Brol de Win2K : infos en vrac

En attendant mieux, voici quelques trucs en vrac que j'avais griffoné sur un bout de papier. Bref, c'est encore le brol

Installation Win2K

4 grands types d'installations :

• Interactive : c'est le type d'installation le plus répendu chez les particuliers. L'installation se fait au départ du CD-ROM. L'utilisateur doit répondre aux questions qui lui sont posées.
  Ce type d'installation est robuste et ne nécessite aucune préparation préalable.
  Le problème est que seulement le système et les pilotes sont installés. Il faut encore installer les programmes et configurer le système.
• Image : l'installation d'une image par un logiciel tiers (par exemple Symantec Norton GHOST, ou PowerQuest DRIVE IMAGE).
  L'avantage de ce type d'installation est que l'environnement est déjà configuré, et les programmes sont installés. C'est donc un gain de temps appréciable.
  Il est possible d'amorcer (boot) le système logiciel tiers depuis une disquette, et d'aller chercher l'image depuis un serveur de fichier sur le réseau.
  Désavantage : l'installation doit se faire sur une plateforme matérielle identique (cartes pci enfichées au même emplacement, etc.) pour une utilisation correcte.
• Unattended : installation flexible.
  • Un fichier sur le serveur reprend les différents types d'installations possibles.
  • Le système est amorcé depuis une disquette.
  • Un choix permet de déterminer le nom de la machine (format UDF) et le type d'installation souhaitée.
  • Les différentes questions normalement posées au cours de l'installation sont préalablement introduites dans le fichier unattended.
• Remote Install Service (RIS) : installation bénéficiant des services d'Active Directory.
  Contraintes :
  • Présence d'un DNS et d'un serveur DHCP dans le réseau.
  • Carte réseau PXE Boot.

Outils d'administration sur une station de travail

AdminPack

Il est possible d'installer les outils d'administration sur une station de travail gràce au fichier adminpack.msi qui se trouve dans %systemroot%\winnt\system32\

Attention : dans le cas d'une station de travail sous Xp, il est nécessaire d'utiliser l'adminpack.msi de Windows Server 2003 (disponible sur le CD-ROM d'installation).
Correctif Microsoft Windows XP : Télécharger
AdminPack : Télécharger

Terminal service

La prise de contrôle à distance est possible de la manière suivante :

Menu démarrer/Accessoires/Remote desktop connection

Profil

La configuration du profil (hive) est mémorisée dans le fichier ntuser.dat, et reprend les données de la clé HKU (voir partie base de registre).

Le profil est mémorisé au moment de la fermeture de session, en local ou sur un serveur de fichiers (file server) dans le cas d'un profile itinérant (roaming profile).
Le chemin de stockage local par défaut différe selon la version de Windows :

Windows 2K ou Xp : C:\Documents and settings\nom de l'utilisateur
Windows NT : C:\WINNT\Profiles\nom d'utilisateur

Dans le cas d'un profil itinérant, l'adresse est de type UNC (Uniform Naming Convension) :

\\Serveur\Partage\nom d'utilisateur

Mandatory profile

Il suffit de renommer le fichier ntuser.dat du profil en ntuser.man pour protéger en écriture le profil. Cela signifie que l'utilisateur a la possibilité de modifier son profil selon les autorisations qui lui ont été accordées dans les stratégies de gestion, mais qu'au moment de clôturer sa session les modifications ne seront pas mémorisées.

Groupes

Types de groupes

Groupe de sécurité : Ces groupes permettent de déterminer les autorisations sur les accès aux ressources, mais aussi de gérer les listes de distribution de messagerie.

Groupe de distribution : Ces groupes sont uniquements utilisés par les systémes de messagerie (par exemple Microsoft Exchange si la version est compatible Active Directory).

Etendue

Scope : Aprés avoir sélectionné un type de groupe, nous devons déterminer l'étendue (scope) du groupe. L'étendue est la zone depuis laquelle le groupe peut se voir attribuer des autorisations d'accès.
Nous distinguons trois types d'étendues : locale, globale, et universelle.

Membership : Cette notion détermine dans ce cas la zone dans laquelle les membres du groupe peuvent ouvrir une session.

Groupe de domaine local

Nous parlerons de groupe de domaine local et non de groupe local, afin d'éviter toute confusion avec un groupe en local sur la machine.
C'est pour un groupe de domaine local (Domain Local Group) que nous déterminerons les droits d'accès à une ressource du domaine sur lequel le groupe a été créé.
Nous pouvons placer le groupe local dans un autre groupe de domaine local.
Notre groupe de domaine local peut contenir les éléments suivants : comptes utilisateurs, groupes globaux et groupes universels.

Groupe global

Un groupe global (Global Group) permet d'organiser les comptes utilisateurs du domaine. L'utilisateur dont le compte est membre d'un groupe global doit provenir du domaine, mais peut ouvrir une session de partout dans la forêt.
Le groupe global peut étre dans un groupe de domaine local de notre domaine ou d'un autre domaine, ou dans un groupe universel.

Groupe universel

Le groupe universel (Universal Group) est une nouvelle notion introduite avec Windows 2000. C'est pourquoi un choix nous est proposé entre structure native et structure mixte. Dans une structure mixte (environnement composé de Windows 2000 et Windows NT4), il est impossible de travailler avec un groupe universel (son étendue porte sur la forêt).

L'utilisation d'un groupe universel peut de plus se révéler une faille dans la sécurité, tant son étendue est importante.

Un groupe universel peut étre placé dans d'autres groupes et voir s'attribuer des autorisations dans n'importe quel domaine.
Ce type de groupe peut contenir des utilisateurs, ou d'autres groupes.

Tableau récapitulatif

Structure du document