New Les stratégies de groupe (GPO) sous Windows Server 2008 et … · 2013. 1. 24. · Editions...

Editions ENI

Les stratégies de groupe (GPO) sous Windows Server 2008

et 2008 R2Implémentation, fonctionnalités, dépannage

(2ième édition) CollectionExpert IT

Table des matières

1Table des matières

Chapitre 1Introduction

1. Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.1 Un peu d'histoire…. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.2 … et d'avenir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.3 Qui bénéficie des stratégies de groupe ? . . . . . . . . . . . . . . . . . . . 15

2. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

3. Conseils d'utilisation du livre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.1 L'environnement technique du livre . . . . . . . . . . . . . . . . . . . . . . 173.2 L'organisation des informations . . . . . . . . . . . . . . . . . . . . . . . . . 183.3 Le public concerné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4. Les nouvelles fonctionnalités des stratégies de groupe . . . . . . . . . . . 204.1 Nouveautés principales de Windows Server 2008

et 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204.1.1 La GPMC intégrée (GPMC 2.0) . . . . . . . . . . . . . . . . . . . . . 204.1.2 Group Policy devient un service . . . . . . . . . . . . . . . . . . . . 204.1.3 Les GPO Starter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.1.4 Les préférences de stratégie et les extensions côté client . 214.1.5 La détection de liens lents avec NLA

(Network Location Awareness). . . . . . . . . . . . . . . . . . . . . 214.1.6 La gestion des logs via GPDBPA . . . . . . . . . . . . . . . . . . . . 214.1.7 Le format ADMX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.1.8 La délégation de l'installation des pilotes d'imprimantes

aux utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.1.9 La console de gestion avancée des GPO . . . . . . . . . . . . . . 22

Les éléments à télécharger sont disponibles à l'adresse suivante :http://www.editions-eni.fr

Saisissez la référence ENI de l'ouvrage EI208STR dans la zone de recherche et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement.

2sous Windows Server 2008 et 2008 R2

Les stratégies de groupe (GPO)

4.2 Utilisation des différents types de stratégies de groupe. . . . . . . 224.2.1 Les stratégies locales dans un Workgroup. . . . . . . . . . . . . 234.2.2 Les GPO dans un domaine Active Directory . . . . . . . . . . 23

Chapitre 2GPO, AD et les processus d'application

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

2. Active Directory, une étape primordiale . . . . . . . . . . . . . . . . . . . . . . . 26

3. Application des stratégies sur les postes de travail. . . . . . . . . . . . . . . 293.1 Niveaux d'application dans Active Directory . . . . . . . . . . . . . . . 293.2 Ordre d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303.3 Hiérarchie d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

4. Les GPO dans un environnement multiforêt . . . . . . . . . . . . . . . . . . . 32

5. Active Directory, une organisation faite pour durer . . . . . . . . . . . . . 325.1 Modèle de structure des Unités d'Organisation . . . . . . . . . . . . . 34

6. Création et cycle de vie d'une stratégie de groupe . . . . . . . . . . . . . . . 376.1 Localisation des GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376.2 Permissions et droits d'accès sur les GPO . . . . . . . . . . . . . . . . . . 39

6.2.1 Création de GPO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396.2.2 Consulter et modifier les autorisations. . . . . . . . . . . . . . . 406.2.3 Le conteneur Policies dans Active Directory. . . . . . . . . . . 416.2.4 Le conteneur GPC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426.2.5 Le conteneur GPT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

6.3 Synchronisation des éléments GPC et GPT . . . . . . . . . . . . . . . . 44

7. Processus d'application des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . 457.1 Comprendre comment s'appliquent les GPO . . . . . . . . . . . . . . . 457.2 Principes généraux d'application des GPO . . . . . . . . . . . . . . . . . 46

7.2.1 Processus d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . 477.2.2 Processus d'application initial pour les versions

Windows 2000, Server 2003, Server 2008 et 2008 R2 . . . 48


7.2.3 Processus d'application initial pour les versions Windows XP et Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

7.2.4 Le Fast Boot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507.3 Appliquer les GPO manuellement . . . . . . . . . . . . . . . . . . . . . . . . 51

7.3.1 Commandes de Windows 2000 . . . . . . . . . . . . . . . . . . . . . 527.3.2 Commandes de Windows XP et des versions suivantes . 52

7.4 Forcer les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537.4.1 Environnement Windows 2000. . . . . . . . . . . . . . . . . . . . . 537.4.2 Environnement Windows XP et supérieur . . . . . . . . . . . . 53

8. Application par connexion distante et liens lents . . . . . . . . . . . . . . . 538.1 Détection de liens lents dans Windows . . . . . . . . . . . . . . . . . . . 54

8.1.1 Windows 2000 et XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548.1.2 Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548.1.3 Paramètres appliqués par liens lents . . . . . . . . . . . . . . . . . 55

9. Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Chapitre 3Gérer les stratégies avec GPMC 2.0

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

2. Administrer et gérer les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

3. Gérer les GPO avec la console de gestion des stratégies de groupe - GPMC 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . 613.1 Implémenter la console GPMC 2.0 . . . . . . . . . . . . . . . . . . . . . . . 61

3.1.1 Installation de la fonctionnalité Gestion des stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

3.2 Fonctionnalités de la console GPMC 2.0. . . . . . . . . . . . . . . . . . . 633.2.1 Création et édition de stratégies de groupe . . . . . . . . . . . 633.2.2 Lier des objets stratégies de groupe . . . . . . . . . . . . . . . . . . 713.2.3 Utiliser l'option Appliqué. . . . . . . . . . . . . . . . . . . . . . . . . . 743.2.4 Gérer la précédence des stratégies . . . . . . . . . . . . . . . . . . . 773.2.5 Gérer les héritages des stratégies . . . . . . . . . . . . . . . . . . . . 793.2.6 Forcer les stratégies dans la GPMC . . . . . . . . . . . . . . . . . . 81



