Vade-mecum |
|||||||||||
Fonctionnalités
système
|
État initial L'installation de base est terminée, aucun driver n'est installé à part les drivers correspondant aux cartes réseau:
Remarque: Il est maintenant recommandé de n'installer que TCP/IP et plus NetBEUI. Partitionnement des disques: Le système est installé dans une partition de taille voisine de 1 Go. Une seconde partition de taille suffisante est créée pour accueillir les applications. Une ou plusieurs autres partitions sont créées pour accueillir les fichiers personnels des utilisateurs auxquels il accéderons via le réseau. En cas d'environnement agressif devant être sécurisé, toutes ces partition sont formatées NTFS, sinon seule la ou les partitions utilisateurs sont formatées NTFS. On conserve un espace libre de quelques centaines de Mo pour autoriser l'installation d'une version de secours de NT Server ou WorkStation permettant d'accéder à l'installation initiale en cas de problème avec cette installation (impossibilité de démarrer, ...). L'installation est réalisée en domaine. Avant tout, il est nécessaire de créer deux disquettes de réparation d'urgence (utilitaire rdisk) stockées dans un lieu sécurisé. Sécurisation des comptes Utiliser l'administrateur des utilisateurs pour les domaines pour:
Sécurisation des partitions Les racines de toutes les partitions sont protégées:
Dans ces partitions, certains répertoires doivent aussi être protégés:
Configurations système ponctuelles
Les principes sont identiques à NT Server. Quelques fonctionnalités système Windows NT Deux groupes et quatre utilisateurs seront utilisés dans les paragraphes suivants au sein d'un domaine DVOYAGER dont le contrôleur principal est VOYAGER. Gérer les utilisateurs et les groupes d'utilisateurs Le groupe par défaut reste "Utilisateurs du domaine". Les utilisateurs seront créés soit un par un, soit par script ou programme (net user, addusers, ...). Il est recommandé d'utiliser des groupes pour
assembler les utilisateurs en entités d'administration. Exemple: Création de deux groupes globaux _G1 et _G2, création de quatre utilisateurs u1g1 et u2g1 dans _G1, u1g2 et u2g2 dans _G2. Sélectionner le répertoire ou l'unité que l'on souhaite partager. Demander l'option partage des propriétés de l'objet. Indiquer le nom du partage
("Users") Un nom de partage terminé par un $ entraîne la création d'un partage caché (non browsable sur le réseau). Configurer les permissions d'accès à travers le partage réseau. ATTENTION, les permissions par défaut sont le contrôle total pour tout le monde, ce qui équivaut à un partage totalement ouvert. Attribuer des répertoires personnels L'attribution d'un répertoire de base (un répertoire personnel, répertoire implicite attribué dynamiquement à l'utilisateur) est réalisée via le bouton profil demandé sur les propriétés du ou des utilisateurs sélectionnés. La zone répertoire de base est utilisée:
Il est possible d'utiliser la variable d'environnement %USERNAME% pour réaliser des configurations portant sur plusieurs utilisateurs en fonction de leur noms. Dans un cas comme dans l'autre, il est nécessaire d'attribuer des permissions d'accès aux répertoires personnels:
Attribuer des profils personnels itinérants Un profil d'utilisateur itinérant ou local est stocké dans un répertoire. Il est constitué de fichiers et de sous-répertoires eux-mêmes stockés dans ce répertoire. L'idée des profils itinérants est de
stocker ces profils dans un répertoire réseau les rendant ainsi disponibles depuis
l'ensemble des machines du domaine. La configuration de profils itinérants revient sur le principe à la même opération que l'attribution de répertoires de base accessibles depuis par le réseau:
ATTENTION, les profils peuvent être de grande taille et donc entraîner une charge du réseau. Un profil itinérant (comme un profil local) peut être rendu non modifiable en plaçant les fichiers du profil en lecture seule. Déployer une stratégie système Une stratégie système peut être créée pour être déployée sur les machines du domaine, et imposer des configurations particulières aux ordinateurs, groupes d'utilisateurs et utilisateurs. L'utilitaire à employer est l'éditeur de stratégie système (Poledit.exe, Policy Editor). On demande la création d'une nouvelle stratégie qui devra être sauvegardée sous le nom NTConfig.pol dans le répertoire \WINNT\System32\Repl\Import\Scripts de tous les contrôleurs de domaine. Cette stratégie sera automatiquement déployée sur l'ensemble des machines du domaine. La configuration "Ordinateur par défaut" sera appliquée à toutes les machines. La configuration "Utilisateur par défaut" sera appliquée à tous les utilisateurs en session. On peut créer des configurations spécifiques aux machines, groupes d'utilisateurs et utilisateurs. Les options configurables sont valider, dévalider et laisser comme préconfiguré Quelques importantes possibilités de paramétrage:
