Windows NT - La gestion des utilisateurs
La notion d'utilisateur
WindowsNT est un système d'exploitation permettant de gérer des sessions,
c'est-à-dire qu'au démarrage du système il est nécessaire
de se connecter au système (le terme se logger provenant de l'anglais est généralement
utilisé) grâce à un nom d'utilisateur et d'un mot de passe.
Par défaut lors de l'installation de Windows NT, le compte administrateur
est créé, ainsi qu'un compte appelé invité. Il est possible
(et même conseillé) de modifier les permissions des utilisateurs (ce qu'ils ont le droit de faire)
ainsi que d'en ajouter via le gestionnaire d'utilisateurs.
Un compte d’utilisateur est l’identification d’un utilisateur de façon unique
de manière à lui permettre
- d’ouvrir une session sur le domaine afin d'avoir accès aux ressources du réseau
- d’ouvrir une session sur un ordinateur local afin d’accéder aux ressources locales
Chaque utilisateur utilisant le réseau de façon régulière doit ainsi avoir un compte.
Gérer les utilisateurs
Le gestionnaire d'utilisateur est l'utilitaire fourni en standard avec Windows NT,
permettant de gérer les utilisateurs (comme son nom le laisse présager).
Il est disponible dans le Menu Démarrer (Programmes/outils d'administration).
Pour créer un nouveau compte, il suffit de cliquer sur Nouvel utilisateur
dans le menu utilisateurs. Cela fait apparaître un boîte de dialogue permettant
de saisir des informations sur le nouvel utilisateur :
- Utilisateur: représente le nom (login) de l'utilisateur
- Nom détaillé: renseignement optionnel sur l'utilisateur
- Description: champ optionnel
- Les champs Mot de passe sont optionnels, mais il est tout de même conseillé de les remplir, ainsi
que de cocher éventuellement la case l'utilisateur doit changer de mot de passe pour des raisons de sécurité
Convention de nommage des utilisateurs
La convention de nommage des utilisateurs est la façon dont l'administrateur
décide d'identifier les utilisateurs. Il faut tenir compte des éléments suivants :
- Les noms d’utilisateur doivent être uniques (dans un domaine, sur un ordinateur local)
- Les noms d’utilisateur peuvent contenir tout caractère majuscule ou minuscule à l’exception des caractères suivants : / \ [ ] : . | = , + * ? < >
- Il faut prévoir le cas d’utilisateurs homonymes et donc une nomenclature adéquate.
Comptes utilisateurs et sécurité
Il existe deux types de comptes sous NT. Les comptes prédéfinis et les comptes que vous créez.
Après installation, Windows NT est définit avec des utilisateurs prédéfinis (comptes par
défaut) (le compte administrateur et invité) rendant la sécurité du système minimale.
Les différents comptes sont :
- Comptes que vous créez : les comptes d’utilisateur permettent d’ouvrir une session sur le réseau et d’accéder aux ressources du réseau. Ces comptes contiennent des informations sur l’utilisateur, notamment son nom et son mot de passe
- Invité : il permet aux utilisateurs occasionnels d’ouvrir une session et d’accéder à l’ordinateur local. Par défaut, il est désactivé.
- Administrateur : il sert à gérer la configuration globale des ordinateurs et des domaines. Il peut effectuer toutes les tâches
Il est alors
essentiel
- dans un premier temps de désactiver le compte invité
permettant à n'importe quel utilisateur de se connecter au système
- dans un second temps de modifier le nom du compte administrateur afin de réduire
le risque d'une intrusion par ce compte utilisateur. En effet le compte administrateur
possède toutes les permissions, c'est donc la proie visée par les intrus
Emplacement des comptes utilisateurs
Les comptes d’utilisateur de domaine sont créés à partir du Gestionnaire des utilisateurs pour les domaines. Lorsqu’un compte est créé, il est automatiquement enregistré dans la SAM du Contrôleur Principal de Domaine (PDC),
qui la synchronise ensuite avec le reste du domaine. Dès qu’un compte est créé dans la SAM du PDC, l’utilisateur peut ouvrir une session sur le domaine à partir de n’importe quel poste du domaine.
