1 - Windows Server

Windows Server 2012 R2
1. Les éditions de Windows Server 2012 R2
Il est possible de trouver plusieurs éditions différentes de Windows Server 2012

R2. Ainsi chaque entreprise a la possibilité de choisir en fonction de ses
besoins.
o Édition Standard : tous les rôles et fonctionnalités sont offerts avec cette
édition. Elle supporte 4 To de mémoire RAM et inclut deux licences
pour deux machines virtuelles.
o Édition Datacenter : tous les rôles et fonctionnalités sont offerts avec cette
édition. Elle permet nombre illimité de machines virtuelles
et supporte un processeur ayant 640 et 4 To de mémoire vive.
o Édition Foundation : utilisé dans des petites entreprises possédant moins de

15 personnes, elle inclut un nombre limité de rôles et ne peut être jointe à un
domaine. Elle supporte un processeur ayant un seul et 32 Go de
mémoire vive.
o Édition Essentials : cette édition remplace les versions Small Business Server.
Il peut être un serveur racine dans un domaine mais ne peut pas posséder les
rôles Hyper-V, cluster à basculement ou Server Core. Cette édition limite le
nombre à 25, la quantité de mémoire vive ne peut, elle, excéder
64 Go.
Le serveur Core est une des méthodes disponible depuis Windows

Server 2008. Il est possible localement un serveur installé en mode
Core uniquement à de commandes PowerShell ou de commandes DOS.
En effet ce type est dépourvu graphique, réduisant
ainsi le nombre de mises à jour requises et les ressources matérielles
nécessaires. La quantité de mémoire vive ou disque est réduit par
rapport à complète.
Depuis Windows Server 2012, il est possible de passer méthode
à en supprimant ou ajoutant la fonctionnalité fournissant
graphique (il est impossible cette opération avec les
systèmes précédents).
La fonctionnalité peut être de serveur

ligne de commande via PowerShell.
Les outils suivants peuvent être utilisés sur un serveur en mode Core :
o Cmd.exe : ping, ipconfig
o PowerShell : exécute une session PowerShell afin de pouvoir exécuter des
commandes.
o Sconfig.cmd :
o Notepad.exe : -notes.
o Regedt32.exe : fournit un accès à la base de registre.
o TaskMgr.exe : lancement du gestionnaire de tâches.
Il est possible de gérer un serveur Core à distance en installant sur un serveur
ou un poste de travail, les fichiers RSAT. Néanmoins il est nécessaire
dans le pare-feu Windows à distance. Pour cela, utilisez la
commande netsh :
Netsh.exe advfirewall set service remoteadmin enable ALL
2. Présentation des principaux rôles
Les rôles ont fait leur apparition avec Windows Server 2008, ils permettent de
donner à un serveur des fonctions supplémentaires (contrôleur de domaine ).
Plusieurs rôles répondant à un besoin que peut avoir une entreprise.
Le rôle AD DS (Active Directory Domain Services) fournit un annuaire Active
Directory, qui a pour but des comptes utilisateurs et
ordinateurs dans un domaine Active Directory.
AD CS (Active Directory Certificate Services) permet
autorité de certification, qui a pour but de délivrer et gérer des certificats
numériques
AD FS (Active Directory Federation Service) fournit un service fédéré de

gestion des identités. Il identifie et authentifie un utilisateur qui souhaite
accéder à un extranet. Ainsi deux entreprises peuvent partager des
informations Directory pour un utilisateur de manière
sécurisée.
Plusieurs services de rôles composent le rôle :
Service de fédération : est installée afin de fournir à
des ressources.
Agent Web AD FS : permet de valider les jetons de sécurité délivrés et

autorise un accès authentifié à une ressource web.
Proxy FSP : permet la collecte
utilisateur depuis un navigateur ou une application web.
Un autre rôle nommé AD RMS (Active Directory Rights Management Services)
permet la gestion des accès sur une ressource. Une protection est mise en place
contre une utilisation non autorisée. Les utilisateurs sont identifiés et une licence
leur est attribuée pour les informations protégées. Il est ainsi plus simple
à un utilisateur de copier un document sur une clé USB ou
un fichier confidentiel.
Lors de du rôle, deux services de rôles peuvent être installés :

o Active Directory Rights Management Services : permet de protéger une
ressource utilisation non autorisée.
o Prise en charge de la fédération des identités : profite des relations fédérées
entre deux organisations pour établir de et lui fournir
un accès à une ressource protégée.
Le rôle Serveur permet la gestion et

créées à du .NET Framework 4.5 ou autres.
Plusieurs services de rôle sont présents dans ce rôle :
o .NET Framework 4.5
o Accès au réseau COM+ : utilisation du protocole COM+ pour communiquer à
distance.
o Partage de port TCP : permet à plusieurs applications de gérer le même port.
Enfin les rôles DHCP (Dynamic Host Configuration Protocol) et DNS (Domain
Name System) qui permettent la distribution de configuration réseau à des
machines clientes pour le premier et la résolution de nom en adresse IP (ou
inversement) pour le second.
rôles sont disponibles sous Windows Server 2012 R2, ils peuvent être
installés par de la console Gestionnaire de serveur ou à
cmdlet PowerShell.
3. Présentation des principales fonctionnalités
Une fonctionnalité apporte des "outils" supplémentaires au système . Comme

pour un rôle, une fonctionnalité peut soit de manière manuelle, soit de manière
automatique.
o Le chiffrement de données BitLocker permet le chiffrement de chaque volume afin
une fuite des données en cas de perte ou de vol de la machine. Une vérification
du système nécessite la présence puce TPM sur la machine
o Le clustering avec basculement permet à des serveurs de fonctionner ensemble, ceci
afin une haute disponibilité. En cas de panne des serveurs, la continuité de
service est assurée par les autres.
o de charge réseau effectue une distribution du trafic afin une

saturation des serveurs.
o Le service de gestion des adresses IP : une infrastructure permettant la gestion
espace IP et des serveurs correspondants (DHCP ) est installée. IPAM prend
en charge la découverte des serveurs dans la forêt Active Directory de manière
automatique.
Comme pour les rôles, les fonctionnalités peuvent être installées avec la console Gestionnaire
de serveur ou par de PowerShell.
Windows Server 2012 R2 offre plusieurs outils afin de pouvoir effectuer des
tâches . Ces derniers peuvent être lancés depuis la
console Gestionnaire de serveur.
La console Gestionnaire de serveur permet la gestion de du serveur.
Présente depuis Windows Server 2008 et Windows Server 2008 R2, elle a subi
sous Windows Server 2012 un énorme changement.
Elle permet de rôles mais également la gestion de PC

distants. Il est possible à du protocole WinRM des rôles et
fonctionnalités.
Un groupe de serveurs qui sera géré par le biais de cette console peut
également être configuré, ceci afin de pouvoir gérer plusieurs serveurs
depuis une même console.
La gestion du serveur local se fait également par le biais de cette console.

Certaines informations peuvent être modifiées très rapidement.
On retrouve le nom de le groupe de travail ou le domaine dont est
membre la machine.
La configuration du bureau à distance ou de la gestion à distance est également
configurable.
La propriété Configuration de sécurité renforcée Explorer permet

ou de désactiver la sécurité renforcée Explorer. Par défaut
est activée.
Le tableau de bord permet également de très rapidement

problème présent sur le serveur.
Ainsi, on peut voir sur ci-dessus que les rôles Hyper-V et Services de
fichiers et de stockage fonctionnent correctement. Serveur local et Tous les
serveurs (qui comportent pour le moment uniquement Serveur local) sont
également présents.
Les points audités sont Événements, Services, Performances et Résultats BPA. Si
une de ces catégories est précédée chiffre, alors sait
événement est à visualiser.
En cliquant sur la catégorie, une fenêtre présentant les détails de cet événement
.
Ainsi, il est possible très rapidement sur un problème (redémarrer

un service ).
De plus visuel donne un retour immédiat sur de santé du ou des
serveurs.
4. Installation de Windows Server 2012 R2
Avant de Windows Server 2012 R2, il convient de

vérifier si le matériel respecte les pré-requis exigés par .
De plus, un choix sur le type est à effectuer : complète
qui intègre graphique ou une installation minimale sans interface
graphique.
4.1.
Pour installer Windows Server 2012 R2, plusieurs méthodes peuvent être
utilisées :
o Le DVD a le désavantage de nécessiter un lecteur DVD sur le serveur. Ce type
est beaucoup plus long un média USB et il présente
de ne pas pouvoir modifier (sans le remplacement du
média).
4.1.
o Le support USB présente lui de pouvoir offrir une modification

