SI5 - Windows 2003 : Les outils d'administration

TP 05 - mardi 14 février et jeudi 16 février 2012

Objectifs

  • découvrir les fonctionnalités des outils d'administration
  • Outils de gestion de l'ordinateur, console d'administration personnalisée
  • installer les outils d'administration sur un client XP

Prérequis

  • nous utiliserons le serveur srv2003PN installé lors du précédent TP
  • une machine cliente XP dans le même réseau est également nécessaire

Présentation des outils d'administration

Les outils d'administration sont accessibles par le menu Démarrer/Outils d'administration ou à l'aide de la console d'administration MMC (Microsoft Management Console) qui permet de regrouper tous les outils d'administration dans une seule interface.

Comme avec Windows 9x, vous pouvez personnaliser le menu Démarrer, la Barre de tâches et le Bureau pour regrouper les outils que vous utilisez le plus souvent.

Les outils d'administration que nous utiliserons dans cet ouvrage sont les suivants :

  • Outil Gestion de l'ordinateur : il permet d'effectuer la plupart des tâches concernant l'ordinateur local (ou distant). Donne l'accès aux outils système (observateur d'événements, dossiers partagés…), aux outils disques (partitions, défragmenteur…) et à la gestion des services (arrêt, démarrage…).
  • Outil Observateur d'événements : ses journaux consignent les informations relatives à des problèmes dus au matériel (périphérique manquant ou mal installé), au système (échec d'un service), au logiciel (erreur dans l'exécution d'une requête), de sécurité (résultat de l'audit sur les tentatives d'intrusion…).
  • Outils Stratégie de sécurité du domaine et Stratégie de sécurité du contrôleur de domaine : ils regroupent les restrictions sur les comptes (longueur des mots de passe, verrouillage du compte…), les droits des utilisateurs (ouverture de session locale ou à distance, exécution de tâches sur l'ordinateur…), les stratégies d'audit, les options de sécurité de l' ordinateur …

Sur les serveurs membres et les stations de travail, ces 2 consoles n'existent pas et sont remplacées par stratégie de sécurité locale

  • Outil Utilisateurs et ordinateurs Active Directory : il permet de gérer les objets de l'annuaire, c'est-à-dire les utilisateurs, les groupes, les comptes d'ordinateur, et toutes les ressources publiées dans l'annuaire.

Outil Gestion de l'ordinateur

Cet outil donne accès à un certain nombre de composants que nous allons rencontrer dans cet ouvrage. Il a l'avantage de les regrouper dans une seule console d'administration.

  • Cliquez Démarrer/Outils d'administration/Gestion de l'ordinateur ou cliquez avec le bouton droit sur le Poste de travail (sur le bureau ou dans Démarrer) puis Gérer.

{{:si5..c3_g2.png|}}

Nous allons voir comment utiliser certains de ces outils

OBSERVATEUR D'ÉVÉNEMENTS

Il permet d'accéder à plusieurs journaux qui consignent les événements au fur et à mesure qu'ils se produisent. Il est possible de consulter les journaux d'un ordinateur distant.

Il est possible également de rechercher ou de trier les événements sur différents critères : date, heure, type d'événement…

  • Sélectionnez Observateur d'événements dans Outils système.

Application : liste les événements générés par certains logiciels, par exemple SQL Server, et tous les événements programmés par les développeurs des applications. Serveur DNS : liste les événements générés par le service DNS et n'est présent que si votre ordinateur joue le rôle de serveur de nom DNS. Sécurité : liste les événements dont vous avez demandé l'audit. Une clé indique une réussite. Un cadenas indique un échec. Système : liste les événements générés par le système d'exploitation et par les services. Les autres journaux n'existent que sur les contrôleurs de domaine Active Directory. Service d'annuaire : liste les événements générés par les services Active Directory(NTDS). Service de réplication de fichiers : liste les événements générés par les services de réplication de fichiers (NTFRS).

