windows 7 -...
TRANSCRIPT
Olivier DEHECQ – http://aide.informatique1.fr
Table des matières Table des matières ......................................................................................................................................... 1
1 Installation et mise à jour de Windows7 .............................................................................................. 2
2 Déploiement (à partir d’images)............................................................................................................ 5
3 Configuration du matériel et des applications ..................................................................................... 8
4 Gestion des groupes et des utilisateurs .............................................................................................12
5 Autres fonctionnalités ..........................................................................................................................15
Olivier DEHECQ – http://aide.informatique1.fr
1 Installation et mise à jour de Windows7
1.1 Configuration minimale
Pour un particulier : pas d’utilité d’avoir la version Pro.
Pour les entreprises : versions « Entreprise » et « Professionnel »
1.2 Installation
Mise à jour que de VISTA à Win7
WinPE : Windows Preinstallation Environment : environnement pour l’installation de
Windows7, quand on met le DVD
WinRE : Windows Reparation Environment : pour réparer l’installation existante.
Outil de migration de Windows 7 : ordinateur portable + Windows XP + données nouveau portable
+ Win7 + données
Page 16 : partitionnement de HDD
Options des lecteurs avancées
On peut charger un pilote SATA, SCSI … typique en installation virtuelle
Création auto d’une partition de 100Mo réservée pour BitLocker, WinRE …)
Page 23 : Dans le cas de « Réseau public », la découverte des réseaux est désactivée
1.3 Pages 24 – 26 : Installation par mise à niveau : à éviter
Vista Sp1 / Vista Sp2 Mise à niveau + Migration + Nouvelle install
WinXp / VistaRTM Nouvelle install + Migration
< WinXp Nouvelle install
La migration se fait dans le cas d’un changement de matos, il faut réinstaller les applications
1.4 Pages 26 – 30 : Update Advisor
Vérification de la compatibilité des applications, Liste des drivers à télécharger, etc.
1.5 Pages 30 – 31 : Migration des profils
Transfert par : câble USB ou câble réseau ou HDD
Autre solution :
WAIK (Windows Auto Installation Kit) > USMT (User Migration Tool) pour les entreprises
Olivier DEHECQ – http://aide.informatique1.fr
1.6 Pages 42 – 49 : Gestionnaire de Boot
Jusqu’à XP / 2003 inclus :
NTLDR (NT Loader : chargeur d’OS orienté NT) ≈ LILO / GRUB
NTDETECT.COM (détection du matériel)
BOOT.INI (indique le chemin de l’OS)
Depuis Vista :
BCD (Boot Configuration Database)
Page 43 : la BCD est organisée en Magasins(store) puis Objets(objects) puis Eléments(elements)
Exemple de chemin ARC : multi(0)disk(0)rdisk(0)partition(1)/vga
La BCD peut contenir des OS installés à différents endroits (exemple HDD(0)part(1) et C:\win7.vhd)
BCD supporte les .VHD (mais pour des images de Win7 ou ultérieur)
Si Win7 installé puis Win XP installé Win7 n’est plus bootable, mais WinXP boote
Si WinXP installé puis Win7 installé les 2 OS sont bootables
Pour lancer BCD :
C:\> bcdedit
Pour lister les paramètres de BCD :
C:\> bcdedit –enum all
Configurer une partie des paramètres de BCD :
Msconfig > démarrer
Restaurer le boot de Windows7 :
Mettre le DVD d’install de Win7,
Lancer WinRE (réparation),
Se positionner dans le répertoire \BOOT
> bootsect.exe/nt60 all
nota : restaure les secteurs de boot de Win7
Créer une entrée pour Windows XP dans le BCD Store :
> bcdedit –create {ntldr} –d "Windows XP"
> bcdedit –set {ntldr} path \ntldr
Olivier DEHECQ – http://aide.informatique1.fr
> bcdedit /displayorder {ntldr} /addlast
Olivier DEHECQ – http://aide.informatique1.fr
2 Déploiement (à partir d’images) Le déploiement à partir d’image permet d’installer rapidement une version configurée selon ses
propres paramètres à plusieurs ordinateurs, de façon semi automatisée.