Plusieurs minutes peuvent parfois être nécessaires à la synchronisation du domaine.
Il existe deux méthodes : taper
net accounts /sync
à l’invite de commande ou, dans le Gestionnaire de serveur, dans le menu Ordinateur, choisir Synchroniser tout le domaine.
Les comptes d’utilisateur local se créent sur un serveur membre ou un ordinateur sous Windows NT Workstation,
à l’aide du Gestionnaire des utilisateurs. Le compte n’est créé que dans la SAM de l’ordinateur local.
L’utilisateur ne peut donc ouvrir de sessions que sur l’ordinateur en question.
La Planification de nouveaux comptes d’utilisateur
Il est possible de simplifier le processus de création de comptes en planifiant et en organisant les informations sur ceux ayant besoin d’un compte d’utilisateur.
Le dossier de base est le dossier privé dans lequel un utilisateur peut stocker ses fichiers. Il est utilisé comme dossier par défaut lors de l’exécution de commandes telles que « Enregistrer ».
Il peut être stocké sur l’ordinateur local de l’utilisateur ou sur un serveur réseau. Il faut prendre en compte les point suivants pour les créer :
- Il est beaucoup plus facile d’assurer la sauvegarde et la restauration des données des différents utilisateurs en cas d’incidents si les dossiers de base sont stockés sur un serveur. Si ce n’est pas le cas, il faudra effectuer des sauvegardes régulières sur les différents ordinateurs du réseau ou sont stockés les dossiers de base
- Considérer l’espace sur les contrôleurs de domaine : Windows NT ne dispose pas d’utilitaires permettant la gestion de l’espace disque (Windows 2000 le permet). De ce fait, il faut faire très attention à ce que les dossiers de base ne soient pas remplis de fichiers volumineux, ce qui pourrait saturer très vite l’espace de stockage du serveur. Il existe cependant des outils tiers tel que « QUOTA MANAGER »
- Si un utilisateur travaille sur un ordinateur ne disposant pas de disque dur, son dossier de base doit impérativement être sur un serveur réseau
- Si les dossiers de base se trouvent sur les ordinateurs locaux, les performances du réseau augmentent car il y a de ce fait moins de trafic sur le réseau, le serveur n’étant pas constamment sollicité
Définition des options de station de travail et de compte
Il est possible de paramétrer les postes à partir desquels un utilisateur
peut se connecter au réseau. Soit vous lui autorisez à ouvrir une session à partir de toutes les
stations de travail, soit vous spécifiez un ou des stations de travail précises. Utiliser un poste
unique pour un utilisateur est une option a utiliser dans un réseau à haute sécurité. En effet, un utilisateur
qui se connecte à une station de travail qui n’est pas la sienne se connectera en local et aura donc accès
à toutes les ressources locales de la machine. De plus, spécifier un ou des stations de travail à partir desquelles
un utilisateur peut se connecter permet à l’Administrateur du réseau de surveiller l’utilisateur.
D'autre part, il est également possible de fixer une date d’expiration du compte d’un utilisateur. Cette option peut être utile dans le cas d’un employé temporaire. La date d’expiration de ce compte correspondra à la date d’expiration de son contrat.
Permissions d’appel
Si le RAS (Remote Access Service), l’Accès Réseau à Distance, est installé, il est possible de paramétrer les permissions d’appel. Ce service permet à un utilisateur, ayant les permissions appropriées, d’accéder aux ressources du réseau à distance, en utilisant une ligne téléphonique (ou X25). Ce service est utile pour les utilisateurs ayant besoin d’accéder au réseau de chez eux par exemple. Plusieurs options de rappel sont paramétrables :
- Pas de rappel : l’utilisateur prend en charge les frais de communication. Le serveur ne rappellera pas l’utilisateur
- Défini par l’appelant : cette option permet à un utilisateur d’être rappelé par le serveur a un numéro qu’il spécifie. Dans ce cas, c’est l’entreprise qui prend en charge les frais de communication.
- Prédéfini au : permet un contrôle du rappel par l’administrateur. C’est lui qui décide du numéro auquel le serveur doit rappeler un utilisateur donné. Cette option peut servir à réduire les coûts mais aussi accroître la sécurité car l’utilisateur devra se trouver à un numéro précis.
