Ch5 - Stratégies D'administration
Ch5 - Stratégies D'administration
Ch5 - Stratégies D'administration
ECOLE SUPERIEURE
ET D’APPLICATION
DES TRANSMISSIONS
division management
et systèmes d’information
WINDOWS 2000
COURS SYSTEME
STRATEGIES D'ADMINISTRATION
Les options des consoles MMC permettent de créer une version à utilisation limitée d'un
composant logiciel enfichable tel que Utilisateurs et ordinateurs Active Directory. Les
administrateurs peuvent ainsi contrôler les options proposées aux groupes auxquels ils ont
délégué des responsabilités d'administration en limitant l'accès aux opérations et zones au
sein de cette console personnalisée (cf. chapitre consacré à la délégation du contrôle
d'administration).
Un administrateur système peut créer des outils à partir de différents composants logiciels
enfichables, puis enregistrer ces outils en vue d’une utilisation ultérieure ou pour les partager
avec d’autres administrateurs. Cette approche fournit ainsi un moyen efficace de créer des
outils personnalisés de complexité variable, afin de tirer parti de la délégation et de la
coordination des tâches, ainsi que de la gestion des flux. Par exemple, un administrateur
peut regrouper des tâches simples en un outil unique qu’il transmet ensuite à un subordonné
ou un stagiaire. Il peut également concevoir différents outils destinés à l’exécution de tâches
administratives quotidiennes, hebdomadaires ou mensuelles.
In te r fa c e
u tilis a te u r
(M M C )
C o m p o s a n t lo g ic ie l
e n fic h a b le
A p p lic a tio n
d 'a d m in is tr a t io n
d 'e n t r e p r is e
E vénem ent
de base de
données
In t e r fa c e s d e p r o g r a m m a tio n
M M C
C o m p o s a n t lo g ic ie l C o m p o s a n t lo g ic ie l
e n f ic h a b l e e n f i c h a b le
T ra n s p a re n t p o u r M M C
O u til
Base de o u a p p lic a t io n
données
Les fenêtres MDI enfants proposent différentes vues d’un même document de console.
Chacune d’elles comporte une barre de commandes, un volet d’étendue et un volet de
résultats. La barre de commandes comporte des menus déroulants et des boutons. Le volet
d’étendue (volet de gauche) est un contrôle d’arborescence affichant l’espace de nommage
de l’outil: une liste hiérarchique de tous les nœuds visibles, chacun représentant un objet,
une tâche ou une vue à gérer. Il n’est pas nécessaire que le volet d’étendue soit visible dans
toutes les vues — dans cet exemple, il apparaît uniquement dans la fenêtre enfant
supérieure gauche.
Le volet de résultats (volet de droite) de chaque fenêtre enfant affiche le résultat de la
sélection d’un nœud dans le volet d’étendue. Dans de nombreux cas, il s’agit du contenu
d’un dossier, mais il peut également s’agir d’une vue associée à la gestion (telle que le
graphe de performances présenté dans cet exemple), qui peut reposer sur des contrôles
ActiveX ou des composants Web.
Comme le montre l’écran précédent, la console MMC peut être configurée afin de fournir des
outils d’administration puissants. Elle est également conçue pour proposer une vue réduite
plus compréhensible à l’intention des administrateurs moins expérimentés. Dans le cas le
plus simple, MMC peut apparaître comme un ensemble d’icônes orienté tâches (Cf. figure 4).
2. Fonctionnement de MMC
La console MMC est une application MDI pour Windows qui fait largement appel aux
technologies d’Internet. La console proprement dite n’offre aucun comportement
d’administration, mais elle héberge d’autres logiciels — les composant logiciels
enfichables — qui l’étendent et fournissent les véritables fonctionnalités d’administration.
