1.1 Les utilisateurs
Un compte d'utilisateur local est un compte qui va servir pour ouvrir une session locale sur l'ordinateur. Avec ce type de compte, il n'est possible d'accéder qu'à des ressources locales à la machine.
Ces comptes sont stockés dans la base de comptes de l'ordinateur local, c'est-à-dire la base SAM. Elle est stockée sous le répertoire %systemroot%\system32\config. Une telle base de comptes n'est présente que sur des serveurs membres ou autonomes ainsi que sur les stations de travail. Sur un contrôleur de domaine, les comptes et groupes sont stockés dans Active Directory.
Si un utilisateur connecté en local sur son ordinateur veut accéder à des ressources situées sur un autre ordinateur, il doit alors disposer d'un compte sur cette autre machine.
a. Comptes prédéfinis
Suite à l'installation de Windows Server 2003, les comptes d'utilisateurs suivants sont créés :
-
Administrateur (Administrator) ;-
Invité (Guest). AdministrateurC'est la personne qui dispose du niveau de privilège le plus élevé sur l'ordinateur et peut gérer la configuration du système avec, entre autres tâches :
-
la gestion des stratégies de sécurité ;-
la gestion des comptes d'utilisateurs et des comptes de groupes ; - la modification de la configuration logicielle du système d'exploitation ;-
la création de dossiers, l'installation de fichiers sur le disque dur ;GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/
06/03/08 Page 45/75
- l’administration du partage des ressources imprimante et fichier ;
- l’
organisation des données sur les disques logiques/physiques (formatage, partitionnement...) ;- la sauvegarde et la restauration des données.
Le compte Administrateur ne pourra pas être supprimé mais pourra être renommé ou désactivé.
Renommer l'Administrateur est une action conseillée dans la mesure où il est plus difficile de trouver le mot de passe d'un compte lorsqu'on ne connaît pas le nom du compte. Vous pouvez également opter pour la désactivation de ce compte, en ayant préalablement créé un utilisateur équivalent.
Invité
Comme son nom l'indique, ce compte est utilisé par des utilisateurs occasionnels, ou peu expérimentés. II fournit à l'utilisateur Invité un minimum de droits sur le système pour des raisons de sécurité.
Ce compte est désactivé par défaut et ne possède pas de mot de passe. II peut être renommé. L'activation de ce compte constitue une faille importante dans la sécurité du système.
b. Création d'un compte d'utilisateur
La création d'un compte d’utilisateur local se fait par l'extension Utilisateurs et groupes locaux de la console Gestion de l'ordinateur.
Nom d'utilisateur
II s'agit du nom saisi par l'utilisateur pour ouvrir une session localement. Ce champ est obligatoire et ne peut dépasser 20 caractères.
Nom complet
C'est le nom complet de l'utilisateur, employé à des fins administratives. II n'a aucune influence sur l'ouverture de session.
Description
Permet d'indiquer la fonction de l'utilisateur, sa situation géographique ... C'est un commentaire facultatif mais comme le champ nom détaillé, il peut être utilisé pour un tri alphabétique dans les colonnes d'affichage.
Mot de passe et Confirmer le mot de passe
A la création du compte, l'administrateur peut définir un mot de passe qu'il devra communiquer à l'utilisateur. Les mots de passe ne sont jamais visibles, même par un administrateur.
L'utilisateur doit changer le mot de passe à la prochaine ouverture de session
Si cette option est cochée, l'utilisateur devra choisir son mot de passe dès qu'il ouvrira pour la première fois une session. Ensuite, il n'aura plus à le faire ; il utilisera le mot de passe qu'il a saisi. Ceci permet à l'administrateur de laisser le choix du mot de passe aux utilisateurs. L'administrateur n'a aucun moyen, dans ce cas, de connaître le mot de passe des utilisateurs. II peut cependant réinitialiser le mot de passe et en définir un de son choix.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/
06/03/08 Page 46/75
Lorsque cette option est cochée, les deux options suivantes sont indisponibles car incompatibles.