(ajout de nouveau logiciel et de nouveau pilote) sans avoir besoin de recréer
un média.
Un fichier de réponse peut être utilisé afin les étapes
.
Elle requiert par contre des droits pour certaines étapes.
4.1.
o Le serveur de déploiement permet de booter depuis un serveur (Service de

déploiement Windows, Microsoft Deployment Toolkit ).
Il donc pas nécessaire un support USB ou un lecteur DVD. Cette
solution est plus gourmande en ressources réseau.
4.1.
Une
o La nouvelle installation, qui consiste à installer le système sur
un nouveau disque ou volume.
o La mise à jour, qui permet de conserver fichiers et applications. Cette
opération peut être effectuée depuis Windows Server 2008 R2 SP1 ou
Windows Server 2012. Attention néanmoins, doit être équivalente
ou supérieure.
4.2. Pré-requis matériels pour Windows Server 2012 R2
Comme pour tout système Windows Server 2012 R2 possède des

pré-requis matériels.
Afin de de pouvoir exécuter le système dans de bonnes
conditions, il convient de les respecter.
Il convient évidemment de les adapter en fonction des rôles installés, Hyper-V
par exemple, nécessite obligatoirement des pré-requis plus élevés afin de faire
fonctionner les machines virtuelles.
4.2. Pré-requis matériels pour Windows Server 2012 R2
Il est donc nécessaire de avant au minimum un

processeur ayant une architecture 64 bits, ce dernier doit posséder une vitesse
minimum de 1,4 GHz.
Le serveur doit posséder 512 Mo de mémoire vive et 32 Go disque.
Il est nettement conseillé une quantité disque et de mémoire
vive supérieure.
5.
-V
Les technologies de virtualisation offrent désormais aux administrateurs la

possibilité de réduire le nombre de serveurs physiques sur un réseau.
La virtualisation englobe la partie serveur mais également les machines clientes
et les applications.
Tous ces modes de virtualisation ont pour but de faciliter et de
réduire les coûts système . Ainsi, il est très aisé de faire
fonctionner un ou plusieurs serveurs sur une machine physique.
5.
-V
Les technologies de virtualisation offrent désormais aux administrateurs la Tous

ces modes de virtualisation ont pour but de faciliter et de
réduire les coûts système . Ainsi, il est très aisé de faire
fonctionner un ou plusieurs serveurs sur une machine physique.
Avec plusieurs serveurs physiques, il est souvent fréquent que toute la puissance
du serveur ne soit pas utilisée ; en virtualisant plusieurs serveurs sur une
machine hôte, les ressources de cette dernière sont réparties sur toutes les
machines virtuelles (VM), ce qui permet une utilisation complète des
ressources.
5.
-V
Les technologies de virtualisation offrent désormais aux administrateurs la

possibilité de réduire le nombre de serveurs physiques sur un réseau.
Plusieurs systèmes de virtualisation existent, chacun utilise un disque virtuel (un
fichier au format vhd, vhdx ) ainsi réseau virtuel (interne au poste ou
utilisant le réseau physique).
5.
5.1. Virtualisation du poste de travail
Le principe de la virtualisation du poste de travail consiste à utiliser une ou

plusieurs images virtuelles sur une ou plusieurs machines sur le réseau. On peut
donc apparenter ce genre de virtualisation à un streaming de système
.
Elle peut également prendre la forme virtualisation complète du poste de
travail, cette technologie appelée VDI (Virtual Desktop Initiative) permet la
virtualisation du système mais également des applications. Le
poste peut donc très facilement être de type client léger ou de type PC.
5.
5.2. Virtualisation
La virtualisation englobe plusieurs types de virtualisation. Il est

possible de la virtualisation centralisées.
exécute une application sur son poste, néanmoins cette dernière est réellement
exécutée sur un serveur distant (seul le système est présent sur
son poste).
On peut également trouver par bulle applicative qui consiste à régler
le problème entre applications en exécutant
dans une "bulle" qui est isolée des autres applications. Cette dernière solution
est moins répandue.
5.
5.3. Hyper-V sous Windows 8.1 / Windows 10
Il est possible le rôle Hyper-V sur une machine cliente et ce depuis

Windows 8 (éditions Pro et Enterprise uniquement). Les pré-requis au niveau
processeur sont identiques à Windows Server 2012 R2, il est nécessaire que les
processeurs supportent SLAT (Second Level Address Translation).
Un minimum de 4 Go de RAM est également nécessaire. Les fonctionnalités dites
« entreprises » (Live Migration, etc.) ne sont pas offertes si Hyper-V pas sur
un serveur.
Le rôle Hyper-V ne peut pas être installé sur Windows 10 Famille.
6. Implémentation -V
Hyper-V est un système de virtualisation disponible dans les systèmes

serveur depuis Windows Server 2008. Il est actuellement
disponible en version 3.
de cet hyperviseur est immédiat au matériel de la machine
hôte (donc de meilleurs temps de réponse).
Le rôle Hyper-V peut être installé avec Windows Server 2012 R2 en mode
installation complète (interface graphique installée) ou en installation minimale
(sans interface graphique).
6.1. Pré-requis matériels
Comme beaucoup de rôles dans Windows Server 2012 R2, Hyper-V possède des
pré-requis. Le matériel de la machine hôte est concerné par ces pré-requis.
La machine ou serveur hôte doit posséder un processeur 64 bits et supporter
SLAT (Second Level Address Translation).
La capacité du processeur doit également répondre aux exigences des machines
virtuelles.
Ces dernières peuvent supporter au maximum 32 processeurs virtuels. La
quantité de mémoire sur le serveur hôte doit être supérieure à celle allouée aux
machines.
6.1. Pré-requis matériels
Lors de de la mémoire vive aux machines virtuelles, il est nécessaire

réserver une partie pour le fonctionnement de la machine physique.
Si la machine hôte possède 32 Go de mémoire vive, il est conseillé réserver
1 à 2 Go pour le fonctionnement du serveur physique (la taille de la réservation
varie en fonction des rôles qui sont installés sur la machine physique).
6.1. Les machines virtuelles sous Hyper-V
Une machine virtuelle utilise les composants suivants ; néanmoins, en fonction

de la génération des VM (voir plus bas dans ce chapitre), certains composants ne
seront pas disponibles.
o
peuvent être configurés :
.
o Processeur : comme pour la mémoire, il est possible un ou

plusieurs processeurs (en fonction du nombre de processeurs et du nombre
de de la machine physique). Un maximum de 32 processeurs peut
être appliqué à une machine.
o Contrôleur IDE : deux contrôleurs IDE peuvent être configurés pour la VM
(Virtual Machine). Chacun possédant deux disques au maximum.
o Contrôleur SCSI : ajoute un contrôleur SCSI à la machine virtuelle. Ainsi il est
possible des disques durs ou des lecteurs de DVD.
o Carte réseau : par défaut la carte réseau de la machine virtuelle pas

héritée, ce qui permet un meilleur débit mais empêche la machine
un boot PXE (démarrage sur le réseau et chargement
image). Afin de pouvoir démarrer sur le réseau, il est nécessaire
une carte réseau héritée.
o Carte vidéo 3D RemoteFX : ce type de carte permet un affichage graphique
de meilleure qualité en tirant parti de DirectX.
En sélectionnant une machine
virtuelle puis en cliquant
sur Paramètres dans le
menu Actions, la fenêtre des
paramètres apparaît.
6.2. La mémoire dynamique avec Hyper-V
o Carte réseau : par défaut la carte réseau de la machine virtuelle pas

héritée, ce qui permet un meilleur débit mais empêche la machine
un boot PXE (démarrage sur le réseau et chargement
image). Afin de pouvoir démarrer sur le réseau, il est nécessaire
une carte réseau héritée.
o Carte vidéo 3D RemoteFX : ce type de carte permet un affichage graphique
de meilleure qualité en tirant parti de DirectX.
À la sortie de Windows Server 2008, le système de virtualisation Hyper-V

permettait uniquement une quantité de mémoire statique. Ainsi le
nombre de machines virtuelles trouvait réduit.
Si un serveur se voit attribuer 4 Go de RAM, la quantité réservée est identique
même a aucune activité sur la machine virtuelle.
La mémoire dynamique permet une quantité minimum de mémoire.

Néanmoins si la machine virtuelle a besoin de plus de mémoire, elle est
autorisée à demander une quantité supplémentaire (cette dernière ne peut
excéder la quantité maximale accordée).
Cette
depuis Windows Server 2008 R2 SP1.
Contrairement à Windows Server 2008 R2, un administrateur peut maintenant

modifier la valeur minimale et maximale de la mémoire dynamique lorsque la
machine virtuelle est allumée.
La mémoire tampon est une fonctionnalité qui permet à la machine virtuelle de
se voir attribuer une quantité de RAM supplémentaire en cas de besoin
6.3. Présentation des différentes générations
Lors de la création machine virtuelle, il est nécessaire de sélectionner la

génération souhaitée. Ce choix est irréversible et il faut par la suite recréer la
machine pour passer à une autre génération:
VM de génération 1
Ce type de machine virtuelle offre les mêmes avantages que les versions
précédentes -V.
VM de génération 2
Avec ce type de VM, de nouvelles fonctionnalités sont apparues :
o Démarrage de la VM depuis un lecteur SCSI (disque dur ou DVD) : il est

désormais possible de faire démarrer la machine virtuelle depuis un lecteur
connecté à un contrôleur SCSI.
o Boot PXE avec une carte réseau standard : avec les machines virtuelles de
génération 1, il est nécessaire une carte réseau héritée pour pouvoir
effectuer un boot PXE. Microsoft permet maintenant la même
opération avec une carte réseau standard (les performances trouvent
améliorées).
Attention néanmoins, seules les machines virtuelles de génération 2 sont
compatibles avec cette amélioration.
Il maintenant plus possible pour les machines virtuelles de cette génération

des cartes réseau héritées ou des lecteurs connectés à un contrôleur
IDE. De plus, seuls les systèmes suivants sont pris en charge :
Windows Server 2012
Windows Server 2012 R2
Windows 8 64 bits uniquement
Windows 8.1 64 bits uniquement
6.4. Utilisation du mode de session étendu
Il est désormais possible dans Hyper-V de rediriger les ressources locales vers
une machines virtuelles. Ainsi, cette fonctionnalité fournit des fonctions
similaires à la connexion bureau à distance.
Dans les versions précédentes -V, seuls la souris et le clavier
étaient redirigés. Il était alors nécessaire une connexion avec le bureau
à distance afin de rediriger ou autres équipements.
Windows Server 2012 R2 contient maintenant un outil Session étendue, menu

