LPro Info - Module administration Windows 2003 Server
Programme 2009-2010

Cours n°1 (16/09)

Introduction

Cours n°2 (17/09)

Introduction

Eléments
d'architecture réseau

Cours n°3 (23/09)

Eléments
d'architecture réseau

Concepts et planification

Cours n°4 (30/09)

Concepts et planification

TP n°1 : Prise en mains et mise à niveau/sécurisation du système

  • Changement du mot de passe de l'"Administrateur"
  • Exécution d'un utilitaire pour changer l'ID système des machines (clonées) (NewSID.exe)
  • Vérification de la configuration actuelle (Windows 2003 Server SP1 non patché, Internet Explorer 6, configuration IP via DHCP)
  • Vérification de la connectivité réseau (ping et nslookup)
  • FTP en ligne de commande (disponible sur toutes les machines où TCP/IP est installé)
    • Connexion en FTP anonymous sur raphaello.univ-fcomte.fr
      • Login : anonymous
      • Mot de passe : adresse émail
      • CD pour changer de répertoire
      • ASC pour télécharger en ASCII
      • BIN pour télécharger en binaire
      • GET pour télécharger un fichier
      • Téléchargement du service pack 2 de Windows XP (Pub/WindowsServicesPacks/W2K3SP2fr.exe)
  • Installation du service Pack 2
  • Configuration du proxy de Internet Explorer (proxy-web.univ-fcomte.fr sur le port 3128) pour accéder à Internet
  • WindowsUpdate
    • http://www.windowsupdate.com
    • Passage en MicrosoftUpdate pour télécharger les patchs des logiciels Microsoft et plus seulement du système
      • Mises à jour critiques
      • Mises à jour optionnelles
      • Fonctionnalités supplémentaires
    • Installation manuelle de quelques patchs
  • Configuration des mises à jour automatiques via le panneau de configuration
    • Installation automatique (option 4) -> risque de reboots automatiques
  • Configuration des mises à jour automatiques sur serveur miroir WSUS
    • MMC installé avec le snap-in "Éditeur de stratégies de groupe"
    • Modification de 2 options sous "Stratégie Ordinateur Local" -> "Configuration ordinateur" -> "Modèles d'administration" -> "Composants Windows" -> "Windows Update"
      • Configuration du service Mises à jour automatiques
        identique au panneau de configuration "Mises à jour automatiques"
      • Spécifier l'emplacement intranet du service de Mise à jour Microsoft
        http://raphaello.univ-fcomte.fr dans les deux champs
    • Le panneau de configuration "Mises à jour automatiques" est désactivé car la configuration via stratégie de groupe est prioritaire.
    • Exécution de la commande clavier "wuauclt /detectnow" pour lancer sur l'instant le processus d'installation des mises à jour
  • Changement de nom en mxxx pour les machines utilisées
  • Connexions Réseau
    • Modification de la configuration TCP/IP pour quitter le mode "Configuration Automatique" (DHCP) et passer en configuration statique
    • Adresses IP : 172.20.128.1 à 12 ou 13 suivant groupe
    • Masque de sous-réseau : 255.255.255.0
    • Passerelle par défaut : 172.20.128.254
    • Serveur DNS : 194.57.91.200
  • Command SYSTEMINFO pour obtenir la configuration de la machine et en particulier la liste des patchs installés