L'utilisateur ne peut pas changer de mot de passe
Cette option peut être utilisée pour figer certains mots de passe, comme celui du compte invité ou ceux de comptes utilisés par plusieurs personnes. Cette option aide l'administrateur à gérer les mots de passe utilisateur. Le mot de passe n'expire jamais
Utilisez cette option si vous ne souhaitez pas faire expirer le mot de passe. Cette option peut s'avérer utile si le compte est utilisé par une application ou un service.
Par défaut, les mots de passe expirent après 42 jours. Cette règle est définie dans la stratégie de sécurité locale ou celle du domaine.
Le compte est désactivé
Cochez cette option pour que personne ne puisse utiliser ce compte (par exemple, lorsqu'un utilisateur sensible s'absente pour une longue période). Lorsqu'un compte est désactivé, une croix apparaît sur son icône.
c. Modification d'un compte d'utilisateur
Une fois qu'un compte local est créé, il apparaît dans la liste des utilisateurs de la console Gestion de l'ordinateur sous la rubrique Utilisateurs.
Les caractéristiques définies pour chaque utilisateur peuvent être modifiées ultérieurement. Pour cela, sélectionnez l'utilisateur puis utilisez le menu Action
-
Propriétés, également disponible dans le menu contextuel.Remarquez la nouvelle option qui apparaît grisée : Le compte est verrouillé. Cette case deviendra active si vous avez mis en place une stratégie de compte qui spécifie de désactiver le compte après un trop grand nombre de tentatives infructueuses d'ouverture de session.
Dans les propriétés de l'utilisateur local, plusieurs onglets sont accessibles: 9 L’onglet « Général » permet de revoir ou modifier les paramètres
précédemment définis.
9 L’onglet « Membre de » permet de connaître le(s) groupe(s) dont l'utilisateur fait partie. Si Vous souhaitez intégrer l'utilisateur dans un nouveau groupe, Cliquez sur Ajouter puis entrez le nom de groupe voulu (ou plusieurs noms séparés par une virgule).
Attention à l’emplacement qui indique la base de sécurité contenant le groupe. Si l’ordinateur est membre d’un domaine, c’est le nom du domaine qui est proposé par défaut. Vous pouvez également utiliser le bouton Vérifier les noms pour associer le chemin complet du groupe ORDINATEUR\Groupe, mais le nom Groupe saisi doit être exact.
Vous devrez utiliser le bouton Avancé pour parcourir la base et trouver le groupe de votre choix.
9 L’onglet Profil permet de spécifier le chemin pointant sur le profil de l’utilisateur.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/
06/03/08 Page 47/75
9 L’onglet Environnement permet de définir le comportement du compte lors d’une connexion vers un serveur de terminal Windows. 9 L’onglet Sessions permet de définir les limites de session lors d’une
connexion vers un serveur de terminal Windows.
9 L’onglet Profil de services Terminal Server permet de spécifier le chemin du profil et le répertoire de travail de l’utilisateur, utilisé lors d’une ouverture de session sur un serveur de terminal Windows.
9 L’onglet Contrôle à distance permet d’indiquer si la session de l’utilisateur est observée et/ou contrôlée à distance via les services de terminal Windows.
9 L’onglet Appel entrant permet de paramétrer la façon dont ce compte sera traité lors des accès au réseau à distance ou VPN (entre autres paramètres intéressants, notez qu’il est possible d’associer une adresse IP et des itinéraires statiques, proposes aux accès distants de l’utilisateur).
La fenêtre des propriétés ne permet pas de définir le mot de passe ou de renommer le compte d’utilisateur.
Pour renommer, supprimer un compte d’utilisateur ou encore modifier son mot de passe, vous devez sélectionner le compte d’utilisateur, puis utiliser le menu Action – Renommer, Action – Supprimer ou Action – Définir le mot de passe. Ces actions sont également disponibles directement, via le menu contextuel du compte d’utilisateur.
Lorsque vous renommez un compte d'utilisateur, vous ne perdez pas toutes les informations rattachées à ce compte (appartenance aux groupes, permissions...).