NB : Dans les deux derniers cas, l’utilisateur doit d’abord se connecter au serveur pour que celui-ci le rappelle.
Suppression et changement de nom de comptes d’utilisateur
Lorsqu’un compte n’est plus nécessaire, il est possible de le supprimer ou de le renommer
afin qu’il puisse être utilisé par un autre utilisateur.
Il faut savoir que le fait de supprimer un compte supprime aussi le SID
(Security IDentification). Même si NT nous permet 15000 SID différents,
il est inutile de supprimer un compte si celui-ci peut être renommer pour un autre employé par exemple.
Gestion de l’environnement de travail d’un utilisateur
Lorsqu’un utilisateur ouvre une session pour la première fois à partir d’un client exécutant Windows NT, un profil d’utilisateur
par défaut est créé pour cet utilisateur. Ce profil définit des éléments tels que son environnement de travail et
ses connexions réseau et imprimante. Ce profil peut être personnalisé afin de restreindre certains éléments du
bureau ou des outils présents sur le poste.
Ces profils contiennent des paramètres définissables par l’utilisateur pour l’environnement de travail
d’un ordinateur exécutant Windows NT. Ces paramètres sont sauvegardés automatiquement dans le dossier
Profiles (C:\Winnt\Profiles).
Pour les utilisateurs qui ouvrent une session à partir des clients n’exécutant pas Windows NT, un script d’ouverture de session
peut être utilisé pour configurer les connexions réseau et imprimante des utilisateurs ou pour définir
l’environnement de travail ou les paramètres matériels. Il s’agit en fait d’un fichier de commande (.bat ou .cmd)
ou d’un fichier exécutable qui s’exécute automatiquement lorsque l’utilisateur se connecte au réseau.
Il est également possible d'utiliser des profils d’utilisateur errants, c'est-à-dire un profil offrant
à l’utilisateur le même environnement de travail quelque soit la station de travail
à partir de laquelle il se connecte au réseau. Ces profils sont enregistrés sur le serveur.
Il existe deux options concernant ces profils errants :
- Profil errant obligatoire : il peut être appliqué à un ou plusieurs utilisateurs et est non modifiable par ces utilisateurs. Seul l’administrateur décide de ce qui peut être à disposition des utilisateurs (outils, configuration etc.). Même si l’utilisateur effectue des changements de configuration, ces modifications ne seront pas prises en compte lors de la déconnexion
- Profil errant personnel : il ne peut être appliqué qu’à un seul utilisateur et peut être modifié par cet utilisateur. A chaque déconnexion de l’utilisateur, les différents changements de paramètres seront enregistrés
NB : ces options de profils errants s’appliquent parfaitement sur un parc dotés de systèmes Windows NT. Pour les parcs utilisant des clients Windows 95 par exemple, il se peut que certains problèmes se posent. Il faut alors utiliser l’Editeur de Stratégies Système (POLEDIT)
Création de profils d’utilisateur errants
Une fois le compte d’utilisateur créé et la première ouverture de session avec ce compte effectuée,
un profil d’utilisateur est automatiquement créé dans le dossier Profiles..
L’utilisateur ou l’administrateur peuvent modifier tous les paramètres nécessaires pour que toutes
les modifications soient prises en compte et enregistrées dans ce dossier.
En tant qu’administrateur, il faut ensuite créer un dossier sur le serveur comme par exemple
\\serveurnt\Profils\nom_utilisateur.
Dans le Panneau de Configuration, il faut double-cliquer sur l’icône Système puis cliquer sur l’onglet
Profils Utilisateur. Cliquer sur le profil désiré et appuyer sur le bouton Copier vers.
Dans la zone correspondante, taper le chemin UNC menant au dossier.
Sous Autorisé à utiliser, cliquer sur Modifier. Ajouter l’utilisateur approprié.
