Windows NT 4.0

Administrer Windows NT4.0

 

Résumé personnel du cours officiel 970B en vue du MCP/MCSE NT4.0

 

 

Et n'oubliez-pas d'aller faire un petit tour chez
pour d'autres informations Windows NT.

 

 

Module 1: Introduction à l'administration de Windows NT

Outils d'administration de Windows NT

Sur Windows NT Server

Gestionnaire de serveurs Visualise et gère les domaines et les ordinateurs
Gestionnaire des utilisateurs pour les domaines Sécurité des domaines, serveurs et stations de travail. Si ce n'est pas un contrôleurs, le Gestionnaires des utilisateurs est installé


Sur Windows NT Workstation

Gestionnaire des utilisateurs Sécurité des ordinateurs.


Outils communs

Gestionnaire de sauvegardes Sauvegarde des données
Observateur d 'évènements Informations relatives aux erreurs et avertissements
Diagnostics Visualisation et impression des infos relatives au système

 

Ouverture d'une session sur un ordinateur ou un domaine

Utilisateur

Le compte doit résider soit dans la base SAM d'un contrôleur (ouverture de session dans un domaine), soit dans la base SAM de l'ordinateur local (ouverture de session locale).

Mot de passe

Respecter la casse.
Domaine
Sélectionner un domaine. La base SAM d'un contrôleur de domaine est consultée (ouverture de session dans un domaine), sinon sélectionner le nom d'ordinateur. La base SAM de l'ordinateur local est consultée (ouverture de session locale).

NB : les serveurs membres et WKS ont un compte local Administrateur et un compte Invité par défaut.

Définitions
NT Server: -> CPD (unique)
-> CSD (uniquement s'il y a un CPD)

-> Serveur membre

-> autonome
  -> joint au domaine
NT Workstation: OS optimisé pour NT Server
 

Serveur membre:

Serveur de fichiers/impression
Serveur d'applications
 

Pour accéder aux ressources d'un PC, il faut juste qu'il soit allumé.

Groupe global regroupement d'utilisateurs dans la base SAM du DOMAINE
Groupe local regroupement de ressources dans le base SAM du SERVEUR

 

Module 2 : Définition de comptes d'utilisateurs

Un compte d'utilisateur est l'identification d'un utilisateur unique. Ce compte permet de contrôler comment l'utilisateur accède à un ordinateur ou à un domaine.

3 types de comptes

Compte créé

Permettent d'ouvrir un session sur le réseau et d'accéder aux ressources.
Invité Permet aux utilisateurs occasionnels d'ouvrir une session sur un ordinateur local. Désactivé par défaut.
Administrateur Permet de gérer la configuration globale des PC et des domaines. L'administrateur peut effectuer toutes les tâches.

Emplacement des comptes créés

Compte d'utilisateur de domaine

A l'aide du Gestionnaire des utilisateurs pour les domaines. Il est créé dans la base SAM du CPD. Une copie de cette base est stockée sur les CSD. Pour forcer la synchro entre le CPD et les CSD, utiliser soit le gestionnaire de serveur, soit net accounts /sync

Compte d'utilisateur local Sur serveur membre ou WKS avec le Gestionnaire des utilisateurs.

NB : Il est possible de créer des comptes d'utilisateurs du domaine avec WKS et WIN9x en installant les outils d'administration de Windows NT Server à partir du CD de Windows NT Serveur.


Convention de nomenclature
- Les comptes doivent être uniques et comporter 20 caractères maximum.
- Les caractères interdits sont " / \ [ ] : . | = , + * ? < >
- Mots de passe : 14 caractères maximum. Respect de la casse.


Horaires d'accès
Il est possible de définir des horaires d'accès pour les utilisateurs.


Emplacement du dossier de base
C'est le dossier privé d'un utilisateur. Il est utilisé comme dossier par défaut pour les boîtes de dialogue Fichier Ouvrir et Enregistrer sous.
Noter qu'une centralisation des dossiers de base permet une meilleure gestion des sauvegardes.

