Windows NT - La gestion des utilisateurs

---

La notion d'utilisateur

WindowsNT est un système d'exploitation permettant de gérer des sessions, c'est-à-dire qu'au démarrage du système il est nécessaire de se connecter au système (le terme se logger provenant de l'anglais est généralement utilisé) grâce à un nom d'utilisateur et d'un mot de passe.

Par défaut lors de l'installation de Windows NT, le compte administrateur est créé, ainsi qu'un compte appelé invité. Il est possible (et même conseillé) de modifier les permissions des utilisateurs (ce qu'ils ont le droit de faire) ainsi que d'en ajouter via le gestionnaire d'utilisateurs. Un compte d’utilisateur est l’identification d’un utilisateur de façon unique de manière à lui permettre

• d’ouvrir une session sur le domaine afin d'avoir accès aux ressources du réseau
• d’ouvrir une session sur un ordinateur local afin d’accéder aux ressources locales

Chaque utilisateur utilisant le réseau de façon régulière doit ainsi avoir un compte.

Gérer les utilisateurs

Le gestionnaire d'utilisateur est l'utilitaire fourni en standard avec Windows NT, permettant de gérer les utilisateurs (comme son nom le laisse présager). Il est disponible dans le Menu Démarrer (Programmes/outils d'administration).

Pour créer un nouveau compte, il suffit de cliquer sur Nouvel utilisateur dans le menu utilisateurs. Cela fait apparaître un boîte de dialogue permettant de saisir des informations sur le nouvel utilisateur :

• Utilisateur: représente le nom (login) de l'utilisateur
• Nom détaillé: renseignement optionnel sur l'utilisateur
• Description: champ optionnel
• Les champs Mot de passe sont optionnels, mais il est tout de même conseillé de les remplir, ainsi que de cocher éventuellement la case l'utilisateur doit changer de mot de passe pour des raisons de sécurité

Convention de nommage des utilisateurs

La convention de nommage des utilisateurs est la façon dont l'administrateur décide d'identifier les utilisateurs. Il faut tenir compte des éléments suivants :

• Les noms d’utilisateur doivent être uniques (dans un domaine, sur un ordinateur local)
• Les noms d’utilisateur peuvent contenir tout caractère majuscule ou minuscule à l’exception des caractères suivants : / \ [ ] : . | = , + * ? < >
• Il faut prévoir le cas d’utilisateurs homonymes et donc une nomenclature adéquate.

Comptes utilisateurs et sécurité

Il existe deux types de comptes sous NT. Les comptes prédéfinis et les comptes que vous créez. Après installation, Windows NT est définit avec des utilisateurs prédéfinis (comptes par défaut) (le compte administrateur et invité) rendant la sécurité du système minimale.

Les différents comptes sont :

• Comptes que vous créez : les comptes d’utilisateur permettent d’ouvrir une session sur le réseau et d’accéder aux ressources du réseau. Ces comptes contiennent des informations sur l’utilisateur, notamment son nom et son mot de passe
• Invité : il permet aux utilisateurs occasionnels d’ouvrir une session et d’accéder à l’ordinateur local. Par défaut, il est désactivé.
• Administrateur : il sert à gérer la configuration globale des ordinateurs et des domaines. Il peut effectuer toutes les tâches

Il est alors essentiel

• dans un premier temps de désactiver le compte invité permettant à n'importe quel utilisateur de se connecter au système
• dans un second temps de modifier le nom du compte administrateur afin de réduire le risque d'une intrusion par ce compte utilisateur. En effet le compte administrateur possède toutes les permissions, c'est donc la proie visée par les intrus

Emplacement des comptes utilisateurs

Les comptes d’utilisateur de domaine sont créés à partir du Gestionnaire des utilisateurs pour les domaines. Lorsqu’un compte est créé, il est automatiquement enregistré dans la SAM du Contrôleur Principal de Domaine (PDC), qui la synchronise ensuite avec le reste du domaine. Dès qu’un compte est créé dans la SAM du PDC, l’utilisateur peut ouvrir une session sur le domaine à partir de n’importe quel poste du domaine.

Plusieurs minutes peuvent parfois être nécessaires à la synchronisation du domaine.
Il existe deux méthodes : taper

net accounts /sync

à l’invite de commande ou, dans le Gestionnaire de serveur, dans le menu Ordinateur, choisir Synchroniser tout le domaine.

Les comptes d’utilisateur local se créent sur un serveur membre ou un ordinateur sous Windows NT Workstation, à l’aide du Gestionnaire des utilisateurs. Le compte n’est créé que dans la SAM de l’ordinateur local. L’utilisateur ne peut donc ouvrir de sessions que sur l’ordinateur en question.

