Partie windows

Elements de correction: les lments de correction ne sont pas un corrig exhaustif. Ils se contentent de reprendre les points clefs de chaque exercice.

Question 1 : acces partage

Contexte: un domaine avec un contrleur de domaine cd1 et deux ordinateurs membres du domaine station1 et station2. Il existe trois utilisateurs testAD2, testAD4 et testAD5 sur le domaine. On souhaite parta er un dossier nomm! donnees situ! " la racine de c:# sur station1 de $a%on " ce &ue deux utilisateurs testAD2 et testAD4 aient les acc's suivants : en ouvrant une session sur station1, testAD2 a acc's en contrle total au parta e( testAD4 ) a acc's en lecture*ex!cution*a$$icha e du contenu du dossier en se connectant depuis une autre machine +station2 par exemple, sur le parta e, testAD2 et testAD4 ont un acc's en lecture seule. -r!cise. les op!rations " e$$ectuer pour mettre en place cette politi&ue. /otre che$ vous demande maintenant &ue l0utilisateur testAD5 aie les m1me acc's &ue testAD2. 2ue $aites3vous 4 /otre che$ vous demande maintenant &ue testAD2 perde ses acc's au dossier donnees. 2ue $aites3vous 4 Elements de correction: Deux choses mettre en vidence dans cet exercice : la diffrence entre les droits d'accs locaux (ntfs via Proprits scurit! et via partage (Proprits Partage autorisations!. "'accs au partage distance ncessite de satisfaire les deux. "e premier suffit l'accs local. une gestion conforme aux #onnes pratiques du mtier suppose de crer un groupe sur le domaine$ de donner les autorisations ce groupe et de mettre les utilisateurs dans ce groupe pour les leur donner$ de les enlever du groupe pour les leur %ter.

Question 2 :
5. 6auve arder un s)st'me en cours d0ex!cution peut poser des probl'mes. Citer les plus courants. 2uelles sont les solutions classi&ues permettant d0e$$ectuer de telles sauve ardes en toute s!curit! 4 2. 2uelle di$$!rence ) a3t3il entre des sauve ardes incr!mentales et des sauve ardes di$$!rentielles 4 /ous pourre. illustrer votre propos sur deux exemples de r! ime de sauve arde 7. Certains codes d0ac&uittement d0un serveur smtp d!crits dans la 89C 2:25 sont de la $orme 2;<, 4;< et 5;<. Indi&ue. la di$$!rence entre ces trois t)pes de codes. 4. serveur de catalo ue lobal dans une $or1t =indo=s 2>>>: &uel rle 4 -eut3il ) en avoir plusieurs dans la $or1t 4 5. 6ous =indo=s 2>>>, on dit &ue les permissions sont cumulatives. ?xpli&ue. ce &ue l0on entend par ce terme et donne. l0al orithme permettant de d!terminer si un utilisateur a la permission d0acc!der " un ob@et. Elements de correction: &' deux pro#lmes classiques: accs impossi#le des fichiers verrouills par certaines applications

la sauvegarde prenant du temps$ si une application maintient une cohrence entre plusieurs fichiers$ cette cohrence peut ne pas (tre maintenue s'ils sont modifis lors de la sauvegarde : l'un des fichiers pourrait avoir sa premire version sauve tandis qu'une autre aura sa version aprs modification de sauve s'il est trait plus tard par la sauvegarde (cf cours!. les solutions classiques: arr(ter le s)stme et les applications concernes avoir un logiciel de sauvegarde adapt aux applications sauver crer un instantan (snapshot! de la partition sauvegarder avant de faire la sauvegarde. &*:une sauvegarde incrmentale sauvegarde tout ce qui a chang par rapport la sauvegarde prcdente. +ne sauvegarde diffrentielle sauvegarde tout ce qui a chang depuis une sauvegarde de rfrence qui n'est pas forcment la prcdente. ,ela a deux consquences : sur le volume sauvegarder qui est plus fai#le pour la sauvegarde incrmentale et sur le nom#re de sauvegardes restaurer qui est plus lev avec une sauvegarde incrmentale. &-: *./: acquittement positif0 1./: acquittement ngatif temporaire0 2./: acquittement ngatif dfinitif. &1: le catalogue glo#al est une #ase de donnes h#erge par un ou plusieurs contr%leurs de domaine. Par dfaut$ le premier contr%leur de la for(t est serveur de catalogue glo#al. "e catalogue glo#ale contient les appartenance aux groupes universels ce qui le rend indispensa#le l'ouverture de session des utilisateurs. Il contient aussi la localisation des o#3ets de la for(t ce qui permet d'optimiser le traitement des requ(tes dans la for(t. &2: les droits d'accs d'un utilisateur sont l'union des droits d'accs des groupes auxquels il appartient et des seins propres. ex.: si le groupe 4' a un accs en criture$ si etu' a un accs en lecture et s'il appartient 4' alors tu' a un accs en lecture et en criture. "'algorithme est le suivant si l'utilisateur ou l'un des groupes auxquel il appartient a un refus d'accs alors l'accs est refus si l'utilisateur ou l'un des groupes auxquel il appartient a une autorisation d'accs alors l'accs est autoris sinon l'accs est refus

