Comment Ca Marche - Communauté informatique  
   
Accueil - Encyclopédie informatiqueTélécharger l'encyclopédieContribuer à cet article

Windows NT - La gestion des utilisateurs

La gestion des utilisateurs sous  Microsoft Windows NT Encyclopédie


La notion d'utilisateur

WindowsNT est un système d'exploitation permettant de gérer des sessions, c'est-à-dire qu'au démarrage du système il est nécessaire de se connecter au système (le terme se logger provenant de l'anglais est généralement utilisé) grâce à un nom d'utilisateur et d'un mot de passe.

Par défaut lors de l'installation de Windows NT, le compte administrateur est créé, ainsi qu'un compte appelé invité. Il est possible (et même conseillé) de modifier les permissions des utilisateurs (ce qu'ils ont le droit de faire) ainsi que d'en ajouter via le gestionnaire d'utilisateurs. Un compte d’utilisateur est l’identification d’un utilisateur de façon unique de manière à lui permettre

  • d’ouvrir une session sur le domaine afin d'avoir accès aux ressources du réseau
  • d’ouvrir une session sur un ordinateur local afin d’accéder aux ressources locales
Chaque utilisateur utilisant le réseau de façon régulière doit ainsi avoir un compte.

Gérer les utilisateurs

Le gestionnaire d'utilisateur est l'utilitaire fourni en standard avec Windows NT, permettant de gérer les utilisateurs (comme son nom le laisse présager). Il est disponible dans le Menu Démarrer (Programmes/outils d'administration).

le gestionnaire d'utilisateurs

Pour créer un nouveau compte, il suffit de cliquer sur Nouvel utilisateur dans le menu utilisateurs. Cela fait apparaître un boîte de dialogue permettant de saisir des informations sur le nouvel utilisateur :

  • Utilisateur: représente le nom (login) de l'utilisateur
  • Nom détaillé: renseignement optionnel sur l'utilisateur
  • Description: champ optionnel
  • Les champs Mot de passe sont optionnels, mais il est tout de même conseillé de les remplir, ainsi que de cocher éventuellement la case l'utilisateur doit changer de mot de passe pour des raisons de sécurité

Convention de nommage des utilisateurs

La convention de nommage des utilisateurs est la façon dont l'administrateur décide d'identifier les utilisateurs. Il faut tenir compte des éléments suivants :

  • Les noms d’utilisateur doivent être uniques (dans un domaine, sur un ordinateur local)
  • Les noms d’utilisateur peuvent contenir tout caractère majuscule ou minuscule à l’exception des caractères suivants : / \ [ ] : . | = , + * ? < >
  • Il faut prévoir le cas d’utilisateurs homonymes et donc une nomenclature adéquate.

Comptes utilisateurs et sécurité

Il existe deux types de comptes sous NT. Les comptes prédéfinis et les comptes que vous créez. Après installation, Windows NT est définit avec des utilisateurs prédéfinis (comptes par défaut) (le compte administrateur et invité) rendant la sécurité du système minimale.

Les différents comptes sont :

  • Comptes que vous créez : les comptes d’utilisateur permettent d’ouvrir une session sur le réseau et d’accéder aux ressources du réseau. Ces comptes contiennent des informations sur l’utilisateur, notamment son nom et son mot de passe
  • Invité : il permet aux utilisateurs occasionnels d’ouvrir une session et d’accéder à l’ordinateur local. Par défaut, il est désactivé.
  • Administrateur : il sert à gérer la configuration globale des ordinateurs et des domaines. Il peut effectuer toutes les tâches
Il est alors essentiel
  • dans un premier temps de désactiver le compte invité permettant à n'importe quel utilisateur de se connecter au système
  • dans un second temps de modifier le nom du compte administrateur afin de réduire le risque d'une intrusion par ce compte utilisateur. En effet le compte administrateur possède toutes les permissions, c'est donc la proie visée par les intrus

Emplacement des comptes utilisateurs

Les comptes d’utilisateur de domaine sont créés à partir du Gestionnaire des utilisateurs pour les domaines. Lorsqu’un compte est créé, il est automatiquement enregistré dans la SAM du Contrôleur Principal de Domaine (PDC), qui la synchronise ensuite avec le reste du domaine. Dès qu’un compte est créé dans la SAM du PDC, l’utilisateur peut ouvrir une session sur le domaine à partir de n’importe quel poste du domaine.

Plusieurs minutes peuvent parfois être nécessaires à la synchronisation du domaine.
Il existe deux méthodes : taper

net accounts /sync
à l’invite de commande ou, dans le Gestionnaire de serveur, dans le menu Ordinateur, choisir Synchroniser tout le domaine.