M e n u s / b a r r e s d 'o u t ils
C e q u e v o it M o n O u til.M S C
( é ta t e n r e g is tr é ) V o le t V o le t d e
l'u t ilis a t e u r :
d 'é t e n d u e r é s u lta ts
M e n u s c o n te x tu e ls
B o ît e s d e d ia lo g u e
A s s is ta n ts
A id e
M o n ite u r d e
G e s t io n n a i r e d e ro u ta g e
In fr a s tru c tu re : c o m p o s a n ts
lo g ic ie ls O b s e rv a te u r
e n f ic h a b le s d 'é v é n e m e n ts
Ces composants logiciels enfichables sont intégrés afin de créer l’espace de nommage de
l’outil — le groupe ordonné de nœuds apparaissant dans la vue hiérarchique du volet
d’étendue. L’espace de nommage est une arborescence principale qui représente ce que
peut faire l’outil. Il est similaire à une arborescence des fichiers et des dossiers sur un disque
dur. L’espace de nommage peut inclure tous les éléments gérables d’un réseau — les
ordinateurs, les utilisateurs et les groupes, etc. Il peut inclure des objets, des vues et des
tâches.
Dans MMC, les fenêtres enfants correspondent à des vues de l’espace de nommage
principal (comme le montre la figure ci-dessous), et sont comparables à plusieurs instances
de l’Explorateur regardant le même lecteur. Chaque vue peut se rattacher à une partie
différente de l’arborescence, mais elles pointent toutes vers la même source de données
principale. Lorsque des données sont affichées dans plusieurs fenêtres enfants et qu’elles
sont supprimées dans une vue, elles le sont également dans les autres vues.
Avec MMC, un seul "outil" n’a pas nécessairement une utilisation ou une fonction unique. Il
est probable que l’outil créé et utilisé régulièrement par un administrateur contiendra des
fonctions d’administration pour différents aspects du réseau — l’annuaire, la topologie de
réplication, le partage de fichiers, etc. Il est appelé "outil" car il s’exécute dans une instance
de MMC et peut être enregistré dans un fichier .MSC. Il faut noter que les administrateurs de
grands systèmes auront besoin de plusieurs outils, généralement classés par catégorie de
tâches à accomplir, ce qui facilite la délégation et simplifie la maintenance en cas de
modification ou d’évolution du réseau.
Mécanisme Description
Enumération de Participe à l’énumération des éléments au sein d’un
l’espace de conteneur. Plusieurs composants logiciels enfichables
nommage peuvent s’inscrire pour étendre de cette manière le
comportement d’un nœud donné.
Comme de nombreux mécanismes de ce tableau, le
composant a la possibilité de modifier l’énumération en
fonction des informations contextuelles qui lui sont
transmises lors de son ouverture.
Dans tous les cas, le composant logiciel enfichable a la possibilité de modifier l’énumération
renvoyée en fonction des informations contextuelles qui lui sont transmises au moment de
l’ouverture. Les composants peuvent ainsi s’inscrire en tant qu’extension et fournir un
comportement conditionnel. Par exemple, le menu contextuel du Gestionnaire d’ordinateur
peut choisir de proposer "l’ouverture de l’affichage" uniquement lorsqu’il détermine qu’il lui
est demandé d’ouvrir l’application Affichage du Panneau de configuration sur un ordinateur
local (car l’application Affichage n’est pas administrable à distance).
Hormis les extensions de menu Créer nouveau et Tâches, toutes les autres extensions sont
des mécanismes généraux d’extension de l’interface utilisateur. Les extensions de menu
Créer nouveau et Tâches sont utilisées pour regrouper des opérations afin d’autoriser des
structures de commandes intégrées et orientées tâches. Si la console n’avait proposé qu’une
interface d’extension de menu générique, le modèle d’utilisation serait peu cohérent. Dans
MMC, chaque nœud disposera d’un menu Créer nouveau et d’un menu Tâches. Grâce à ce
mécanisme d’inscription d’extension, toutes ces commandes de menu et les fonctionnalités
correspondantes sont regroupées en un seul point d’utilisation de l’interface utilisateur.
Pour activer l'un des composants logiciels enfichables d'extension d'un composant logiciel
enfichable déjà installé, utiliser l'onglet Extensions de la boîte de dialogue
Ajouter/Supprimer un composant logiciel enfichable. Sous cet onglet, sélectionner tout
élément de l'arborescence de la console qui peut être étendu et afficher les composants
logiciels enfichables d'extension qu'il est possible d'activer ou désactiver. A l'activation d'un
composant logiciel enfichable d'extension, il est automatiquement inséré dans l'arborescence
de la console sous l'élément sélectionné. S'il existe plusieurs instances d'un composant
logiciel enfichable dans l'arborescence de la console, toutes ces instances sont étendues.