La Planification de nouveaux comptes d’utilisateur

Il est possible de simplifier le processus de création de comptes en planifiant et en organisant les informations sur ceux ayant besoin d’un compte d’utilisateur.

Le dossier de base est le dossier privé dans lequel un utilisateur peut stocker ses fichiers. Il est utilisé comme dossier par défaut lors de l’exécution de commandes telles que « Enregistrer ». Il peut être stocké sur l’ordinateur local de l’utilisateur ou sur un serveur réseau. Il faut prendre en compte les point suivants pour les créer :

• Il est beaucoup plus facile d’assurer la sauvegarde et la restauration des données des différents utilisateurs en cas d’incidents si les dossiers de base sont stockés sur un serveur. Si ce n’est pas le cas, il faudra effectuer des sauvegardes régulières sur les différents ordinateurs du réseau ou sont stockés les dossiers de base
• Considérer l’espace sur les contrôleurs de domaine : Windows NT ne dispose pas d’utilitaires permettant la gestion de l’espace disque (Windows 2000 le permet). De ce fait, il faut faire très attention à ce que les dossiers de base ne soient pas remplis de fichiers volumineux, ce qui pourrait saturer très vite l’espace de stockage du serveur. Il existe cependant des outils tiers tel que « QUOTA MANAGER »
• Si un utilisateur travaille sur un ordinateur ne disposant pas de disque dur, son dossier de base doit impérativement être sur un serveur réseau
• Si les dossiers de base se trouvent sur les ordinateurs locaux, les performances du réseau augmentent car il y a de ce fait moins de trafic sur le réseau, le serveur n’étant pas constamment sollicité

Définition des options de station de travail et de compte

Il est possible de paramétrer les postes à partir desquels un utilisateur peut se connecter au réseau. Soit vous lui autorisez à ouvrir une session à partir de toutes les stations de travail, soit vous spécifiez un ou des stations de travail précises. Utiliser un poste unique pour un utilisateur est une option a utiliser dans un réseau à haute sécurité. En effet, un utilisateur qui se connecte à une station de travail qui n’est pas la sienne se connectera en local et aura donc accès à toutes les ressources locales de la machine. De plus, spécifier un ou des stations de travail à partir desquelles un utilisateur peut se connecter permet à l’Administrateur du réseau de surveiller l’utilisateur.

D'autre part, il est également possible de fixer une date d’expiration du compte d’un utilisateur. Cette option peut être utile dans le cas d’un employé temporaire. La date d’expiration de ce compte correspondra à la date d’expiration de son contrat.

Permissions d’appel

Si le RAS (Remote Access Service), l’Accès Réseau à Distance, est installé, il est possible de paramétrer les permissions d’appel. Ce service permet à un utilisateur, ayant les permissions appropriées, d’accéder aux ressources du réseau à distance, en utilisant une ligne téléphonique (ou X25). Ce service est utile pour les utilisateurs ayant besoin d’accéder au réseau de chez eux par exemple. Plusieurs options de rappel sont paramétrables :

• Pas de rappel : l’utilisateur prend en charge les frais de communication. Le serveur ne rappellera pas l’utilisateur
• Défini par l’appelant : cette option permet à un utilisateur d’être rappelé par le serveur a un numéro qu’il spécifie. Dans ce cas, c’est l’entreprise qui prend en charge les frais de communication.
• Prédéfini au : permet un contrôle du rappel par l’administrateur. C’est lui qui décide du numéro auquel le serveur doit rappeler un utilisateur donné. Cette option peut servir à réduire les coûts mais aussi accroître la sécurité car l’utilisateur devra se trouver à un numéro précis.

NB : Dans les deux derniers cas, l’utilisateur doit d’abord se connecter au serveur pour que celui-ci le rappelle.

Suppression et changement de nom de comptes d’utilisateur

Lorsqu’un compte n’est plus nécessaire, il est possible de le supprimer ou de le renommer afin qu’il puisse être utilisé par un autre utilisateur. Il faut savoir que le fait de supprimer un compte supprime aussi le SID (Security IDentification). Même si NT nous permet 15000 SID différents, il est inutile de supprimer un compte si celui-ci peut être renommer pour un autre employé par exemple.

Gestion de l’environnement de travail d’un utilisateur

Lorsqu’un utilisateur ouvre une session pour la première fois à partir d’un client exécutant Windows NT, un profil d’utilisateur par défaut est créé pour cet utilisateur. Ce profil définit des éléments tels que son environnement de travail et ses connexions réseau et imprimante. Ce profil peut être personnalisé afin de restreindre certains éléments du bureau ou des outils présents sur le poste.