3.2.7 Rechercher des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . 813.3 Configuration des paramètres de stratégies . . . . . . . . . . . . . . . . 85

3.3.1 Configuration du nœud ordinateur. . . . . . . . . . . . . . . . . . 873.3.2 Configuration du nœud utilisateur . . . . . . . . . . . . . . . . . . 893.3.3 Génération de rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

3.4 Sécurité et délégation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 923.5 Sauvegarde et restauration des stratégies . . . . . . . . . . . . . . . . . . 96

3.5.1 Sauvegarder une stratégie . . . . . . . . . . . . . . . . . . . . . . . . . 973.5.2 Restaurer une stratégie. . . . . . . . . . . . . . . . . . . . . . . . . . . 1003.5.3 Importer des paramètres . . . . . . . . . . . . . . . . . . . . . . . . . 104

4. Nouvelles fonctionnalités de la GPMC 2.0 . . . . . . . . . . . . . . . . . . . . 1114.1 Les démarreurs de GPO (GPO Starter) . . . . . . . . . . . . . . . . . . . 111

4.1.1 Créer le dossier Starter GPO . . . . . . . . . . . . . . . . . . . . . . 1124.1.2 Créer un objet GPO Starter . . . . . . . . . . . . . . . . . . . . . . . 1134.1.3 Démarrer une stratégie à partir d'une GPO Starter . . . . 1164.1.4 Échanger les GPO Starter . . . . . . . . . . . . . . . . . . . . . . . . . 118

4.2 Les nouvelles fonctionnalités des filtres . . . . . . . . . . . . . . . . . . 1184.2.1 Utiliser les filtres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

4.3 L'utilisation des outils de commentaires. . . . . . . . . . . . . . . . . . 124

Chapitre 4Les préférences de stratégie de groupe

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

2. Explorer les préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1282.1 Liste des paramètres de préférences. . . . . . . . . . . . . . . . . . . . . . 130

2.1.1 Configuration ordinateur - Paramètres Windows . . . . . 1302.1.2 Configuration utilisateur - Paramètres Windows . . . . . 131

2.2 Création d'un objet de préférence . . . . . . . . . . . . . . . . . . . . . . . 1322.2.1 Configuration d'un objet de préférence . . . . . . . . . . . . . 1322.2.2 Déterminer l'action que la préférence doit effectuer . . . 134


3. Configuration des objets de préférences . . . . . . . . . . . . . . . . . . . . . . 1353.1 Configuration des préférences du conteneur

Paramètres Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1363.1.1 Paramètres de préférences communs aux ordinateurs

et aux utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1363.1.2 Paramètres de préférences des utilisateurs . . . . . . . . . . . 146

3.2 Configuration des préférences du conteneur Paramètres du panneau de configuration . . . . . . . . . . . . . . . . . 1483.2.1 Paramètres de préférences communs aux ordinateurs

et aux utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1483.2.2 Paramètres de préférences des utilisateurs . . . . . . . . . . . 168

3.3 Les options de l'onglet Commun . . . . . . . . . . . . . . . . . . . . . . . . 1763.4 Les options des objets de préférences existants . . . . . . . . . . . . 178

4. Architecture et fonctionnement des préférences de stratégie . . . . . 1794.1 Administrer les préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1794.2 Appliquer les préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1804.3 Installer les extensions côté client sur les postes . . . . . . . . . . . 180

4.3.1 Windows Server 2008 et 2008 R2 . . . . . . . . . . . . . . . . . . 1814.3.2 Windows Server 2003, Windows XP. . . . . . . . . . . . . . . . 1814.3.3 Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1814.3.4 Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1814.3.5 Installer les CSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

4.4 Gérer les composants de préférences sur les postes d'administration . . . . . . . . . . . . . . . . . . . . . . . . . 1824.4.1 Administrer les préférences de stratégie

depuis un poste Windows Vista ou 7 . . . . . . . . . . . . . . . 1824.4.2 Administrer les préférences de stratégie

depuis un serveur Windows Server 2008 ou 2008 R2 . . 183

5. Liens et téléchargement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

6. Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183



Chapitre 5ADMX, ADML et les filtres WMI

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

2. Les fichiers ADM et ADMX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1882.1 Les environnements mixtes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

3. ADMX et ADML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1893.1 Pré-requis à la création de fichiers ADMX . . . . . . . . . . . . . . . . 1923.2 Structure des fichiers ADMX. . . . . . . . . . . . . . . . . . . . . . . . . . . 192

3.2.1 Schéma du fichier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1933.2.2 Structure de base du fichier . . . . . . . . . . . . . . . . . . . . . . . 194

3.3 Structure des fichiers ADML . . . . . . . . . . . . . . . . . . . . . . . . . . . 1943.3.1 Schéma du fichier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1953.3.2 Structure de base du fichier . . . . . . . . . . . . . . . . . . . . . . . 196

3.4 Modèle ADMX de base personnalisé. . . . . . . . . . . . . . . . . . . . . 1963.5 Commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

4. Le magasin central . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1984.1 Créer le magasin central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1984.2 Incrémenter le magasin central . . . . . . . . . . . . . . . . . . . . . . . . . 199

5. Sources externes de modèles d'administration . . . . . . . . . . . . . . . . . 2005.1 Téléchargement de fichiers ADMX de source extérieure. . . . . 2005.2 Modèles d'administration pour Microsoft Office. . . . . . . . . . . 200

6. ADMX Migrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2016.1 Scénario idéal d'utilisation des fichiers ADMX . . . . . . . . . . . . 2016.2 Liens et téléchargements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

7. Cibler les GPO à l'aide des filtres WMI . . . . . . . . . . . . . . . . . . . . . . . 2027.1 La syntaxe des filtres WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

7.1.1 Syntaxe WMI de base. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2047.1.2 Exemple de requête WMI. . . . . . . . . . . . . . . . . . . . . . . . . 204

7.2 Créer un filtre WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2057.3 Lier un filtre WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208