Les fichiers de console ont une extension .msc (management saved console). Le système
d'exploitation dispose déjà de fichiers de console préconfigurés et enregistrés, disponibles
dans le dossier Outils d'administration du Panneau de configuration. Les fichiers de console
enregistrés dans le dossier Outils d'administration de chaque utilisateur (dans
Windows 2000, sous racine_système\Documents and Settings\utilisateur\Menu
Démarrer\Programmes\Outils d'administration) sont disponibles dans le dossier Outils
d'administration du menu Programmes, mais uniquement pour l'administrateur: les fichiers
de console ne sont pas disponibles pour les autres utilisateurs de l'ordinateur.
Travailler sur une console en mode auteur, permet d'enregistrer les modifications apportées
à cette console à l'aide de la commande Enregistrer du menu Console. Sur une console en
mode utilisateur, la possibilité d'enregistrer les modifications apportées à la console dépend
de l'activation ou non de la case à cocher Ne pas enregistrer les modifications apportées
à cette console (disponible en cliquant sur Options dans le menu Console) lors de la
configuration de la console. Si cette case à cocher n'a pas été activée, les modifications
apportées à la console sont automatiquement enregistrées lorsque MMC est fermé. Si elle a
été activée, les modifications apportées à la console sont annulées lorsque MMC est fermé.
Le mode auteur appliqué à la console permet d'octroyer l'accès total à toutes les
fonctionnalités de MMC, y compris la possibilité d'ajouter ou de supprimer des composants
logiciels enfichables, de créer de nouvelles fenêtres, de créer des affichages des listes des
tâches et de parcourir toute l'arborescence de la console. En sélectionnant l'une des options
du mode utilisateur, les fonctionnalités de création non utilisées par l'utilisateur sont
supprimées. Par exemple, affecter l'option Mode utilisateur - accès total à la console
permet toutes les fonctionnalités de gestion et l'accès total à l'arborescence de la console,
mais l'utilisateur ne peut pas ajouter ou supprimer des composants logiciels enfichables ou
modifier les propriétés de la console.
Une autre différence entre le mode auteur et le mode utilisateur est la façon dont les
modifications apportées à la console sont enregistrées. En travaillant avec une console en
mode auteur, l'utilisateur est invité à enregistrer ses modifications à la fermeture de la
console. En revanche, en travaillant avec une console en mode utilisateur et si la case à
cocher Ne pas enregistrer les modifications apportées à cette console, disponible en
cliquant sur Options dans le menu Console, n'est pas activée, les modifications seront
automatiquement enregistrées en quittant la console.
Le mode auteur d'accès à MMC n'est pas nécessaire pour les utilisateurs qui n'ont pas
besoin de créer ou de modifier des consoles MMC. Un administrateur système peut
configurer des paramètres de profil d'utilisateur pour empêcher les utilisateurs d'ouvrir MMC
en mode auteur, en désactivant l'option /a ou l'option du menu contextuel. De plus,
l'administrateur peut utiliser les paramètres de Stratégie de groupe pour empêcher les
utilisateurs d'ouvrir MMC et d'enregistrer des consoles en mode auteur.
Les affichages de la liste des tâches peuvent faciliter le travail des utilisateurs novices.
L'administrateur peut par exemple ajouter des tâches à un affichage de la liste des tâches
puis masquer l'arborescence de la console, ce qui permet à l'utilisateur de commencer à se
servir des outils avant d'être familier avec l'emplacement d'éléments particuliers dans
l'arborescence de la console ou le système d'exploitation.
Les affichages de la liste des tâches permettent également de simplifier les tâches
complexes. Par exemple si utilisateur doit effectuer régulièrement des tâches données
impliquant plusieurs composants logiciels enfichables et d'autres outils, l'administrateur peut
regrouper ces tâches en un seul et même emplacement qui permet d'ouvrir et d'exécuter les
boîtes de dialogue, pages de propriétés, lignes de commandes et scripts nécessaires.