Ces profils contiennent des paramètres définissables par l’utilisateur pour l’environnement de travail d’un ordinateur exécutant Windows NT. Ces paramètres sont sauvegardés automatiquement dans le dossier Profiles (C:\Winnt\Profiles).

Pour les utilisateurs qui ouvrent une session à partir des clients n’exécutant pas Windows NT, un script d’ouverture de session peut être utilisé pour configurer les connexions réseau et imprimante des utilisateurs ou pour définir l’environnement de travail ou les paramètres matériels. Il s’agit en fait d’un fichier de commande (.bat ou .cmd) ou d’un fichier exécutable qui s’exécute automatiquement lorsque l’utilisateur se connecte au réseau.

Il est également possible d'utiliser des profils d’utilisateur errants, c'est-à-dire un profil offrant à l’utilisateur le même environnement de travail quelque soit la station de travail à partir de laquelle il se connecte au réseau. Ces profils sont enregistrés sur le serveur. Il existe deux options concernant ces profils errants :

• Profil errant obligatoire : il peut être appliqué à un ou plusieurs utilisateurs et est non modifiable par ces utilisateurs. Seul l’administrateur décide de ce qui peut être à disposition des utilisateurs (outils, configuration etc.). Même si l’utilisateur effectue des changements de configuration, ces modifications ne seront pas prises en compte lors de la déconnexion
• Profil errant personnel : il ne peut être appliqué qu’à un seul utilisateur et peut être modifié par cet utilisateur. A chaque déconnexion de l’utilisateur, les différents changements de paramètres seront enregistrés

NB : ces options de profils errants s’appliquent parfaitement sur un parc dotés de systèmes Windows NT. Pour les parcs utilisant des clients Windows 95 par exemple, il se peut que certains problèmes se posent. Il faut alors utiliser l’Editeur de Stratégies Système (POLEDIT) Création de profils d’utilisateur errants

Une fois le compte d’utilisateur créé et la première ouverture de session avec ce compte effectuée, un profil d’utilisateur est automatiquement créé dans le dossier Profiles..
L’utilisateur ou l’administrateur peuvent modifier tous les paramètres nécessaires pour que toutes les modifications soient prises en compte et enregistrées dans ce dossier.

En tant qu’administrateur, il faut ensuite créer un dossier sur le serveur comme par exemple \\serveurnt\Profils\nom_utilisateur.
Dans le Panneau de Configuration, il faut double-cliquer sur l’icône Système puis cliquer sur l’onglet Profils Utilisateur. Cliquer sur le profil désiré et appuyer sur le bouton Copier vers.

Dans la zone correspondante, taper le chemin UNC menant au dossier. Sous Autorisé à utiliser, cliquer sur Modifier. Ajouter l’utilisateur approprié.
NB : Dans le dossier dans lesquels sont stockés les différents profils, renommez le fichier ntuser.dat de l’utilisateur correspondant en ntuser.man pour rendre son profil obligatoire

Dans le Gestionnaire des utilisateurs pour les domaines, double-cliquer sur le compte de l’utilisateur concerné et cliquer sur Profils. Dans la zone Chemin du profil de l’utilisateur, taper le chemin UNC menant au dossier profil du réseau.

Définition d’un environnement utilisateur

L’utilisation de la boîte de dialogue Profil d’environnement des utilisateurs peut servir à entrer les chemins du profil utilisateur, le script d’ouverture de session, et le dossier de base.
Plusieurs options sont paramétrables, notamment pour indiquer des chemins d’accès aux différents éléments :

• Chemin du profil de l’utilisateur : indique le chemin vers le dossier profil de l’utilisateur. Pour les profils d’utilisateur personnels, tapez \\nom_serveur\paratge_profil\%username% . Pour les profils obligatoires, remplacer le %username% par nom_profil
• Nom du script d’ouverture de session : il est possible d’utiliser soit un chemin menant à l’ordinateur local de l’utilisateur, soit un chemin UNC menant à un dossier partagé sur un serveur réseau
• Répertoire de base : pour spécifier un chemin réseau, sélectionner Connecter et une lettre d’unité. Taper ensuite le chemin UNC. Avant de spécifier un emplacement de réseau, un dossier doit être créé sur le serveur et doit être partagé sur le réseau

NB : utiliser la variable %username% chaque fois qu’un dossier de base ou un profil d’utilisateur personnel sont créés. Elle sera en effet automatiquement remplacée par le compte d’utilisateur

La gestion de groupes

Windows NT permet de plus de gérer les utilisateurs par groupe, c'est-à-dire qu'il permet de définir des ensembles d'utilisateurs possèdant le même type de permissions en les classant selon des catégories.