Affichage qui permet cette redirection par du bus
(VMBus) de la machine virtuelle. Il donc plus nécessaire de
connexion par du réseau pour effectuer cette opération.
Les ressources suivantes peuvent être redirigées :
Périphériques audio
Imprimantes
Presse-papiers
Cartes à puce
Périphériques USB
Périphériques plug and play supportés
Certains pré-requis sont à respecter pour pouvoir utiliser la fonctionnalité.
Activer la Stratégie de mode de session étendu dans les paramètres Hyper-V.
Cette dernière est par défaut désactivée.
par contre pas nécessaire de procéder à une éventuelle autorisation.

qui va effectuer la redirection doit être membre du groupe
utilisateur du bureau à distance ou du groupe administrateur local sur le
système invité.
Lors de la connexion à une machine virtuelle supportant cette fonctionnalité,
une boîte de dialogue apparaît permettant la configuration de .
Il est également possible de procéder à la configuration de la redirection des
ressources locales.
7. Le disque dur des machines virtuelles
Un disque dur virtuel est un fichier utilisé par Hyper-V pour représenter des
disques durs physiques. Ainsi, il est possible de stocker dans ces fichiers des
de créer un disque dur en
utilisant :
o La console Gestionnaire Hyper-V.
o La console Gestion des disques.
o La commande DOS DISKPART.
o La commande PowerShell New-VHD.
Avec de la nouvelle version -V contenue dans Windows Server

2012, un nouveau format est utilisé : le VHDX.
Ce nouveau format offre plusieurs avantages par rapport à son prédécesseur, le
format VHD (Virtual Hard Disk). Ainsi, les tailles des fichiers ne sont plus limitées
à 2 To, chaque disque dur virtuel peut avoir une taille maximale de 64 To.
Le VHDX est moins sensible à la corruption du fichier suite à une coupure
inattendue (due à une panne de courant par exemple) du serveur. Il est possible
de convertir des fichiers VHD existants en VHDX.
Depuis Windows Server 2012, le stockage des disques durs virtuels peut se faire
sur des partages de fichiers SMB 3, de même est possible de spécifier un
partage réseau lors de la création machine virtuelle Hyper-V.
7.1. Les différents types de disques
Comme pour un serveur physique, une machine virtuelle possède un disque dur.
Les informations sont stockées dans un fichier qui fait office de conteneur.
Lors de la création nouveau disque dur virtuel, il est possible de créer
différents types de disques, incluant disque de taille fixe, dynamique et
passthrough.
Lors de la création disque virtuel de taille fixe, la taille totale du fichier est
réservée sur le disque.
Un disque de taille dynamique possède une taille maximale, néanmoins la taille

du fichier augmente en fonction du contenu et ce la taille maximale.
Lors de la création fichier VHD de type dynamique, ce dernier a une taille
de 260 ko contre 4096 Ko pour un format VHDX.
Il est possible de créer un fichier vhd à de la cmdlet PowerShell New-
VHD et le paramètre -Dynamic.
Le disque virtuel de type pass-through permet à une machine virtuelle

directement au disque physique. Le disque est considéré comme un disque
interne pour le système de la machine virtuelle.
Cela peut être très utile pour connecter la machine virtuelle à une LUN (Logical
Unit Number) iSCSI. Néanmoins, cette solution nécessite un accès exclusif de la
machine virtuelle au disque physique concerné.
Ce dernier doit être mis hors ligne par de la console Gestion des
disques sur la machine hôte.
7.2.
Certaines opérations peuvent être effectuées sur les fichiers VHD. Il est par
exemple possible de le compacter afin de réduire la taille utilisée ou de convertir
le format vhd en vhdx.
Lors de la conversion du disque virtuel, le contenu est alors copié vers le
nouveau fichier (conversion fichier de type taille fixe en fichier de type
taille dynamique par exemple).
Une fois les données copiées et le nouveau disque mis en place, fichier
est supprimé.
7.2.
opérations comme la réduction fichier dynamique sont réalisables.

Cette option permet de réduire la taille disque si ce dernier pas
tout qui lui est affecté. Pour les disques de type taille fixe, il est
nécessaire, en amont, de convertir le fichier VHD, en fichier de type dynamique.
Ces actions peuvent être réalisées à de Assistant Modification de disque
dur virtuel, option Modifier le disque dans le bandeau Actions. La fenêtre
donne ainsi accès à plusieurs options.
7.2.
7.3. Les disques de différenciation
Un disque de différenciation permet de réduire la taille de stockage nécessaire. En effet, ce type
de disque consiste à créer un disque parent commun à plusieurs machines et un disque qui
contient les modifications qui sont apportées au disque parent. Ce dernier étant propre à
chaque machine.
La taille nécessaire au stockage des machines virtuelles trouve donc réduite. Attention, la
modification disque parent cause des liens du disque de différenciation. Il est donc
nécessaire par la suite de reconnecter les disques de différenciation en utilisant
Inspecter le disque... dans le bandeau Actions.
7.3. Les disques de différenciation
Il est possible de créer un disque de différenciation en utilisant la cmdlet PowerShell New-VHD.
La commande ci-dessous permet la création disque de différenciation nommé
Differentiel.vhd, ce dernier utilise un disque parent nommé Parent.vhd.
New-VHD c:\Differentiel.vhd -ParentPath c:\Parent.vhd
7.4. Les points de contrôle dans Hyper-V
Un point de contrôle (ou capture instantanée sous les
-V) correspond à une "photo" de
la machine virtuelle au moment où il est effectué.
Ce
avhd ou avhdx en fonction du type de fichier de disque dur
choisi. Cette opération peut être effectuée en sélectionnant
Point de contrôle dans
le bandeau Actions.
Chaque machine peut posséder plusieurs points de contrôle. Si ce dernier est créé lorsque la
machine est démarrée, il contient alors le contenu de la mémoire vive.
Si un des points de contrôle est utilisé pour rétablir un état précédent, il est possible que la
machine virtuelle ne puisse plus se connecter au domaine.
En effet, un échange est fait entre un contrôleur de domaine et une machine jointe au
domaine. En restaurant une machine, cet échange (mot de passe) est également restauré.
Néanmoins le mot de passe restauré plus valide, le canal sécurisé est rompu.
Il est possible de le réinitialiser en effectuant une nouvelle jonction au domaine ou en utilisant la
commande netdom resetpwd.
Attention, cette fonctionnalité ne remplace en aucun cas la sauvegarde, car les avhd ou avhdx
sont stockés sur le même volume que la machine virtuelle. En cas de dégradation du disque,
tous les fichiers sont perdus et il est impossible de les restaurer.
Des disques de différenciation sont utilisés, chacun contient les données ajoutées depuis le
dernier point de contrôle effectué.
8. Gestion des réseaux virtuels
Plusieurs types de réseaux peuvent être créés et appliqués à une machine virtuelle. Ceci afin de
permettre aux différentes stations de communiquer entre elles ou avec des équipements
externes à la machine hôte (routeur, serveur ).
Les machines sont donc connectées à ces réseaux par de commutateurs virtuels
(vswitch).
Un commutateur virtuel correspond à un commutateur physique que peut trouver sur
quel réseau informatique. Connu sous le terme de réseau virtuel avec Windows
Server 2008, on parle maintenant de commutateur virtuel avec Windows Server 2012 R2. Il est
possible de gérer ces derniers en utilisant Gestionnaire de commutateur virtuel dans le
bandeau Actions.
Trois types de commutateur peuvent être créés :

