TP 05 - mardi 14 février et jeudi 16 février 2012
Les outils d'administration sont accessibles par le menu Démarrer/Outils d'administration ou à l'aide de la console d'administration MMC (Microsoft Management Console) qui permet de regrouper tous les outils d'administration dans une seule interface.
Comme avec Windows 9x, vous pouvez personnaliser le menu Démarrer, la Barre de tâches et le Bureau pour regrouper les outils que vous utilisez le plus souvent.
Les outils d'administration que nous utiliserons dans cet ouvrage sont les suivants :
Sur les serveurs membres et les stations de travail, ces 2 consoles n'existent pas et sont remplacées par stratégie de sécurité locale
Cet outil donne accès à un certain nombre de composants que nous allons rencontrer dans cet ouvrage. Il a l'avantage de les regrouper dans une seule console d'administration.
Nous allons voir comment utiliser certains de ces outils
Il permet d'accéder à plusieurs journaux qui consignent les événements au fur et à mesure qu'ils se produisent. Il est possible de consulter les journaux d'un ordinateur distant.
Il est possible également de rechercher ou de trier les événements sur différents critères : date, heure, type d'événement…
Application : liste les événements générés par certains logiciels, par exemple SQL Server, et tous les événements programmés par les développeurs des applications. Serveur DNS : liste les événements générés par le service DNS et n'est présent que si votre ordinateur joue le rôle de serveur de nom DNS. Sécurité : liste les événements dont vous avez demandé l'audit. Une clé indique une réussite. Un cadenas indique un échec. Système : liste les événements générés par le système d'exploitation et par les services. Les autres journaux n'existent que sur les contrôleurs de domaine Active Directory. Service d'annuaire : liste les événements générés par les services Active Directory(NTDS). Service de réplication de fichiers : liste les événements générés par les services de réplication de fichiers (NTFRS).
Les actions suivantes sont possibles sur les journaux :
Les Dossiers partagés permettent d'afficher et de modifier les connexions et les ressources partagées de l'ordinateur local.
Le dossier Sessions informe sur les utilisateurs du réseau connectés à l'ordinateur.
Pour déconnecter un utilisateur d'un ordinateur ou d'un fichier :
En effectuant un clic droit sur le dossier Sessions, vous pouvez ) déconnecter toutes les sessions, pour des tâches de maintenance par exemple.
Vous pouvez fermer un fichier en pointant le fichier désiré puis en cliquant droit Fermer le fichier ouvert. Il est possible de démarrer ou d'arrêter un service particulier à partir de cet outil ou directement à partir de l'outil d'administration Services.
Vous avez la possibilité suivant son état précédent de le démarrer, de l’arrêter… Il est possible également de modifier son type de démarrage en cliquant Propriétés.
L'onglet Connexion permet de définir si le service peut ouvrir une session sur l'ordinateur et avec quel profil matériel il est activé.
Ainsi, si une défaillance du spouleur survient, il sera automatiquement redémarré par le système. Vous pouvez également définir une fréquence de comptage des défaillances.
Parmi les Outils système, on trouvera sur une station Windows XP Professionnel ou un serveur autonome, l'outil Utilisateurs et groupes locaux qui permet de gérer les utilisateurs locaux. Cet outil n'apparaît pas sur un contrôleur de domaine.
Outre le fait de créer des utilisateurs et de les affecter à un ou des groupes, il faut leur accorder certains droits : accéder au serveur localement, arrêter le serveur… Il faut également pouvoir définir des restrictions sur les mots de passe, verrouiller un compte le cas échéant…
Vous pouvez affecter d'autres restrictions sur les comptes utilisateur : sur les mots de passe, le verrouillage du compte, le cryptage après « X » tentatives d'accès infructueuses, etc. Nous utiliserons l'outil Stratégie de sécurité du domaine pour tout ce qui est commun au domaine (les stratégies de compte notamment).
Vous constatez que ce paramètre étant activé par défaut, cela oblige vos utilisateurs à avoir des mots de passe contenant 3 types de caractères parmi les 4 suivants : majuscules, minuscule, chiffres et caractères spéciaux. Au besoin, désactivez ce paramètre mais de nos jours, il est conseillé de le conserver même s'il est plus contraignant.
La boîte de dialogue s'ouvre et vous propose des valeurs par défaut pour les stratégies Réinitialiser le compteur de verrouillages du compte après et Durée de verrouillage des comptes.
Ainsi, dès que trois tentatives d'ouverture de sessions infructueuses auront été réalisées, le compte sera verrouillé durant 30 minutes et nécessitera le déverrouillage par un administrateur.