7.4 Importer et exporter les filtres WMI. . . . . . . . . . . . . . . . . . . . . 2097.4.1 Importer un filtre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2097.4.2 Exporter un filtre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

8. Liens et téléchargements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212


Chapitre 6Stratégies de groupe et sécurité

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

2. Création du domaine et stratégies par défaut. . . . . . . . . . . . . . . . . . 2162.1 La stratégie Default Domain Policy. . . . . . . . . . . . . . . . . . . . . . 217

2.1.1 Les paramètres de stratégie du domaine . . . . . . . . . . . . . 2172.1.2 Modifier la Default Domain Policy

ou en créer une nouvelle. . . . . . . . . . . . . . . . . . . . . . . . . . 2182.2 Stratégie Default Domain Controllers Policy . . . . . . . . . . . . . . 2192.3 Réparer les stratégies par défaut (Default Domain Policy

et Default Domain Controllers Policy) . . . . . . . . . . . . . . . . . . . 219

3. Configurer la Default Domain Policy . . . . . . . . . . . . . . . . . . . . . . . . 2203.1 Configuration de la Stratégie de mot de passe . . . . . . . . . . . . . 2243.2 Configuration de la Stratégie de verrouillage du compte. . . . . 2253.3 Configuration de la Stratégie Kerberos . . . . . . . . . . . . . . . . . . . 225

4. Sécurité et mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2274.1 Préparer l'implémentation de FGPP. . . . . . . . . . . . . . . . . . . . . . 228

4.1.1 Créer un PSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2294.1.2 Assigner un PSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2374.1.3 PSO et Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . 242

4.2 Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . 2434.2.1 Utiliser Specops . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

5. Élever le niveau de sécurité avec les outils d'audit . . . . . . . . . . . . . . 2455.1 Utiliser les stratégies de groupe pour auditer . . . . . . . . . . . . . . 245

5.1.1 Les différents paramètres d'audit. . . . . . . . . . . . . . . . . . . 246



5.1.2 Auditer les stratégies de groupe avec une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . 248

5.1.3 Auditer les modifications d'objets . . . . . . . . . . . . . . . . . . 2485.1.4 Directory service changes. . . . . . . . . . . . . . . . . . . . . . . . . 2535.1.5 Activer Directory service changes . . . . . . . . . . . . . . . . . . 2545.1.6 Auditer un objet spécifique . . . . . . . . . . . . . . . . . . . . . . . 2545.1.7 Auditer les accès aux fichiers réseau . . . . . . . . . . . . . . . . 257

5.2 Conclusion et commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

6. Stratégie de restriction logicielle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2586.1 Créer une stratégie avec une règle supplémentaire . . . . . . . . . 2646.2 Comment et quand appliquer les GPO de restriction ? . . . . . . 2666.3 Dépanner les stratégies de restriction . . . . . . . . . . . . . . . . . . . . 267

6.3.1 Vérifier manuellement le registre . . . . . . . . . . . . . . . . . . 2676.3.2 Créer un journal d'événements . . . . . . . . . . . . . . . . . . . . 267

7. Stratégie de sécurité avec Internet Explorer . . . . . . . . . . . . . . . . . . . 2687.1 Paramètres de stratégie d'Internet Explorer . . . . . . . . . . . . . . . 269

7.1.1 Configurer le navigateur Internet Explorer . . . . . . . . . . 2697.2 Maintenance d'Internet Explorer. . . . . . . . . . . . . . . . . . . . . . . . 272

7.2.1 Personnalisation du navigateur . . . . . . . . . . . . . . . . . . . . 2727.2.2 Configurer les paramètres de connexion. . . . . . . . . . . . . 2737.2.3 Gérer les URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2747.2.4 Sécurité d'Internet Explorer . . . . . . . . . . . . . . . . . . . . . . . 2747.2.5 Paramètres de programmes . . . . . . . . . . . . . . . . . . . . . . . 274


Chapitre 7Dépanner les stratégies de groupe

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

2. Méthodologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2782.1 Éléments de recherche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

2.1.1 Les exigences liées à l'infrastructure . . . . . . . . . . . . . . . . 279


2.1.2 Les environnements mixtes . . . . . . . . . . . . . . . . . . . . . . . 2792.1.3 Les autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2802.1.4 Le domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . 2802.1.5 La connectivité réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . 2802.1.6 Les stratégies appliquées par liens lents . . . . . . . . . . . . . 2812.1.7 Les serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2812.1.8 Le partage SYSVOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2822.1.9 La réplication Active Directory et FRS . . . . . . . . . . . . . . 2822.1.10Les stratégies par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . 2822.1.11Dans la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

2.2 Organiser les permissions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284

3. Les outils de diagnostic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2843.1 GPOTool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284

3.1.1 Préparer l'utilisation de GPOTool . . . . . . . . . . . . . . . . . . 2853.1.2 Utiliser GPOTool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2853.1.3 Isoler les erreurs de réplication. . . . . . . . . . . . . . . . . . . . . 287

3.2 Déterminer un jeu de stratégie résultant RsOP . . . . . . . . . . . . 2883.2.1 Résultats de stratégie de groupe . . . . . . . . . . . . . . . . . . . 2893.2.2 Modélisation de stratégie de groupe . . . . . . . . . . . . . . . . 2983.2.3 GPResult . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306

3.3 GPDBPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3083.3.1 Conditions d'utilisation de GPDBPA. . . . . . . . . . . . . . . . 3093.3.2 Utiliser GPDBPA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

3.4 Dcgpofix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3093.5 Gpupdate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3103.6 Replmon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

4. Les journaux d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3104.1 L'observateur d'événements de Windows Vista . . . . . . . . . . . . 311

4.1.1 Observateur d'événements en mode classique . . . . . . . . 3114.1.2 Observateur d'événements en mode avancé . . . . . . . . . . 3154.1.3 L'observateur d'événements sur les contrôleurs

de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319




Chapitre 8Étude de cas

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325

2. Cas pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3262.1 Stratégies de la Configuration ordinateur. . . . . . . . . . . . . . . . . 327