Externe : avec ce type de commutateur virtuel, il est possible la carte réseau de la
machine hôte dans la machine virtuelle. Ainsi, cette dernière a une connexion sur le réseau
physique, lui permettant aux équipements ou serveurs du réseau physique.
Interne : permet la création réseau entre la machine physique et les machines virtuelles. Il
est impossible pour les machines du réseau physique de communiquer avec les VM.
Privé : la communication peut se faire uniquement entre les machines virtuelles, la machine
hôte ne peut pas contacter une des VM.
9. Le bac à sable
Le bac à sable consiste à créer un environnement virtuel ou physique de test qui permet
des tests sans perturber les machines ou serveurs en production.
La virtualisation permet de diminuer le nombre de machines physiques nécessaires. Toutes les
machines virtuelles fonctionnent sur la même machine physique. Il sera néanmoins nécessaire
une quantité de mémoire et un espace disque suffisants.
9. Le bac à sable
9.1 Configuration nécessaire
Une machine robuste est nécessaire pour faire tourner les machines virtuelles, telle
machine équipée Pentium I5 3,20 GHz avec 6 Go de RAM. Le système est
Windows Server 2012 R2.
Si votre configuration est inférieure à celle-ci, il suffira de démarrer seulement les machines
nécessaires. Il est utile de garder un minimum de 1 Go pour la machine hôte, soit 5 Go pour
des machines virtuelles.
9. Le bac à sable
Avant de procéder à de Windows Server 2012 R2 sur le poste physique, il faut

de respecter les pré-requis du système .
Processeur : 1,4 GHz minimum et architecture 64 bits.
Mémoire RAM : 512 Mo minimum, néanmoins un serveur équipé de 1024 semble le strict
minimum.
Espace disque : une installation de base sans aucun rôle installé nécessite un espace disque de
15 Go. Il faut prévoir un espace plus ou moins conséquent en fonction du rôle du serveur.
9. Le bac à sable
Depuis Windows Server 2008, deux types sont proposés :

o Une installation complète : une interface graphique est installée et permet
du serveur de manière graphique ou en ligne de commande.
o Une installation minimale : le système est installé, néanmoins aucune
interface graphique présente. Seule une invite de commande est présente, les
installations de rôles, fonctionnalités ou quotidienne se font en ligne de
commande. Il est possible les différents rôles à distance en installant les
fichiers RSAT (Remote Server Administration Tools) sur un poste distant.
Une fois du serveur terminé, il est nécessaire de configurer le nom du serveur et sa
configuration IP.
10.
son installation
Depuis Windows Server 2008, le nombre de paramètres à configurer pendant a été
réduit. Il désormais plus possible de configurer la configuration réseau, le nom du poste ou
la jonction au domaine pendant .
La configuration de ces paramètres peut être automatisée en utilisant un fichier de réponse. Le
seul paramètre à saisir est le mot de passe du compte administrateur local du serveur.
Ces opérations sont donc à effectuer après . Pour cela, il faut utiliser le
Serveur local de la console Gestionnaire de serveur.
10.
installation
10.1. Configuration de la carte réseau
Toute machine connectée à un réseau nécessite une configuration IP. Cette dernière
contient au minimum une adresse IP, un masque de sous-réseau, IP de la passerelle
par défaut et du serveur DNS. IP attribuée à la machine lui permet identifiée et
de pouvoir communiquer avec ses pairs.
Un serveur DHCP peut être mis en place afin de façon automatique des baux. Ces
derniers possèdent une durée de vie limitée dans le temps et contiennent toute la configuration
IP (adresse IP, masque de sous-réseau ) nécessaire à la machine pour communiquer sur le
réseau. Il est également possible aux postes une adresse de manière manuelle. Pour
cela, il convient la console Gestionnaire de serveur Serveur local).
10.
installation
10.
installation
netsh
Netsh interface ipv4 set address "Connexion au réseau local" static 192.168.1.1 255.255.255.0
Netsh interface ipv4 set dnsservers "Connexion au réseau local" static 192.168.1.2 primary
NB: Connexion au réseau local" doit être remplacé par le nom de « votre carte réseau ».
10.
installation
Association de cartes réseau
de cartes réseau permet la disponibilité des ressources réseau. Cette
fonctionnalité permet adresse IP sur plusieurs cartes réseau, la connexion est
ainsi maintenue même si une des cartes réseau subit un dysfonctionnement. Il en aucun
cas nécessaire de posséder les mêmes cartes réseau pour mettre en place de cartes
réseau.
Éteignez le serveur SV1 afin de pouvoir ajouter une carte réseau.
Une fois la machine virtuelle éteinte, cliquez sur Fichier puis sur Paramètres....
10.
installation
10.
installation
Cliquez sur Ajouter un matériel puis sur Carte réseau et enfin sur Ajouter.
10.
installation
Cliquez sur OK puis sur le bouton vert dans la
barre de la machine virtuelle afin de la
démarrer.
Ouvrez une session sur la machine SV1.
Lancez le Gestionnaire de serveur puis cliquez
sur le Serveur local.
10.
installation
Cliquez sur le lien Désactivé à la suite
de Association de cartes réseau.
Dans CARTES ET INTERFACES, sélectionnez
les deux interfaces réseau en maintenant la
touche [Ctrl] du clavier enfoncée.
10.
installation
Effectuez un clic droit puis dans le menu
contextuel sélectionnez Ajouter à une
nouvelle équipe.
Dans le champ Nom de ,
saisissez Equipe 1.
Développez le Propriétés
supplémentaires et
sélectionnez Ethernet dans Carte réseau en
attente.
10.
installation
de cartes réseau est Un élément a été ajouté dans la console Connexions
maintenant en service. réseau.
10.
installation
10.2. Jonction au domaine hors ligne
La
commande djoin.exe doit être utilisée.
Il djoin
et le commutateur /provision.
djoin /provision /domain formation.local /machine NomDeLaMachine /savefile c:\Jonction.txt

10.
installation
10.2. Jonction au domaine hors ligne
Le fichier Jonction.txt contient toutes les informations nécessaires à la jonction du domaine. Il
peut maintenant être copié sur le poste. Utilisez une fois de plus la commande djoin et le
commutateur /requestODJ.
djoin /requestODJ /loadfile Jonction.txt /windowspath %systemroot% /localos
Enfin, redémarrez le poste afin de terminer de jonction au domaine (en
production, la dernière opération sera validée lors de la future connexion de la station au
réseau de .
Introduction à PowerShell
1- Présentation de PowerShell
PowerShell est un langage de script qui permet IT dans des
serveurs et du réseau informatique.
Ces script permettent de tâches (création etc.). Le langage est
constitué de cmdlets exécutées par de de commandes PowerShell.
Beaucoup de produits Microsoft utilisent des scripts PowerShell par
graphiques (exemple : Microsoft Deployment Toolkit, MDT).
Les assistants dans MDT 2010 et MDT 2012 affichent le script PowerShell utilisé. Certains rôles
comme Hyper-V peuvent être gérés à de commandes PowerShell.
1- Présentation de PowerShell
Les fonctions de base ont la possibilité étendues en ajoutant des modules (module Active
Directory, etc.), qui permettent la gestion du rôle en ligne de commande.
:
Import-Module NomModule
C:\Users\Administrateur\Documents\Intro-PowerShell.pdf
Introduction aux services Active Directory
Active Directory est un annuaire implémenté sur les systèmes

Microsoft depuis Windows 2000 Server. Comme pour les autres annuaires, il
sur la norme LDAP. Beaucoup ont été apportées
depuis. Il comprend généralement des comptes nécessaires à
des ordinateurs et utilisateurs entreprise.
Le rôle Services de domaine Active Directory contient des composants physiques et logiques.
Les composants physiques vont englober plusieurs éléments clés dans un domaine Active
Directory. Ces derniers peuvent être matériels ou logiciels :
o Le contrôleur de domaine, qui contient une copie de la base de données Active Directory.
o La base de données et le dossier sysvol, qui vont contenir des informations
Directory (propriétés des comptes utilisateurs, ordinateurs ). Chaque contrôleur de
domaine du domaine Active Directory en contient une copie.
o Le serveur catalogue global, qui contient une copie partielle des attributs (nom, prénom,
adresse de ) des objets de la forêt. Il permet des recherches rapides
sur un des attributs objet domaine différent de la forêt.
Tous ces composants fonctionnent avec des composants logiques, ces derniers permettent de
mettre en place la structure Active Directory souhaitée.
o Ainsi il est possible de trouver les composants suivants :
o Les partitions, qui sont des sections de la base de données Active Directory. Nous allons ainsi
pouvoir trouver la partition de configuration, la partition de domaine, la partition DNS
o Le schéma Active Directory, qui contient les attributs de tous les objets qui peuvent être
créés dans Active Directory.
o Le domaine, il permet la mise en place limite administrative pour les objets utilisateurs
et ordinateurs.
o Une arborescence de domaine, elle contient une suite de domaine qui partage un espace de
noms DNS contigu.
o La forêt Active Directory, qui contient des domaines Active Directory.