TP n°2

  • Fin de WindowsUpdate en mise à jour automatique
  • Installation des pilotes manquants
    • Téléchargement sur ftp://raphaello.univ-fcomte.fr/pub/Lenovo
    • Installation selon différents modes:
      • Setup.exe
      • Fichier msi
      • Installation directe du pilote par mise à jour
  • Installation d'un navigateur supplémentaire (Firefox, Safari, Chrome)
  • Gestionnaire des tâches (théoriquement toujours accessible par Ctrl-Alt-Suppr)
    • Onglet "Application", liste des applications lancées par l'utilisateur en session
      • Bouton "Nouvelle tâche..." pour exécuter une application (en particulier explorer s'il est planté)
    • Onglet "Processus", liste des processus en fonctionnement
      • Pour chaque processus
        • Nom du fichier exécutable
        • ID de processus
        • Propriétaire
        • Consommation CPU instantanée
        • Temps processeur consommé depuis amorçage du processus
        • Utilisation instantanée de la mémoire
      • Pour chaque processus, possibilité de
        • Changer l'affinité processeur sur les machines multi-processeurs
        • Changer la priorité
        • "Killer" si l'on en a l'autorisation
    • Onglet "Performance"
      • Consommation CPU instantanée et avec trace
      • Consommation mémoire instantanée et avec trace
      • Nombres de handles mémoire, de threads et de processus
      • Empreintes mémoire
    • Onglet "Mise en réseau"
      • Taux d'utilisation des interfaces réseau
    • Onglet "Utilisateurs"
      • Liste des utilisateurs en session sur cette machine avec possibilité de déconnexion, de fermeture de session, ...
  • Paramétrage du (des) menu(s) Démarrer
    • Configuration des répertoires suivants au moyen de raccourcis (attention aux autorisations):
      • \Documents and Settings\All Users\Menu Démarrer pour donner les mêmes raccourcis à tous les utilisateurs
      • \Documents and Settings\%USERNAME%\Menu Démarrer pour donner des raccourcis à un utilisateur particulier
  • Panneau de configuration (configuration de la machine locale)
    • Affichage
    • Options des dossiers
      • Configuration pour affichage le plus exhaustif possible des fichiers et répertoires (cachés, systèmes, ...)
    • Options internet
    • Outils d'administration
    • Système
  • Outils d'administration
    • Gestion de l'ordinateur
      • Observateur d'événements
        • Journal "Application"
        • Journal "Sécurité"
        • Journal "Système"
        • Autres journaux
      • Dossiers partagés
        • Liste de tous les partages (explicites ou implicites)
        • Liste de tous les utilisateurs de ces partages
        • Liste de tous les fichiers ouverts sur ces partages
      • Utilisateurs et groupes locaux
        • Création d'un second administrateur (de secours)
        • Création d'un utilisateur banalisé lambda
      • Gestionnaire de périphériques
        • Désactivation des périphériques non reconnus et non nécessaires
      • Défragmenteur
        • A voir plus tard
      • Gestion des disques
        • A voir plus tard
      • Services
        • Configuration de lancement
          • Désactivé/Manuel/Automatique
          • Utilisateur endossé
          • Procédure en cas de plantage
        • Installation et configuration de timeserv (service de synchronisation sur un serveur de temps)
          téléchargé sur ftp://raphaello.univ-fcomte.fr/pub/timeserv
  • Montage d'un répertoire réseau
    • Utilisation de l'assistant spécifique proposé par l'explorer
    • Utilisation de la commande clavier "net use W: \\serveur\partage"