2.1.1 Cas 1 - Configurer le Pare-feu Windows grâce aux stratégies de groupe . . . . . . . . . . . . . . . . . . . . . 327

2.1.2 Cas 2 - Configurer les stratégies de réseau sans fil de façon centralisée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336

2.1.3 Cas 3 - Mettre en place une stratégie de clé publique . . 3432.1.4 Cas 4 - Déployer les applications

avec les stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . 3652.2 Stratégies de la Configuration utilisateur . . . . . . . . . . . . . . . . . 369

2.2.1 Cas 5 - Configurer le bureau idéal pour vos utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

2.2.2 Cas 6 - Restreindre l'accès au panneau de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372

2.3 Stratégies de préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3742.3.1 Cas 7 - Gérer les utilisateurs et groupes locaux

des postes de travail depuis la GPMC . . . . . . . . . . . . . . . 3752.3.2 Cas 8 - Connecter les lecteurs réseau

grâce aux préférences . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3772.3.3 Cas 9 - Faciliter l'accès aux applications

des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3792.3.4 Cas 10 - Permettre à votre entreprise de faire

des économies d'énergie . . . . . . . . . . . . . . . . . . . . . . . . . . 379



Chapitre 9GPO, Cloud computing et clients légers

1. Cloud privé et Cloud public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381

2. Les architectures basées sur des clients légers . . . . . . . . . . . . . . . . . . 3832.1 Un modèle de structure Active Directory pour RDS . . . . . . . . 3832.2 Sécuriser et stabiliser les profils de Bureaux à distance

des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

3. GPO et Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4023.1 GPO, postes de travail Windows et serveurs hébergés

en Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4033.2 GPO, stations RDS et serveurs de Bureaux à distance

hébergés en Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

4. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404

Chapitre 10Conclusion

1. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405

2. Les sites Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406

3. Les forums . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

Editions ENI

Windows Server 2008 R2 Administration avancée

(2ième édition)

CollectionExpert IT

Table des matières

Les éléments à télécharger sont disponibles à l’adresse suivante :

http://www.editions-eni.fr

Saisissez la référence ENI de l’ouvrage EI208R2WINS dans la zone de recherche

et validez. Cliquez sur le titre du livre puis sur le lien de téléchargement.

Avant-propos

Chapitre 1

Introduction

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2. Les différentes éditions de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . 12

3. Les grands axes de Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . 12

3.1 Un meilleur contrôle de l’information . . . . . . . . . . . . . . . . . . . . . . . . 12

3.2 Une meilleure protection du système d’information . . . . . . . . . . . . . 13

3.3 Une plate-forme évolutive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Chapitre 2

Domaine Active Directory

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2. Présentation du service d’annuaire Microsoft :

Active Directory Domain Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2.1 Définition d’un domaine Active Directory . . . . . . . . . . . . . . . . . . . . 18