Le protocole d'authentification, sécurisé par défaut de Windows 2003 est KerberosV5 (conforme à la RFC 1510). Vous pouvez en modifier les valeurs par défaut à l'aide des stratégies définies dans Stratégie Kerberos.
Nous utiliserons l'outil Stratégie de sécurité du contrôleur de domaine pour tout ce qui concerne notre contrôleur de domaine (accès à la console du serveur…).
Vous remarquerez que, par défaut, le droit Accéder à cet ordinateur depuis le réseau est accordé aux groupes Tout le Monde, Administrateurs et Utilisateurs authentifiés. Pour améliorer la sécurité, nous allons supprimer le groupe Tout le Monde.
Exemple : vous voulez donner à un des utilisateurs du groupe Commerciaux la responsabilité de la sauvegarde. Il suffit de sélectionner dans la liste le droit Sauvegarder des fichiers et des répertoires et d'y ajouter cet utilisateur ; lui seul au sein de son groupe, pourra alors effectuer la sauvegarde.
Pour cet exemple une seconde façon de procéder, plus simple et plus logique, est d'ajouter cet utilisateur au groupe Opérateurs de sauvegarde, ce groupe ayant le droit de sauvegarde par défaut.
De même, si vous souhaitez permettre à un utilisateur n'ayant pas de privilèges administratifs d'ouvrir une session sur votre serveur, ajoutez-le dans Ouvrir une session localement. Il est néanmoins préférable d'inclure l'utilisateur à un groupe disposant de ce droit.
Nous allons voir comment créer des consoles d'administration (MMC), personnalisées en fonction des tâches administratives et des utilisateurs concernés.
Une nouvelle boîte de dialogue s'ouvre en fonction des composants sélectionnés
On revient à la fenêtre initiale qui contient les outils que vous venez d'ajouter :
Pour rendre cette console plus explicite, il est conseillé de renommer le dossier « Racine de la console » par quelque chose de plus précis (par ex : « Gestion du serveur »).
Maintenant, nous allons enregistrer la console que nous avons créée.
La console que vous venez de créer apparaît désormais dans le menu Démarrer/Programmes/Outils d'administration/admin. Remarquez qu'étrangement elle n'apparaît pas dans Démarrer/Programmes/Outils d'administration qui est un raccourci qui ne prend pas en compte les éléments personnalisés.
Les consoles sont sauvegardées au format *.msc et peuvent être distribuées à des groupes d'utilisateurs. Dans les options de la console, on peut définir les niveaux de sécurité des utilisateurs de chaque console.
La MMC (Microsoft Management Console) est par défaut en mode auteur, c'est-à-dire modifiable par ajout/suppression d'éléments. Une fois que vous avez créé votre console vous pouvez la passer en mode utilisateur ce qui empêche l'ajout/suppression de composants et de sauvegarder la console.
Quatre modes sont possibles pour la console
Les consoles MMC ainsi créées et sauvegardées, peuvent être distribuées par : copie du fichier .msc, utilisation d'un dossier partagé, de stratégies de groupes, via e-mail, via téléchargement (FTP, HTTP)…
En fait, vous allez redéfinir les commandes de menu donc il va falloir spécifier l'objet auquel va s'appliquer la commande. Nous allons définir la tâche comme dans la fenêtre ci-après.
Une liste d'icônes vous est proposée pour identifier votre tâche :
Vous pouvez cliquer sur la tâche Nouveau partage pour la lancer (puis annuler)
Sur les serveurs autonomes ou les stations de travail Windows XP, les outils d'administration d'Active Directory ne sont pas installés par défaut. Vous pouvez néanmoins (et cela est même recommandé) décider d'administrer votre domaine Windows Server 2003 à partir d'une station de travail. Pour ce faire, il vous faudra installer les outils d'administration du domaine Active Directory sur le poste d'administration. Cela n'est possible qu'avec un client Windows XP, les clients Windows 2000 et 9x ne pouvant remplir cette fonction.
Le menu Démarrer/Outils d'administration contient des outils supplémentaires relatifs au domaine Active Directory, notamment Utilisateurs et ordinateur, Active Directy.
Une boîte de dialogue s'ouvre et vous demande le nom et le mot de passe de l'administrateur. Une fois ces champs renseignés, la console Utilisateurs et ordinateurs Active Directory s'ouvre.
Lors d'un clic droit sur un outil d'administration local, le menu Exécuter en tant que apparaît sans maintenir la touche “shift” enfoncée.
La commande runas peut être utilisée en ligne de commande ou à l'intérieur de fichiers batch.