Les comptes d’utilisateur local se créent sur un serveur membre ou un ordinateur sous Windows NT Workstation, à l’aide du Gestionnaire des utilisateurs. Le compte n’est créé que dans la SAM de l’ordinateur local. L’utilisateur ne peut donc ouvrir de sessions que sur l’ordinateur en question.

La Planification de nouveaux comptes d’utilisateur

Il est possible de simplifier le processus de création de comptes en planifiant et en organisant les informations sur ceux ayant besoin d’un compte d’utilisateur.

Le dossier de base est le dossier privé dans lequel un utilisateur peut stocker ses fichiers. Il est utilisé comme dossier par défaut lors de l’exécution de commandes telles que « Enregistrer ». Il peut être stocké sur l’ordinateur local de l’utilisateur ou sur un serveur réseau. Il faut prendre en compte les point suivants pour les créer :

  • Il est beaucoup plus facile d’assurer la sauvegarde et la restauration des données des différents utilisateurs en cas d’incidents si les dossiers de base sont stockés sur un serveur. Si ce n’est pas le cas, il faudra effectuer des sauvegardes régulières sur les différents ordinateurs du réseau ou sont stockés les dossiers de base
  • Considérer l’espace sur les contrôleurs de domaine : Windows NT ne dispose pas d’utilitaires permettant la gestion de l’espace disque (Windows 2000 le permet). De ce fait, il faut faire très attention à ce que les dossiers de base ne soient pas remplis de fichiers volumineux, ce qui pourrait saturer très vite l’espace de stockage du serveur. Il existe cependant des outils tiers tel que « QUOTA MANAGER »
  • Si un utilisateur travaille sur un ordinateur ne disposant pas de disque dur, son dossier de base doit impérativement être sur un serveur réseau
  • Si les dossiers de base se trouvent sur les ordinateurs locaux, les performances du réseau augmentent car il y a de ce fait moins de trafic sur le réseau, le serveur n’étant pas constamment sollicité

Définition des options de station de travail et de compte

Il est possible de paramétrer les postes à partir desquels un utilisateur peut se connecter au réseau. Soit vous lui autorisez à ouvrir une session à partir de toutes les stations de travail, soit vous spécifiez un ou des stations de travail précises. Utiliser un poste unique pour un utilisateur est une option a utiliser dans un réseau à haute sécurité. En effet, un utilisateur qui se connecte à une station de travail qui n’est pas la sienne se connectera en local et aura donc accès à toutes les ressources locales de la machine. De plus, spécifier un ou des stations de travail à partir desquelles un utilisateur peut se connecter permet à l’Administrateur du réseau de surveiller l’utilisateur.

D'autre part, il est également possible de fixer une date d’expiration du compte d’un utilisateur. Cette option peut être utile dans le cas d’un employé temporaire. La date d’expiration de ce compte correspondra à la date d’expiration de son contrat.

Permissions d’appel

Si le RAS (Remote Access Service), l’Accès Réseau à Distance, est installé, il est possible de paramétrer les permissions d’appel. Ce service permet à un utilisateur, ayant les permissions appropriées, d’accéder aux ressources du réseau à distance, en utilisant une ligne téléphonique (ou X25). Ce service est utile pour les utilisateurs ayant besoin d’accéder au réseau de chez eux par exemple. Plusieurs options de rappel sont paramétrables :

  • Pas de rappel : l’utilisateur prend en charge les frais de communication. Le serveur ne rappellera pas l’utilisateur
  • Défini par l’appelant : cette option permet à un utilisateur d’être rappelé par le serveur a un numéro qu’il spécifie. Dans ce cas, c’est l’entreprise qui prend en charge les frais de communication.
  • Prédéfini au : permet un contrôle du rappel par l’administrateur. C’est lui qui décide du numéro auquel le serveur doit rappeler un utilisateur donné. Cette option peut servir à réduire les coûts mais aussi accroître la sécurité car l’utilisateur devra se trouver à un numéro précis.
NB : Dans les deux derniers cas, l’utilisateur doit d’abord se connecter au serveur pour que celui-ci le rappelle.

Suppression et changement de nom de comptes d’utilisateur

Lorsqu’un compte n’est plus nécessaire, il est possible de le supprimer ou de le renommer afin qu’il puisse être utilisé par un autre utilisateur. Il faut savoir que le fait de supprimer un compte supprime aussi le SID (Security IDentification). Même si NT nous permet 15000 SID différents, il est inutile de supprimer un compte si celui-ci peut être renommer pour un autre employé par exemple.