2.2 Fonctionnalités de l’Active Directory sous Windows Server 2008 R2. 19

2.2.1 Installation d’un annuaire Active Directory . . . . . . . . . . . . . . 19

2.2.2 Présentation de l’audit lié au service d’annuaire. . . . . . . . . . . . 31

2.2.3 Contrôleur de domaine en lecture seule. . . . . . . . . . . . . . . . . . 37

2.2.4 Stratégies de mot de passe et de verrouillage

de compte granulaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

2.2.5 Active Directory en tant que service Windows . . . . . . . . . . . . 51

2.2.6 Cliché instantané de l’Active Directory . . . . . . . . . . . . . . . . . . 53

2.2.7 Les comptes de service géré . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

2.2.8 La corbeille Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 64

2.2.9 Autres spécificités de Windows Server 2008 R2. . . . . . . . . . . . 69

3. Les stratégies de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

3.1 Détection des liens lents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

3.2 Le format ADMX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

3.3 Journaux d'évènements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

3.4 Des stratégies de groupe très utiles . . . . . . . . . . . . . . . . . . . . . . . . . . 76

3.5 La console Gestion des stratégies de groupe. . . . . . . . . . . . . . . . . . . . 77

3.6 Les objets GPO Starter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

4. Les autres composants Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 87

4.1 Active Directory Lightweight Directory Services (ou AD LDS) . . . . . 87

4.2 Active Directory Federation Services (ou AD FS) . . . . . . . . . . . . . . . 88

4.3 Active Directory Rights Management Services (ou AD RMS) . . . . . . 88

4.4 Active Directory Certificate Services (ou AD CS) . . . . . . . . . . . . . . . 89

Chapitre 3

Architecture distribuée d'accès aux ressources

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

2. Description de DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

3. L’installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

3.1 Le module d’espace de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

3.2 Le module de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

3.3 La console d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

3.4 Le cas des contrôleurs de domaine. . . . . . . . . . . . . . . . . . . . . . . . . . . 97

3.5 La cohabitation avec DFS 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

3.6 La procédure d’installation graphique . . . . . . . . . . . . . . . . . . . . . . . . 97

4. La configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

4.1 Les différents types de racines distribuées . . . . . . . . . . . . . . . . . . . . 105

4.1.1 Les racines autonomes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

4.1.2 Les racines de noms de domaine . . . . . . . . . . . . . . . . . . . . . . 112

4.2 La création des liaisons DFS et cibles DFS . . . . . . . . . . . . . . . . . . . . 117

4.3 La réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

4.3.1 Les filtres de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

4.3.2 La mise en place graphique de la réplication . . . . . . . . . . . . . 119

4.3.3 La topologie de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . 131

5. La configuration avancée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

5.1 Les méthodes de classement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

5.1.1 La configuration au niveau des racines DFS. . . . . . . . . . . . . . 131

5.1.2 La configuration au niveau des liaisons DFS . . . . . . . . . . . . . 133

5.1.3 La configuration au niveau des cibles DFS. . . . . . . . . . . . . . . 133

5.2 La délégation d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Windows Server 2008 R2Administration avancée

2

6. Les apports de Windows 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

7. Les outils. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

7.1 DFSCMD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

7.2 DFSRADMIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

7.3 DFSRDIAG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

7.4 DFSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

7.5 DFSRMIG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

8. L’utilisation de DFS et les bons usages . . . . . . . . . . . . . . . . . . . . . . . . . . 137

9. Les améliorations de DFS avec Windows Server 2008 R2. . . . . . . . . . . . . 138

9.1 Le mode ABE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

9.2 Le mode « lecture uniquement » de la réplication DFS

sur Windows 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

9.3 Des compteurs de performances spécifiques pour DFS

sur Windows 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

9.4 Les performances améliorées

pour les grosses infrastructures DFS . . . . . . . . . . . . . . . . . . . . . . . . 142

9.5 De nouvelles options pour DFSFRDIAG . . . . . . . . . . . . . . . . . . . . . 143

10. Les éléments ajoutés à la gestion des imprimantes sur Windows 2008 R2 143

10.1 L’amélioration de l’assistant de migration . . . . . . . . . . . . . . . . . . . . 143

10.2 L’isolement des pilotes d’impression . . . . . . . . . . . . . . . . . . . . . . . . 143

10.3 Location-aware printing (impression dépendante du site) . . . . . . . . 144

10.4 Le serveur de numérisation distribuée . . . . . . . . . . . . . . . . . . . . . . . 144

10.4.1 L’installation du service de rôle Serveur

de numérisation distribuée . . . . . . . . . . . . . . . . . . . . . . . . . . 145

10.4.2 La définition d’un processus de numérisation . . . . . . . . . . . . 150

11. Le BranchCache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

11.1 L’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

11.2 La configuration des partages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

11.3 La configuration des clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Chapitre 4

Haute disponibilité

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

2. Les choix d’architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

2.1 Les différentes architectures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

2.2 La haute disponibilité, nirvana de votre infrastructure ? . . . . . . . . . 168

Table des matières 3

3. La répartition de charge (Cluster NLB) . . . . . . . . . . . . . . . . . . . . . . . . . . 170

3.1 Créer une ferme NLB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

3.2 Configurer la ferme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

3.3 Exemple : ferme Web IIS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

4. Le cluster à basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

4.1 Migration de Windows Server 2003 à 2008 R2 . . . . . . . . . . . . . . . . 180

4.2 Validation de votre cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

4.3 Mise en œuvre du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

Chapitre 5

Mise en place des services réseaux d'entreprise

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

2. L’implémentation d'un système d'adressage IP. . . . . . . . . . . . . . . . . . . . . 201

2.1 Le choix de l'architecture réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . 202

2.1.1 La zone DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

2.1.2 La classe réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

2.2 L’installation d’un serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . 203

2.2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

2.2.2 L’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

2.2.3 La configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

2.2.4 Les réservations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

3. La mise en place des systèmes de résolutions de nom . . . . . . . . . . . . . . . 210

3.1 La résolution DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

3.1.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

3.1.2 L’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

3.1.3 Les différents types de zones . . . . . . . . . . . . . . . . . . . . . . . . . 211

3.1.4 Les différents types de réplications . . . . . . . . . . . . . . . . . . . . 212

3.1.5 Les zones de recherche inversée . . . . . . . . . . . . . . . . . . . . . . . 214

3.1.6 Les tests et vérifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

3.1.7 Les différents types d’enregistrement . . . . . . . . . . . . . . . . . . 216

3.1.8 Les bons usages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

3.1.9 DNSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

3.2 La résolution WINS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

3.2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

3.2.2 L’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226


4

3.2.3 La configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

3.2.4 La réplication entre serveurs WINS . . . . . . . . . . . . . . . . . . . . 226

3.2.5 Quand et pourquoi utiliser WINS ? . . . . . . . . . . . . . . . . . . . . 226

4. La mise en place de la quarantaine réseau . . . . . . . . . . . . . . . . . . . . . . . . 227

4.1 La préparation de l’environnement commun

aux différents types de quarantaine. . . . . . . . . . . . . . . . . . . . . . . . . 227

4.2 La mise en place de NAP via DHCP . . . . . . . . . . . . . . . . . . . . . . . . 236

4.3 La mise en place de NAP via IPSec . . . . . . . . . . . . . . . . . . . . . . . . . 239

4.3.1 Installation du service Autorité HRA . . . . . . . . . . . . . . . . . . 239

4.3.2 Configuration du système de validation (HRA). . . . . . . . . . . 244

4.3.3 Définition des règles de sécurité de connexion. . . . . . . . . . . . 245

4.4 La mise en place de NAP sur 802.1x . . . . . . . . . . . . . . . . . . . . . . . . 246

4.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

Chapitre 6

Déploiement des serveurs et postes de travail

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

2. Préparer son déploiement en choisissant bien sa stratégie . . . . . . . . . . . . 253

2.1 Définir le périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

2.2 Gestion des licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

2.3 Choix de l’édition et du type d’installation . . . . . . . . . . . . . . . . . . . 257

3. Créer et déployer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

3.1 Microsoft Deployment Toolkit (MDT 2010). . . . . . . . . . . . . . . . . . 258

3.2 Lite Touch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

3.3 WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

4. Aller plus loin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

4.1 Microsoft Application Compatibility Toolkit . . . . . . . . . . . . . . . . . 278

4.2 Environnement à la demande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

4.3 ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

4.4 DISM (Deployment Image Servicing and Management) . . . . . . . . . 280

4.5 Zero touch avec SCCM 2007 SP2 . . . . . . . . . . . . . . . . . . . . . . . . . . 281

4.6 Joindre le domaine sans réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

4.7 En cas de problème . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283


Chapitre 7

Bureau à distance (Terminal Services)