  • Cliquez Système puis cliquez le menu Action :

Les actions suivantes sont possibles sur les journaux :

  • La sauvegarde d'un journal consiste à l'enregistrer (Action Enregistrer le fichier journal sous…) dans un fichier en vue de l'archiver pour l'analyser ultérieurement (Action Ouvrir un fichier journal).
  • Une fois le journal sauvegardé, on peut l'effacer dans l'observateur d'événements (Action Effacer tous les événements).
  • Il est possible de limiter la taille des journaux et de décider quoi faire en cas de débordement (Action Propriétés), afin de ne pas saturer l'espace disque. Ainsi, vous pouvez sauvegarder une fois par semaine les journaux et demander à ce qu'ils soient vidés tous les huit jours.

DOSSIERS PARTAGÉS

Les Dossiers partagés permettent d'afficher et de modifier les connexions et les ressources partagées de l'ordinateur local.

  • Sélectionnez Dossiers partagés dans Outils système.
  • Le dossier Partages inventorie les ressources partagées disponibles sur l'ordinateur et leur chemin d'accès local. Il est possible de créer un nouveau partage ou d'arrêter un partage actuel

Le dossier Sessions informe sur les utilisateurs du réseau connectés à l'ordinateur.

Pour déconnecter un utilisateur d'un ordinateur ou d'un fichier :

  • Sélectionnez Sessions dans Dossiers partagés.
  • Pointez l'utilisateur désiré puis cliquez droit Fermer la session.

En effectuant un clic droit sur le dossier Sessions, vous pouvez ) déconnecter toutes les sessions, pour des tâches de maintenance par exemple.

  • Le dossier Fichiers ouverts donne des informations sur les fichiers ouverts sur le serveur (Utilisateur, Type, Mode d'ouverture…).

Vous pouvez fermer un fichier en pointant le fichier désiré puis en cliquant droit Fermer le fichier ouvert. Il est possible de démarrer ou d'arrêter un service particulier à partir de cet outil ou directement à partir de l'outil d'administration Services.

  • Cliquez Services et applications puis Services.

  • Effectuez un clic droit sur le service sur lequel vous voulez agir. Le menu contextuel vous présente les actions possibles sur ce service :

Vous avez la possibilité suivant son état précédent de le démarrer, de l’arrêter… Il est possible également de modifier son type de démarrage en cliquant Propriétés.

  • Effectuez un clic droit sur le service Spouleur d'impression puis Propriétés.

L'onglet Connexion permet de définir si le service peut ouvrir une session sur l'ordinateur et avec quel profil matériel il est activé.

  • L'onglet Récupération permet de définir les actions à effectuer en cas de défaillance du service.
  • Cliquez l'onglet Récupération.
  • Dans la zone Première défaillance, sélectionnez Redémarrer le service.

Ainsi, si une défaillance du spouleur survient, il sera automatiquement redémarré par le système. Vous pouvez également définir une fréquence de comptage des défaillances.

  • L'onglet Dépendances permet d'afficher les services dont dépend le service sélectionné et ceux qui dépendent de lui.

Parmi les Outils système, on trouvera sur une station Windows XP Professionnel ou un serveur autonome, l'outil Utilisateurs et groupes locaux qui permet de gérer les utilisateurs locaux. Cet outil n'apparaît pas sur un contrôleur de domaine.

Stratégies de sécurité

Outre le fait de créer des utilisateurs et de les affecter à un ou des groupes, il faut leur accorder certains droits : accéder au serveur localement, arrêter le serveur… Il faut également pouvoir définir des restrictions sur les mots de passe, verrouiller un compte le cas échéant…

STRATÉGIES DE COMPTE

Vous pouvez affecter d'autres restrictions sur les comptes utilisateur : sur les mots de passe, le verrouillage du compte, le cryptage après « X » tentatives d'accès infructueuses, etc. Nous utiliserons l'outil Stratégie de sécurité du domaine pour tout ce qui est commun au domaine (les stratégies de compte notamment).