NB : Dans le dossier dans lesquels sont stockés les différents profils, renommez le fichier ntuser.dat
de l’utilisateur correspondant en ntuser.man pour rendre son profil obligatoire
Dans le Gestionnaire des utilisateurs pour les domaines, double-cliquer sur le compte de l’utilisateur concerné
et cliquer sur Profils. Dans la zone Chemin du profil de l’utilisateur, taper le chemin
UNC menant au dossier profil du réseau.
Définition d’un environnement utilisateur
L’utilisation de la boîte de dialogue Profil d’environnement des utilisateurs peut servir à entrer
les chemins du profil utilisateur, le script d’ouverture de session, et le dossier de base.
Plusieurs options sont paramétrables, notamment pour indiquer des chemins d’accès aux différents éléments :
- Chemin du profil de l’utilisateur : indique le chemin vers le dossier profil de l’utilisateur. Pour les profils
d’utilisateur personnels, tapez \\nom_serveur\paratge_profil\%username% . Pour les profils obligatoires, remplacer
le %username% par nom_profil
- Nom du script d’ouverture de session : il est possible d’utiliser soit un chemin menant à l’ordinateur local
de l’utilisateur, soit un chemin UNC menant à un dossier partagé sur un serveur réseau
- Répertoire de base : pour spécifier un chemin réseau, sélectionner Connecter et une lettre d’unité.
Taper ensuite le chemin UNC. Avant de spécifier un emplacement de réseau, un dossier doit être créé sur le serveur
et doit être partagé sur le réseau
NB : utiliser la variable %username% chaque fois qu’un dossier de base ou un profil d’utilisateur personnel sont créés. Elle
sera en effet automatiquement remplacée par le compte d’utilisateur
La gestion de groupes
Windows NT permet de plus de gérer les utilisateurs par groupe, c'est-à-dire
qu'il permet de définir des ensembles d'utilisateurs possèdant le même type
de permissions en les classant selon des catégories.
Un groupe est un ensemble de comptes d’utilisateurs.
Un utilisateur inséré dans un groupe se voit attribuer toutes les permissions et droits du groupe.
Les groupes simplifient donc l’administration car il est possible d’attribuer des permissions à
plusieurs utilisateurs simultanément.
Il existe deux type de groupe différents :
- Les groupes locaux : servent à donner aux utilisateurs des permissions d’accès à une ressource réseau. Ils servent également à donner aux utilisateurs des droits pour lancer des tâches système (modifier l’heure sur un ordinateur, sauvegarder et récupérer des fichiers etc.). Il existe des groupes locaux prédéfinis.
- Les groupes globaux : servent à organiser les comptes d’utilisateur de domaine. Ils servent surtout dans des réseaux à domaines multiples, lorsque les utilisateurs d’un domaine doivent pouvoir accéder aux ressources d’un autre domaine.
Lors du premier démarrage de Windows NT 6 groupes, par défaut sont créés :
- Administrateurs
- Opérateurs de sauvegarde
- Duplicateurs
- Utilisateurs avec pouvoir
- Utilisateurs
- Invités
Il est possible de supprimer ces groupes par défaut ainsi que d'ajouter des groupes
d'utilisateurs personnalisés, avec des permissions particulières selon les opérations
qu'ils sont amenés à faire sur le système. Pour ajouter un groupe, il suffit de cliquer
sur Nouveau groupe local dans le menu utilisateur.
Il suffit ensuite d'affecter les différents utilisateurs à un groupe en
sélectionnant un utilisateur et en cliquant sur Ajouter. Cela fait apparaître
la boîte de dialgoue suivante :
Celle-ci permet tout simplement de sélectionner les groupes auxquels un utilisateur
est susceptible de faire partie...
Mise en oeuvre des groupes prédéfinis
Les groupes prédéfinis sont des groupes qui ont des droits d’utilisateur déterminés.
Les droits d’utilisateur déterminent les tâches système qu’un utilisateur ou membre d’un groupe prédéfinis
peut exécuter. Voici les trois groupes prédéfinis offerts par Windows NT :
- Les groupes locaux prédéfinis : donnent aux utilisateurs des droits leur permettant d’exécuter des tâches système telles que la sauvegarde et la restauration de données, la modification de l’heure, ainsi que l’administration des ressources système. Ils se trouvent sur tous les ordinateurs exécutant Windows NT
- Les groupes globaux prédéfinis : fournissent aux administrateurs un moyen simple leur permettant de contrôler tous les utilisateurs du domaine. Les groupes globaux prédéfinis se trouvent uniquement sur les Contrôleurs de domaine.