Exemple : \Utilisateurs\Utill      Il suffit alors de sauver le dossier Utilisateurs...
\Utilisateurs\Util2
\Utilisateurs\Util3


Création de comptes d'utilisateurs
Avec le gestionnaire des utilisateurs ou gestionnaire des utilisateurs pour les domaines.

Mot de passe

L'utilisateur doit changer de mot de passe à la prochaine ouverture de session
L'utilisateur ne peut pas changer son mot de passe
Le mot de passe n'expire jamais
Compte désactivé.

L'accès aux stations de travail permet de définir sur quels ordinateurs un utilisateur aura un droit d'ouverture de session.

Il est possible de définir une date d'expiration pour un compte.

Il est aussi possible de définir une permission d'appel afin qu'un utilisateur puisse ouvrir une session à distance en utilisant le RAS.

3 possibilités Pas de rappel
Défini par l'appelant
Prédéfini au

 

Suppression et changement de nom de comptes d'utilisateurs
Tout compte peut être supprimé sauf les comptes Administrateurs et Invités.

Gestion de l'environnement de travail d'un utilisateur
Profils
Lors de la première ouverture de session d'un utilisateur, un profil est créé. Ce profil contient tous les paramètres définissables par l'utilisateur concernant sont environnement de travail. Ces paramètres sont sauvegardés dans C:\Winnt\Profiles.

Scripts
Pour les clients autres que NT (LAN Manager MS-DOS, WFWG et WIN 3.x). C'est un fichier .exe ou .bat ou .cmd qui s'exécute automatiquement lors de l'ouverture de session.

Profils d'utilisateur errants
Permet à l'utilisateur d'avoir le même environnement de travail quel que soit l'ordinateur où il ouvre une session.
Ces profils doivent être enregistrés sur un serveur réseau.

Profil errant obligatoire Non modifiable par l'utilisateur. Un même profil obligatoire peut être affecté à plusieurs utilisateurs.
Profil errant personnel Modifiable par l'utilisateur. Les modifications sont prises en compte lors de la déconnexion.


Pour créer un profil errant, procédure en 2 étapes

  1. Ouvrir une session en tant qu'administrateur, créer un compte test. Ouvrir une session sous ce nom de compte. Modifier l'environnement comme voulu et fermer la session.
  2. Ouvrir une session en tant qu'administrateur, créer un dossier sur un lecteur réseau. Aller dans le Panneau de configuration, Système, onglet Profils utilisateur. Sélectionner le profil de test et le copier dans un dossier d'un serveur réseau. Sous Autorisé à utiliser, cliquer sur Modifier et ajouter l'utilisateur désiré. Il faut alors renommer l'extension dat en man pour le rendre obligatoire.

Le profil itinérant se trouve sur un serveur du domaine. Il faut préciser le chemin d'accès dans le Gestionnaire des utilisateurs.

Le chemin est composé du nom de la machine (ex. \\ )
nom du répertoire partagé (juste le dernier niveau)
nom de l'utilisateur (%USERNAME%) ou nom_profil (profil obligatoire)

 

Module 3 : Définition de comptes de groupes

Un groupe est une collection de comptes d'utilisateurs. Le fait d'affecter un compte d'utilisateur à un groupe donne à cet utilisateur tous les droits et permissions de ce groupe.

Groupes locaux
Servent à donner aux users des permissions d'accès à une ressource réseau mais aussi des droits pour lancer des tâches système. Il existe des groupes locaux prédéfinis.
Ils ne peuvent pas contenir d'autre groupes locaux. Contiennent des groupes globaux.
S'ils sont créés sur un serveur membre ou sur WKS, ils ne se voient affecter que des ressources ou droits sur l'ordinateur local.

Groupes globaux
servent à organiser les comptes d'utilisateur de domaine. Ne peuvent comporter que des comptes d'utilisateurs du même domaine.
Ils sont toujours crées sur le CPD du domaine où réside le compte.
Pour créer des groupes, il faut utiliser le Gestionnaire des utilisateurs pour les domaines.

Création de groupes globaux
Les noms doivent être uniques et comporter 20 caractères maximum.
Les caractères interdits sont " / \ [ ]: . | = , + ? < >
Il faut ensuite insérer les utilisateurs dans le groupe ainsi créé.