  • Cliquez démarrer Outils d'administrationpuis stratégie de sécurité du domaine
  • Dans le dossier Paramètres Windows, cliquez paramètres de sécurité
  • Développez Stratégies de comptes puis cliquez stratégie de mot de passe

  • Double-cliquez longueur minimale du mot de passe

  • Le cas échéant, modifiez la valeur fixée à 7 caractères puis cliquez OK.
  • Cliquez avec le bouton droit Le mot de passe doit respecter des exigences de complexité puis Aide.

Vous constatez que ce paramètre étant activé par défaut, cela oblige vos utilisateurs à avoir des mots de passe contenant 3 types de caractères parmi les 4 suivants : majuscules, minuscule, chiffres et caractères spéciaux. Au besoin, désactivez ce paramètre mais de nos jours, il est conseillé de le conserver même s'il est plus contraignant.

  • Développez Stratégies de comptes puis Stratégies de verrouillage du compte.

  • Double-cliquez Seuil de verrouillage du compte
  • Cochez la case Définir ce paramètre de stratégie.
  • Sélectionnez 3 tentatives puis cliquez OK

La boîte de dialogue s'ouvre et vous propose des valeurs par défaut pour les stratégies Réinitialiser le compteur de verrouillages du compte après et Durée de verrouillage des comptes.

  • Cliquez OK pour valider les paramètres proposés.

Ainsi, dès que trois tentatives d'ouverture de sessions infructueuses auront été réalisées, le compte sera verrouillé durant 30 minutes et nécessitera le déverrouillage par un administrateur.

Le protocole d'authentification, sécurisé par défaut de Windows 2003 est KerberosV5 (conforme à la RFC 1510). Vous pouvez en modifier les valeurs par défaut à l'aide des stratégies définies dans Stratégie Kerberos.

DROIT DES UTILISATEURS

Nous utiliserons l'outil Stratégie de sécurité du contrôleur de domaine pour tout ce qui concerne notre contrôleur de domaine (accès à la console du serveur…).

  • Cliquez Démarrer/Programmes/Outils d'administration.
  • Sélectionnez Stratégie de sécurité du contrôleur de domaine .
  • Développez le dossier Paramètres Windows puis Paramètres de sécurité.
  • Développez Stratégies locales puis Attribution des droits utilisateur.

Vous remarquerez que, par défaut, le droit Accéder à cet ordinateur depuis le réseau est accordé aux groupes Tout le Monde, Administrateurs et Utilisateurs authentifiés. Pour améliorer la sécurité, nous allons supprimer le groupe Tout le Monde.

  • Double-cliquez Accéder à cet ordinateur depuis le réseau
  • Cliquez Tout le Monde dans la liste puis Supprimer, puis OK pour valider
  • Pour définir les autres droits, double-cliquez de même sur le droit d'accès et affectez des groupes ou des utilisateurs en cliquant le bouton Ajouter.

Exemple : vous voulez donner à un des utilisateurs du groupe Commerciaux la responsabilité de la sauvegarde. Il suffit de sélectionner dans la liste le droit Sauvegarder des fichiers et des répertoires et d'y ajouter cet utilisateur ; lui seul au sein de son groupe, pourra alors effectuer la sauvegarde.

Pour cet exemple une seconde façon de procéder, plus simple et plus logique, est d'ajouter cet utilisateur au groupe Opérateurs de sauvegarde, ce groupe ayant le droit de sauvegarde par défaut.

De même, si vous souhaitez permettre à un utilisateur n'ayant pas de privilèges administratifs d'ouvrir une session sur votre serveur, ajoutez-le dans Ouvrir une session localement. Il est néanmoins préférable d'inclure l'utilisateur à un groupe disposant de ce droit.

Personnalisation des outils d'administration

Nous allons voir comment créer des consoles d'administration (MMC), personnalisées en fonction des tâches administratives et des utilisateurs concernés.

  • Depuis une fenêtre Invite de commandes ou le menu Exécuter, tapez la commande mmc.

  • Dans la fenêtre ci-dessus, sélectionnez le menu Fichier Ajouter/supprimer un composant logiciel enfichable.

  • Vérifiez que Racine de la console est sélectionnée et cliquez le bouton Ajouter.
  • Sélectionnez Dossiers partagés dans la liste et cliquez Ajouter.