2.1 Pages 50 -51 : WIM
VIM : images de partition. Pour Windows seulement
Avantages :
Une seule image pour plusieurs configurations matérielles
Déploiement non destructif des données existantes (prévoir de l’espace non partitionné)
Juste besoin de WinPE pour ensuite plaquer l’image
Besoins :
WAIK (Windows Auto Installation Kit) : 2Go contient WSIM, DISM, ImageX …);
DISM : outil de gestion et de maintenance des images de déploiement (plus complet que
ImageX) ;
Sysprep.exe : retire les identifiants uniques
RSAT : comme adminpack mais pour Windows7
Disquettes pour installations automatisée : unattend | fichier de réponses
Olivier DEHECQ – http://aide.informatique1.fr
Sysprep est utilisé pour :
Supprimer les données propres aux SE (systèmes d’exploitation) Windows
Configurer Windows pour démarrer en mode d’Audit
Configurer Windows pour lancer l’écran d’accueil (OOBE : Out Of Box Experience)
Réinitialiser l’activation du produit Windows
Réinitialiser les identifiants de la machine :
sysprep.exe /generalize
Démarrer en mode audit | oobe :
sysprep.exe /audit | /oobe
Rebooter après sysprep (à ne pas faire comme ça, sinon l’ID machine est régénéré au reboot suivant) :
sysprep.exe /reboot
ImageX est utilisé pour :
Capturer une image
Modifier une image
Déployer des images WIM
Stocker plusieurs images dans un fichier unique
Compresser les fichiers images
Capturer une image WIM à partir de la partition(0) et créer un fichier .wim :
imagex /capture
Déployer une image WIM, après avoir monté le lecteur réseau contenant le fichier .wim :
imagex /apply
Monter l’image en lecture, la monter en modification, la démonter :
imagex /mount|/mountrw|/unmount
2.2 Pages 50 -54 : Processus d’installation
1. Générer un fichier de réponses (machine de référence) avec WSIM
2. Générer une install de référence (programmes, etc.) … puis …
sysprep
3. Créer un média WinPE de démarrage (contenant Imagex) avec DISM
4. Capturer l’image d’installation (fichier .WIM) avec imageX
5. Déployer l’image d’installation avec WinPE + imageX
Avantage de WIM : indépendant du matériel (indépendant de HAL), outils fournis
Olivier DEHECQ – http://aide.informatique1.fr
2.3 Pages 54 – 56 : Installation personnalisée par fichier de réponses
WAIK > WSIM (Windows System Image Manager) créer les fichiers de réponses
Juste savoir que ça existe
1. Création de l’image de référence, puis
sysprep /oobe /generalize /shutdown
2. Création de l’image WinPE conforme à l’architecture du poste cible (x86|x64)
3. Génèrer les fichiers nécessaires à l’exécution de WinPE, puis y injecter ImageX + drivers .inf
du RSO (dans le cas d’une image .WIM sur le réseau)
4. Capturer l’image : pour ça on boot sur WinPE (avec le DVD) puis on exécute imageX
5. Si on a rebooté en OOBE, finir la procédure puis refaire le sysprep
6. Déploiement
Il est possible de déployer des images en utilisant plusieurs méthodes :
Avec un média WinPE (p.62)
Avec un serveur de déploiement (p.62-63)
Avec un HDD Virtuel (p.63-65)
2.4 Pages 66 – 76 : Edition d’une image WIM
Avec DISM ou ImageX
Maintenance hors connexion (sur un fichier)
Maintenance en ligne (poste actuellement démarré)
Olivier DEHECQ – http://aide.informatique1.fr
3 Configuration du matériel et des applications
3.1 Pages 78 – 86 : Le panneau de configuration
3.2 Pages 87 – 98 : Gestion du matériel
Olivier DEHECQ – http://aide.informatique1.fr
3.3 Pages 99 – 100 : Windows ReadyBoost
ReadyBoost est une technique de cache disque incluse dans Windows Vista, Windows 7 et 8. Il a pour
objectif de diminuer les temps d’attente de l’utilisateur en utilisant l’absence de latence des mémoires
flash (clé USB 2.0 ou 3.0, Carte SD, carte CompactFlash, disque de type Solid-state drive.
3.4 Pages 101 – 110 : Configuration de la compatibilité applicative
UAC : contrôle d’accès utilisateur. A désactiver !
ACT (Application Compatibility Toolkit) gratuit
Standard User Analyser : permet de déterminer si l’appli a besoin d’une élévation de droits
Compatibility administrator : liste d’applis avec les SHIM correctifs
3.5 Page 110 : Mode de virtualisation XP
Pour assurer une compatibilité optimale avec WinXP
3.6 Page 110 – 114 : Configuration des restrictions d’application
AppLocker est un « pare feu » pour les applications.