Création de groupes locaux
Les noms doivent être uniques et comporter 256 caractères maximum (seuls 22 apparaîtrons).
Le caractère interdit est \
Il faut ensuite insérer les utilisateurs et les groupes globaux.
Pour insérer d'autres groupes globaux d'autres domaines, il suffit simplement de sélectionner le domaine.

Mise en oeuvre des groupes prédéfinis

Sur un CPD détermine les droits de ses membres sur ce domaine.
Sur autre détermine les droits de ses membres sur l'ordinateur local.

 

Groupes prédéfinis sur tous les ordinateurs Windows NT
Groupes globaux

Utilisateurs utilisent leurs droits et leurs permissions
Administrateurs peuvent exécuter toutes les tâches administratives sur l'ordinateur local. Sur contrôleur, les membres peuvent administrer entièrement le domaine.
Invités utilisent leurs droits et leurs permissions
Opérateurs de sauvegarde peuvent utiliser le programme de sauvegarde de NT.

Duplicateurs

utilisé par le service Duplicateur de répertoire.

 

Groupes prédéfinis uniquement sur les contrôleurs de domaine
Groupes locaux

Opérateurs de compte peuvent créer, modifier, supprimer les utilisateurs et les groupes. Ne peuvent pas modifier les groupes Administrateurs et Opérateurs de serveur.
Opérateurs de serveur peuvent partager les ressources disques, sauvegarder et restaurer les serveurs.
Opérateurs d'impression peuvent configurer et gérer les imprimantes en réseau.

Groupes globaux

Utilisa. du domaine Ajouté automatiquement au groupe Utilisateurs local. Le compte Administrateur est membre de ce groupe.
Admins. Du domaine Ajouté automatiquement au groupe Administrateurs local. Le compte Administrateur est membre de ce groupe.
Invités du domaine

Ajouté automatiquement au groupe Invités local. Le compte Invité est membre de ce groupe.


Groupes systèmes prédéfinis

Groupe système (pour l'administration du réseau)

Tout le monde Comprend tous les ordinateurs locaux et distants qui ont accès. Ce groupe contient des comptes d'utilisateurs autres que ceux créés par l'administrateur dans le domaine.
Créateur propriétaire comprend l'utilisateur qui a créé ou pris possession d'une ressource. Si un membre du groupe Administrateur prend possession d'une ressource, le nouveau propriétaire est le groupe Administrateur. Ce groupe peut être utilisé pour gérer les accès fichiers et dossiers sur volumes NTFS.

Groupe système (non utilisés pour l'administration du réseau)

Réseau comprend tout utilisateur connecté à une ressource partagée de votre ordinateur.
Interactif Inclut tout utilisateur qui se connecte localement à l'ordinateur. Ont accès aux ressources locales.

 

Module 4 : Administration de comptes d'utilisateurs et de groupe

Création de modèles de comptes d'utilisateurs
C'est un compte d'utilisateur standard auquel on affecte des propriétés appropriées aux besoins communs de plusieurs utilisateurs. Il suffit alors lors de la création d'un compte utilisateur de recopier ce compte modèle.
Ce qui devient propriété du nouveau compte est:

Configuration des options de mot de passe / verrouillage de compte
Dans le Gestionnaire des utilisateurs pour les domaines, sélectionner Stratégies puis Compte.

Maintenance des contrôleurs de domaines
Promotion d'un CSD en CPD
Démarrer / Programme / Outils d'administration / Gestionnaire de serveurs.
Sélectionner un CSD et le promouvoir en CPD ==> Le CPD d'origine devient CSD.

Un CSD restant doit se promouvoir en CPD.
Quand le CPD revient il doit se rétrograder en CSD puis de nouveau se promouvoir en CPD.

Note : Si la disparition du CPD est due à une panne réseau, il faut éteindre / allumer le CPD pour pouvoir le rétrograder.

On ne peut pas promouvoir : un serveur membre en CPD ou CSD
Un CPD ou CSD en serveur membre.