Gestion de l’environnement de travail d’un utilisateur

Lorsqu’un utilisateur ouvre une session pour la première fois à partir d’un client exécutant Windows NT, un profil d’utilisateur par défaut est créé pour cet utilisateur. Ce profil définit des éléments tels que son environnement de travail et ses connexions réseau et imprimante. Ce profil peut être personnalisé afin de restreindre certains éléments du bureau ou des outils présents sur le poste.

Ces profils contiennent des paramètres définissables par l’utilisateur pour l’environnement de travail d’un ordinateur exécutant Windows NT. Ces paramètres sont sauvegardés automatiquement dans le dossier Profiles (C:\Winnt\Profiles).

Pour les utilisateurs qui ouvrent une session à partir des clients n’exécutant pas Windows NT, un script d’ouverture de session peut être utilisé pour configurer les connexions réseau et imprimante des utilisateurs ou pour définir l’environnement de travail ou les paramètres matériels. Il s’agit en fait d’un fichier de commande (.bat ou .cmd) ou d’un fichier exécutable qui s’exécute automatiquement lorsque l’utilisateur se connecte au réseau.

Il est également possible d'utiliser des profils d’utilisateur errants, c'est-à-dire un profil offrant à l’utilisateur le même environnement de travail quelque soit la station de travail à partir de laquelle il se connecte au réseau. Ces profils sont enregistrés sur le serveur. Il existe deux options concernant ces profils errants :

  • Profil errant obligatoire : il peut être appliqué à un ou plusieurs utilisateurs et est non modifiable par ces utilisateurs. Seul l’administrateur décide de ce qui peut être à disposition des utilisateurs (outils, configuration etc.). Même si l’utilisateur effectue des changements de configuration, ces modifications ne seront pas prises en compte lors de la déconnexion
  • Profil errant personnel : il ne peut être appliqué qu’à un seul utilisateur et peut être modifié par cet utilisateur. A chaque déconnexion de l’utilisateur, les différents changements de paramètres seront enregistrés
NB : ces options de profils errants s’appliquent parfaitement sur un parc dotés de systèmes Windows NT. Pour les parcs utilisant des clients Windows 95 par exemple, il se peut que certains problèmes se posent. Il faut alors utiliser l’Editeur de Stratégies Système (POLEDIT) Création de profils d’utilisateur errants

Une fois le compte d’utilisateur créé et la première ouverture de session avec ce compte effectuée, un profil d’utilisateur est automatiquement créé dans le dossier Profiles..
L’utilisateur ou l’administrateur peuvent modifier tous les paramètres nécessaires pour que toutes les modifications soient prises en compte et enregistrées dans ce dossier.

En tant qu’administrateur, il faut ensuite créer un dossier sur le serveur comme par exemple \\serveurnt\Profils\nom_utilisateur.
Dans le Panneau de Configuration, il faut double-cliquer sur l’icône Système puis cliquer sur l’onglet Profils Utilisateur. Cliquer sur le profil désiré et appuyer sur le bouton Copier vers.

Dans la zone correspondante, taper le chemin UNC menant au dossier. Sous Autorisé à utiliser, cliquer sur Modifier. Ajouter l’utilisateur approprié.
NB : Dans le dossier dans lesquels sont stockés les différents profils, renommez le fichier ntuser.dat de l’utilisateur correspondant en ntuser.man pour rendre son profil obligatoire

Dans le Gestionnaire des utilisateurs pour les domaines, double-cliquer sur le compte de l’utilisateur concerné et cliquer sur Profils. Dans la zone Chemin du profil de l’utilisateur, taper le chemin UNC menant au dossier profil du réseau.

Définition d’un environnement utilisateur

L’utilisation de la boîte de dialogue Profil d’environnement des utilisateurs peut servir à entrer les chemins du profil utilisateur, le script d’ouverture de session, et le dossier de base.
Plusieurs options sont paramétrables, notamment pour indiquer des chemins d’accès aux différents éléments :

  • Chemin du profil de l’utilisateur : indique le chemin vers le dossier profil de l’utilisateur. Pour les profils d’utilisateur personnels, tapez \\nom_serveur\paratge_profil\%username% . Pour les profils obligatoires, remplacer le %username% par nom_profil
  • Nom du script d’ouverture de session : il est possible d’utiliser soit un chemin menant à l’ordinateur local de l’utilisateur, soit un chemin UNC menant à un dossier partagé sur un serveur réseau
  • Répertoire de base : pour spécifier un chemin réseau, sélectionner Connecter et une lettre d’unité. Taper ensuite le chemin UNC. Avant de spécifier un emplacement de réseau, un dossier doit être créé sur le serveur et doit être partagé sur le réseau
NB : utiliser la variable %username% chaque fois qu’un dossier de base ou un profil d’utilisateur personnel sont créés. Elle sera en effet automatiquement remplacée par le compte d’utilisateur

La gestion de groupes

Windows NT permet de plus de gérer les utilisateurs par groupe, c'est-à-dire qu'il permet de définir des ensembles d'utilisateurs possèdant le même type de permissions en les classant selon des catégories.