« c’est une GPO (Objet de Stratégie de Groupe) Locale »
Installer les outils RSAT ou mmc.exe : fichier > ajouter ou supprimer un composant … ou
gpedit.msc
Avant Vista : paramètres windows > paramètres de sécurité > stratégie de restrict° logicielle
Vista et + : paramètres windows > paramètres de sécurité > stratégie de contrôle de
l’application > AppLocker
Clic droit sur « règles de sécurité »
Une fois AppLocker configuré, démarrer le service Identité de l’application et
gpupdate /force
Olivier DEHECQ – http://aide.informatique1.fr
3.7 Pages 269 - : Gestion des disques
diskmgmt.msc
Disques de base (Partitions)
MAX soit 4 partitions principales
MAX soit 3 partitions principales étendues (lecteurs logiques)
Disques dynamiques (Volumes)
Volumes simples (partitions principales sur disques simples)
Volumes fractionnés (ou répartis en plusieurs disques 2≤n≤32)
Augmente l’espace disque du lecteur
Aucune tolérance de pannes
Indissociables
Volumes agrégés par bandes (RAID0)
Optimiser la lecture/écriture
Aucune tolérance de pannes
Tous les volumes font la même taille
Volumes en miroir (RAID1)
Copie miroir de disque
Tolérance de pannes
RAID5 (agrégat par bandes avec parité)
Tolérance de pannes
Optimiser la lecture/écriture
Olivier DEHECQ – http://aide.informatique1.fr
3.8 Page 276 : Gestion des disques virtuels
Créer un disque dur virtuel (présent sur un disque physique)
Commandes pour la gestion de disques :
diskmgmt.msc interface graphique
Logiciel en ligne de commandes :
diskpart.exe
Liste des commandes :
DISKPART> commands
Aide sur la fonction :
DISKPART> help fonction
1. Sélectionner un disque (le rendre focus)
DISKPART>select disk 1
2. Vérifier quel disk est focus (*)
DISKPART>list disk
3. Créer une partition de 200Mo
DISKPART>create partition primary size=200
4. Assigner une lettre (G:)
DISKPART>assign letter=G
5. Formater en NTFS
DISKPART>format fs=NTFS label="Données"
Olivier DEHECQ – http://aide.informatique1.fr
4 Gestion des groupes et des utilisateurs
4.1 Page 323 : Les utilisateurs
Deux types de comptes :
Utilisateurs locaux
Les comptes locaux ont : accès local à la machine + accès à des ressources locales
Gestion non-centralisée
Utilisateurs du domaine
On stocke les ressources sur le serveur
Sur un domaine : Groupes locaux de domaine ∈ Universel ∈ Globaux
Authentification locale base SAM
Authentification sur le domaine ADDS
Olivier DEHECQ – http://aide.informatique1.fr
4.2 Les SID
4.3 Au niveau sécurité, Windows parle de :
Droits = Privilège (installer un pilote, modifier l’heure …)
Autorisation = Permissions (sur les ressources, les dossiers partagés, imp. Partagés, objets AD …)
Le SID sert à donner des autorisations d’accès aux ressources.
SSO (Single Sign-On) :
1. Le SID de l’utilisateur et le SID de l’ACE sont compares
2. Si c’est ok accès en lecture
Un SID n’est pas dynamique : si on ajoute l’utilisateur dans un groupe alors il faut redémarrer la session pour
mettre à jour les SID
4.4 Interactions entre Partage et Sécurité
Avec un FS de type FAT, le seul moyen de sécuriser le partage est de modifier l’onglet [Partage]
car [Sécurité] n’existe pas en FAT16/FAT32
[Partage] le plus restrictif des deux a le dernier mot [Sécurité]
odehecq modifier (RWD) odehecq lecture
Bilan : odehecq ne pourra donc qu’écrire !
Olivier DEHECQ – http://aide.informatique1.fr
Configuration idéale :
Partage 2) Le plus restrictif des deux Sécurité
Utilisateurs authentifiés
(tous les utilisateurs de la foret)
Contrôle Total
Utilisateurs du domaine
(juste CE domaine)
1) Le plus permissif
des deux sauf si
REFUS (les refus
s’appliquent en 1er)
Etre précis : ne jamais
mettre Tout le Monde !
odehecq lecture
stagiaires lecture
Il en résulte :
Accès via le réseau :odehecq lecture / stagiaires modifier
Accès local : odehecq lecture / stagiaires modifier (on n’applique pas le filtre [Partage])
Un $ à la fin d’un nom de partage cache le partage. Data$ partage caché
Imprimantes :
Imprimer : permet d’installer le pilote et d’imprimer sur l’imp. Partagée
Gérer les documents : permet de gérer le document quand il est spoolé
Gérer les imprimantes : permet de gérer les onglets de l’imprimante
4.5 Partage de dossiers en ligne de commande
Partager un dossier|lister les partages :
C:\> net share ?
Connecter un lecteur réseau :
C:\> net use ?