Une nouvelle boîte de dialogue s'ouvre en fonction des composants sélectionnés

  • Vous pouvez cocher la case Autoriser la modification… (cette case apparaît ou non suivant le composant sélectionné) si vous désirez utiliser cette console d'administration à partir d'un ordinateur distant (autre que le serveur).
  • Laissez sélectionnée la case L'ordinateur local… (par défaut) puis cliquez Terminer.
  • Dans la fenêtre Ajout d'un composant logiciel enfichable autonome, sélectionnez de même les autres composants dont vous avez besoin. Les composants les plus utiles sont notamment le Défragmenteur de disque, les Dossiers partagés, le Gestionnaire de périphériques, l'Observateur d'événements et Utilisateurs et ordinateurs Active Directory.
  • Cliquez le bouton Ajouter pour chaque composant sélectionné.
  • Cliquez Fermer pour revenir à la fenêtre précédente, où s'affichent à présent les composants que vous avez sélectionnés :

  • Cliquez OK (sauf si vous souhaitez ajouter d'autres composants).

On revient à la fenêtre initiale qui contient les outils que vous venez d'ajouter :

Pour rendre cette console plus explicite, il est conseillé de renommer le dossier « Racine de la console » par quelque chose de plus précis (par ex : « Gestion du serveur »).

  • Cliquez avec le bouton droit sur le libellé Racine de la console et sélectionnez Renommer dans le menu contextuel puis tapez Gestion du serveur puis validez.

Maintenant, nous allons enregistrer la console que nous avons créée.

  • Sélectionnez le menu Fichier Enregistrer, tapez un nom de fichier : admin, laissez l'emplacement par défaut : Outils d'administration puis cliquez Enregistrer.

La console que vous venez de créer apparaît désormais dans le menu Démarrer/Programmes/Outils d'administration/admin. Remarquez qu'étrangement elle n'apparaît pas dans Démarrer/Programmes/Outils d'administration qui est un raccourci qui ne prend pas en compte les éléments personnalisés.

  • Sélectionnez le menu Fichier Enregistrer, tapez un nom de fichier : admin, choisissez le Bureau comme emplacement puis cliquez Enregistrer.

Les consoles sont sauvegardées au format *.msc et peuvent être distribuées à des groupes d'utilisateurs. Dans les options de la console, on peut définir les niveaux de sécurité des utilisateurs de chaque console.

La MMC (Microsoft Management Console) est par défaut en mode auteur, c'est-à-dire modifiable par ajout/suppression d'éléments. Une fois que vous avez créé votre console vous pouvez la passer en mode utilisateur ce qui empêche l'ajout/suppression de composants et de sauvegarder la console.

  • Ouvrez le menu Fichier/Options.
  • Cliquez la flèche de la zone Mode de console :

Quatre modes sont possibles pour la console

  • Mode auteur : permet de créer la console, d'effectuer tous les ajouts de composants, de créer des vues, des tâches…
  • Mode utilisateur - accès total : empêche d'ajouter des composants.
  • Mode utilisateur - accès limité, fenêtre multiple : empêche d'ajouter des composants et de fermer la fenêtre existante, il peut créer d'autres fenêtres.
  • Mode utilisateur - accès limité, fenêtre unique : accès restreint, rien n'est modifiable.
  • Dans Mode de console, sélectionnez Mode utilisateur - accès limité, fenêtre unique.
  • Changez d'icône en cliquant sur Changer d'icône… puis validez.
  • De retour dans la fenêtre principale, enregistrez la console avec Enregistrer sous pour lui donner un autre nom, puisqu'elle ne pourra plus être modifiée en raison du mode de console choisi.

Les consoles MMC ainsi créées et sauvegardées, peuvent être distribuées par : copie du fichier .msc, utilisation d'un dossier partagé, de stratégies de groupes, via e-mail, via téléchargement (FTP, HTTP)…

  • Cliquez sur l’icône de la console admin sur le bureau pour lancer la console que vous avez créée.
  • Cliquez le composant Dossiers partagé puis le menu Action/Nouvelle vue de la liste des tâches….
  • Cliquez Suivant lorsque l'Assistant Nouvelle vue de la liste des tâches apparaît.

