Services Windows
Généralités sur Microsoft
Microsoft est une grosse entreprise, qui développe et vend des OS et des logiciels. Ils sont présents dans le BtoB et dans le BtoB. Pourquoi Microsoft est-il si présent en entreprise?
- 3 outils phares : Office, Exchange (messagerie), Active Directory (Annuaire).
- Une interface client connue, conviviale et ergonomique
- La possiblité d'avoir une solution globale autour d'un seul éditeur.
Microsoft donne une solution globale aux entreprises, contrairement au monde du libre dans lequel on fait intervenir de nombreux éditeurs différents. La plupart du temps, on passe cependant par des solutions hybrides.
Administration Serveur
Les services de rôles Windows : ajouter une fonctionnalité à un serveur Windows, on appelle cela "ajouter un rôle". Quelques rôles souvent utilisés : IIS (Web), DHCP, DNS, Active Directory, Partage de fichiers, Radius, Serveur d'impression, Wsus, CA, TSE... Certains rôles sont incompatibles, on préfèrera les isoler grâce à de la virtualisation. On a deux façons d'accéder à l'interface d'administration :
- En direct
- A distance (avec le bureau à distance, ou RDP). C'est la commande mstsc.
En mode graphique, on a deux outils d'administration :
- La MMC (console d'administration Windows)
- Le gestionnaire de serveur.
Windows gagne en scriptabilité grâce à :
- Batch (Cmd.exe, langage historique)
- VBScript
- Powershell
Bureau à Distance
Autoriser le bureau à Distance depuis le serveur
Le service bureau à distance permet de contrôler le serveur en graphique et à distance. Il utilise pour cela le protocole RDP. Pour l'autoriser :
- Clic droit sur "Ce PC" > Propriétés
- "Autoriser le connexions bureau à distance"
- Ajouter éventuellement des utilisateurs, Administrateur a normalement une session de base mais bon.
- Vérifier le réseau et le pare-feu.
Se connecter depuis un client
Pour se connecter via le bureau à distance, il suffit de rechercher "bureau à distance" dans les programmes. Ensuite de quoi, on rentre un nom de domaine / @IP, et on se connecte. Attention, une session utilisateur ne peut être ouverte qu'une seule fois à la fois. Oui.
À noter que les clients légers Windows utilisent aussi RDP, en se connectant sur un serveur TSE (Terminal Services).
Les licences
Il est important de savoir comment fonctionnent les licences : déjà, on peut faire des économies, et Microsoft fait régulièrement des contrôles.
Une licence est un droit d'utilisation d'un logiciel. Chez Microsoft, on en utilise :
- Sur chaque poste de travail
- Sur chaque serveur
- Sur chaque application serveur
- Sur chaque application client
- Sur chaque client ayant accès à un logiciel serveur (CAL : Client Access Licences).
- En plus d'avoir besoin d'une licence pour chaque application sur le serveur, il faut une licence pour chaque client qui accède à ce service.
Prenons le cas d'un serveur avec SharePoint :
- Il faut une licence pour le serveur
- Une autre pour SharePoint
- Une licence CAL pour le client qui accède au SharePoint (une par client !)
- Si on a un deuxième serveur SharePoint, on pourra réutiliser les CAL du premier SharePoint.
Le client d'une CAL peut être un utilisateur ou un poste. On a des CAL utilisateurs pour les personnes, qui pourront alors accéder au service depuis n'importe quelle machine. On a aussi des CAL par poste, plus rares, plus économique quand ona plusieurs utilisateurs sur un poste.
Achats de Licences
On peut acheter des licences :
- À l'unité (en boîte), avec un DVD ou en téléchargement
- En OEM, avec un système neuf
- On ne peut pas la déplacer, elle est liée au matériel
- En volume, même licence pour plusieurs systèmes
- Administrable via VLSC (Volume Licencing Service Center)
- KMS est l'outil d'activation des licences en volumes
- En mode hébergé, avec abonnement mensualisé (Cloud et Office 365)
Licences Windows
| Client | Serveur | |
| Versions | 7, 8, 10... |
2008, 2008R2, 2012, 2016... |
| Editions | Familial, Pro, Entreprise... |
Essentials, standard, Datacenter... |
| Mode d'installation | GUI | GUI ou core |
Pour les Windows Client, les capacités évoluent selon les Editions et les versions (et c'est la même chose pour les versions Serveur).