Interdit l'accès à l'onglet
configuration Désactivation de regedit.exe et regedt32.exe Définition des applications utilisables Limite de taille pour les profils utilisateur Définition des répertoires ne se
déplaçant pas
Active le bouton d'arrêt du système Désactive l'affichage du nom
d'utilisateur Suppression automatique des copies
en cache Personnalisation L'éditeur de stratégie système peut être personnalisé vis à vis de logiciels particuliers au moyen de fichiers ".adm". Ceux-ci sont installés sous /WINNT/Inf. Il doivent aussi être installés dans Poledit.exe en demandant Option->Exemple de stratégie. Ajout des fichiers de configuration Contrôles supplémentaires Contrôles supplémentaires Dans au moins deux cas particuliers, l'activation de la réplication est nécessaire sur l'ensemble des contrôleurs de domaine d'un domaine:
En effet, dans ces deux cas, il est impératif que les fichiers supports de ces fonctionnalités soient présents sur l'ensemble des machines à même de gérer une ouverture de session. Le moyen conçu par les ingénieurs de Microsoft pour s'assurer du déploiement et de la cohérence de ces fichiers est la réplication. Par ce processus l'ensemble du contenu d'un répertoire particulier pourra être dupliqué sur d'autres machines. Toute modification étant répercutée automatiquement. L'intervalle de réplication est de l'ordre de 5 à 10 mn. L'activation de la réplication est une opération sensible sous Windows NT 4.0. Par défaut, le répertoire d'où sont exportés les fichiers et répertoires est: \WINNT\System32\Repl\Export. Le répertoire où sont importés les fichiers et répertoires est \WINNT\System32\Repl\Import. Les opérations à réaliser sont:
Utilisation du bouton Duplication Indication des domaines ou des
machines
Sur une machine NT Server Sur une machine NT Workstation ATTENTION: On constate que même dans le cas d'un bon fonctionnement, la duplication peut générer des messages d'erreur dans le journal d'événements application. Gérer des interconnexions entre sous-réseaux Windows NT Le protocole natif de Windows NT est NetBEUI. Un problème de NetBEUI est qu'il ne peut être utilisé pour connecter des ordinateurs de deux sous-réseaux différents. La solution est d'employer TCP/IP qui lui le permet. Windows NT installé sous TCP/IP utilise toutefois nativement la convention de nom de machine liée à NetBEUI. On parle d'interface NetBIOS. On se heurte alors au problème que les machines portent un nom NetBEUI et utilisent pour communiquer le protocole TCP/IP pour lequel la convention de nom est différente. Une solution consiste à installer un "Serveur WINS" (Windows Internet Name Service") dont le rôle consistera à gérer une base de données d'associations (noms NetBEUI, nom TCP/IP). Les machines clientes seront configurées pour ce serveur. Elles l'interrogerons chaque fois qu'elles n'auront pas une connaissance directe du nom NetBEUI de la machine à joindre. L'un des intérêts de WINS est que l'apprentissage de la base de données est automatique et dynamique. Les machines du sous-réseau du serveur sont référencées automatiquement par broadcast. Toute machine interrogeant un serveur WINS s'enregistre automatiquement dedans. Deux serveurs WINS pourront même être configurés pour s'échanger leurs bases. L'utilisation de DHCP (Dynamic Host Configuration Protocole) autorise un administrateur à configurer l'ensemble des paramètres TCP/IP d'une machine sur une machine unique: un serveur DHCP. Au moment de son démarrage, la machine cliente téléchargera ces paramètres via le réseau. Elle émet en fait un broadcast à destination de son sous-réseau à la recherche d'un serveur DHCP à même de lui répondre et attend une réponse. Activités régulières liées à l'administration
La commande AT |