Vade-mecum
d'une installation

NT Server

NT Workstation

Fonctionnalités système
Les utilisateurs
et groupes d'utilisateurs
Les répertoire partagé
Les répertoires personnels
Les profils itinérants
Les stratégies système
La réplication
L'interconnexion
de sous-réseaux Windows NT
DHCP
Les activités régulières liées à l'administration

RETOUR

État initial

L'installation de base est terminée, aucun driver n'est installé à part les drivers correspondant aux cartes réseau:

• Protocole réseau minimum : NetBeui

• Protocole TCP/IP à installer et configurer si nécessaire (Internet, Intranet, ...)

• Autres protocoles à installer dans les cas particuliers le nécessitant

Remarque: Il est maintenant recommandé de n'installer que TCP/IP et plus NetBEUI.

Partitionnement des disques:

Le système est installé dans une partition de taille voisine de 1 Go. Une seconde partition de taille suffisante est créée pour accueillir les applications. Une ou plusieurs autres partitions sont créées pour accueillir les fichiers personnels des utilisateurs auxquels il accéderons via le réseau.

En cas d'environnement agressif devant être sécurisé, toutes ces partition sont formatées NTFS, sinon seule la ou les partitions utilisateurs sont formatées NTFS.

On conserve un espace libre de quelques centaines de Mo pour autoriser l'installation d'une version de secours de NT Server ou WorkStation permettant d'accéder à l'installation initiale en cas de problème avec cette installation (impossibilité de démarrer, ...).

Windows NT Server

L'installation est réalisée en domaine.

Avant tout, il est nécessaire de créer deux disquettes de réparation d'urgence (utilitaire rdisk) stockées dans un lieu sécurisé.

Sécurisation des comptes

Utiliser l'administrateur des utilisateurs pour les domaines pour:

• renommer l'administrateur,

• renommer l'invité,

• créer un nouveau compte possédant les droits d'Administrateur du domaine (ce compte est un compte de secours pour le cas où le véritable administrateur ne serait plus utilisable) et stocker le login et le mot de passe en lieu sûr,

• créer un nouveau compte sans droits particulier portant le nom de login "Administrateur" (Piège à con),

• Augmenter ou réduire les droits des groupes prédéfinis (En particulier, autoriser l'ouverture de session locale sur un Server par d'autres utilisateurs que les administrateurs),

• Activer l'audit des ouvertures et des fermetures de session, des mises en route et arrêts du système de manière à enregistrer ces événements dans le journal "sécurité".

Sécurisation des partitions

Les racines de toutes les partitions sont protégées:

• Partition Système :

  • Administrateurs, Administrateurs du domaine et System en contrôle total

  • Tout le monde ou Utilisateurs du domaine en lecture seule

• Partition Application :

  • Administrateurs, Administrateurs du domaine et System en contrôle total

  • Tout le monde ou Utilisateurs du domaine en lecture seule

• Partition Utilisateur :

  • Administrateurs, Administrateurs du domaine et System en contrôle total

  • Tout le monde ou Utilisateurs du domaine en aucun accès (accès via le réseau)

Dans ces partitions, certains répertoires doivent aussi être protégés:

• \Program files

  • Administrateurs et System en contrôle total

  • Tout le monde ou Utilisateurs du domaine en lecture seule

  Certains fichiers ou répertoires de certaines applications peuvent devoir être conservés en RW si ces applications y accèdent autrement qu'en lecture et ne peuvent pas fonctionner faute de cet accès.

• \Winnt

  • Ne pas toucher

• \Temp

  • Ne pas toucher (si besoin est Tout le monde en contrôle total)

• \Recycler

  • Tout le monde en contrôle total (ATTENTION à la création des répertoires Recycler sur les différentes unités)

• Les répertoires des utilisateurs: voir plus loin

Configurations système ponctuelles

• Configurer la taille des journaux d'événements.

• Ajuster la taille de la mémoire virtuelle (tailles initiales et maximales identiques = 2xRAM) et la taille maximale du registre.

• Après installation des applications, configurer le menu démarrer de All Users.

Windows NT WorkStation

Les principes sont identiques à NT Server.

Quelques fonctionnalités système Windows NT

Deux groupes et quatre utilisateurs seront utilisés dans les paragraphes suivants au sein d'un domaine DVOYAGER dont le contrôleur principal est VOYAGER.

Gérer les utilisateurs et les groupes d'utilisateurs

Le groupe par défaut reste "Utilisateurs du domaine".

Les utilisateurs seront créés soit un par un, soit par script ou programme (net user, addusers, ...).

Il est recommandé d'utiliser des groupes pour assembler les utilisateurs en entités d'administration.
-> création d'un ou plusieurs groupes globaux ou locaux et placement des utilisateurs dans ces groupes avec appartenance éventuelle à plusieurs groupes (éventuellement complexe à gérer).

Exemple: Création de deux groupes globaux _G1 et _G2, création de quatre utilisateurs u1g1 et u2g1 dans _G1, u1g2 et u2g2 dans _G2.