Pour les licences serveur, chaque licence est dédiée à un matériel. Par exemple, avec une licence standard, je peux installer 2VM max (de mon Windows Serveur) sur un serveur physique; j'en installe autant que je veux avec une licence datacenter. Si je veux installer encore 2 VM en standard, il faut encore une licence supplémentaire; etc. Avec Windows 2016, au delà de 8 coeurs CPU sur le serveur physique, il faut une licence additionnelle.
Il est aussi important de vérifier les dates de fin de support.
Systèmes de fichiers
Principe
Un FS, c'est la façon dont sont stockés et organisés les fichiers. Ainsi, on relie des données (contenu texte, vidéo, etc...) à des métadonnées : elles contiennent les droits d'accès, le nom du propriétaire, la taille...
Les systèmes suivants sont courants :
- FAT pour les clefs USB
- Ext3 ou Ext4 pour les machines Linux
- NTFS pour Windows
- ReFS depuis 2012 pour WIndows.
NTFS
C'est un système de fichiers courant sur Windows. Ses principales limites sont :
- Le nom du fichiers ne doit pas dépasser 255 caractères (et ça comprend le chemin du dossier!)
- On gère les permissions d'un dossier ou d'un fichier avec des ACL (Access Control List)
Les droits d'un fichier NTFS comprennent :
- Parcours d'un dossiers
- Liste d'un dossier
- Lecture des méta-données
- Ajout de fichier
- Ajout de répertoire
- Modification des droits
- Suppression
- Lecture
- Appropriation
- Exécution
Les caractéristiques de ce système de droits :
- Les droits s'appliquent pour des utilisateurs ou des groupes
- L'interdiction prime sur l'autorisation
- Les droits sont cumulatifs:
- Les droits d'un utilisateur est la somme des droits NTFS attribués à celui-ci et à tous les groupes auxquels il appartient
- Si un utilisateur à le droit write et que son groupe à le droit read, l'utilisateur peut lire et écrire.
Par défaut, un élément reprend les droits de son parent (notion d'héritage).
Le partage de fichiers
Le partage de fichiers permet de faire beaucoup de choses : on évite l'envoi de pièces jointes en interne (et on est pas limité par la taille de celles-ci); la collaboration est améliorée et on peut sécuriser les accès. On peut également appliquer une politique de réplication (RAID et RFS) et centraliser la sauvegarde autour d'un seul serveur.
Le nom
Le nom d'un partage doit être unique au sein d'un réseau, et tous les Windows ont un lecteur "C:". Du coup, on utilise la convention UNC (Universal Naming Convention):
\\NomOuIPDuServeur\NomDuPartage\Dossier\NomDuFichier
Utilisation
EN plus de ses lecteurs de disques durs (C:, etc) l'utilisateur aura un ou des lecteurs réseau, représentés eux aussi par des lettres (X:, par exemple). En général, un utilisateur a 3 lecteurs réseau :
- 1 commun à toute la boîte
- 1 lié à son service
- 1 personnel où seul lui peut se connecter. C'est son stockage personnel, sauvegardé par l'administrateur système.
Pour connecter un lecteur réseau, c'est assez simple : on tape directement dans l'explorateur de fichier l'IP ou le nom de la machine, puis il suffit de faire un clic droit et de choisir "connecter un lecteur réseau". On peut ausis le faire en ligne de commandes : net use X: \\cheminUNC
Créer un partage
Les droits
On a trois types de droit relatifs aux partages, qui sont totalement indépendants des droits NTFS :
- Lecture,
- Écriture,
- Contrôle total.
La définition finale des droits d'accès à un dossier partagé tient à la fois des droits NTFS mais aussi des entrées d'autorisation de partages. Les autorisation les plus restrictives sont appliquées.
Création
Il existe 2 méthodes : une normale, et une plus avancée.
Méthode avancée
Dans les propriétés d'un dossier, onglet sécurité, bouton avancé, on commence par modifier les autorisation NTFS; puis on ajoute un partage "partage avancé".
Méthode simple
Dans l'onglet partage, on utilise le bouton partager. Cela modifie automatiquement les autorisation NTFS. Il faut faire attention à la granularité des droits ! NTFS a une gestion plus fine des droits. Par exemple, si veut autoriser la création de dossiers et pas de fichiers, il faudra le préciser dans les autorisations NTFS.