Tuto 7 - Gestion du stockage et des partages

Gestion du stockage et des partages — Guide exhaustif (GUI & PowerShell)

I) Concepts fondamentaux du stockage sur Windows Server

Windows Server gère les ressources de stockage en combinant des disques, des volumes, des systèmes de fichiers (NTFS, ReFS) et des partages réseau (principalement SMB). L’objectif est de fournir un accès performant et sécurisé aux données tout en permettant la résilience (RAID/espaces de stockage), la gouvernance (quotas, classification, filtrage) et l’efficience (déduplication).

Styles de partition : MBR (≤ 2 To, 4 partitions primaires) vs GPT (recommandé, support des très gros disques).
Systèmes de fichiers : NTFS (généraliste, permissions fines, quotas, EFS) ; ReFS (résilience, volumineux, snapshots via Storage Spaces, certaines limites de fonctionnalités héritées).
Espaces de stockage (Storage Spaces) : agrégation de disques en pools puis création de disques virtuels en modes équivalents RAID (Simple, Miroir, Parité).

Bonnes pratiques : privilégiez GPT et NTFS pour la compatibilité maximale. Utilisez ReFS pour des workloads spécifiques (archivage, VMs avec Storage Spaces Direct). Documentez toujours le schéma (noms de volumes, lettres ou points de montage, responsabilités).

II) Découverte, initialisation et création de volumes

A. Méthode graphique (Gestion des disques / Gestionnaire de serveur)

Ouvrez Gestionnaire de serveur → Fichier et stockage → Disques ou lancez diskmgmt.msc.
Repérez le disque non initialisé (icône noire). Clic droit → Initialiser le disque → GPT.
Clic droit sur l’espace non alloué → Nouveau volume simple → assignez une lettre (ou un point de montage), formatez en NTFS (allocation par défaut), nommez le volume (ex. DATA).
Validez et laissez le formatage se terminer.

Gestion des disques et volumes — Gestion des disques : initialisation GPT, création d’un volume NTFS et lettre de lecteur.

B. PowerShell (rapide et scriptable)

# Lister les disques physiques
Get-Disk

# Initialiser un disque vierge (ex. disque n°2) en GPT
Initialize-Disk -Number 2 -PartitionStyle GPT

# Créer une partition occupant tout l'espace, assigner une lettre auto
$part = New-Partition -DiskNumber 2 -UseMaximumSize -AssignDriveLetter

# Formater en NTFS avec étiquette "DATA"
Format-Volume -Partition $part -FileSystem NTFS -NewFileSystemLabel "DATA" -Confirm:$false

Points de montage (au lieu d’une lettre)

# Créer un dossier de point de montage et monter le volume dedans
New-Item -ItemType Directory -Path "C:\Volumes\DATA" | Out-Null
Add-PartitionAccessPath -DiskNumber 2 -PartitionNumber 1 -AccessPath "C:\Volumes\DATA"

III) Espaces de stockage (RAID logiciel) — pool, disque virtuel, volume

Les Espaces de stockage permettent de regrouper plusieurs disques physiques (SATA/SAS/SSD) pour créer un pool de stockage, puis des disques virtuels en modes de résilience (Simple ~ RAID0, Miroir ~ RAID1/10, Parité ~ RAID5/6).

A. GUI (Gestionnaire de serveur → Fichier et stockage → Espaces de stockage)

Créez un pool en sélectionnant les disques disponibles.
Créez un disque virtuel : choisissez la résilience (ex. Miroir à 2 voies), la taille fixe ou thin provisioning.
Initialisez le disque virtuel, créez un volume NTFS/ReFS, assignez lettre ou point de montage.

B. PowerShell

# Exemple : créer un pool et un disque virtuel en miroir
$phys = Get-PhysicalDisk -CanPool $true
New-StoragePool -FriendlyName "Pool-Prod" -StorageSubsystemFriendlyName "Storage Spaces*" -PhysicalDisks $phys

New-VirtualDisk -StoragePoolFriendlyName "Pool-Prod" -FriendlyName "VD-Miroir" `
  -ResiliencySettingName Mirror -Size 500GB -ProvisioningType Fixed

# Le disque virtuel apparait : initialiser, partitionner, formater
$vd = Get-Disk | Where-Object {$_.FriendlyName -like "*VD-Miroir*"}
Initialize-Disk -Number $vd.Number -PartitionStyle GPT
$part = New-Partition -DiskNumber $vd.Number -UseMaximumSize -AssignDriveLetter
Format-Volume -Partition $part -FileSystem NTFS -NewFileSystemLabel "DATA_MIR" -Confirm:$false

IV) Copies instantanées (VSS / Shadow Copies)

Les Copies instantanées de volumes (VSS) permettent de conserver des versions antérieures de fichiers pour une restauration rapide côté utilisateur (onglet Versions précédentes) ou admin. Idéal pour des partages de fichiers.