Créer un partage réseau

Sélectionner le répertoire ou l'unité que l'on souhaite partager. Demander l'option partage des propriétés de l'objet.

Indiquer le nom du partage ("Users")
-> création d'un partage portant le nom \\VOYAGER\Users en convention UNC.

Un nom de partage terminé par un $ entraîne la création d'un partage caché (non browsable sur le réseau).

Configurer les permissions d'accès à travers le partage réseau. ATTENTION, les permissions par défaut sont le contrôle total pour tout le monde, ce qui équivaut à un partage totalement ouvert.

Attribuer des répertoires personnels

L'attribution d'un répertoire de base (un répertoire personnel, répertoire implicite attribué dynamiquement à l'utilisateur) est réalisée via le bouton profil demandé sur les propriétés du ou des utilisateurs sélectionnés.

La zone répertoire de base est utilisée:

• soit pour indiquer un répertoire local à une machine (l'utilisateur utilisera ce répertoire sur chacune des machines sur lesquelles il se connecte),

Un répertoire D:\users qui contient les répertoires personnels de l'ensemble des utilisateurs. Celui-ci contient un répertoire _G1 qui contient les répertoires des utilisateurs du groupe _G1. Celui-ci contient en particulier le répertoire de l'utilisateur u1g1.

• soit pour indiquer un répertoire situé sur une unité réseau (l'unité est montée automatiquement sur le poste de connexion avec attribution de la lettre d'unité choisie, on peut indiquer un chemin sur le partage réseau).

Un partage réseau \\VOYAGER\_G1 destiné à contenir et donner accès aux répertoires des utilisateurs du groupe_G1. Celui-ci contient entre autres le répertoire de l'utilisateur u1g1.

Il est possible d'utiliser la variable d'environnement %USERNAME% pour réaliser des configurations portant sur plusieurs utilisateurs en fonction de leur noms.

Dans un cas comme dans l'autre, il est nécessaire d'attribuer des permissions d'accès aux répertoires personnels:

Attribuer des profils personnels itinérants

Un profil d'utilisateur itinérant ou local est stocké dans un répertoire. Il est constitué de fichiers et de sous-répertoires eux-mêmes stockés dans ce répertoire.

L'idée des profils itinérants est de stocker ces profils dans un répertoire réseau les rendant ainsi disponibles depuis l'ensemble des machines du domaine.
Quand un utilisateur ouvre une session sur un poste, son profil est téléchargé sur son poste et lui est attribué. Il l'utilise et le modifie éventuellement en cours de session de travail. Au moment de la fermeture de session, le profil est déchargé du poste client vers le partage réseau.
Une copie en cache reste présente sur le poste client si aucune configuration système contraire n'a été réalisée.

La configuration de profils itinérants revient sur le principe à la même opération que l'attribution de répertoires de base accessibles depuis par le réseau:

• création d'un partage réseau (profiles_G1$ pour les profils des utilisateurs du groupe _G1),

• configuration des permissions d'accès réseau à ce partage et des permissions d'accès au répertoire correspondant au partage ainsi qu'aux répertoires qu'il contient,

• configuration du profil de l'utilisateur pour indiquer un profil itinérant,

• organisation de cette structure autour des groupes des différents utilisateurs.

ATTENTION, les profils peuvent être de grande taille et donc entraîner une charge du réseau.

Un profil itinérant (comme un profil local) peut être rendu non modifiable en plaçant les fichiers du profil en lecture seule.

Déployer une stratégie système

Une stratégie système peut être créée pour être déployée sur les machines du domaine, et imposer des configurations particulières aux ordinateurs, groupes d'utilisateurs et utilisateurs.

L'utilitaire à employer est l'éditeur de stratégie système (Poledit.exe, Policy Editor). On demande la création d'une nouvelle stratégie qui devra être sauvegardée sous le nom NTConfig.pol dans le répertoire \WINNT\System32\Repl\Import\Scripts de tous les contrôleurs de domaine.

Cette stratégie sera automatiquement déployée sur l'ensemble des machines du domaine. La configuration "Ordinateur par défaut" sera appliquée à toutes les machines. La configuration "Utilisateur par défaut" sera appliquée à tous les utilisateurs en session.

On peut créer des configurations spécifiques aux machines, groupes d'utilisateurs et utilisateurs.

Les options configurables sont valider, dévalider et laisser comme préconfiguré

Quelques importantes possibilités de paramétrage:

• Utilisateur ou groupe d'utilisateurs

Interdit l'accès à l'onglet configuration
du panneau de configuration Affichage
-> Impossible de modifier la résolution d'affichage
(commune à tous les utilisateurs)

Désactivation de regedit.exe et regedt32.exe

Définition des applications utilisables

Limite de taille pour les profils utilisateur

Définition des répertoires ne se déplaçant pas
avec les profils itinérants

• Machine

Active le bouton d'arrêt du système
dans la bannière d'ouverture de session
-> Autorise n'importe qui à arrêter le système

Désactive l'affichage du nom d'utilisateur
du dernier utilisateur ayant ouvert une session

Suppression automatique des copies en cache
des profils utilisateur itinérants

Personnalisation

L'éditeur de stratégie système peut être personnalisé vis à vis de logiciels particuliers au moyen de fichiers ".adm". Ceux-ci sont installés sous /WINNT/Inf. Il doivent aussi être installés dans Poledit.exe en demandant Option->Exemple de stratégie.