Un groupe est un ensemble de comptes d’utilisateurs. Un utilisateur inséré dans un groupe se voit attribuer toutes les permissions et droits du groupe. Les groupes simplifient donc l’administration car il est possible d’attribuer des permissions à plusieurs utilisateurs simultanément. Il existe deux type de groupe différents :

• Les groupes locaux : servent à donner aux utilisateurs des permissions d’accès à une ressource réseau. Ils servent également à donner aux utilisateurs des droits pour lancer des tâches système (modifier l’heure sur un ordinateur, sauvegarder et récupérer des fichiers etc.). Il existe des groupes locaux prédéfinis.
• Les groupes globaux : servent à organiser les comptes d’utilisateur de domaine. Ils servent surtout dans des réseaux à domaines multiples, lorsque les utilisateurs d’un domaine doivent pouvoir accéder aux ressources d’un autre domaine.

Lors du premier démarrage de Windows NT 6 groupes, par défaut sont créés :

• Administrateurs
• Opérateurs de sauvegarde
• Duplicateurs
• Utilisateurs avec pouvoir
• Utilisateurs
• Invités

Il est possible de supprimer ces groupes par défaut ainsi que d'ajouter des groupes d'utilisateurs personnalisés, avec des permissions particulières selon les opérations qu'ils sont amenés à faire sur le système. Pour ajouter un groupe, il suffit de cliquer sur Nouveau groupe local dans le menu utilisateur.

Il suffit ensuite d'affecter les différents utilisateurs à un groupe en sélectionnant un utilisateur et en cliquant sur Ajouter. Cela fait apparaître la boîte de dialgoue suivante :

Celle-ci permet tout simplement de sélectionner les groupes auxquels un utilisateur est susceptible de faire partie...

Mise en oeuvre des groupes prédéfinis

Les groupes prédéfinis sont des groupes qui ont des droits d’utilisateur déterminés. Les droits d’utilisateur déterminent les tâches système qu’un utilisateur ou membre d’un groupe prédéfinis peut exécuter. Voici les trois groupes prédéfinis offerts par Windows NT :

• Les groupes locaux prédéfinis : donnent aux utilisateurs des droits leur permettant d’exécuter des tâches système telles que la sauvegarde et la restauration de données, la modification de l’heure, ainsi que l’administration des ressources système. Ils se trouvent sur tous les ordinateurs exécutant Windows NT
• Les groupes globaux prédéfinis : fournissent aux administrateurs un moyen simple leur permettant de contrôler tous les utilisateurs du domaine. Les groupes globaux prédéfinis se trouvent uniquement sur les Contrôleurs de domaine.
• Les groupes système organisent automatiquement les utilisateurs pour l’utilisation du système. Les administrateurs ne leur affectent pas d’utilisateurs. Les utilisateurs sont soit membres par défaut, soit deviennent membres au cours de l’activité du réseau. Ils se trouvent sur tous les ordinateurs exécutant Windows NT

Tous ces groupes prédéfinis ne peuvent être ni renommés, ni supprimés.

Voici les groupes locaux prédéfinis :

• Utilisateurs Peuvent exécuter des tâches pour lesquelles ils disposent d’un droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu une permission
  Le groupe local Utilisateurs avec pouvoir ne réside que sur les serveurs membres et les ordinateurs exécutant NT Workstation. Les membres de ce groupe peuvent créer et modifier des comptes, ainsi que partager des ressources.
• Administrateurs Peuvent exécuter toutes les tâches administratives sur l’ordinateur local. Si l’ordinateur est un Contrôleur de domaine, les membres peuvent administrer entièrement le domaine
• Invités Peuvent exécuter toutes les tâches pour lesquelles ils disposent d’un droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu une permission. Ses membres ne peuvent effectuer aucune modification permanente dans leur environnement local
• Opérateurs de sauvegarde Peuvent utiliser le programme de sauvegarde de Windows NT pour sauvegarder et restaurer tous les ordinateurs exécutant Windows NT²
• Duplicateurs Utilisés par le service de Duplicateur de répertoires. Ce groupe n’est pas utilisé pour l’administration

Les groupes suivants sont définis uniquement sur les contrôleurs de domaine :