En effet, lorsque vous manipulez un compte d'utilisateur, vous utilisez le nom de login de cet utilisateur. Or, Windows 2003 associe à ce nom un numéro d'identification de sécurité (SID). Ce numéro, unique, est de la forme :
S-1-5-21-527237240-2111687655-1957994488-500
Le fait de renommer un compte modifie le nom de connexion (login) ; par contre le SID ne change pas. Lorsque vous affectez des permissions pour un compte d’utilisateur, c'est au SID associé au compte que les permissions sont attribuées. Si vous supprimez un compte et que vous en créerez un nouveau portant le même nom, il s'agira d'un nouveau compte associé à un nouveau SID. De ce fait, vous ne récupérerez pas les permissions du compte précédent.
1.2 Les groupes
a. Présentation
Les groupes sont utilisés pour simplifier l'administration. Ils contiennent un ensemble de comptes d'utilisateurs possédant des besoins identiques en terme d'administration. Ainsi, un administrateur pourra simplement donner des permissions au groupe plutôt que de les donner individuellement à chaque utilisateur. Lors des attributions de droits, prenez l'habitude de
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/
06/03/08 Page 48/75
créer systématiquement des groupes, même s'ils ne contiennent qu'un seul utilisateur dans un premier temps.
Les permissions et droits assignés à un groupe sont répercutés sur tous les utilisateurs de ce même groupe. De la même manière, un utilisateur cumule les droits ou restrictions des groupes auxquels il appartient.
Comme pour les comptes d'utilisateurs, les groupes utilisent un identifiant de sécurité unique SID, généré au moment de la création du groupe (ou réservé pour les groupes prédéfinis et identités spéciales). Ces identifiants entrent dans la composition du jeton d'accès de l'utilisateur en fonction des groupes auxquels il appartient. Un groupe pourra donc être renommé mais jamais supprimé, sous peine de ne plus contenir aucun membre car l'identifiant de sécurité aura changé.
Un utilisateur peut faire partie de plusieurs groupes mais appartient toujours à un groupe au minimum.
Dans la base de comptes locale d'un serveur membre/autonome ou d'une station de travail, un seul type de groupe peut être créé : les groupes locaux.
Les privilèges du compte local Administrateur de l’ordinateur sont simplement obtenus par l'appartenance au groupe local Administrateurs. De ce fait, tout compte ajouté dans le groupe Administrateurs bénéficiera des privilèges nécessaires à l'administration de l'ordinateur.
b. Groupes prédéfinis
Lors de l'installation de Windows Server 2003, (serveurs membres/autonomes), un certain nombre de groupes prédéfinis sont créés.
Ces groupes possèdent des droits pour effectuer un certain nombre de tâches sur la machine locale : sauvegardes, administration des ressources. II s'agit des groupes :
Administrateurs
Les membres de ce groupe peuvent effectuer toutes les tâches administratives de l'ordinateur. Par défaut, seul le compte d'utilisateur Administrateur fait partie de ce groupe.
Toutefois, lorsque vous intégrez une station ou un serveur dans un domaine, le groupe global Administrateurs du domaine est automatiquement intégré au groupe local Administrateurs de votre station ou serveur ; ceci afin que les administrateurs du domaine puissent gérer toutes les stations et serveurs membres de leur domaine.
Grâce à cette imbrication de groupes, tous les administrateurs du domaine peuvent administrer cet ordinateur au même titre que l'administrateur local de la machine.
Duplicateurs
Ce groupe est principalement utilisé par les services de réplication de fichier (FRS), employés notamment pour la synchronisation de l'annuaire sur les contrôleurs de domaine ou les systèmes de fichiers distribués (DFS).
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/
06/03/08 Page 49/75
Invités
Comme son nom l'indique, ce groupe est utilisé pour des accès occasionnels. II fournit aux utilisateurs de ce groupe un minimum de droit système pour des raisons de sécurité. Par défaut, le compte invité est automatiquement intégré à ce groupe.
Opérateurs d'impression
Les membres de ce groupe peuvent gérer, créer, partager des imprimantes. Ils peuvent également installer/supprimer les pilotes d'imprimante. Ce groupe n'a aucun membre par défaut.