TP n°3

  • WindowsUpdate
  • Montage du répertoire partagé contenant les fichiers d'installation de Windows 2003 Server
  • Installation en domaine
    • Amorçage de l'assistant d'installation via la commande clavier "dcpromo"
    • Accès aux fichiers d'installation de Windows 2003 Serveur
    • Noms de domaine : dxxx.univ-fcomte.fr
    • Nouveau domaine dans une nouvelle forêt
      -> Indépendance totale de tous les domaines
    • Utilisation des options par défaut
    • Installation du service DDNS car aucun serveur DNS n'est disponible
  • Vérification d'un certain nombre de modifications apportées au système:
    • dns.exe comme processus supplémentaire
    • Panneau de configuration "Système"
    • "Gestionnaire d'ordinateur"
      • Plus d'utilisateur et de groupe local
      • Partages administratifs
      • Journaux supplémentaires
      • Onglet DNS
    • Adresse IP de serveur DNS
    • Répertoires supplémentaires sous %SYSTEMROOT%
  • Passage en DNS 172.20.128.x où x est le numéro de la machine locale
    -> Chaque machine réfère à elle-même en tant que serveur DNS.
  • Vérification du fonctionnement de DNS
    • DNS.exe en fonctionnement dans la liste des processus
    • Le programme nslookup contacte bien le serveur DNS mais les requêtes exécutées conduisent rapidement à la conclusion que le serveur DNS ne fonctionne pas correctement.
      -> En fait, il n'est pas entièrement configuré.
  • Configuration du service DNS
    • Existence d'une zone de recherche directe pour le domaine IP local
    • Création d'une zone de recherche inversée pour la classe 172.20.128
      • Création d'un pointeur dans cette zone pour la machine locale 172.20.128.x
    • Examen de toutes les options dans les deux types de zone
      • En particulier, création
        • d'hôtes
        • d'alias
    • Résolution du problème de cohérence et d'interopérabilité des domaines IP de la salle de TP:
      • Création de toutes les zones sur tous les serveurs (pas la bonne solution)
      • Configuration d'un redirecteur pour chaque zone sur chaque serveur (organisation en graphe complet -> pas la bonne solution)
      • Configuration d'un seul redirecteur (194.57.88.230) qui est configuré avec un redirecteur pour chaque zone (organisation arborescente -> bonne solution)
  • Configuration pour que l'utilisateur Lambda puisse ouvrir une session de travail
    • Utilisation du snap-in "Éditeur de stratégie de groupe" de la MMC pour configurer la stratégie de groupe "Contrôleur de Domaine" pour ajouter l'utilisateur Lambda à la liste des utilisateurs ayant le droit d'"Ouverture de session locale" ("Configuration ordinateur" -> "Paramètres Windows" -> "Paramètres de sécurité" -> "Stratégies locales" -> "Attribution des droits utilisateur"
  • Configuration pour que l'utilisateur lambda puisse ouvrir un bureau à distance sur le serveur
    • Ajouter Lambda à la liste des utilisateurs autorisés pour l'utilisation du bureau à distance dans l'onglet "Utilisation à distance" du panneau de configuration "Système" du serveur.
    • Utilisation du snap-in "Éditeur de stratégie de groupe" de la MMC pour configurer la stratégie de groupe "Contrôleur de Domaine" pour activer cette option et ajouter l'utilisateur Lambda à la liste des utilisateurs ayant le droit d'"Ouverture de session par les services Terminal Server"
    • Utilisation du snap-in "Éditeur de stratégie de groupe" de la MMC pour configurer la stratégie de groupe "Contrôleur de Domaine" pour activer cette option et configurer à vide la liste des utilisateurs ayant l'interdiction d'"Ouverture de session par les services Terminal Server"
  • Gestion des utilisateurs
    • Paramétrage de l'onglet "Profil" des propriétés d'un utilisateur
      • Attribution d'un répertoire de base local à l'utilisateur lambda
        • Créer le répertoire E:\Utilisateurs\Lambda
      • Attribution d'un répertoire de base réseau à l'utilisateur lambda
        • Partage du répertoire E:\Utilisateurs\Lambda sous le nom Lambda pour créer la ressource réseau \\mxxx.dxxx.univ-fcomte.fr\Lambda
        • Attribution de ce partage réseau en tant que répertoire de base associé à la lettre d'unité Z:
        • Problème, autant de partages que l'utilisateur
          -> Risque de saturation du serveur