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

2. Mise en œuvre des Services Bureau à distance . . . . . . . . . . . . . . . . . . . . . 286

2.1 Administration à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

2.2 Le rôle Hôte de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

2.2.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

2.2.2 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

2.2.3 Configuration de l’accès Web . . . . . . . . . . . . . . . . . . . . . . . . 295

2.2.4 Configuration de la passerelle Bureau à distance . . . . . . . . . . 299

2.2.5 Configuration du RemoteApp . . . . . . . . . . . . . . . . . . . . . . . . 305

2.2.6 Configuration du gestionnaire de licences Bureau à distance . 308

2.2.7 Installer un logiciel sur un serveur RDS. . . . . . . . . . . . . . . . . 312

3. Configurations avancées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312

3.1 Configuration du Session Broker . . . . . . . . . . . . . . . . . . . . . . . . . . . 312

3.2 Gestion des impressions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314

3.3 Optimiser la bande passante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315

3.4 Maintenances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

4. Améliorations avec Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . 317

4.1 Remote Desktop Client 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

4.2 Gérer les profils itinérants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318

4.3 Intégration VDI/Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319

4.4 RemoteFX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320

4.4.1 RemoteFX pour un hôte de virtualisation

des services Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . 321

4.4.2 RemoteFX pour un hôte de session bureau à distance . . . . . . 323

4.4.3 RemoteFX utilisé pour la redirection USB . . . . . . . . . . . . . . . 324

Chapitre 8

Accès distant

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

2. Principe de l’accès distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

2.1 Accès par téléphone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328

2.1.1 Généralités sur les connexions Dial-Up . . . . . . . . . . . . . . . . . 328

2.1.2 Avantages et inconvénients des connexions Dial-Up . . . . . . . 328


6

2.2 Accès via Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

2.2.1 Généralités sur les VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

2.2.2 Les différents types de VPN proposés

sous Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . 331

2.2.3 Avantages et inconvénients du VPN . . . . . . . . . . . . . . . . . . . 332

2.2.4 Direct Access, le "VPN-Killer" . . . . . . . . . . . . . . . . . . . . . . . . 333

3. Mettre en place un accès sécurisé à travers Internet . . . . . . . . . . . . . . . . 334

3.1 Mise en place d'une liaison VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . 335

3.1.1 Installation du rôle Services de stratégie et d’accès réseau . . . 336

3.1.2 Configuration des fonctionnalités VPN . . . . . . . . . . . . . . . . . 339

3.2 Gestion de la sécurité des accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345

3.3 Gestion de l'authentification (IAS/RADIUS) . . . . . . . . . . . . . . . . . . 354

3.4 Implémentation de Direct Access . . . . . . . . . . . . . . . . . . . . . . . . . . 360

Chapitre 9

Application Internet

1. Mettre en place un serveur Intranet/Internet . . . . . . . . . . . . . . . . . . . . . 369

1.1 Présentation d’IIS 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

1.1.1 Présentation générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

1.1.2 Nouvelle architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

1.1.3 Nouvelle administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371

1.1.4 Nouveautés incluses avec IIS 7.5

dans Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . 372

1.2 Installation du rôle Serveur Web (IIS) en mode console. . . . . . . . . . 373

1.2.1 Installation par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

1.2.2 Installation complète. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

1.3 Installation du rôle Serveur Web (IIS) en mode graphique. . . . . . . . 374

2. Monter un site Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

2.1 Création et configuration d’un site . . . . . . . . . . . . . . . . . . . . . . . . . 381

2.2 Mise à jour du domaine DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

2.3 Mise en place d’une DMZ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

3. Monter un site FTP avec isolation des utilisateurs. . . . . . . . . . . . . . . . . . 389

4. Monter un site Intranet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395


Chapitre 10

Limiter les possibilités d'attaque avec Server Core

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

2. Principes du serveur Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

2.1 Restrictions liées à une installation Core . . . . . . . . . . . . . . . . . . . . . 403

2.2 Installation minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404

3. Configurer localement un Serveur Core. . . . . . . . . . . . . . . . . . . . . . . . . . 405

3.1 Sconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405

3.2 Configurer le temps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406

3.3 Paramètres régionaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

3.4 Résolution de l’écran . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

3.5 Économiseur d’écran . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408