Rétablissement des rôles de contrôleur de domaine
Démarrer le CPD d'origine. Sur ce PC, démarrer le Gestionnaire de serveur. Sélectionner le CPD d'origine. Dans le menu Ordinateur, cliquer sur Rétrograder à contrôleur secondaire de domaine.
Sélectionner ce PC qui est devenu CSD et cliquer sur Promouvoir au titre de contrôleur principal de domaine et valider.

Synchronisation des contrôleurs de domaine
Pour synchroniser un CSD spécifique
Démarrer le gestionnaire de serveur et sélectionner le CSD. Dans le menu Ordinateur, cliquer sur Synchroniser avec le contrôleur principal de domaine et valider.

Pour synchroniser tous les contrôleurs de domaine
Démarrer le gestionnaire de serveur et sélectionner le CPD. Dans le menu Ordinateur, cliquer sur synchroniser tout le domaine et valider.

 

Module 5 : Protection des ressources au moyen de permissions de dossiers partagés

FAT et NTFS.
Elles ne protègent pas les fichiers et dossiers locaux.

Dans l'ordre :

Contrôle total
Modifier
Lire
Aucun accès

Affectées aux users, aux groupes ou aux deux.


Attribution de permissions aux utilisateurs et aux groupes
Il y a cumul des permissions sauf pour "aucun accès" qui est prioritaire.
Il est conseillé d'affecter les permissions aux groupes plutôt qu'aux utilisateurs.

Ajouter les groupes globaux aux groupes locaux et affecter les permissions aux groupes locaux.

NB : Quand un dossier est partagé, le groupe Tout le Monde se voit automatiquement attribué la permission Contrôle total. Il faut donc supprimer le groupe Tout le monde.


Partage de dossiers
Conditions requises pour le partage d'un dossier

Groupe
OS
Administrateurs Win NT
Opérateurs de serveur CPD / CSD NT Server
Utilisateurs avec pouvoir Serveurs membre NT Server et clients NT WKS

NB : Si NTFS, il faut détenir au moins la permission Lister pour pouvoir partager les dossiers.


Partages administratifs
La racine de chaque volume est automatiquement partagée avec lettre lecteur + $ : C$, D$,...
Le dossier C:\WinNT est partagé en tant que Admin$.

Quand on est administrateur,si sur une machine il y a un disque appelé C$ ou D$, il n'est pas visible dans "Voisinage réseau" mais il est accessible en lui précisant son nom (C$ ou D$).

Lors d'un partage, sous NT WKS, le nombre maximal de user est de 10. Pas de limite pour NT Server.

Le partage s'effectue avec l'explorateur 4 "Partage".

Le partage n'est utile que pour les accès réseaux, il ne protège pas pour une connexion locale.


Attribution de permissions de dossier partagé
On définit les permissions des users et des groupes pour le partage effectué.
Dans la boite de dialogue Propriétés de (x:) cliquer sur Permissions.

 

Module 6 : Protection des ressources au moyen de permissions NTFS

Sur NTFS uniquement.
Ce sont des permissions locales (elles protègent les fichiers et dossiers locaux et réseau).

Dans l'ordre : Lire (R)
Écrire (W)
Exécuter (X)
Supprimer (D)
Changer des permissions (P)
Prendre possession (O)

Le user qui crée un dossier / fichier en devient le propriétaire. Le propriétaire peut toujours attribuer / modifier des permissions sur son dossier /  fichier.

Le partage s'effectue avec l'explorateur -> "Propriétés \ Permissions"

Permissions dossier / Permission nouv. Fichier du dossier
Permissions fichier
Contrôle total (Tous)(Tous) Contrôle total (Tous)
lister (RX)(RX)             -
Ajouter & lire (RWX)(RX)             -
Ajouter (WX)(Non spécifié)             -
Modifier (RWXD) (RWXD) Modifier (RWXD)
Lire (RX) (RX) Lire (RX)
aucun accès (aucun) (aucun) aucun accès (aucun)

Par défaut "Contrôle total" est attribué au groupe "Tout le monde".

En tant qu'administrateur, pour pouvoir modifier les permissions d'un dossier / fichier appartenant à un user, il faut en prendre possession.