Opérateurs de configuration réseau
Les membres de ce groupe peuvent modifier tous les paramètres réseau de l'ordinateur, renouveler ou libérer une adresse IP dynamique, activer/désactiver une interface ou créer une connexion d'accès distant, etc. Ce groupe n'a aucun membre par défaut.
Opérateurs de sauvegardes
Les membres de ce groupe peuvent utiliser le gestionnaire de sauvegarde Windows Server 2003 pour effectuer des sauvegardes et des restaurations de données. Ce groupe n'à aucun membre par défaut.
Utilisateurs
Tous les comptes d'utilisateurs que vous créer font partie de ce groupe par défaut. Ils ne peuvent effectuer que des tâches que vous avez spécifiées et n'ont accès qu'aux ressources auxquelles vous avez attribué des permissions. Lorsque votre serveur rejoint un domaine, le groupe Utilisateurs du domaine est automatiquement intégré à ce groupe local Utilisateurs. II permet ainsi à tout utilisateur : du domaine d'employer
l'ordinateur au même titre que les utilisateurs locaux. Utilisateurs avec pouvoir
Les membres de ce groupe peuvent partager des ressources, créer et modifier des comptes d'utilisateurs locaux. Ils peuvent ainsi effectuer des tâches administratives sans pour autant exercer un contrôle total sur la machine.
Utilisateurs des journaux de performances
Les membres de ce groupe peuvent définir ou modifier les compteurs, alertes et journaux de performances, afin de surveiller ou diagnostiquer un dysfonctionnement de l'ordinateur local ou à distance. Ils peuvent également utiliser le moniteur système au même titre que les membres du groupe suivant. Par défaut, le groupe système Service Réseau est membre de ce groupe.
Utilisateurs de l'Analyseur de performances
Les membres de ce groupe peuvent utiliser le moniteur système situé dans 'analyseur de performances localement ou à distance. Ils ne peuvent cependant pas modifier les journaux de performances. Ce groupe n'a aucun membre par défaut.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/
06/03/08 Page 50/75
Les membres de ce groupe peuvent ouvrir une session de type Terminal Server sur l'ordinateur si la fonctionnalité du bureau à distance est activée. Les membres peuvent être également gérés par la configuration du bureau à distance (propriétés du système). Ce groupe n'a aucun membre par défaut.
En fonction des services installés (DHCP, IIS...), certains autres groupes ou utilisateurs locaux peuvent être prédéfinis.
En plus de ces groupes prédéfinis, on peut noter l'existence d'entités spéciales qualifiées également de groupes système. La qualité de membre de ces groupes ne peut pas être modifiée et fait référence à l'état de votre système à un instant donné.
Tout le monde
Comprend tous les utilisateurs, ceux que vous avez créés, le compte invité ainsi que tous les utilisateurs des autres domaines. Attention, car lorsque vous partagez une ressource, ce groupe dispose par défaut de la permission contrôle total
Utilisateurs authentifiés
Comprend tout utilisateur possédant un compte d'utilisateur et un mot de passe pour la machine locale ou Active Directory. Affectez des permissions à ce groupe plutôt qu'au groupe Tout le monde.
Créateur propriétaire
Toute personne ayant créé ou pris possession d'une ressource fait partie de ce groupe pour la ressource concernée. Le propriétaire d'une ressource dispose des pleins pouvoirs sur cette dernière.
Réseau
Toute personne accédant, via le réseau, à une ressource de l'ordinateur. Interactif
Tous les utilisateurs qui ont ouvert une session localement (dans le cas où vous utiliseriez Terminal Server, ce groupe comprend tous les utilisateurs ayant ouvert une session sur le serveur de terminal.)
c. Création d'un groupe
Comme pour la création des utilisateurs locaux, la création des groupes locaux s’effectue à partir de la console Gestion de l'ordinateur.
Donnez au groupe un nom représentatif, éventuellement une description Cliquez sur le bouton Ajouter afin de définir les adhérents de ce groupe. Cette déclaration n'est pas obligatoire lors de la création ; un groupe peut ne contenir aucun membre et son contenu peut être modifié à tout moment.