TP n°4

  • Description des options de sécurité afférentes à
    • un répertoire
    • une unité
    • un fichier
    • un partage réseau
  • Gestion des utilisateurs
    • Paramétrage de l'onglet "Profil" des propriétés d'un utilisateur (suite)
      • Stratégie alternative pour l'attribution d'un répertoire de base à un utilisateur : Créer un seul partage et faire "passer" tous les utilisateurs par ce partage
        • Supprimer le partage Lambda
        • Créer un partage nommé Utilisateurs sur le répertoire D:\Utilisateurs pour créer la ressource réseau \\mxxx.dxxx.univ-fcomte.fr\Utilisateurs
        • Attribution de \\mxxx.dxxx.univ-fcomte.fr\Utilisateurs\Lambda en tant que répertoire de base associé à la lettre d'unité Z:
          -> Spécification d'un sous-répertoire situé sur un partage réseau
    • Sécurisation
      • Sécurisation de ce répertoire de base réseau pour en donner l'usage exclusif à l'utilisateur Lambda et s'assurer qu'il ne peut écrire que là
        • Suppression de l'héritage des autorisations si cette option est préconfigurée sur les répertoires manipulés
        • Configuration des autorisations sur le répertoire D:\Utilisateurs\Lambda
          • Contrôle total ou modification pour l'utilisateur Lambda
          • Contrôle total pour le groupe Admins du domaine
          • Contrôle total pour le groupe SYSTEM
        • Configuration des autorisations sur le répertoire D:\Utilisateurs
          • Lecture pour le groupe Utilisateurs du domaine
          • Contrôle total pour le groupe Admins du domaine
          • Contrôle total pour le groupe SYSTEM
        • Configuration des autorisations sur le partage \\mxxx.dxxx.univ-fcomte.fr\Utilisateurs associé à D:\Utilisateurs
          • Contrôle total pour le groupe Utilisateurs du domaine
          • Contrôle total pour le groupe Admins du domaine
          • Contrôle total pour le groupe SYSTEM
    • Exercice
      • Créer l'utilisateur Gamma
      • Créer le groupe G1
      • Placer Lambda et Gamma dans le groupe G1
      • Créer le partage réseau nécessaire à l'attribution d'un répertoire de base réseau à chacun de ces utilisateurs (utiliser une stratégie "intermédiaire" entre les 2 proposées plus tôt consistant à créer un partage pour le groupe G1
      • Configurer chaque utilisateur pour lui attribuer son répertoire de base réseau
      • Sécuriser l'accès aux répertoires de base réseau pour que chaque utilisateur ne puisse sauvegarder des informations que dans son répertoire et qu'il y possède un accès exclusif
    • Attribution d'un script d'ouverture de session à un utilisateur
      • Les créer dans le répertoire \WINNT\SYSVOL\Sysvol\dxxx.univ-fcomte.fr\scripts avec l'extension CMD ou BAT
      • Dans les propriétés de l'utilisateur, indiquer le nom du script sans le chemin d'accès qui sera implicitement le chemin précédent
      • Manupilations:
        • Essai sur un script simple (echo et pause)
        • Lancement d'un script sauvegardé à la racine du répertoire de base d'un utilisateur (script qu'il peut gérer)
        • Montage automatique par script d'un répertoire réseau _Public (à créer dans D:\Utilisateurs et sécuriser pour que les utilisateurs puissent y lire mais pas y écrire)
        • Montage automatique par script d'un répertoire réseau _Echange (à créer dans D:\Utilisateurs et sécuriser pour que les utilisateurs puissent y lire et y écrire)
        • Montage automatique par script d'un répertoire réseau _TP (à créer dans D:\Utilisateurs et sécuriser pour que les utilisateurs puissent y écrire, mais ne puissent lire, supprimer, modifier, ... que ce qu'ils y ont eux-mêmes écrit) (Exercice à finir pour le TP n°5)
  • Création de relations d'approbation externes entre des domaines
    • sur deux domaines A et B : d'abord A approuve B puis B approuve A car pas de copmmutativité
    • sur trois domaines A, B et C : A pprouve B, B approuve C et C approuve A (pas de transitivité)
  • Attribution d'un profil itinérant à un utilisateur
    • Localisation du profil de l'utilisateur : un sous répertoire de son répertoire de Base

TP n°5

  • Windows Update
  • Solution de l'exercice du TP n°6
  • Gestion des imprimantes
    • Installation
    • Port TCP/IP
    • Partage
    • Sécurisation
  • Description du panneau de configuration tâches planifiées
    • Création interactive
    • Création et gestion vis la commande clavier schtasks
    • La commande AT
  • Administration en ligne de commande
    • Liste des commandes
    • Powershell
  • Installation IIS
    • Installation de FTP et HTTP
    • Modification du systeme apres installation
      • Répertoires de publication
      • Comptes créés
      • Services en fonctionnement
      • Outils d'administration spécifique
  • Modification configuration IP
    • Ajout d'une adresse IP à la connexion réseau
    • Modification DNS pour associer un nom à cette adresse IP
  • Administration FTP
    • Propriétés d'un site FTP
      • Changement de l'adresse IP de connexion
      • Changement du port de connexion
    • Connexion FTP anonymous en ligne de commande
  • Administration FTP
    • Création d'un répertoire pub à la racine du répertoire de publication
    • Création d'un répertoire private à la racine du répertoire de publication
    • Création d'un répertoire virtuel monté à la racine du répertoire de publication
    • Création d'un nouveau site FTP associé a la nouvelle adresse IP sur D:\Inetpub\FTPRoot2
  • Administration FTP
    • Modification des autorisations sur les répertoires de publication
      • IUSR_xxx en lecture sur D:\Inetpub\FTPRoot2 et D:\Inetpub\FTPRoot2\pub
        -> acces anonymous autorisé à la racine du site et dans le répertoire pub
      • IUSR_xxx sans autorisation de lecture sur D:\Inetpub\FTPRoot2\private
        -> pas d'acces anonymous autorisé dans le répertoire private
      • Utilisateur upro en lecture sur le répertoire virtuel et pas d'accès accordé à IUSR_xxx sur ce répertoire
        -> accès anonymous interdit au repertoire virtuel
        -> accès authentifié autorisé à ce répertoire pour l'utilisateur upro

TP n°6

RETOUR     Hit Counter