o Le site Active Directory, qui permet de découper un domaine en plusieurs parties, ceci afin
de limiter et contrôler la réplication entre deux sites distants.
o qui permet une stratégie de groupe mais également de
mettre en place une délégation.
1.1. Le domaine Active Directory
Un domaine Active Directory est un regroupement logique de comptes utilisateurs, ordinateurs

ou de groupes. Les objets qui sont créés sont stockés dans une base de données présente sur
tous les contrôleurs de domaine Active Directory. Cette base de données peut stocker plusieurs
types :
o Le compte utilisateur qui permet une authentification et des accès
aux ressources partagées. Il représente une personne physique ou une application.
o Le compte ordinateur qui permet la machine sur laquelle ouvre
une session.
o Enfin les groupes qui permettent de regrouper des comptes utilisateurs et ordinateurs dans
le but de leur autoriser à une ressource, de mettre en place une délégation
Les unités (OU - Organizational Unit) sont des objets conteneurs qui permettent le
regroupement de comptes utilisateur ou .
La création de ce type est généralement opérée afin une stratégie de groupe à
des objets présents dans le conteneur.
Sa deuxième fonction est la mise en place délégation afin de permettre à une personne
différente de de gérer les objets présents dans le conteneur.
Ainsi les OU représentent une hiérarchie logique dans le domaine Active Directory (il est possible
de les imbriquer, on parle alors parent et enfant).
Il est par exemple possible de créer une unité par ville (Aix, Paris...) ou même par
type (utilisateur, ordinateur ).
Lors de la création du domaine, des dossiers système et des unités sont par défaut
présents :
- Dossier Builtin : stocke les groupes par défaut : Administrateurs, Opérateurs
- Dossier Utilisateurs : dossier par défaut lors de la création nouvel utilisateur. Il contient par
défaut le compte administrateur et les différents groupes administrateurs (Admins du domaine,
Administrateurs de ).
-Dossier Computers : répertoire par défaut, les comptes ordinateur sont positionnés à cet
endroit lors de de nouveaux postes de travail.
-Unité Domain Controllers : emplacement par défaut pour les comptes des
contrôleurs de domaine. Cette OU est la seule présente lors de la création du domaine. La
stratégie de groupe Default Domain Controller Policy est positionnée sur cette unité
.
1.3. La forêt Active Directory
Une forêt est constituée ou plusieurs domaines Active Directory. On parle de domaine
racine pour le premier domaine de la forêt, de plus ce dernier donne son nom à la forêt.
Dans notre maquette le domaine racine est Formation.local, la forêt a donc le nom de ce dernier,
soit Formation.local.
On trouve dans une forêt Active Directory une seule configuration et un seul schéma, ceux-ci
sont partagés par des contrôleurs de domaine présents dans la forêt.
Elle a également pour but la mise en place frontière de sécurité, les autres forêts
aucun droit sur elle et aucune donnée répliquée à de la forêt.
Une forêt Active Directory est donc composée suite de domaines appelée également une
arborescence de domaines, ces derniers partagent un espace de noms contigu.
La relation entre les domaines même arborescence est de type parent/enfant. Un domaine
qui dispose espace de noms différent fait partie arborescence différente.
Le domaine représente lui aussi une limite de sécurité car utilisateur qui permet
entité (personne physique de ) est défini par domaine.
Ce dernier contient au moins un contrôleur de domaine, deux étant recommandés pour des
raisons de disponibilité.
Ce type de serveur a la responsabilité de des objets utilisateurs et ordinateurs
dans un domaine AD.
1.4. Le schéma Active Directory
Le schéma Active Directory est un composant qui permet de définir les objets ainsi que leurs
attributs pouvant être créés dans Active Directory.
Lors de la création nouvel objet, le schéma est utilisé afin de récupérer les attributs de ce
dernier et leurs syntaxes (booléen, entier...).
Ainsi, lors de la création de Active Directory connaît chaque attribut et le type

de données à stocker.
Lors de migration Active Directory ou en cas de certaines applications (Exchange,
etc.) le schéma doit être mis à jour.
Cette opération vise à rajouter des objets et leurs attributs qui pourraient être par la suite créés
(exemple : une boîte mail). Cette opération ne peut être effectuée que sur un contrôleur de
domaine ayant le rôle de maître de schéma, qui effectue doit être
membre du groupe Administrateur du schéma.
Après avoir apporté la modification, cette dernière est répliquée à des contrôleurs de
domaine de la forêt.
Par défaut le logiciel enfichable Schéma Active Directory est caché. Pour pouvoir il est
nécessaire de taper la commande regsvr32 schmmgmt.dll dans la console Exécuter.
Le logiciel enfichable peut maintenant être ajouté à une console MMC.

1.5
Active Directory est composé de plusieurs partitions. Au nombre de quatre, ces dernières sont
partagées par les contrôleurs de domaines.
o Partition de domaine : elle contient les informations des différents objets qui ont été créés
sur le domaine (attributs de compte utilisateur et ordinateur ).
o Partition de configuration : la topologie de (liste complète des domaines,
arborescences) est décrite dans cette partition.
o Partition de schéma : elle contient tous les attributs et classes de tous les objets qui peuvent
être créés.
o Partition DNS : des zones et donc des enregistrements est stocké dans cette
partition.
Ces partitions sont stockées dans la base de données, cette dernière se trouve dans le répertoire
%systemroot%\NTDS.
1.6
On peut trouver dans une forêt Active Directory cinq rôles FSMO (Flexible Single Master
Operation). Deux eux sont présents uniquement sur un des contrôleurs de domaines de
la forêt, les trois autres se trouvent sur chaque domaine.
o Rôle maître de schéma : ce rôle est donné à un seul serveur de la forêt. Ce dernier est le seul
à posséder des droits sur le schéma. Néanmoins pour effectuer cette opération, il
est nécessaire que le compte utilisé soit membre du groupe Administrateurs du schéma. Les
autres serveurs ont uniquement un accès en lecture.
o Maître de dénomination de domaine : comme pour le maître de schéma, ce rôle se trouve
uniquement sur un seul contrôleur de domaine de la forêt. Le maître de dénomination de
domaine est nécessaire lors de ou la suppression domaine de la forêt. Ce serveur
est contacté afin la cohérence des noms de domaines.
Les prochains rôles maître RID, maître infrastructure et le maître émulateur PDC sont
présents sur chaque domaine de la forêt.
1.6
o Maître RID : il permet de blocs relatifs (RID) aux différents
contrôleurs de domaine de son domaine. Cet identifiant unique est associé au SID du
domaine afin de créer le SID (identifiant de sécurité) de . à de cet
identifiant objet est reconnu.
o Maître infrastructure : son rôle est la surveillance étrangers à son domaine, qui sont
présents dans des groupes de sécurité ou dans des ACL. Exemple : Nicolas BONNET
fait partie du domaine FR.Formation.local mais il est membre du groupe G_Compta-US_r qui
est présent dans le domaine US.Formation.local.
o Maître émulateur PDC : il assure une compatibilité applicative, en émulant un serveur PDC
NT4. Il a ainsi permis la migration entre Windows 2000 (utilisation de contrôleur de domaine
Active Directory) et Windows NT4 (utilisation de serveur PDC et BDC). Son second rôle est la
synchronisation de pour du domaine.
1.7. Les sites Active Directory et la réplication
o Les domaines Active Directory sont découpés en sites AD, représentant la topologie physique
de (exemple : les différentes agences de . La connectivité réseau
dans un site est considérée comme très bonne, on parlera donc de réplication intrasite. La
réplication intersite concerne, elle, la réplication entre deux sites Active Directory.
o Les sites Active Directory permettent la mise en place de frontières de réplication, ceci afin
la bande passante de la ligne reliant deux sites distants.
o Lors ouverture de session effectuée par un utilisateur, les contrôleurs de domaine du
site Active Directory sur lequel il est connecté sont utilisés. Néanmoins, si
ne peut être faite par ces derniers, est exécutée sur un autre site.
1.7. Les sites Active Directory et la réplication
o La réplication intersite permet de de la transmission modification sur un ou

plusieurs sites. Pour ce faire, il convient un objet connexion de type unidirectionnel
(entrante uniquement).
o Par de ses chemins de réplication, la topologie va être automatiquement
créée. Cette dernière assure la vérification de la cohérence des données (KCC - Knowledge
Consistency Checker).
o On peut donc assurer une continuité de service au niveau de la réplication même en cas de
défaillance des contrôleurs de domaine. Il est néanmoins impossible plus de
trois sauts entre deux contrôleurs de domaine.
1. Les contrôleurs de domaine
Un contrôleur de domaine contient une copie de la base de données Active Directory (fichier
NTDS.dit) ainsi que le répertoire Sysvol. Depuis Windows 2000, des contrôleurs de domaine
a un accès en lecture/écriture sur la base de données et le dossier Sysvol. Il est néanmoins possible
un contrôleur de domaine en lecture uniquement (depuis Windows Server 2008).
Le répertoire Sysvol contient les scripts utilisés et les paramètres des stratégies de groupe.
Contrairement à la base de données, la réplication du répertoire est effectuée en utilisant le service de
réplication de fichier (FRS) ou plus récemment par du système DFS (Distributed File
System).
Dans un domaine, il est nécessaire au moins un serveur ayant le rôle de catalogue global ainsi
que deux contrôleurs de domaine par domaine. Les sites distants comportant un nombre très restreint
peuvent utiliser un serveur RODC (Read Only Domain Controller - Contrôleur de domaine
en lecture seule).
1.2. Présentation des catalogues globaux
Dans une forêt qui contient uniquement un domaine, la base de données contient
des informations de tous les objets de la forêt. Néanmoins si plusieurs domaines composent la
forêt, la situation est plus complexe.
Les informations des objets des domaines ne sont connues que par le domaine en question. Si
une recherche est effectuée pour un objet autre domaine, le résultat sera nul.
Il convient donc de configurer un contrôleur de domaine par domaine qui contient une copie du
catalogue global. Ce dernier consiste en une base de données qui contient des informations sur
tous les objets de tous les domaines de la forêt.
1.2. Présentation des catalogues globaux
Le catalogue global ne contient pas des attributs des objets, seuls ceux qui sont
susceptibles utilisés pour les recherches interdomaines sont présents (le nom, le
prénom ).
Dans une forêt composée de plusieurs domaines, les serveurs ayant le rôle de Maître
ne doivent pas être également catalogue global.
1.3
Lors de session sur un domaine Active Directory, le système recherche les