Comme lors de l'ajout de groupe pour un compte d'utilisateur, cette action ouvre la fenêtre de sélection qui permet de saisir directement les noms des membres, de vérifier les noms ou encore d'accéder à la fenêtre avancée pour rechercher les comptes. Vérifiez donc attentivement l’emplacement indiqué dans cette boîte de dialogue.
Sur un serveur autonome, un groupe local ne peut contenir que des utilisateurs locaux.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/
06/03/08 Page 51/75
Sur un serveur membre, un groupe local peut contenir des utilisateurs locaux ou de domaine, ou encore des groupes globaux de domaine.
2.
Gestion dans un domaine
Chaque personne utilisant le réseau doit posséder un compte d'utilisateur de domaine pour se connecter au domaine et ainsi avoir accès aux ressources réseau. Ces comptes d'utilisateurs sont créés dans la base d'annuaire de Windows 2003.
Lorsqu'un utilisateur se connecte au domaine, les informations d'ouverture de session sont envoyées à un contrôleur de domaine qui les compare avec celles de la base d'annuaire Active Directory. Une fois l'ouverture de session validée, l'utilisateur a accès à toutes les ressources réseau pour lesquelles il possède les permissions.
Lorsque vous transformez le serveur Windows 2003 en contrôleur de domaine (installation d'Active Directory), les informations de groupes et d'utilisateurs contenues dans la base SAM sont transposées dans la base d'annuaire Active Directory.
2.1 Structure de base d'un domaine
Avant de procéder à la création de groupe et de compte d'utilisateur dans un domaine Active Directory, il convient d'en présenter la structure par défaut. Comme vous pouvez le supposer, l'administration des utilisateurs, des groupes et des ordinateurs d'un domaine est assurée par la console « Utilisateurs et ordinateurs d'Active Directory » (Dsa.msc) : à la première exécution de cette console, vous pouvez constater la présence d'une structure hiérarchique prédéfinie que nous allons détailler brièvement.
Nous porterons donc l’attention sur la racine de cette console, représentée par le nom du domaine. Tout le domaine Active Directory disposera au minimum de cette structure (sous réserve de modification du schéma). Par défaut, certains éléments sont masqués et peuvent être visualisés à partir du menu Affichage –Fonctionnalités avancées.
Bultin
Il s’agit d’un conteneur système qui contient l’ensemble des groupes locaux prédéfinis. Vous pouvez créer de nouveaux utilisateurs, ordinateurs ou groupes dans ce conteneur mais il n’est pas possible de supprimer ou déplacer les groupes d’origine.
Computers
Comme Son nom le laisse supposer, ce conteneur système héberge par défaut tous les comptes d’ordinateurs membres du domaine à l’exception des contrôleurs de domaine. Il est bien sûr conseillé de ne pas laisser ces comptes dans ce conteneur mais de les déplacer dans des unités organisationnelles plus représentatives.
Domain Controllers
Il s’agit d’une unité organisationnelle qui contient par défaut les comptes d’ordinateurs de l’ensemble des contrôleurs d’un même domaine. Bien que cela soit déconseillé, les comptes d’ordinateurs peuvent être déplacés et de
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/
06/03/08 Page 52/75
nouvelles unités organisationnelles créées. Il est important de remarquer qu’une stratégie de groupe s’applique à ce nouveau et définit ainsi la sécurité inhérente à tous les contrôleurs du domaine.
ForeignSecurityPrincipal
Ce conteneur système héberge les références de sécurité (SID) utilisées par les relations d'approbation avec des domaines internes et externes à la forêt. Ce sont des objets fictifs de substitution (placeholder), chargés d'identifier les utilisateurs ou groupes des domaines externes approuvés.
LostAndFound
Ce conteneur système est normalement vide puisqu'il ne contient que des objets orphelins. II ne s'agit pas d'une corbeille pour des objets supprimés, mais d'un lieu de stockage des objets qui n'ont plus de parent. Par exemple, lorsque vous créez un utilisateur dans une unité organisationnelle, alors que celle-ci est supprimée sur un autre contrôleur, lors de la réplication, le compte d'utilisateur orphelin n'est pas détruit mais