Question 3 : groupes et units d'organisation

2u0est3ce &u0un unit! d0or anisation 4 A &uoi cela peut3il 1tre utilis! 4 2uelle di$$!rence entre roupes et unit!s d0or anisation 4 Elements de correction: un groupe contient des utilisateurs et d'autres groupes. 5n les utilise dans la dfinition des permissions et droits d'accs comme par exemple tout ce qui est 6," 789:.

+ne unit d'organisation est un conteneur active director). 5n peut le lien des stratgies de groupes et faire de la dlgation de contr%le sur les o#3ets qu'elle contient. 5n peut dlguer le contr%le sur une unit un groupe ou un utilisateur. "e contraire n'a pas de sens : on ne dlgue pas de contr%le sur un groupe$ on ne dlgue pas de contr%le une unit.

Question 4 :
6c!nario : Dans un domaine =indo=s 2>>>, parmis vos utilisateur, on trouve notamment des ensei nants +ens5, ens2, A, et des !tudiants +etu5, etu2, etu7, A,. On souhaite imposer les choses suivantes : Bn !tudiant est autoris! " r!initialiser les mots de passe des autres !tudiants Ces !tudiants ne peuvent pas chan er leur mot de passe Aucun !tudiant et aucun ensei nant nDa de commande E ex!cuter F dans son menu E D!marrer F /ous expli&uere. les modalit!s de mise en place de cette politi&ue +cr!ation de container, les&uels 4, pour&uoi 4 mise en place des limitations, A,. Elements de correction: crer une unit ueve dans le domaine crer dedans une unit ens et une unit tu mettre les comptes des enseignant dans ens et les comptes des tudiants dans eut crer un groupe chmdp dans le domaine et ) mettre etu' dlguer le contr%le sur l'+5 etu au groupe chmdp lier une stratgie de groupe (4P5! interdisant le changement de mot de passe l'unit tu. +ne solution alternative moins souple consiste interdire le changement de mot de passe dans les proprits des comptes tudiants lier l'+5 ueve$ une stratgie de groupe interdisant l'item ; excuter <

Administration systme: examen sur machine (dure 0h30)

Architecture :
Gotre con$i uration de travail sera constitu!e de 4 ordinateurs:

un ordinateur =indo=s 2>>> pro appel! station1 situ! sur le r!seau 85 : 5H2.5I:.5>>.>*24 un ordinateur =indo=s 2>>> pro appel! station2 situ! sur le r!seau 87 : 5H2.5I:.55>.>*24 un ordinateur =indo=s 2>>> serveur appel! cd1 situ! sur le r!seau 85 et d0adresse I- 5H2.5I:.5>>.5>. cd1 est contrleur du domaine test.sha)ol.or et serveur dns. un ordinateur =indo=s 2>>> serveur appell! passerelle1 a)ant deux cartes r!seau, une sur cha&ue r!seau 85 et 82 +5H2.5I:.2>>.>*24 , $aisant o$$ice de passerelle. un ordinateur =indo=s 2>>> serveur appell! passerelle2 a)ant deux cartes r!seau, une sur cha&ue r!seau 82 + 5H2.5I:.2>>.>*24, et 87 +5H2.5I:.55>.>*24 ,$aisant o$$ice de passerelle.

Du point de vue de vm=are, 85 sera sur le commutateur virtue /JG?K 5, 82 sera sur le commutateur virtuel /JG?KI et 87 sur /JG?KL.