enregistrements de type SRV dans le DNS afin de trouver le contrôleur de domaine approprié le
plus proche. Si est réussie, de sécurité locale (LSA - Local Security
Authority) génère un jeton puis à .
Ce jeton contient de sécurité (SID) de ainsi que des groupes
auxquels il est membre. se voit également attribuer un ticket appelé TGT (Ticket-
Granting Ticket) par le contrôleur de domaine.
Lors de la tentative à une ressource sur le réseau, envoie son ticket TGT au
contrôleur de domaine. Ce dernier lui répond par autre ticket qui à
accéder à la ressource.
Promotion
La
un serveur membre.
core
graphique.
Promotion
La
dcpromo sur les systèmes antérieurs à Windows Server 2012.
Depuis ce dernier la commande est inutilisable
Services AD DS.
Promotion
Promotion
La commande dcpromo ne peut être utilisée ligne de commandes. Après avoir installé le
rôle sur un serveur possédant une interface graphique, il est nécessaire de lancer de
promotion du serveur.
Ce dernier donne la possibilité de créer une nouvelle forêt, un nouveau domaine ou
un contrôleur de domaine supplémentaire.
nécessite également certaines informations. Ces dernières sont demandées par
lors de la promotion.
Il est nécessaire de saisir le nom de domaine DNS, le niveau fonctionnel doit être choisi (pour la
forêt et le domaine). Enfin le mot de passe pour accéder au mode de restauration Active
Directory (DSRM - Directory Services Restore Mode) doit être également saisi.
Promotion
Core
contrôleur de domaine sur un serveur Core peut de plusieurs
manières :
En utilisant la console Gestionnaire de serveur afin à distance la promotion du
serveur.
En exécutant la commande dcpromo /unattend suivie des commutateurs adéquats ( en une
seule ligne de commande) .
Dcpromo /unattend /InstallDns:Yes /ConfirmGc:Yes
/ReplicaOrNewDomain:Replica /ReplicaDomainDNSName:
"Formation.local" /databasePath:"c:\windows\ntds"
/logpath:"c:\Windows\ntds" /sysvolpath:"c:\windows\SYSVOL"
/safeModeAdminPassword:Pa$$w0rd /rebootOnCompletion:yes
Promotion
3.
2012 R2
Il existe deux manières une mise à jour contrôleur de domaine. La mise à jour du
système ou nouveau serveur. Attention néanmoins, dans la première
solution, certains systèmes comme Windows Server 2003 ou Windows 2000 ne
peuvent pas être mis à jour. Il est nécessaire en amont la mise à jour des contrôleurs
de domaine vers Windows Server 2008.
Il est conseillé de prendre dans la mesure du possible de nouveau contrôleur
de domaine, cela permet une nouvelle installation donc un système sain. La
première opération avant la promotion contrôleur de domaine exécutant Windows Server
2012 R2 est le schéma Active Directory.
Cette opération, qui consiste à ajouter les objets nécessaires ainsi que leurs attributs dans le
schéma AD, était effectuée auparavant par de la commande adprep
(adprep /forestprep, adprep /domainprep /gpprep). Ces étapes sont automatisées lors de la
promotion nouveau contrôleur de domaine.
Promotion
4
Dans le cas promotion contrôleur de domaine sur un site distant, le débit de la ligne
qui relie les deux serveurs est un point très important.
En cas de ligne offrant un débit très faible, la première synchronisation du contrôleur de domaine
distant peut être compliquée à gérer car la ligne risque vite saturée. Dans ce cas, il
convient la solution de la promotion via la méthode IFM (Install From Media).
Cette dernière consiste à copier intégralement le contenu de la base de données Active Directory
ainsi que le répertoire SYSVOL.
Lors de la promotion du contrôleur de domaine réplica, doit alors être redirigé vers le
média précédemment créé (et copié sur un support USB par exemple). Ainsi la ligne WAN (Wide
Area Network) reliant les deux sites pas saturée. Il restera donc au nouveau contrôleur de
domaine à récupérer le delta créés après la création du média à réplication
intersite.
Promotion
4
Pour créer le média, les commandes ci-dessous doivent être utilisées :
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
La corbeille AD
Il a rien de plus embêtant suppression accidentelle objet Active Directory, cela

peut avoir un impact plus ou moins important sur la production.
Sur les systèmes antérieurs à Windows Server 2008 R2, le tombstoned peut être
utilisé.
Cette fonctionnalité permet la réanimation compte dont isDeleted est placé à True.
LDP permet cette opération, il supprime isDeleted, néanmoins les
attributs (appartenance au groupe ) de sont perdus.
Des utilitaires tiers non officiels Microsoft ont été développés afin de permettre cette
opération de façon graphique et de manière très rapide.
La corbeille AD
Il est possible depuis Windows Server 2008 R2, une nouvelle fonctionnalité, appelée
corbeille Active Directory.
Cette dernière permet la restauration objet supprimé de ainsi que ses
attributs.
Afin de procéder à de la corbeille Active Directory, il est nécessaire un niveau
fonctionnel Windows Server 2008 R2 minimum. Attention après activée, il est impossible
de la désactiver.
Windows Server 2012 a apporté une nouveauté intéressante est possible la
restauration objet et de la fonctionnalité depuis le centre Active
Directory. Toutes les opérations se font désormais à interface graphique à la place de
PowerShell.
La stratégie de mot de passe affinée
Un domaine comprend une politique de sécurité (mots de passe et verrouillage). Il peut être
nécessaire de mettre en place une politique de mot de passe différente, plus ou moins stricte en
fonction des comptes concernés (compte de service, compte administrateur ).
Pour cela il était nécessaire avant Windows Server 2008 de mettre en place plusieurs stratégies
de groupe.
Microsoft a donc mis en place avec Windows Server 2008, une fonctionnalité permettant la
création de stratégies de mot de passe affinées. Elle permet à une entreprise de définir plusieurs
stratégies de mot de passe ou de verrouillage.
Elles sont par la suite attribuées à un utilisateur ou un groupe de sécurité global. Le système
utilisé sur le contrôleur de domaine doit être au minimum Windows Server 2008,
le niveau fonctionnel doit également être configuré sur le niveau Windows Server 2008.
doit être effectuée par un administrateur du domaine, une délégation pour un
utilisateur peut être néanmoins mise en place.
Les paramètres inclus sont les suivants :

o Historique des mots de passe.
o Durée de vie maximale du mot de passe.
o Durée de vie minimale du mot de passe.
o Longueur minimale du mot de passe.
o Respect des exigences de complexité.
o Enregistrement en utilisant un chiffrement réversible.
o Durée de verrouillage de compte.
o Seuil de verrouillage de compte.
o
En plus de ces paramètres, on peut trouver également :

Liaison PSO : cet attribut permet à quels objets (utilisateur et groupe) est liée la
stratégie.
Priorité (préséance) : nombre entier utilisé pour résoudre les conflits en cas de
plusieurs PSO à un objet.
Un PSO possède msDS-PSOAppliesTo, il permet la mise en place lien entre les
objets utilisateurs ou groupes et PSO. Ainsi qui le reçoit se voit configurer son
attribut msDS-PSOApplied, qui permet le lien retour vers la stratégie.
Comme pour la corbeille Active Directory, Windows Server 2012 apporte une nouveauté dans la
gestion et la création des stratégies de mot de passe affinées.
En effet une interface utilisateur est ajoutée afin de faciliter la création de nouvelles stratégies
mais surtout
Administration des objets AD
Lors de la promotion serveur en contrôleur de domaine, plusieurs consoles sont ajoutées

dans les outils . La console Utilisateurs et ordinateurs Active Directory permet la
gestion des comptes utilisateurs, ordinateurs et des groupes. Il est donc possible depuis cette
console toutes les opérations (création, suppression, désactivation ) sur les
différents objets.
Sites et services Active Directory permet, elle, de gérer la réplication entre deux sites mais
également la topologie réseau. La gestion des relations et du niveau fonctionnel
de la forêt à de la console Domaines et approbations Active Directory. Enfin, la
console Schéma AD permet la gestion du schéma Active Directory. Cette console est accessible
uniquement si la commande regsvr32 schmmgmt.dll a été exécutée une fois, cette dernière
permet de déclarer la bibliothèque dans la base de registre.
Il est possible ces consoles sur un poste client (Windows 7, Windows 8 ou Windows 8.1)
après avoir téléchargé et installé le fichier RSAT (Remote Server Administration Tools).
La console Centre Active Directory fournit options pour la gestion des
objets. Elle fournit une interface graphique qui sur des commandes PowerShell.
Il est possible la création (utilisateur ), de créer et de gérer une unité
. Un administrateur peut se connecter à un autre domaine et le gérer directement
depuis la console.
Il est également possible de ce service par de

commandes PowerShell. En important le module Active Directory, il est également possible
les mêmes opérations que celles effectuées dans les différentes consoles. Des
commandes MS-DOS peuvent également être utilisées afin différentes actions :
Dsadd : créer un nouvel objet.
Dsget
Dsmove
Dsrm : effectuer une suppression.
1. Gestion des comptes utilisateurs
Comme tout objet, un compte utilisateur contient des propriétés, dont un nom un
mot de passe et une liste de groupes dont il est membre. Ainsi, il est possible avec ce type de
compte :
o ou de refuser de session sur un ordinateur.