Combinaison de permissions de dossiers partagés et de permissions NTFS
La permission la plus restrictive est la plus efficace.


Attribution de permissions NTFS
Conditions requises :
     - Propriétaire
     - Contrôle total
     - Accès spécial : changer les permissions ou prendre possession.

Par défaut : la permission Contrôle total est automatiquement attribuée au groupe Tout le monde.
Lorsqu'un nouveau dossier ou fichier est créé, il hérite des permissions du dossier qui le contient.


Prise de possession de dossiers et de fichiers
Un fichier ou un dossier appartient à l'utilisateur qui l'a créé. Seul le propriétaire peut en changer les permissions et les partages. L'administrateur, pour faire de même, doit d'abord prendre possession du fichier ou dossier pour pouvoir en modifier les permissions.
Par défaut, les membres du groupe Administrateur peuvent toujours prendre possession d'un fichier ou dossier.


Copie I déplacement de dossiers / fichiers

Copie Héritage des permissions
Déplacement (sur partitions disque différentes) Héritage des permissions
Déplacement (sur partitions disque identiques Conservation des permissions

De NTFS à FAT : perte des permissions. Mêmes remarques pour la compression.

 

 

Module 7: Configuration d'une imprimante réseau

Imprimante : PC + NT Server ou WKS + périphérique imprimante.

Périphérique d'impression à interface réseau : périphérique d'impression avec carte réseau.

Les ordinateurs avec les OS suivant peuvent imprimer sur un réseau :
WIN NT, WIN9x, WFWG, WIN3.1, MS-DOS, LAN Manager 2.x, OS/2, NetWare, UNIX, Macintosh.


Permissions d'impression

Dans l'ordre:

Contrôle total
Gestion de documents
Imprimer (imprimer, suspendre I reprendre, se connecter à une imprimante réseau)
aucun accès


Configuration d'une imprimante réseau
Pour installer un nouveau périphérique, s'assurer qu'il est dans la HCL, sinon utiliser une disquette fabricant.
Ceci s'effectue dans Imprimantes.
Il faut avoir les privilèges d'administration.

Membre de
Peut administrer une imprimante
Administrateurs Sur tout PC NT
Opérateurs d'impression Sur tout contrôleur de domaine
Opérateurs de serveurs Sur tout contrôleur de domaine
Utilisateurs avec pouvoir Sur tout ordinateur local du domaine où le groupe existe


Partage d'une imprimante existante
Cliquer Démarrer I Paramètres I Imprimantes.
Définir le partage.


Attribution de permissions d'impression
Dans les propriétés de l'imprimante, cliquer sur Sécurité et onglet Permissions.


Configuration des clients réseau
Clients WIN NT et WIN9x
Les utilisateurs se connectent à l'imprimante partagée.
Le pilote d'imprimante est automatiquement copié vers l'ordinateur client.

Clients exécutant d'autres OS Microsoft
Installer un pilote d'imprimante local.

Clients exécutants d'autres OS autres que Microsoft
Le serveur d'impression doit être doté d'un service installé.

Macintosh Services pour Macintosh
NetWare Service de fichiers et d'impression compatible NetWare (FINW)
UNIX Impression Microsoft TCP/IP.


Accès à une imprimante réseau
Clients WIN NT et WIN9x
Dans le dossier Ajout d'imprimante, cliquer sur Serveur d'imprimante réseau. Il suffit alors de sélectionner l'imprimante partagée désirée.

Clients autres

LAN Manager sous MS-DOS ou OS/2 net use lptx \\nom-serveur\nompartage
NetWare configurés avec un monolithique IPX et NetWare VLM capture nom_file_attente
UNIX sous TCP/IP LPR -Snom_serveur -Pnompartage nom_fichier


Création d'un pool d'imprimantes
Plusieurs imprimantes identiques connectées sur une même machine.