Pour visualiser les autorisations, il faut accéder à l'onglet Sécurité de la boîte de dialogue
Propriétés de l'objet.
Sélectionner ensuite l'utilisateur auquel on veut déléguer des tâches, puis cliquer sur le
bouton Ajouter:
Les services Terminal Server peuvent être déployés sur le serveur en mode Serveur
d'applications ou en mode Administration à distance. De même qu'un serveur d'applications,
les services Terminal Server offrent une méthode efficace et fiable de distribution de
programmes pour Windows à l'aide d'un serveur réseau. En mode Serveur d'applications, les
services Terminal Server offrent le Bureau Windows 2000 ainsi que les applications
Windows les plus récentes aux ordinateurs qui, normalement, ne peuvent pas exécuter
Windows. Lorsqu'ils sont utilisés dans le cadre d'une administration à distance, les services
Terminal Server offrent un accès à distance pour l'administration de serveur, à partir de
n'importe quel endroit d'un réseau.
Les utilisateurs peuvent avoir accès aux services Terminal Server par toute connexion de
protocole TCP/IP, y compris Accès distant, Ethernet, Internet, onde radio, lien longue
distance ou réseau privé virtuel (VPN). La bande passante ne sera limitée que par les
caractéristiques du lien le plus lent de la connexion.
Pour déterminer la puissance nécessaire des serveurs, il est impératif de tenir compte des
types d'utilisateurs qui en feront usage. Ce sont les utilisateurs avec de petits besoins qui
sollicitent le moins les ressources système, alors que les gros utilisateurs sont les plus
grands consommateurs de ces ressources. Il est nécessaire également de bien cerner le
type d'applications que le serveur exécutera. Un serveur Terminal Server partage des
ressources exécutables entre les différents utilisateurs, tout comme Windows 2000 partage
les ressources exécutables (.dll, .exe, etc.) entre les différents programmes. Résultat: les
besoins en mémoire pour les utilisateurs supplémentaires exécutant la même application
sont généralement inférieurs à ceux du premier utilisateur qui charge l'application.
En général, les besoins en termes de processeur et de mémoire suivent une échelle linéaire:
il est possible de prendre en charge le double du nombre d'utilisateurs sur un système
Pentium multiprocesseur en multipliant par deux le nombre de processeurs et en doublant la
quantité de mémoire. Pour cette raison, l'achat d'un système multiprocesseur, même s'il ne
comporte au départ qu'un seul processeur, permet de monter facilement en puissance pour
répondre à de nouveaux besoins.
Les performances peuvent varier en fonction des applications qui sont exécutées sur un
serveur Terminal Server. Il faut tester le système en exécutant les applications susceptibles
d'être utilisées afin d'évaluer la puissance de traitement et la quantité de mémoire RAM
requises pour chaque utilisateur.
Dans les systèmes mono et multiprocesseur, l'architecture du bus a aussi des incidences sur
les performances du système. L'architecture ISA (bus AT) se caractérise par une faible
bande passante et n'est pas recommandée pour un serveur Terminal Server. Pour des
résultats corrects, il vaut mieux opter pour un bus plus performant, de type EISA, MCA ou
PCI. Tous ces bus gèrent les débits de transfert de données élevés qu'exige généralement
l'exécution des services Terminal Server.
Pour bénéficier des meilleures performances au niveau du disque, il est conseillé d'opter
pour un contrôleur SCSI RAID. Les contrôleurs RAID (Redundant Array of Independent
Disks) écrivent automatiquement les données sur plusieurs disques afin d'améliorer le
rendement des disques et de renforcer la fiabilité des données.
Si une carte de communication asynchrone multiport est installée pour la prise en charge
des utilisateurs d'accès à distance, il faut veiller à utiliser une carte intelligente (à
microprocesseur) afin d'augmenter le débit tout en réduisant le temps de traitement des
interruptions.