Ajout des fichiers de configuration
admin.adm et off97nt4.adm

Contrôles supplémentaires
pour l'administration système Windows NT 4.0

Contrôles supplémentaires
pour l'administration d'Office 97

Activer la réplication

Dans au moins deux cas particuliers, l'activation de la réplication est nécessaire sur l'ensemble des contrôleurs de domaine d'un domaine:

• l'utilisation d'une stratégie système,

• l'utilisation de scripts d'ouverture de session.

En effet, dans ces deux cas, il est impératif que les fichiers supports de ces fonctionnalités soient présents sur l'ensemble des machines à même de gérer une ouverture de session.

Le moyen conçu par les ingénieurs de Microsoft pour s'assurer du déploiement et de la cohérence de ces fichiers est la réplication.

Par ce processus l'ensemble du contenu d'un répertoire particulier pourra être dupliqué sur d'autres machines. Toute modification étant répercutée automatiquement. L'intervalle de réplication est de l'ordre de 5 à 10 mn.

L'activation de la réplication est une opération sensible sous Windows NT 4.0.

Par défaut, le répertoire d'où sont exportés les fichiers et répertoires est: \WINNT\System32\Repl\Export. Le répertoire où sont importés les fichiers et répertoires est \WINNT\System32\Repl\Import.

Les opérations à réaliser sont:

• Serveur et Clients: Création d'un utilisateur global du domaine appartenant aux groupes "Admins du domaine" et "Duplicateurs". Cet utilisateur est destiné à être celui en charge du travail de réplication. Son mot de passe est déterminé de manière à être introuvable. Cet utilisateur ne travaille qu'hors session pour le processus de réplication et n'est pas destiné à être utilisé autrement.

Dans le gestionnaire d'utilisateurs, création d'un utilisateur "Duplicateur" et placement dans les "Admins du domaine".

• Serveur et Clients: Lancement du service "Duplicateur de répertoires" configuré comme amorcé automatique au démarrage du système et exécuté par l'utilisateur "Duplicateur".

• Serveur: Configuration de l'exportation.

Utilisation du bouton Duplication
du panneau de configuration Serveur

Indication des domaines ou des machines
vers lesquels l'exportation est autorisée

• Client: Configuration de l'importation.

Sur une machine NT Server

Sur une machine NT Workstation
(pas d'exportation)

ATTENTION: On constate que même dans le cas d'un bon fonctionnement, la duplication peut générer des messages d'erreur dans le journal d'événements application.

Gérer des interconnexions entre sous-réseaux Windows NT

Le protocole natif de Windows NT est NetBEUI. Un problème de NetBEUI est qu'il ne peut être utilisé pour connecter des ordinateurs de deux sous-réseaux différents. La solution est d'employer TCP/IP qui lui le permet. Windows NT installé sous TCP/IP utilise toutefois nativement la convention de nom de machine liée à NetBEUI. On parle d'interface NetBIOS. On se heurte alors au problème que les machines portent un nom NetBEUI et utilisent pour communiquer le protocole TCP/IP pour lequel la convention de nom est différente.

Une solution consiste à installer un "Serveur WINS" (Windows Internet Name Service") dont le rôle consistera à gérer une base de données d'associations (noms NetBEUI, nom TCP/IP). Les machines clientes seront configurées pour ce serveur. Elles l'interrogerons chaque fois qu'elles n'auront pas une connaissance directe du nom NetBEUI de la machine à joindre.

L'un des intérêts de WINS est que l'apprentissage de la base de données est automatique et dynamique. Les machines du sous-réseau du serveur sont référencées automatiquement par broadcast. Toute machine interrogeant un serveur WINS s'enregistre automatiquement dedans. Deux serveurs WINS pourront même être configurés pour s'échanger leurs bases.

Activer DHCP

L'utilisation de DHCP (Dynamic Host Configuration Protocole) autorise un administrateur à configurer l'ensemble des paramètres TCP/IP d'une machine sur une machine unique: un serveur DHCP.

Au moment de son démarrage, la machine cliente téléchargera ces paramètres via le réseau. Elle émet en fait un broadcast à destination de son sous-réseau à la recherche d'un serveur DHCP à même de lui répondre et attend une réponse.

Activités régulières liées à l'administration

• Relever les journaux d'événements.

• Effectuer des sauvegardes.

• Effectuer des scans anti-virus.

• Vider les répertoires temp.

• Vider les poubelles.

• Supprimer les copies en cache des profils utilisateur.

La commande AT