4.6 Copies et Déplacements en NTFS
Fichier C:\DATA\fichier.txt (lionel CT1)
Sur une même partition
C:\SAVE\ (TLM2 lecture)
Entre partitions NTFS
D:\DOCS\ (TLM lecture)
Copie Héritage des autorisations de la
destination.
lionelCT + TLM lect.
Héritage des autorisations de
la destination.
lionelCT + TLM lect.
Déplacement Conservation des autorisations
NTFS de la source :
lionelCT
Héritage des autorisations de
la destination.
lionelCT + TLM lect.
1 CT : Contrôle total 2 TLM : tout le monde
Olivier DEHECQ – http://aide.informatique1.fr
5 Autres fonctionnalités
5.1 EFS (Encrypting File System)
Ecrit en vert : fichiers / dossiers non cryptés (doit avoir quand même l’autorisation pour les lire)
Nominatif (propre à un compte d’utilisateur)
Oubli de mot de passe = perte de la clé de décryptage
Cryptage asymétrique :
1 seule clé : Clair CléFEK Crypté CléFEK Clair
Cryptage asymétrique :
1 clé privée + 1 clé publique (liées mathématiquement)
La clé privée décrypte le fichier
La clé publie crypte le message
Cryptage :
Décryptage :
Olivier DEHECQ – http://aide.informatique1.fr
5.2 Procédure de cryptage EFS
L’agent de récupération doit être configuré avant d’utiliser EFS
1. Créer les clés de récupération (.cer) et les clés de cryptage (.pfk) :
C:\> cipher r :nom_de_fichier
C:\> gpupdate /force
2. rekeywiz.exe : assistant de récupération des clés
3. Installer le .CER le mettre dans le magasin public
gpedit.msc : param. Windows > sécurité > stratégies de clés publiques > EFS
4. certmgr.msc : gestionnaire de magasins de clés
5.3 Page 230 – BitLocker
Clé FVEK : clé symétrique qui sert à chiffrer une partition.
Clé FVEK + Clé VMK Clé FVEK chiffrée
Clé VMK + Clé SRK Clé VMK chiffrée
Clé SRK stockée dans la puce TPM (sur la carte mère et accessible selon condition : mdp,
bonne machine, etc.) ou dans une clé USB si pas de module TPM
5.4 Page 226 : BranchCache
« Mise en cache de contenu des serveurs (web et fichiers) »
Economiser les liaisons entre le serveur et le LAN
Mode hébergé :
Sur le serveur 2008R2 il faut installer le service « BranchCache » puis partage avancé avec mise en cache BranchCache.
Mode distribué :
Olivier DEHECQ – http://aide.informatique1.fr
5.5 Fichiers Hors connexion
Mise en cache des fichiers
Rendre dispo hors connexion manuelle
Se fait tout seul automatique
But : mettre en cache le(s) document(s) d’un seul utilisateur. Le récent écrase l’ancien.
Dans W7 « Fichiers hors connexion »
Dans W2K8 Partage > Avancé > Mise en cache
Désactiver
Activer à la demande (+ BranchCache)
Activer toujours
5.6 Page 150 : Pare Feu
Panneau de config > Pare Feu Windows (simple)
Wf.msc Pare Feu Windows avancé
C:\> netsh advfirewall firewall /?
5.7 GPO : Group Policy Objects
Stratégies de groupes
GPO de domaine : gpmc.msc
GPO locale : gpedit.msc
Et toujours
C:\> gpupdate /force
GPO de domaine (gmpc) GPO locale (gpedit)
Ordinateur : suit l’ordinateur Ordinateur : tout le monde
Utilisateur : suit l’utilisateur Utilisateur : utilisateur loggé
Multiples stratégies de groupe locales
mmc.exe > ajouter un composant « Editeur d’objets de stratégies de groupes »
parcourir>utilisateur : administrateur|non administrateur|utilisateur particulier
La partie ordinateur prime sur la partir utilisateur locale
Olivier DEHECQ – http://aide.informatique1.fr
5.8 Page 284 – Surveillance du système
Observateur d’évènements
Panneau de config>système et sécurité>outils d’administration>observateur d’évènements
Source + ID évènement http://www.eventid.net (informations sur le souci rencontré)
Gestion à distance :
C:\> winrm quickconfig
+ service WinRM
Joindre une tache à un évènement : net send|mail|programme|script …
Analyseur de performances
[ctrl]+[shift]+[echap] gestionnaire des taches>performances>moniteur de ressources
mmc.exe analyseur de performances
Ajouter des compteurs
Ensemble de collecteurs de données> définis par l’utilisateur : créé des rapports