Pour utiliser les services Terminal Server en mode Serveur d'application, il faut disposer d'un
serveur de licences et celui-ci doit être activé par Microsoft. Une fois activé, le serveur de
licences constitue un moyen sécurisé pour l'installation de licences client et la délivrance de
ces licences aux clients des services Terminal Server. Lorsqu'un client tente d'ouvrir une
session sur un serveur Terminal la première fois, le serveur contacte le serveur de licences
et demande une licence pour ce client. Avant de délivrer des licences aux clients, il faut
d'abord installer un serveur de licences sur le réseau, l'activer par l'intermédiaire de la
banque centrale de licences Microsoft Clearinghouse1, puis y installer des jeux de clés de
licences client. Il est recommandé de ne pas l'activer sur le même ordinateur que les
services Terminal Server.
Outre les licences requises pour les services Terminal Server, il existe deux licences
optionnelles: la licence de Connecteur Internet de services Terminal Server de Windows
2000 et la licence d'accès client Terminal Server de Windows 2000 pour travailler à domicile.
1
Microsoft Clearinghouse est la base de données que Microsoft conserve pour activer les licences de
serveurs et envoyer les clés de licence de clients aux serveurs de licences qui les demandent.
Licence d'accès de Client Terminal Server de Windows 2000 pour travailler à domicile
Pour les entreprises qui entendent faire appel aux services Terminal Server pour fournir un
accès au bureau Windows 2000 et aux applications Windows 32 bits à leurs employés
depuis leur domicile, il existe la Licence d'accès client Terminal Server de Windows 2000
pour travailler à domicile (« Work at home ») par le biais des programmes de licences
Microsoft Volume.
En activant les services Terminal Server en mode d'Administration distante, la gestion des
serveurs s'étend aux forêts et aux domaines en mode mixte, où se trouvent des ordinateurs
Windows 2000 et Windows NT 4. Avec Windows Clustering, la gestion des serveurs peut
être étendue aux serveurs en clusters. Si tous les serveurs exécutent Windows 2000,
l'Administration distante peut être déployée sur chaque serveur de l'entreprise, ce qui rend
possibles la connexion et l'administration directes.
Comme l'activation des services Terminal Server n'affecte que peu le serveur, il est
recommandé de les activer sur tous les serveurs d'une forêt. Ainsi, si l'un d'eux connaît une
panne, un autre sera disponible. Pour les environnements mixtes, ou pour ceux où le
contrôle doit être restreint, l'Administration distante sera déployée sur un ensemble limité de
serveurs, tels que les contrôleurs de domaine. Les autres seront administrés par le domaine
à l'aide d'outils de gestion standards. Dans les deux cas, l'administration peut intervenir à
partir de toute plate-forme qui prend en charge le Client Terminal Server; celui-ci n'a pas à
être sous Windows 2000.
Dans ce scénario, les utilisateurs d'un bureau distant, équipés du logiciel client des services
Terminal Server, peuvent accéder à une application comptable située sur le serveur
Terminal Server dans le bureau central. Ils accèdent aux données essentielles de l'entreprise
par une connexion d'Accès distant au moyen d'un modem. Comme sont avant tout
échangées entre client et serveur des informations de clavier et d'affichage, les
spécifications en bande passante sont faibles, et ces utilisateurs travaillent confortablement
malgré le lien à faible débit. Il est possible d'ajouter davantage d'applications sans accroître
les besoins en bande passante, à condition qu'elles ne soient pas gourmandes en
ressources graphiques.
Avant que quiconque, situé sur un bureau distant, puisse accéder aux ressources de réseau,
il doit présenter ses informations d'identité et être entièrement authentifié. Il est envisageable
de fournir une couche supplémentaire de sécurité au moment du routage par un serveur
Terminal Server pour l'accès aux ressources du réseau.
Un modèle similaire pourra s'appliquer afin de permettre l'accès à des applications rarement
utilisées ou en développement.
Dans ce scénario, les opérateurs de saisie accèdent à une application spécialisée pour saisir
des informations dans une base de données. Comme cette application réside sur un serveur
Terminal Server, ils travaillent sur des terminaux Windows plutôt que sur des ordinateurs
clients. En cas de panne d'un serveur, les périphériques clients peuvent se reconnecter à un
autre serveur. La préservation séparée des données des serveurs Terminal Server permet
cette solution, et le mécanisme d'équilibrage de charge réseau sur un groupe de serveurs
Terminal Server garantit une certaine qualité de fonctionnement. Si un terminal est en
panne, il sera remplacé facilement en interrompant pour très peu de temps le travail de
l'utilisateur.