• Opérateurs de compte Peuvent créer, supprimer et modifier les utilisateurs, les groupes locaux et globaux. Ils ne peuvent pas modifier les groupes Administrateurs et Opérateurs de serveur
• Opérateurs de serveur Peuvent partager les ressources disque, sauvegarder et restaurer les serveurs
• Opérateurs d’impression Peuvent configurer et gérer les imprimantes en réseau

  Lorsque Windows NT Server est installé comme Contrôleur de domaine, trois groupes globaux sont créés dans la SAM. Par défaut, ces groupes n’ont pas de droits inhérents. Ils acquièrent des droits au moment où ils sont ajoutés aux groupes locaux ou lorsque des droits d’utilisateur ou des permissions leur sont attribués.

  • Utilisateurs du domaine est automatiquement ajouté au Groupe Utilisateurs local. Par défaut, le compte Administrateur est membre de ce groupe
  • Administrateur du domaine est automatiquement ajouté au Groupe Administrateurs local. Ces membres peuvent exécuter des tâches administratives sur l’ordinateur local. Par défaut, le compte administrateur est membre de ce groupe
  • Invités du domaine est automatiquement ajouté au Groupe Invités local. Par défaut, le compte Invité est membre de ce groupe

  Enfin les groupes systèmes prédéfinis résident sur tous les ordinateurs exécutant Windows NT. Les utilisateurs en deviennent membres par défaut pendant le fonctionnement du réseau. Le statut de membre ne peut pas être modifié.

  • Tout le monde Comprend tous les utilisateurs locaux et distants qui ont accès à l’ordinateur. Il contient également tous les comptes autres que ceux créés par l’Administrateur dans le domaine.
  • Créateur Propriétaire Comprend l’utilisateur qui a créé ou pris possession d’une ressource. Ce groupe peut être utilisé pour gérer les accès aux fichiers et aux dossiers uniquement des volumes NTFS
  • Réseau Comprend tout utilisateur connecté à une ressource partagée de votre ordinateur à partir d’un autre ordinateur sur le réseau
  • Interactif Inclut automatiquement tout utilisateur qui se connecte localement à l’ordinateur. Les membres interactifs ont accès aux ressources de l’ordinateur sur lequel ils sont connectés.

  Trucs & astuces pertinents trouvés dans la base de connaissances

  17/02 18h07	Utilisation d'un firewall (Sécurité)
  17/02 15h24	Utiliser des styles visuels (Windows XP)
  20/01 21h16	Utiliser le scanner sans redémarrer Windows (Matériel)
  17/01 17h24	Utiliser Knoppix comme CD de secours (Systèmes d'exploitation)
  06/01 10h02	Utiliser la commande "su" (Linux)
  10/11 11h14	Utiliser des caractères spéciaux. (Forum)
  31/10 17h19	Utiliser un proxy pour les mises à jour (Linux)
  03/10 15h42	Utiliser une police TrueType sans l'installer (Infographie)
  01/10 10h16	Autoriser l'accès à Internet à tous les utilisateurs (Internet)
  27/09 21h59	Utiliser Windows Memory Test (Mémoire)
  Plus d'astuces sur « utilisateurs »

  Discussions pertinentes trouvées dans le forum

  06/02 09h00	comptes utilisateurs	Windows	10/02 15h22->nonoy54	5
  13/09 12h30	obliger utilisation couple cle prive/cle publ	Linux/Unix	23/01 18h14->hermiote	4
  22/10 13h51	passer d'un compte limité à un compte utilisa	Windows	16/02 10h30->blondin777	39
  10/11 15h09	conseil pour utilisé hijackthis	Virus/Sécurité	12/01 05h55->Gouril	38
  04/05 08h27	2 iexplore dont 1 utilise 100% UC!!?	Windows	07/02 14h28->Kamalh	35
  04/10 18h47	Virus utilisant processs mais avec ? devant	Virus/Sécurité	09/10 00h49->Séb08	28
  16/12 09h30	Problème utilisateur	Linux/Unix	19/12 19h12->lami20j	25
  01/07 17h41	connexion internet utilisée par 1 autre PC	Internet	18/03 14h56->montpensiera	24
  11/10 13h42	Utilisation de mon compte hotmail à mon insu	Internet	06/01 11h43->Guillaume	21
  09/01 15h11	Utilisation de l uc a 100%	Virus/Sécurité	15/01 17h22->moth573	18
  Discussion fermée Problème résolu		Plus de discussions sur « utilisateurs »

  
  Ce document intitulé « Windows NT - La gestion des utilisateurs » issu de l'encyclopédie informatique Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.