3.6 Nom du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

3.7 Gestion des pilotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

3.8 Configuration réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410

3.9 Activation de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411

3.10 Gestion du rapport d’erreurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

3.11 Configurer le PageFile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

3.12 Joindre un domaine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414

3.13 Gérer les journaux d’évènements. . . . . . . . . . . . . . . . . . . . . . . . . . . 414

4. Gestion à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

4.1 Activation du bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

4.2 Activation de WinRM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

5. Sécuriser le Serveur Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418

5.1 Gestion du pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418

5.2 Gestion automatique des mises à jour . . . . . . . . . . . . . . . . . . . . . . . 419

5.3 Sauvegarder le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420

5.4 Sécurisation du stockage avec BitLocker . . . . . . . . . . . . . . . . . . . . . 421

6. Mise en place d'un serveur Core et des applications associées . . . . . . . . . 422

6.1 Installation des rôles et des fonctionnalités . . . . . . . . . . . . . . . . . . . 422

6.1.1 Les rôles réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422

6.1.2 Le rôle serveur de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . 427

6.1.3 Le rôle serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . 428

6.2 Service d'annuaire (AD). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429

6.3 Exécuter des applications 32 bits . . . . . . . . . . . . . . . . . . . . . . . . . . . 431


8

Chapitre 11

Consolider vos serveurs

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

2. Pourquoi consolider ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

2.1 Virtuel versus Physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434

2.1.1 Optimisation des coûts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434

2.1.2 Les limites de la virtualisation . . . . . . . . . . . . . . . . . . . . . . . . 435

2.2 De nouvelles problématiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436

2.2.1 Environnement mutualisé . . . . . . . . . . . . . . . . . . . . . . . . . . . 436

2.2.2 Sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437

2.3 Préparer son déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439

2.3.1 Pré-requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439

2.3.2 Méthodologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441

2.3.3 Déterminer les serveurs et les applications propices

à la virtualisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442

2.3.4 Respect des meilleures pratiques . . . . . . . . . . . . . . . . . . . . . . 443

3. Déployer Hyper-V. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445

3.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445

3.2 Configuration du rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446

3.3 Configuration du stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446

3.4 Configuration de la gestion de la mémoire dynamique . . . . . . . . . . 448

3.5 SCVMM 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449

3.6 Mises à jour Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457

3.7 Live migration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459

Chapitre 12

Sécuriser votre architecture

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

2. Principe de moindre privilège. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

2.1 Les différents types de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462

2.2 Le contrôle d’accès utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464

2.3 Gérer vos groupes à l’aide des groupes restreints . . . . . . . . . . . . . . . 469

2.4 Applocker ou le contrôle de l'application . . . . . . . . . . . . . . . . . . . . . 471


3. Délégation d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481

3.1 Approche de la délégation d’administration. . . . . . . . . . . . . . . . . . . 481

3.2 Délégation de comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 482

4. Sécurisation du réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491

4.1 Network Access Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491

4.2 Le pare-feu Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491

4.3 Le chiffrement IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501

Chapitre 13

Cycle de vie de votre infrastructure

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505

2. Gestion des sauvegardes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505

2.1 Windows Server Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506

2.1.1 Installation de Windows Server Backup . . . . . . . . . . . . . . . . 507

2.1.2 Création de la sauvegarde planifiée d’un dossier . . . . . . . . . . 508

2.1.3 Outils associés à WSB et sauvegardes uniques . . . . . . . . . . . . 512

2.2 Restauration de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515

2.2.1 Restauration des fichiers et/ou de dossiers . . . . . . . . . . . . . . 515

2.2.2 Restauration de l’état du système . . . . . . . . . . . . . . . . . . . . . 517

2.3 Grappe RAID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518

3. Gestion des mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

3.1 Présentation de WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

3.2 Installation de WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521

3.2.1 Installation sur Windows Server 2008 R2 . . . . . . . . . . . . . . . 521

3.3 Utilisation de WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526

Chapitre 14

Se préparer pour le futur

1. Après Windows Server 2008 R2 et Windows 7 . . . . . . . . . . . . . . . . . . . . 531

2. Le calendrier attendu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533


10

EI208R2WINS_T.pdfTable des matièresAABEAccès Basé sur l'Enumération, 138lecture uniquement de la réplication DFS, 139

Accès distant, 327Dial-up, 328Direct Access, 333, 360numérotation à la demande, 327VPN, 329VPN Reconnect, 332

Active Directory, 1, 17Active Directory Best Practice Analyzer Tool, 71Active Directory Certificate Services, 89Active Directory Federation Services, 88Active Directory Lightweight Directory Services, 87Active Directory Rights Management Services, 88Active Directory Web Service (ADWS), 70AD CS, 89AD FS, 88AD LDS, 87AD RMS, 88audit, 31cliché instantané, 53contrôleur de domaine en lecture seule, 37corbeille, 64définition, 18niveau fonctionnel, 25, 28nouveautés 2008 R2, 69partition, 18RODC, 37service Active Directory, 51sites, 19stratégie de réplication de mot de passe, 42stratégies de mot de passe, 45verrouillage de compte, 45

Applocker, 471Après Windows Server 2008 R2, 531Architecture réseaux, 202mise à jour dynamique des DNS, 207PTR, 207zones de recherches inverses, 207

BBranchCache, 154BranchCache pour les fichiers réseaux, 155distribué, 161Hash coding, 157hébergé, 161mise en cache, 159

Bureau à distance, 6, 285accès Web, 288, 295administration à distance, 288bande passante, 315client RDP, 288Easyprint, 314gestionnaire de licences, 288, 308impressions, 314installer un logiciel, 312maintenance, 316mise en œuvre, 286NLA (Network Level Authentication), 289passerelle, 288, 299portail Web, 295RDP-Tcp, 294RemoteApp, 296, 305rôles, 288session Broker, 288, 312

CCluster, 166à basculement, 177CCR, 181CSV (Cluster Shared Volume), 199NLB, 166

CMS, 395Comptes de service géré, 57Comptes utilisateur, 462administrateur, 462invité, 462standard, 462utilisateurs avec pouvoir, 464

Compteurs de performances pour DFS, 140Consolider, 9, 433Active Directory, 444clusters, 455configuration, 446déployer, 445gestion de la mémoire dynamique, 448les limites, 435meilleures pratiques, 443mises à jour, 457Offline Virtual Machine Servicing Tool, 457pourquoi, 433PowerShell, 454préparer, 439sauvegarde, 437SCVMM, 435, 449SQL Server, 444stockage, 446VSS, 438

Contrôle d’accès utilisateur, 464

DDélégation, 481Déploiement, 5, 253Bootstrap.ini, 265CustomSettings.ini, 265, 268ImageX, 279KMS, 255 - 256licences, 255Lite Touch, 267machines virtuelles, 279MDT, 258Microsoft Application Compatibility Toolkit, 278multidiffusion, 277préparer, 253SCCM, 254sysprep, 273TS.xml, 265Unattend.xml, 265USMT, 274WAIK, 259WDS, 267, 274WSUS, 272Zero touch, 281

DFS, 93Access-based enumeration, 134apports de Windows 2008, 134cibles DFS, 117configuration au niveau des cibles DFS, 133DFS 2003, 97FS-DFS, 95la console d'administration, 96RSAT-MGMT-DFS-con, 96Windows Server 2008 mode domain-based namespaces, 134

DHCP, 203configuration, 204DHCPCMD.EXE, 209étendue, 204gérer les serveurs autorisés, 204MAC Address, 209protocole, 203réservations, 208type de nœud, 206