- Les groupes système organisent automatiquement les utilisateurs pour l’utilisation du système. Les administrateurs ne leur affectent pas d’utilisateurs. Les utilisateurs sont soit membres par défaut, soit deviennent membres au cours de l’activité du réseau. Ils se trouvent sur tous les ordinateurs exécutant Windows NT
Tous ces groupes prédéfinis ne peuvent être ni renommés, ni supprimés.
Voici les groupes locaux prédéfinis :
- Utilisateurs Peuvent exécuter des tâches pour lesquelles ils disposent d’un droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu une permission
Le groupe local Utilisateurs avec pouvoir ne réside que sur les serveurs membres et les ordinateurs exécutant NT Workstation. Les membres de ce groupe peuvent créer et modifier des comptes, ainsi que partager des ressources.
- Administrateurs Peuvent exécuter toutes les tâches administratives sur l’ordinateur local. Si l’ordinateur est un Contrôleur de domaine, les membres peuvent administrer entièrement le domaine
- Invités Peuvent exécuter toutes les tâches pour lesquelles ils disposent d’un droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu une permission. Ses membres ne peuvent effectuer aucune modification permanente dans leur environnement local
- Opérateurs de sauvegarde Peuvent utiliser le programme de sauvegarde de Windows NT pour sauvegarder et restaurer tous les ordinateurs exécutant Windows NT²
- Duplicateurs Utilisés par le service de Duplicateur de répertoires. Ce groupe n’est pas utilisé pour l’administration
Les groupes suivants sont définis uniquement sur les contrôleurs de domaine :
- Opérateurs de compte Peuvent créer, supprimer et modifier les utilisateurs, les groupes locaux et globaux. Ils ne peuvent pas modifier les groupes Administrateurs et Opérateurs de serveur
- Opérateurs de serveur Peuvent partager les ressources disque, sauvegarder et restaurer les serveurs
- Opérateurs d’impression Peuvent configurer et gérer les imprimantes en réseau
Lorsque Windows NT Server est installé comme Contrôleur de domaine, trois groupes globaux sont créés dans la SAM. Par défaut, ces groupes n’ont pas de droits inhérents. Ils acquièrent des droits au moment où ils sont ajoutés aux groupes locaux ou lorsque des droits d’utilisateur ou des permissions leur sont attribués.
- Utilisateurs du domaine est automatiquement ajouté au Groupe Utilisateurs local. Par défaut, le compte Administrateur est membre de ce groupe
- Administrateur du domaine est automatiquement ajouté au Groupe Administrateurs local. Ces membres peuvent exécuter des tâches administratives sur l’ordinateur local. Par défaut, le compte administrateur est membre de ce groupe
- Invités du domaine est automatiquement ajouté au Groupe Invités local. Par défaut, le compte Invité est membre de ce groupe
Enfin les groupes systèmes prédéfinis résident sur tous les ordinateurs exécutant Windows NT.
Les utilisateurs en deviennent membres par défaut pendant le fonctionnement du réseau.
Le statut de membre ne peut pas être modifié.
- Tout le monde Comprend tous les utilisateurs locaux et distants qui ont accès à l’ordinateur. Il contient également tous les comptes autres que ceux créés par l’Administrateur dans le domaine.
- Créateur Propriétaire Comprend l’utilisateur qui a créé ou pris possession d’une ressource. Ce groupe peut être utilisé pour gérer les accès aux fichiers et aux dossiers uniquement des volumes NTFS
- Réseau Comprend tout utilisateur connecté à une ressource partagée de votre ordinateur à partir d’un autre ordinateur sur le réseau
- Interactif Inclut automatiquement tout utilisateur qui se connecte localement à l’ordinateur. Les membres interactifs ont accès aux ressources de l’ordinateur sur lequel ils sont connectés.
Trucs & astuces pertinents trouvés dans la base de connaissances
Discussions pertinentes trouvées dans le forum