Dans une entreprise, l'organisation des départements veut souvent que la sécurité soit
conçue pour fournir l'accès approprié aux ressources du réseau et aux informations requises
par les tâches que chaque utilisateur effectue.
Dans ce scénario, une entreprise internationale peut fournir à ses employés disséminés
dans le monde entier un accès fiable aux applications de production, de même qu'aux outils
de productivité. Les services Terminal Server étant activés sur un serveur Windows 2000
Server, les clients exécutent un ensemble contrôlé et standardisé d'applications, même s'ils
se trouvent à distance ou se servent d'une matériel plus ancien. La sécurité du système leur
fournit les droits d'accès appropriés.
Comme l'expérience du bureau Windows est disponible à tous les utilisateurs, les
programmeurs peuvent créer des interfaces utilisateur Windows standards pour les
applications internes à la firme, au moyen d'outils tels que Visual Basic.
Les fichiers requis sont copiés sur le disque dur et le logiciel serveur peut être utilisé après
redémarrage du système.
1. Cliquer sur Démarrer, pointer sur Programmes, sur Outils d'administration, puis
cliquer sur Créateur de client des services Terminal Server.
2. Dans Service ou client réseau, cliquer sur le Client des services Terminal Server à
créer.
3. Insérer une disquette, puis cliquer sur OK.
Chaque utilisateur qui ouvre une session sur un serveur Terminal Server doit posséder un
compte d'utilisateur soit sur le serveur soit dans un domaine sur le réseau. Le compte
d'utilisateur des services Terminal Server contient des informations supplémentaires
concernant l'utilisateur qui déterminent à quel moment celui-ci ouvre une session, dans
quelles conditions et comment les paramètres du Bureau spécifiques sont stockés.
Il est possible d'installer des comptes d'utilisateurs des services Terminal Server soit pour un
ordinateur spécifique à l'aide du composant Utilisateurs et groupes locaux soit pour un
domaine d'ordinateurs via Utilisateurs et ordinateurs Active Directory.
Il est possible de fournir aux clients des raccourcis à des connexions prédéfinies. Il faut pour
cela créer un fichier qui sera importé dans le Gestionnaire de connexion client lorsque le
client sera installé. Ces connexions apparaissent ensuite à la fois dans le menu Démarrer
du client et dans le Gestionnaire de connexion client.
La connexion client des services Terminal Server dans le groupe de programmes où est
installé le logiciel client est une connexion par défaut. Lorsque cette connexion est utilisée
pour accéder à un serveur, les informations fournies (nom de serveur, résolution, nom
d'utilisateur et domaine) sont enregistrées par cette connexion par défaut. La connexion du
client des services Terminal Server n'apparaît pas dans le Gestionnaire de connexion client,
mais est exportée avec toutes les connexions répertoriées dans le Gestionnaire de
connexion client si Exporter tout sélectionné. A savoir que lorsque cette connexion est
importée, elle remplace la connexion par défaut existante et peut communiquer des
informations indésirables à un autre ordinateur.
Lors de l'installation du client, le programme d'installation recherche automatiquement tous
les fichiers .cns dans le répertoire d'installation, les importe dans le Gestionnaire de
connexion client puis les ajoute au menu Démarrer.
L'une des principales fonctions de la commande change user est de garantir l'installation
des fichiers programmes à la racine système plutôt que dans un sous-répertoire Windows du
Une fois le programme installé, la commande replace le système en mode Exécution, rétablit
le mappage des fichiers .ini et redirige les données propres à l'utilisateur vers son répertoire
de base. Lorsque l'utilisateur ouvre le programme, les fichiers contenant les paramètres du
Registre (.ini, .dll, .ocx, etc.) sont automatiquement transférés vers le répertoire de base de
ce dernier, comme il convient.
La liste suivante répertorie les applications et les noms de scripts de lignes de commandes
correspondants: