisateur (non administrateur) du domaine Windows 2003. ===== 1 ère méthode ===== * Déroulez **Démarrer Outils d'administration Utilisateurs et ordinateurs Active Directory**. * Cliquez avec le bouton droit sur ** Utilisateurs et ordinateurs Active Directoryv** en maintenant la touche **shift** enfoncée puis cliquez **Exécuter en tant que**. {{:si5..c3_g35.png|}} Une boîte de dialogue s'ouvre et vous demande le nom et le mot de passe de l'administrateur. Une fois ces champs renseignés, la console **Utilisateurs et ordinateurs Active Directory** s'ouvre. //Lors d'un clic droit sur un outil d'administration local, le menu **Exécuter en tant que** apparaît sans maintenir la touche "shift" enfoncée.// ===== 2e méthode ===== * Cliquez **Démarrer/Exécuter**. * Dans la zone **Ouvrir**, tapez **runas /user : EUROMEDIA \administrateur "mmc %windir%\system32\dsa.msc"** où EUROMEDIA doit être remplacé par le nom de votre domaine. * Tapez le mot de passe de l'administrateur La commande **runas** peut être utilisée en ligne de commande ou à l'intérieur de fichiers batch.