A. GUI

Clic droit sur le volume (ex. D:) → Propriétés → onglet Copies instantanées.
Activer, choisir le volume de stockage des clichés, définir la planification (ex. toutes les 4h en journée).

B. Ligne de commande

# Allouer l'espace de clichés (10% du volume)
vssadmin add shadowstorage /for=D: /on=D: /maxsize=10%

# Créer un cliché à la demande
vssadmin create shadow /for=D:

# Lister / supprimer
vssadmin list shadows
vssadmin delete shadows /for=D: /oldest

V) Partages SMB — du simple à l’avancé

A. Partage rapide (Explorateur)

Clic droit dossier → Propriétés → onglet Partage → Partager….
Ajouter groupes AD (ex. Grp-Finances) → définir Lecture/Écriture si nécessaire.

B. Partage avancé (Gestionnaire de serveur → Services de fichiers et de stockage → Partages)

Nouveau partage → SMB — Rapide ou SMB — Avancé.
Activer : Access-Based Enumeration (ABE) pour masquer ce que l’utilisateur n’a pas le droit de voir ; Chiffrement SMB pour sécuriser.
Configurer les autorisations de partage (souvent Contrôle total pour Admins, Lecture/Écriture pour un groupe propriétaire).

Partage SMB avancé — Profil SMB avancé : ABE, chiffrement, cache côté client, accès conditionnel.

C. PowerShell (granulaire)

# Créer un partage SMB chiffré avec ABE
New-SmbShare -Name "Compta" -Path "D:\DATA\Comptabilite" `
  -FullAccess "Administrateurs du domaine" `
  -ChangeAccess "Grp-Compta" `
  -FolderEnumerationMode AccessBased

# Activer le chiffrement sur ce partage
Set-SmbShare -Name "Compta" -EncryptData $true

# Désactiver SMBv1 (hygiène)
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

# Déléguer l'accès de partage (équivalent permissions de partage)
Grant-SmbShareAccess -Name "Compta" -AccountName "Grp-Direction" -AccessRight Full -Force
Revoke-SmbShareAccess -Name "Compta" -AccountName "Everyone" -Force

ABE masque dossiers/fichiers auxquels l’utilisateur n’a pas accès (via NTFS). Chiffrement SMB protège le trafic entre client et serveur (utile hors LAN sécurisé). Le caching (Fichiers hors connexion) doit être décidé selon le scénario (succursales, mobilité).

VI) Permissions NTFS — modèle, héritage, AGDLP, audit

Les permissions NTFS se définissent au niveau du système de fichiers et déterminent les opérations possibles (lecture, modification, suppression, etc.). Elles se combinent aux autorisations de partage : le plus restrictif gagne.

A. Modèle conseillé (racine & sous-dossiers)

Racine du partage (ex. D:\DATA) : Administrateurs = Contrôle total ; Système = Contrôle total ; Utilisateurs = aucun.
Sous-dossier métier (ex. D:\DATA\Comptabilite) : accorder Modification à Grp-Compta, Lecture à Grp-Direction si besoin.
Utiliser AGDLP : Accounts → Global groups → Domain Local groups → Permissions.

B. GUI

Clic droit dossier → Propriétés → Sécurité → Modifier → Ajouter les groupes AD.
Gérer Héritage via Paramètres avancés (activer/désactiver, propager).
Définir Propriétaire si nécessaire (onglet Avancé → Propriétaire).

C. PowerShell (ACL avancées)

# Donner "Modify" à Grp-Compta sur D:\DATA\Comptabilite (héritage aux sous-dossiers/fichiers)
$path = "D:\DATA\Comptabilite"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("MINIVERSE\Grp-Compta","Modify","ContainerInherit,ObjectInherit","None","Allow")
$acl = Get-Acl $path
$acl.SetAccessRule($rule)
Set-Acl -Path $path -AclObject $acl

# Icacls équivalent (ligne de commande)
icacls "D:\DATA\Comptabilite" /grant "MINIVERSE\Grp-Compta:(M)" /T

D. Audit d’accès (qui a touché quoi ?)

Activer la stratégie Audit des accès aux objets via GPO (Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Stratégie d’audit).
Onglet Sécurité → Avancé → Auditer sur le dossier, cibler le groupe, cocher Réussite/Échec pour Lecture/Écriture/Suppression.
Consulter l’Observateur d’événements → Journaux Windows → Sécurité.