o à une ressource partagé.
1.1. Création utilisateur
Le champ Nom complet est, lui, construit à des informations saisies dans les champs
Prénom et Nom. Il est bien sûr possible la modification et de remplacer la valeur
créée automatiquement par celle souhaitée. Ce dernier doit être unique dans le conteneur ou
.
Contrairement au SAMAccountName (nom de session antérieur à Windows 2000)
qui est construit sous la forme NomDeDomaineNetbios\NomUtilisateur (Formation\nbonnet),
(User Principal Name - champ nom de session de est construit lui
sous la forme NomOuvertureDeSession@Domaine (nbonnet@formation.local).
Des caractères non alphanumériques peuvent

être utilisés afin de générer des noms
unique (exemple : n.bonnet, n-
bonnet ), attention néanmoins, cela peut
poser des problèmes avec certaines
applications.
Par la suite, il est nécessaire de donner un mot
de passe temporaire.
Il est intéressant à ce moment-là de cocher
doit changer le mot de
passe à la prochaine ouverture de session, ceci
permet à changer son mot
de passe dès sa première ouverture de session
(ce changement est obligatoire).
1.2
Après avoir procédé à la création de il est possible de configurer les autres attributs
facultatifs (adresse, numéro de téléphone ). Les différents attributs peuvent être classés en
plusieurs catégories.
o Les attributs comptes : présents dans Compte, on peut trouver les informations
incluant le nom le mot de passe
o Les informations personnelles : concerne les informations personnelles de
le numéro de téléphone ). Ces attributs peuvent être configurés par
de Général qui contient les informations saisies lors de la création du
compte (Prénom, Nom de Nom complet ), mais également des onglets
Adresse, Téléphones et Organisation.
1.2
o La gestion des comptes utilisateurs : regroupe les attributs présents dans Profil, il
est possible de configurer le chemin du profil ou les scripts de session.
o Membre des groupes : cet attribut présent dans Membre de permet ou la
suppression de dans un groupe de sécurité ou de distribution.
De plus il est possible de voir des attributs par de Éditeur
. Cet onglet nécessite des fonctionnalités avancées (menu Affichage). Tous
les attributs sont ainsi affichés, de plus le bouton Filtrer permet plus grand
nombre .
1.2
peut être modifié depuis
adéquat ou directement depuis
Éditeur .
1.2
givenName avait pour valeur initiale
Stagiaires. Si on modifie le prénom dans
Général..
1.3.
Un profil utilisateur peut être local ou itinérant. Dans le cas profil local, un répertoire est
créé dans le dossier Utilisateurs de chaque machine sur laquelle ouvre une session.
Néanmoins, dans certains cas, il est nécessaire que retrouve ses données (favoris,
documents, bureau...) sur tous les postes sur lequel il se connecte. Dans ce cas, il est nécessaire
un profil itinérant. Ce dernier est présent dans un dossier partagé sur le serveur.
Lors de de session, le profil utilisateur est copié du serveur vers le poste puis lors de
la fermeture, la copie dans le sens inverse est effectuée. Pour mettre en place cette solution, il
est nécessaire de configurer Chemin du profil dans Profil.
La variable %username% est remplacée par le

nom de session de
après avoir cliqué sur Appliquer.
Il est également possible de configurer un
script (au format vbs ou bat), ce dernier est
exécuté lorsque ouvre une session.
Seul le nom du fichier doit être saisi si celui-ci
est stocké dans le dossier SYSVOL.
Un lecteur réseau peut également être
connecté à de la propriété Dossier de
base. Il est nécessaire pour cela de spécifier la
lettre à utiliser.
Gestion des groupes
Les groupes dans Active Directory permettent de faciliter . Il est plus facile
le groupe dans (Access Control List - liste permettant de donner des
autorisations) ressource partagée plutôt que rajouter des utilisateurs. Une
fois le groupe positionné, plus ajouter ou supprimer des objets (compte
ordinateur, utilisateur ou groupe) afin de gérer les accès à la ressource.
ne se fait donc plus au niveau de mais au niveau de Directory
(console Utilisateurs et Ordinateurs AD, Centre Active Directory ou directement
en PowerShell).
De plus, un groupe peut être positionné sur la liste de contrôle de plusieurs ressources.
La création des groupes peut être faite par profils (un groupe Compta qui regroupe les
personnes de la comptabilité, DRH ) ou par ressources (G_Compta_r, G_Compta_w ).
Gestion des groupes
Il est préférable un nom pour le groupe qui soit le plus parlant possible. Nous vous
suggérons de nommer les groupes de cette manière :
(G pour globale, U pour universelle ou DL pour domaine local). Ce point est traité plus
loin dans le chapitre.
Le nom de la ressource (Compta, Fax, BALNicolas, RH ).
Le droit NTFS qui va être attribué au groupe (w pour écriture, m pour modifier, r pour lecture...).
Ainsi, si un groupe se nomme G_Compta_w, vous pouvez très vite en déduire que un
groupe global positionné sur le dossier partagé Compta et qui donne des droits sur la
ressource à ses membres.
2. Différence entre groupes de sécurité et de distribution
Deux types de groupes peuvent être créés dans
Windows Server. Le choix est effectué lors de la
création du groupe.
a donc le choix entre un groupe de
distribution et un groupe de sécurité.
2. Différence entre groupes de sécurité et de distribution
Il est possible également de convertir du groupe après sa création.
Le groupe de distribution est utilisé par des serveurs de messagerie (Exchange par exemple).
Aucun SID attribué au groupe, il est donc impossible de le positionner dans la liste de
contrôle ressource. Lors de mail à ce groupe, des membres
reçoit ce mail.
Le groupe de sécurité possède un SID (Security IDentifier), ceci donne la possibilité de le
positionner dans une ACL. Ainsi, les membres de ce groupe se voient octroyer une permission
pour à la ressource. Sa deuxième fonction est de servir de groupe de distribution pour un
logiciel de messagerie.
Ce groupe ayant les deux rôles, beaucoup se servent uniquement de ce type de
groupe pour assigner des permissions à des utilisateurs ou créer des listes de diffusion.
3. Les
du groupe permet de déterminer la ressource sur laquelle le groupe peut être
positionné mais également les objets qui peuvent être membres.
Locale : présent sur un serveur membre ou un poste de travail uniquement, un groupe ayant
cette étendue ne peut pas être utilisé sur un contrôleur de domaine (celui-ci ne contient pas de
base de comptes locale). Ce groupe peut être utilisé pour donner des permissions à des
utilisateurs local.
!! Lors de la jonction au domaine station de travail ou serveur, les groupes admins
du domaine et utilisateurs du domaine sont respectivement membres des groupes locaux
Administrateurs et utilisateurs de la machine
3. Les
Domaine local : utilisé pour gérer les autorisations aux ressources du domaine, un
groupe de ce type peut avoir comme membres des utilisateurs, ordinateurs ou
groupes globaux et universels de la forêt. Les groupes locaux de domaine membres de ce groupe
doivent être du même domaine. Ce type de groupe peut être positionné uniquement sur des
ressources de son domaine.
Globale : contrairement à Domaine local, un groupe global peut contenir uniquement
des utilisateurs, des ordinateurs ou groupes globaux du même domaine. Il peut être
positionné sur quelles ressources de la forêt.
Universelle : un groupe de cette étendue peut contenir les utilisateurs, ordinateurs et groupes
globaux et universels domaine de la forêt, il peut être membre groupe de type
universel ou domaine local. Le groupe peut être positionné sur les ACL de toutes les ressources
de la forêt. Attention à ne pas abuser de ce type de groupe car il est répliqué dans le catalogue
global. Un nombre important de groupes universels chargent la réplication du catalogue global.
4. Gestion des comptes ordinateurs
Un compte ordinateur est créé lors de la jonction de la machine au domaine. Il permet
de la machine lors de de session, mais également de
stratégie de groupe.
4.1 Le conteneur ordinateur
Lors de la création du domaine, un conteneur système Computers est créé afin les
comptes ordinateurs des machines jointes au domaine. pas une unité il
est impossible une stratégie de groupe à ce conteneur. Il est donc nécessaire par la
suite de déplacer les objets ordinateur dans souhaitée.
Dans certains cas, il peut être nécessaire de créer plusieurs unités (OU Servers,
OU Postes, OU Portable) ; ceci afin de pouvoir lier des stratégies de groupes différentes ou
simplement déléguer à des personnes différentes la gestion des différents objets.
La gestion des conteneurs est propre à chaque entreprise et doit répondre à vos besoins et
contraintes.
Pour effectuer une jonction au domaine, il est nécessaire de respecter certains pré-requis.
ordinateur doit être créé en amont ou doit posséder les droits adéquats.
qui effectue la jonction doit nécessairement être membre du groupe Administrateur
local de la machine.
Si le serveur DNS configuré dans la configuration IP du poste pas bon, alors la machine
jamais le domaine.
La création en amont permet à
de positionner le compte
ordinateur directement dans son unité
définitive.
Ainsi, au redémarrage du poste la bonne
stratégie de groupe . De plus,
cette solution permet de déléguer la
jonction au domaine à un autre utilisateur.
Il est également possible de changer le conteneur par défaut. Cette opération permet la création
du compte ordinateur dans souhaitée. Pour cela, la commande DOS
redircmp doit être utilisée.
La syntaxe de la commande est de la forme :