Un groupe est un ensemble de comptes d’utilisateurs. Un utilisateur inséré dans un groupe se voit attribuer toutes les permissions et droits du groupe. Les groupes simplifient donc l’administration car il est possible d’attribuer des permissions à plusieurs utilisateurs simultanément. Il existe deux type de groupe différents :

  • Les groupes locaux : servent à donner aux utilisateurs des permissions d’accès à une ressource réseau. Ils servent également à donner aux utilisateurs des droits pour lancer des tâches système (modifier l’heure sur un ordinateur, sauvegarder et récupérer des fichiers etc.). Il existe des groupes locaux prédéfinis.
  • Les groupes globaux : servent à organiser les comptes d’utilisateur de domaine. Ils servent surtout dans des réseaux à domaines multiples, lorsque les utilisateurs d’un domaine doivent pouvoir accéder aux ressources d’un autre domaine.

Lors du premier démarrage de Windows NT 6 groupes, par défaut sont créés :

  • Administrateurs
  • Opérateurs de sauvegarde
  • Duplicateurs
  • Utilisateurs avec pouvoir
  • Utilisateurs
  • Invités

Il est possible de supprimer ces groupes par défaut ainsi que d'ajouter des groupes d'utilisateurs personnalisés, avec des permissions particulières selon les opérations qu'ils sont amenés à faire sur le système. Pour ajouter un groupe, il suffit de cliquer sur Nouveau groupe local dans le menu utilisateur.

La gestion des groupes sous Windows NT

Il suffit ensuite d'affecter les différents utilisateurs à un groupe en sélectionnant un utilisateur et en cliquant sur Ajouter. Cela fait apparaître la boîte de dialgoue suivante :

appartenance aux groupes de Windows NT

Celle-ci permet tout simplement de sélectionner les groupes auxquels un utilisateur est susceptible de faire partie...

Mise en oeuvre des groupes prédéfinis

Les groupes prédéfinis sont des groupes qui ont des droits d’utilisateur déterminés. Les droits d’utilisateur déterminent les tâches système qu’un utilisateur ou membre d’un groupe prédéfinis peut exécuter. Voici les trois groupes prédéfinis offerts par Windows NT :

  • Les groupes locaux prédéfinis : donnent aux utilisateurs des droits leur permettant d’exécuter des tâches système telles que la sauvegarde et la restauration de données, la modification de l’heure, ainsi que l’administration des ressources système. Ils se trouvent sur tous les ordinateurs exécutant Windows NT
  • Les groupes globaux prédéfinis : fournissent aux administrateurs un moyen simple leur permettant de contrôler tous les utilisateurs du domaine. Les groupes globaux prédéfinis se trouvent uniquement sur les Contrôleurs de domaine.
  • Les groupes système organisent automatiquement les utilisateurs pour l’utilisation du système. Les administrateurs ne leur affectent pas d’utilisateurs. Les utilisateurs sont soit membres par défaut, soit deviennent membres au cours de l’activité du réseau. Ils se trouvent sur tous les ordinateurs exécutant Windows NT
Tous ces groupes prédéfinis ne peuvent être ni renommés, ni supprimés.

Voici les groupes locaux prédéfinis :

  • Utilisateurs Peuvent exécuter des tâches pour lesquelles ils disposent d’un droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu une permission
    Le groupe local Utilisateurs avec pouvoir ne réside que sur les serveurs membres et les ordinateurs exécutant NT Workstation. Les membres de ce groupe peuvent créer et modifier des comptes, ainsi que partager des ressources.
  • Administrateurs Peuvent exécuter toutes les tâches administratives sur l’ordinateur local. Si l’ordinateur est un Contrôleur de domaine, les membres peuvent administrer entièrement le domaine
  • Invités Peuvent exécuter toutes les tâches pour lesquelles ils disposent d’un droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu une permission. Ses membres ne peuvent effectuer aucune modification permanente dans leur environnement local
  • Opérateurs de sauvegarde Peuvent utiliser le programme de sauvegarde de Windows NT pour sauvegarder et restaurer tous les ordinateurs exécutant Windows NT²
  • Duplicateurs Utilisés par le service de Duplicateur de répertoires. Ce groupe n’est pas utilisé pour l’administration

Les groupes suivants sont définis uniquement sur les contrôleurs de domaine :