Exercice 1configuration IP
9aites en sorte

&u0il soit possible de $aire des E pin F entre l0ensemble de vos ordinateurs. &ue tous les ordinateurs aient des entr!es correctes dans le dns

Elements de correction: ping: chaque machine doit se voir affecter une adresse ip correcte$ cd' comme serveur dns. station' et cd' ont l'ip sur =' de passerelle' comme routeur par dfaut. passerelle' a l'ip de passerelle' sur =* comme routeur par dfaut. passserelle' a l'ip de passerelle* sur =* comme routeur par dfaut. station* a l'ip de passerelle* sur =- comme routeur par dfaut. le routage est activ sur passerelle' et sur passerelle* dns: il faut crer une >one inverse pour =* et pour =- sur cd' il faut a3outer une entre directe et inverse pour tous les ordinateurs qui n'en ont pas.

exercice 2 domaine test.shayol.org

/ous int! rere. station1 et station2 au domaine test.sha)ol.or On vous demande de $aire en sorte &ue passerelle1 devienne un second contrleur pour le domaine test.sha)ol.or . Elements de correction: par ordre de difficult: a3outer station' suppose simplement de lui avoir dfini une adresse ip correcte (sur ='! et cd' comme serveur dns. =appel: les ordinateurs ?indo?s *@@@ utilisent le dns pour reprer leur contr%leur de domaine."'a3out au domaine se fait alors sans pro#lme.

faire que passerelle' devienne controleur de domaine a les m(mes prrequis : ip correcte et cd' comme serveur dns. 5n utilise ensuite dcpromo pour a3outer un nouveau contr%leur de domaine au domaine a3outer station* suppose que la connectivit IP fonctionne et que station* aie #ien cd' comme serveur dns.

exercice 3
6ur station1, cr!e. les utilisateurs locaux test5, test2 et test7 a)ant respectivement comme mot de passe passtest5, passtest2 et passtest7. Ouvre. une session en tant &ue test5 et cr!e. un r!pertoire RepTest1 " la racine de C :. Dans Ce r!pertoire, cr!er deux r!pertoires RepTest2 et RepTest3. On vous demande dDobtenir lD!tat suivant : Kest5 nDa &ue le droit lecture*ex!cution*a$$icha e sur 8epKest5 et 8eptest7. Il nDa aucun droit sur 8eptest2. Il ne peut se redonner des droits plus !lev!s. Kest2 est CK sur tous les r!pertoires. Kest7 a le droit lecture*ex!cution*a$$icha e*!criture*modi$ication sur 8epKest5 et 8epKest7( il n0a aucun droit sur 8epKest2. C0administrateur est en CK sur les trois dossiers. 2u0aurait apport! en plus le droit CK " test7 sur 8epKest5 et 8epKest7 4 Elements de correction: un exercice de #ase fait A@ fois en 8D. pour que test' ne puisse se redonner plus de droits$ il faut qu'il ne soit plus propritaire des dossiers. "a solution la plus simple consiste ouvrir une session en tant qu'administrateur et s'approprier le dossier. une gaffe viter: il ne faut pas laisser le groupe ; tout le monde < en control total sur les dossiers car les permissions sont cumulatives sous ?indo?s.

Exercice 4:
Ces ouvertures de session ont3elles lieu sans probl'me sur station1 et station2 si cd1 est arr1t! 4 6i oui, expli&ue. pour&uoi et pour &uels comptes. 6i non, expli&ue. pour &uels comptes et ce &u0il $aut $aire pour &u0elles aient lieu. Elements de correction: 6ucun pro#lme pour les comptes utilisateurs locaux. Pour les comptes utilisateurs du domaine$ on peut noter que l'on a un autre contr%leur de domaine mais Ba ne suffit et il reste deux pro#lmes rgler : en tant que premier controleur de la for(t$ cd' est serveur de catalogue glo#al. "e catalogue glo#al est consult lors de l'ouverture de session pour vrifier l'appartenance de l'utilisateur des groupes universels et cr le 3eton d'accs. :i le serveur de catalogue glo#al est inaccessi#le$ l'ouverture de session utilise les donnes en cache sur le poste de travail. ,ela suppose que l'utilisateur ) a d3 ouvert une session. pour rsoudre ce pro#lme$ il suffit de dclarer que

passerelle' est aussi serveur de catalogue glo#al le second pro#lme est li en dns: les ordinateurs ?indo?s *@@@ utilise le dns pour trouver les contr%leurs de domaine. :ans serveur dns$ certains ordinateurs ne trouveront pas l'autre contr%leur de domaine et ne pourront vrifier le mot de passe de l'utilisateur. pour palier Ba$ il suffit d'installer un serveur dns esclave sur passerelle' (ou tout autre ordinateur! et de l'indiquer comme dns en plus de cd' dans la conf tcp ip des postes de travail.