  • Cliquez Aucune liste dans la zone Style du volet d'informations proposer la liste de vos tâches prédéfinies sous forme d'icônes
  • Cliquez Texte dans la zone Style des descriptions de tâche pour afficher une description détaillée des tâches disponibles puis cliquez Suivant.

  • Cliquez Élément d'arborescence sélectionné pour n'appliquer cette vue qu'à l'élément que vous allez sélectionner puis cliquez Suivant.
  • Donnez un nom et une description à votre liste de tâches puis cliquez Suivant.
  • Cliquez Terminer. L'assistant de création de tâches est lancé automatiquement.
  • Cliquez Suivant

  • Vérifiez que l'option Commande de menu est sélectionnée puis Suivant.

En fait, vous allez redéfinir les commandes de menu donc il va falloir spécifier l'objet auquel va s'appliquer la commande. Nous allons définir la tâche comme dans la fenêtre ci-après.

  • Cliquez Tâche des éléments de l'arborescence dans la zone Source de la commande

  • Dans la zone Arborescence de la console, développez Dossiers partagés (local) puis cliquez Partages.

  • Sélectionnez Nouveau partage.. . dans la liste Commandes disponibles puis cliquez Suivant.
  • Modifiez le nom et la description de la tâche en mon nouveau partage puis cliquez Suivant.

Une liste d'icônes vous est proposée pour identifier votre tâche :

  • Choisissez au milieu de la liste

  • Cochez Exécuter cet Assistant à nouveau pour créer une nouvelle tâche (puis annuler).
  • Cliquez Terminer.

Vous pouvez cliquer sur la tâche Nouveau partage pour la lancer (puis annuler)

Installation des outils d'administration sur un client

Sur les serveurs autonomes ou les stations de travail Windows XP, les outils d'administration d'Active Directory ne sont pas installés par défaut. Vous pouvez néanmoins (et cela est même recommandé) décider d'administrer votre domaine Windows Server 2003 à partir d'une station de travail. Pour ce faire, il vous faudra installer les outils d'administration du domaine Active Directory sur le poste d'administration. Cela n'est possible qu'avec un client Windows XP, les clients Windows 2000 et 9x ne pouvant remplir cette fonction.

  • lancez une machine XP cliente
  • Insérez le CD-Rom de Windows Server 2003 dans le lecteur puis double-cliquez le programme i386\ADMINPAK.MSI.

  • Cliquez Suivant lorsque l'assistant d'installation s'affiche
  • Cliquez Terminer après l'installation.

Le menu Démarrer/Outils d'administration contient des outils supplémentaires relatifs au domaine Active Directory, notamment Utilisateurs et ordinateur, Active Directy.

  • Vous pouvez utiliser ces outils sans être connecté en tant qu'Administrateur à l'aide de la commande runas ou Exécuter en tant que.
  • Ouvrez une session en tant qu'utilisateur (non administrateur) du domaine Windows 2003.

1 ère méthode

  • Déroulez Démarrer Outils d'administration Utilisateurs et ordinateurs Active Directory.
  • Cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directoryv en maintenant la touche shift enfoncée puis cliquez Exécuter en tant que.

Une boîte de dialogue s'ouvre et vous demande le nom et le mot de passe de l'administrateur. Une fois ces champs renseignés, la console Utilisateurs et ordinateurs Active Directory s'ouvre.

Lors d'un clic droit sur un outil d'administration local, le menu Exécuter en tant que apparaît sans maintenir la touche “shift” enfoncée.

2e méthode

  • Cliquez Démarrer/Exécuter.
  • Dans la zone Ouvrir, tapez runas /user : EUROMEDIA \administrateur “mmc %windir%\system32\dsa.msc” où EUROMEDIA doit être remplacé par le nom de votre domaine.
  • Tapez le mot de passe de l'administrateur

La commande runas peut être utilisée en ligne de commande ou à l'intérieur de fichiers batch.