DMZ, 387DNS, 210différents types de réplications, 212différents types d'enregistrements, 216DNS (Domain Name Server), 210enregistrements PTR, 215NsLookup, 216redirecteurs, 212zone de type Principale, 211zone de type Secondaire, 211zone intégrée à Active Directory, 211zones de recherche inversée ARP, 214

DNSSEC, 217DNSKEY, 218KEY, 217KSK, 218MS-DNS SEC, 218MS-DNSSEC, 220Trust Anchors, 221zone signée, 221ZSK, 218

Domaine, 1, 17

EEspace de noms, 96État du système, 517

FFerme, 170ferme Web IIS, 176

Filtres de réplication, 118filtres de fichiers, 118mise en place d'une réplication, 119plannings de réplication, 130réplica des données, 126

GGestion de la numérisation, 143Groupes restreints, 469

HHaute disponibilité, 3, 165Hyper-V, 433

IIIS, 369, 373ASP.NET, 370certificat auto signé, 338en-têtes d'hôte, 385fichiers de configuration, 371FTP, 370, 389, 391

Intranet, 395IPSec, 77, 501mode transport, 502mode tunnel, 502stratégie de groupe, 502stratégies, 502

JJoindre un domainenetdom, 414wevtutil, 414

Jumbo Frames, 440

LLiaisons DFS, 117configuration au niveau des liaisons DFS, 133exclure les cibles en dehors du site du client, 132moindre coût, 132nom d'une liaison, 117ordre aléatoire, 132références, 131

Lite Touch, 258Live migration, 459Location-aware printing, 144

MMDT 2010, 258MIDORI, 531Module de réplication, 96FRS, 97

MSCS, 166Mutualisation, 436

NNAP sur 802.1x, 246802.1X, 247EAP (EAP over Lan), 246EAP-MSCHAP v2, 251IAS, 247serveur NPS, 247Tunnel-Tag, 250

NAP via DHCP, 236napstat.exe, 238stratégie de quarantaine DHCP, 237

NAP via IPSec, 239authentification de l'Agent SHA (System Health), 240authentification des systèmes sains, 241autorité HRA (Health Registration Authority), 239contrainte (Enforcement), 244distribution de clé (PKI), 239stratégie, 245stratégie de clé publique, 242

Network Access Protection, 491NLB, 166NRPT (Name Resolution Policy Table)stratégie de résolution de noms, 223

OOutils, 135DFSCMD, 135DFSRADMIN, 136DFSRDIAG, 136DFSRMIG, 136DFSUTIL, 136

PPare-feu, 77, 491audit, 499avec fonctions avancées de sécurité, 492basique, 491journalisation, 500profils, 493règles, 494stratégies de groupe, 493

Pilotemode Isolé, 143mode Partagé, 143

Principe de moindre privilège, 461PrintBrm, 143Processus de numérisation, 150Profils itinérants, 318ProtocolesL2TP/IPSec, 331PPTP, 331SSTP, 332

QQuarantaine réseau, 227agent de protection d'accès réseau, 235client NAP (Network Access Protection), 227groupe de serveurs de mise à jour, 233module SHA, 227NPS, 227protection d'accès réseau, 232règle de conformité, 229réparation automatique (remediation), 235stratégies de santé, 229système de validation (SHV), 227

Quorum, 178

RRacine de noms de domaine, 109, 112délégation d'administration, 134équilibrage de charge, 116nouvel espace de noms, 113tolérance aux pannes, 116

Racines autonomes, 105Racines distribuées, 105liens de partage, 105

RADIUS, 354RAID, 518 - 519Remote Desktop Client 7.0, 317RemoteFX, 320hôte de virtualisation des services Bureau à distance, 321redirection USB, 324

Répartition de charge (Cluster NLB), 170Réplication, 118compression différentielle, 118DFSR, 136filtre de réplication, 118groupe de réplication, 118NTFRS, 136RDC, 118

SSauvegarde, 505clichés instantanés, 513complète, 505différentielle, 505incrémentielle, 506restauration, 515VSS, 512wbadmin, 512Windows Server Backup, 506

Sconfig, 405SCVMM, 441Server Core, 8, 403activation, 411BitLocker, 421configurer, 405joindre un domaine, 414mises à jour, 419PageFile, 413pare-feu, 418pilotes, 409principes, 403réseau, 410restrictions, 403rôle DHCP Server, 423rôle DNS server, 423rôle IIS, 424sauvegarder, 420serveur de fichiers, 427serveur d'impressions, 428service d'annuaire (AD), 429WinRM, 415

servermanagercmd, 96, 292FS-Replication, 97

Serveur de numérisation distribuée, 143services de documents et d'impressions, 145WSD, 144

Serveur NPS, 345Serveur Web, 370Services critiques, 165Services de fichiers, 98Solution actif/actif, 167Solution actif/passif, 167Stockage, 446Stratégies de groupe, 73ADML, 74ADMX, 74de préférences, 76GPMC, 77GPO Starter, 85journaux d'évènements, 74rechercher, 79

Système d'adressage IP, 201IPv6, 202zone DNS, 202

Systèmes de résolutions de nomping, 215

TTCP Offload, 440Topologie de réplication, 131Hub&Spoke, 131, 137maille pleine, 131méthodes de classement, 131

UUser Account Control (UAC), 464

VVDI, 319Virtuel, 434VMQ, 440

WWAIK, 258Windows Server 2008 mode domain-based namespaces, 134Windows Server Backup, 506Windows SharePoint Services, 395WinRM, 415serveur d'impression, 428

WINS, 225réplication WINS, 226WINS (Windows Internet Naming Service), 226

WSUS, 520

ZZero Touch, 258

New Les stratégies de groupe (GPO) sous Windows Server 2008 et … · 2013. 1. 24. · Editions...

Documents

Transcript of New Les stratégies de groupe (GPO) sous Windows Server 2008 et … · 2013. 1. 24. · Editions...