redircmp ou=Aix,DC=Formation,dc=local
Un utilisateur (qui ne possède pas de droit a, par défaut, la possibilité de joindre
10 machines au domaine. Lors de la demande il doit saisir son nom
et son mot de passe. Ceci existe depuis Windows 2000 Server, il est possible de
modifier le nombre de machines utilisateur a le droit de joindre en modifiant le paramètre
LDAP.
Pour cela, il est nécessaire de modifier ms-DS-MachineAccountQuota présent à la
racine du domaine Éditeur apparaît si les fonctionnalités avancées sont
activées).
4.2 Réinitialisation du canal sécurisé
Comme pour les utilisateurs, un compte ordinateur possède un nom de poste
(sAMAccountName) et un mot de passe. Un changement du mot de passe est effectué tous les 30
jours.
Ces identifiants sont utilisés par le service NetLogon afin une session et avec son
contrôleur de domaine un canal sécurisé.
Certains cas impactent le canal sécurisé et empêchent de session
plus authentifié) :
Restauration de du poste joint à un domaine : le mot de passe du compte ordinateur lors
de la création de est différent de celui présent sur le contrôleur de domaine. La
restauration image restaure précédent du poste donc également les identifiants du
compte machine. Il est donc nécessaire de restaurer le canal sécurisé. Il est conseillé de faire un
sysprep avant la création de ceci afin de pouvoir supprimer tous les paramètres propres à
un poste (nom, etc.).
Restauration du contrôleur de domaine. Si le domaine ne contient contrôleur de domaine
et que ce dernier a dû être restauré, le mot de passe présent sur le contrôleur de domaine est
différent de celui sur le poste.
Si le canal sécurisé est rompu, un message apparaît lors de de session. Un événement
est également présent dans le journal, il aura pour source NETLOGON et pour ID 3210.
Quand le canal sécurisé est rompu, il est nécessaire de le réinitialiser. Pour cela, un
administrateur peut mettre la machine en workgroup puis la rejoindre au domaine, ce qui
réinitialise le canal.
Lors de la nouvelle jonction, un nouvel SID est regénéré, la liste des groupes auxquels était
membre la machine avant le problème du canal sécurisé est recréé à . Pour réinitialiser
le canal sécurisé, il est également possible opérations :
o Console Utilisateurs et ordinateurs Active Directory
Réinitialiser le compte qui permet la réinitialisation de toutes les informations liées au poste.
o Commande DOS : des commandes DOS peuvent également être utilisées afin de réinitialiser
le mot de passe sur le contrôleur de domaine et le poste client. Les commandes qui peuvent
être utilisées sont dsmod, netdom ou nltest.
Syntaxe des commandes :
dsmod computer ComputerDN -reset
netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password | *}
NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER
3. Les
Microsoft a défini une stratégie de gestion des groupes (IGDLA). Cette dernière consiste à
ajouter des Identités (utilisateurs et ordinateurs) dans un groupe Global. Ce dernier est membre
groupe Domaine Local (permet de fournir les accès à la ressource). Le groupe Domaine
local est positionné dans une ACL.
Ainsi, si un nouveau groupe appelé G_Tech_W doit avoir accès à la ressource partagée nommée
Informatique, il plus nécessaire à .
Un ajout dans le groupe DL_Tech_W (celui-ci est bien sûr positionné sur la ressource) donne
souhaité.
Sujet des Exposés
1- Gestion des disques et volumes : Expliquer les types de partitions windows, types des disques
et les systèmes de fichier (Saysana)
2- Groupe de travail (Workgroup) : Fonctionnement e t configuration groupe de travail
Windows (Didier V)
3- Partage et permission NTFS : Effectuer un partage réseau depuis un client windows, configurer
la sécurité via NTFS (Fabrice)
4- ICS ( Internet Configuration Sharing) : Comment partager sa connexion internet avec son
réseau lan depuis un client Windows (Nader)
5- Sysprep : les best practice avant sysprep et comment revenir a une configuration
unsine (Cedric)
6- Firewall: Expliquer comment ça fonctionne, et comment se protoger des acces non autorisés
(claude)
Sujet des Exposés
7- Windows Defender : Expliquer comment ça fonctionne, et comment se protéger des virus
(Chamsdine)
8- Compression, chiffrement et Bitlocker : de compresser des données, protéger ses
données avec Bitlocker quel peut on atteindre . ( Julie)
9- Comparaison entre Nagios et Zabbix. Fonctionnement, mise en place et exploitation. (Didier L)
10- Radius et Kerberos: quelles différences ? À quoi ça sert ? Sa mise en place. (Liam)

1 - Windows Server

Transféré par

Droits d'auteur :

Formats disponibles

1 - Windows Server

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

1 - Windows Server

Transféré par

Droits d'auteur :

Formats disponibles

Windows Server 2012 R2

1. Les éditions de Windows Server 2012 R2

Il est possible de trouver plusieurs éditions différentes de Windows Server 2012

o Édition Foundation : utilisé dans des petites entreprises possédant moins de

Le serveur Core est une des méthodes disponible depuis Windows

La fonctionnalité peut être de serveur

AD FS (Active Directory Federation Service) fournit un service fédéré de

Agent Web AD FS : permet de valider les jetons de sécurité délivrés et

Lors de du rôle, deux services de rôles peuvent être installés :

Le rôle Serveur permet la gestion et

Une fonctionnalité apporte des "outils" supplémentaires au système . Comme

o de charge réseau effectue une distribution du trafic afin une

Elle permet de rôles mais également la gestion de PC

La gestion du serveur local se fait également par le biais de cette console.

La propriété Configuration de sécurité renforcée Explorer permet

Le tableau de bord permet également de très rapidement

Ainsi, il est possible très rapidement sur un problème (redémarrer

Avant de Windows Server 2012 R2, il convient de

o Le support USB présente lui de pouvoir offrir une modification

o Le serveur de déploiement permet de booter depuis un serveur (Service de

Comme pour tout système Windows Server 2012 R2 possède des

Il est donc nécessaire de avant au minimum un

Les technologies de virtualisation offrent désormais aux administrateurs la

Les technologies de virtualisation offrent désormais aux administrateurs la Tous

Les technologies de virtualisation offrent désormais aux administrateurs la

Le principe de la virtualisation du poste de travail consiste à utiliser une ou

La virtualisation englobe plusieurs types de virtualisation. Il est

Il est possible le rôle Hyper-V sur une machine cliente et ce depuis

Hyper-V est un système de virtualisation disponible dans les systèmes

Lors de de la mémoire vive aux machines virtuelles, il est nécessaire

Une machine virtuelle utilise les composants suivants ; néanmoins, en fonction

o Processeur : comme pour la mémoire, il est possible un ou

o Carte réseau : par défaut la carte réseau de la machine virtuelle pas

o Carte réseau : par défaut la carte réseau de la machine virtuelle pas

À la sortie de Windows Server 2008, le système de virtualisation Hyper-V

La mémoire dynamique permet une quantité minimum de mémoire.

Contrairement à Windows Server 2008 R2, un administrateur peut maintenant

Lors de la création machine virtuelle, il est nécessaire de sélectionner la

o Démarrage de la VM depuis un lecteur SCSI (disque dur ou DVD) : il est

Il maintenant plus possible pour les machines virtuelles de cette génération

Windows Server 2012 R2 contient maintenant un outil Session étendue, menu

par contre pas nécessaire de procéder à une éventuelle autorisation.

Avec de la nouvelle version -V contenue dans Windows Server

Un disque de taille dynamique possède une taille maximale, néanmoins la taille

Le disque virtuel de type pass-through permet à une machine virtuelle

opérations comme la réduction fichier dynamique sont réalisables.

Trois types de commutateur peuvent être créés :

Avant de procéder à de Windows Server 2012 R2 sur le poste physique, il faut

Depuis Windows Server 2008, deux types sont proposés :

commande djoin.exe doit être utilisée.

djoin /provision /domain formation.local /machine NomDeLaMachine /savefile c:\Jonction.txt

Active Directory est un annuaire implémenté sur les systèmes

o La forêt Active Directory, qui contient des domaines Active Directory.

Un domaine Active Directory est un regroupement logique de comptes utilisateurs, ordinateurs

Ainsi, lors de la création de Active Directory connaît chaque attribut et le type

Le logiciel enfichable peut maintenant être ajouté à une console MMC.

o La réplication intersite permet de de la transmission modification sur un ou

Lors de session sur un domaine Active Directory, le système recherche les

Depuis ce dernier la commande est inutilisable