Définition de priorités entre imprimantes
Les imprimantes doivent être connectées sur la même machine.
Priorité 1: la plus faible                       Priorité 99 : la plus haute

Note :

Il est possible de modifier les paramètres du spooler. Dans "Panneau config/service", sélection du fonctionnement du service Spooler.
Dans Imprimantes, clic droit dans le fond blanc -> Propriétés du serveur d'impression
                                    => modification emplacement du spooler.
Ceci peut se faire dans \WINNT\SYSTEM32\REGEDT32.EXE

Note : quand on configure une imprimante (périphérique), il faut préciser le bac d'alimentation.

 

Module 8 : Administration des imprimantes réseau

Comment sont imprimés les documents

Clients NT et WIN9x Le document est envoyé dans un spooler local puis dans le spooler du serveur.

Autres clients

Le document est envoyé dans le spooler du serveur.


Redirection de documents
Au cas ou l'imprimante serait HS, il est possible de rediriger les impressions.


Prise de possession d'une imprimante
Ceci permet de changer d'administrateur.
Prise de possession d'une imprimante uniquement pour :
           ·
Administrateurs,
·
Opérateurs d'impression,
·
Opérateurs de serveur,
· Utilisateurs avec pouvoir.
· Les utilisateurs ayant la permission Contrôle total pour l'imprimante.
Il faut cliquer droit sur l'icône d'imprimante, choisir Propriétés et onglet Sécurité.

 

 

Module 9 : Audit de ressources et d'évènements

Un audit permet de consigner un événement dans un journal sécurité contenant l'action réalisée, l'utilisateur qui a réalisé l'action et la date/heure de l'action.
Un audit se défini ordinateur par ordinateur.
Les évènements sont dans le journal de sécurité des contrôleurs de domaine.
Sur NT WKS ou NT Server qui n'est pas un contrôleur, c'est le journal de sécurité local qui est affecté.

L'audit de fichiers et répertoire uniquement sur NTFS.


Audit

D'un domaine Pour définir une stratégie d'audit, dans Gestionnaire des utilisateurs pour les domaines, sélectionner "Stratégies /Audit...".
Dun fichier/répertoire L'audit s'effectue avec l'explorateur -> "Propriétés \ Sécurité \ Audit"
D'une imprimante Sélectionner une imprimante, puis "Propriétés \ Sécurité \ Audit".


Observateur d'évènements
"Démarrer \ Programmes \ Outils d'administration \ Observateur d'événements".

 

 

Module 10 : Surveillance des ressources réseau

Permet de surveiller le trafic du réseau. On utilise le gestionnaire de serveur qui permet de :

Administrateurs ou opérateurs de serveur pour le domaine sélectionné -> serveurs et stations du domaine.
Administrateurs ou Utilisateurs avec pouvoir pour l'ordinateur sélectionné -> serveurs membres et stations de travail.


Visualisation d'une configuration système
Avec l'outil Diagnostic Windows NT.
Il est accessible par Démarrer, Programmes, Outils d'administration et Diagnostics Windows NT.
Cet outil permet de recueillir des informations systèmes et d'imprimer des rapports.

 

 

Module 11 : Sauvegarde et restauration de données

La sauvegarde ne peut s'effectuer que sur un système à bandes.

Conditions pour effectuer des sauvegardes
Tout utilisateur peut sauvegarder les fichiers / dossiers pour lesquels il a la permission Lire.
Pour sauvegarder, un utilisateur doit disposer du droit Sauvegarder des fichiers et des répertoires.
Pour restaurer, un utilisateur doit disposer du droit Restaurer des fichiers et des répertoires.
Les membres des groupes Opérateurs de sauvegarde ou Opérateurs de serveur ont ces droits.

La sauvegarde à bandes par WIN NT ne peut pas sauvegarder la base de registre des ordinateurs distants.


Choix du type de sauvegarde

Normale les attributs passent en archive.
Copie les attributs ne passent pas en archive.
Incrémentielle seuls les fichiers et dossiers sélectionnés. Les attribut passent en archive.
Différentielle seuls les fichiers et dossiers sélectionnés et modifiés depuis la dernière sauvegarde.
Quotidienne seuls les fichiers et dossiers modifiés dans la journée.

 

 

 


Début de page  |  Sommaire du thème  |  Page d'accueil  |  Me contacter

(C) Laurent - autourdupc.com -   Mise à jour le 5 juin 2001.