VII) FSRM (File Server Resource Manager) — quotas, file screening, rapports

FSRM ajoute la gouvernance sur les serveurs de fichiers : quotas, interdictions d’extensions (ex. .mp3, .iso), rapports (fichiers volumineux, doublons), classification automatique.

A. Installation

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

B. Quotas

Quota fixe (200 Go) ou quota souple (seulement alertes).
Templates réutilisables (ex. Dossiers utilisateurs = 2 Go).

# Quota de 200 Go sur D:\DATA\Comptabilite
New-FsrmQuota -Path "D:\DATA\Comptabilite" -Size 200GB -SoftLimit $false
# Créer un template puis l'appliquer (exemple)
New-FsrmQuotaTemplate -Name "Quota-Users-2GB" -Size 2GB -SoftLimit $false
New-FsrmQuota -Path "D:\Profils\%username%" -Template "Quota-Users-2GB"

C. File screening (interdire des extensions)

# Créer un groupe de fichiers interdit (ex. médias)
New-FsrmFileGroup -Name "Interdits-Medias" -IncludePattern @("*.mp3","*.mp4","*.avi","*.iso")

# Policy : bloquer dans un dossier
New-FsrmFileScreen -Path "D:\DATA\PartageCommun" -IncludeGroup @("Interdits-Medias") -Active $true

D. Rapports FSRM

# Générer un rapport fichiers volumineux
New-FsrmStorageReport -ReportType LargeFiles -Scope "D:\DATA" -Format Html -OutputPath "D:\RapportsFSRM"

VIII) Déduplication des données

La déduplication identifie et supprime les blocs dupliqués pour économiser de l’espace (idéal pour partages d’utilisateurs, VDI, archives). À n’activer que sur des volumes de données (pas le système).

A. Installation & activation

Install-WindowsFeature FS-Data-Deduplication
Enable-DedupVolume -Volume D: -UsageType Default
# Lancer une optimisation à la demande
Start-DedupJob -Type Optimization -Volume D:
# Voir l’état
Get-DedupStatus

Attention : vérifiez la compatibilité de la déduplication avec vos applications (bases de données en production, sauvegardes). Évitez sur des workloads transactionnels non supportés.

IX) DFS (aperçu) — Noms d’espaces et réplication

Pour de grands environnements, DFS Namespace offre une arborescence logique unique de partages, et DFS Replication réplique les données entre serveurs/sites. (Détaillé dans un module dédié.)

Installation : Install-WindowsFeature FS-DFS-Namespace, FS-DFS-Replication
Cas d’usage : multi-sites, haute disponibilité au niveau des données (hors cluster).

X) Validation, supervision et dépannage

A. Checklists rapides

Disques GPT initialisés, volumes NTFS/ReFS montés (lettre ou point de montage).
Partages SMB testés (accès \\serveur\partage), ABE/chiffrement selon besoin.
Permissions NTFS cohérentes (AGDLP, héritage maîtrisé).
VSS activé et planifié sur volumes de fichiers.
FSRM quotas/file screening en place ; rapports générés.
Déduplication activée et jobs d’optimisation OK.

B. Commandes utiles

# Inventaire volumes/partages
Get-Volume; Get-SmbShare; Get-SmbOpenFile

# Test d'accès réseau au partage
Test-Path "\\SRV-FICHIERS\Compta"

# Permissions effectives (icacls résumé)
icacls "D:\DATA\Comptabilite"

# Journaux (Observateur d’événements)
# Applications et services → Microsoft → Windows → SMBServer
# FSRM : Applications et services → Microsoft → Windows → File Server Resource Manager
# Déduplication : Applications et services → Microsoft → Windows → Deduplication

C. Pannes courantes & résolutions

“Accès refusé” : vérifier appartenance aux groupes AD, cumul partage+NTFS, héritage et propriétaire.
Partage invisible : ABE actif sans droits NTFS ; ou pare-feu bloquant SMB (445/TCP).
Quota bloque l’écriture : quota FSRM atteint (vérifier Get-FsrmQuota, lever temporairement).
Copies instantanées saturent : augmenter shadowstorage ou réduire fréquence conservation.
Lenteurs : activer déduplication, vérifier antivirus (exclusions SMB/FSRM), goulot réseau (1Gb vs 10Gb), latence disque.

Activation Copies instantanées — Activation et planification des Copies instantanées (VSS) sur un volume de données.

FSRM console — Console FSRM : quotas, file screening, rapports de stockage.

Déduplication état — Suivi de l’économie d’espace grâce à la déduplication.

Retour au module 6 Aller au module 8

MiniVerseGeek