|
WindowsNT est un système
d'exploitation permettant de gérer des sessions,
c'est-à-dire qu'au démarrage du système il est
nécessaire de se connecter au système (le terme
se logger provenant de l'anglais est
généralement utilisé) grâce à un nom
d'utilisateur et d'un mot de passe.
Par défaut lors de
l'installation de Windows NT, le compte
administrateur est créé, ainsi qu'un compte
appelé invité. Il est possible (et même
conseillé) de modifier les permissions des
utilisateurs (ce qu'ils ont le droit de faire)
ainsi que d'en ajouter via le gestionnaire
d'utilisateurs. Un compte d’utilisateur est
l’identification d’un utilisateur de façon
unique de manière à lui permettre
- d’ouvrir une session sur le domaine afin
d'avoir accès aux ressources du réseau
- d’ouvrir une session sur un ordinateur
local afin d’accéder aux ressources locales
Chaque utilisateur utilisant le réseau de façon
régulière doit ainsi avoir un compte.
Le gestionnaire
d'utilisateur est l'utilitaire fourni en
standard avec Windows NT, permettant de gérer
les utilisateurs (comme son nom le laisse
présager). Il est disponible dans le Menu
Démarrer (Programmes/outils
d'administration).
Pour créer un nouveau compte,
il suffit de cliquer sur Nouvel utilisateur
dans le menu utilisateurs. Cela fait apparaître
un boîte de dialogue permettant de saisir des
informations sur le nouvel utilisateur:
- Utilisateur: représente le nom
(login) de l'utilisateur
- Nom détaillé: renseignement
optionnel sur l'utilisateur
- Description: champ optionnel
- Les champs Mot de passe sont
optionnels, mais il est tout de même
conseillé de les remplir, ainsi que de
cocher éventuellement la case
l'utilisateur doit changer de mot de passe
pour des raisons de sécurité
La convention de nommage des
utilisateurs est la façon dont l'administrateur
décide d'identifier les utilisateurs. Il faut
tenir compte des éléments suivants :
- Les noms d’utilisateur doivent être
uniques (dans un domaine, sur un ordinateur
local)
- Les noms d’utilisateur peuvent contenir
tout caractère majuscule ou minuscule à
l’exception des caractères suivants : / \ [
] : . | = , + * ? < >
- Il faut prévoir le cas d’utilisateurs
homonymes et donc une nomenclature adéquate.
Il existe deux types de
comptes sous NT. Les comptes prédéfinis et les
comptes que vous créez. Après installation,
Windows NT est définit avec des utilisateurs
prédéfinis (comptes par défaut) (le compte
administrateur et invité) rendant la
sécurité du système minimale.
Les différents comptes sont:
- Comptes que vous créez : les comptes
d’utilisateur permettent d’ouvrir une
session sur le réseau et d’accéder aux
ressources du réseau. Ces comptes
contiennent des informations sur
l’utilisateur, notamment son nom et son mot
de passe
- Invité : il permet aux utilisateurs
occasionnels d’ouvrir une session et
d’accéder à l’ordinateur local. Par défaut,
il est désactivé.
- Administrateur : il sert à gérer la
configuration globale des ordinateurs et des
domaines. Il peut effectuer toutes les
tâches
Il est alors essentiel
- dans un premier temps de désactiver le
compte invité permettant à n'importe
quel utilisateur de se connecter au système
- dans un second temps de modifier le nom
du compte administrateur afin de
réduire le risque d'une intrusion par ce
compte utilisateur. En effet le compte
administrateur possède toutes les
permissions, c'est donc la proie visée par
les intrus
Les comptes d’utilisateur de
domaine sont créés à partir du Gestionnaire des
utilisateurs pour les domaines. Lorsqu’un compte
est créé, il est automatiquement enregistré dans
la SAM du Contrôleur Principal de Domaine (PDC),
qui la synchronise ensuite avec le reste du
domaine. Dès qu’un compte est créé dans la SAM
du PDC, l’utilisateur peut ouvrir une session
sur le domaine à partir de n’importe quel poste
du domaine.
Plusieurs minutes peuvent
parfois être nécessaires à la synchronisation du
domaine.
Il existe deux méthodes : taper
net accounts /sync
à l’invite de commande ou, dans le Gestionnaire
de serveur, dans le menu Ordinateur, choisir
Synchroniser tout le domaine.
Les comptes d’utilisateur
local se créent sur un serveur membre ou un
ordinateur sous Windows NT Workstation, à l’aide
du Gestionnaire des utilisateurs. Le compte
n’est créé que dans la SAM de l’ordinateur
local. L’utilisateur ne peut donc ouvrir de
sessions que sur l’ordinateur en question.
Il est possible de simplifier
le processus de création de comptes en
planifiant et en organisant les informations sur
ceux ayant besoin d’un compte d’utilisateur.
Le dossier de base est le
dossier privé dans lequel un utilisateur peut
stocker ses fichiers. Il est utilisé comme
dossier par défaut lors de l’exécution de
commandes telles que « Enregistrer ». Il peut
être stocké sur l’ordinateur local de
l’utilisateur ou sur un serveur réseau. Il faut
prendre en compte les point suivants pour les
créer :
- Il est beaucoup plus facile d’assurer la
sauvegarde et la restauration des données
des différents utilisateurs en cas
d’incidents si les dossiers de base sont
stockés sur un serveur. Si ce n’est pas le
cas, il faudra effectuer des sauvegardes
régulières sur les différents ordinateurs du
réseau ou sont stockés les dossiers de base
- Considérer l’espace sur les contrôleurs
de domaine : Windows NT ne dispose pas
d’utilitaires permettant la gestion de
l’espace disque (Windows 2000 le permet). De
ce fait, il faut faire très attention à ce
que les dossiers de base ne soient pas
remplis de fichiers volumineux, ce qui
pourrait saturer très vite l’espace de
stockage du serveur. Il existe cependant des
outils tiers tel que « QUOTA MANAGER »
- Si un utilisateur travaille sur un
ordinateur ne disposant pas de disque dur,
son dossier de base doit impérativement être
sur un serveur réseau
- Si les dossiers de base se trouvent sur
les ordinateurs locaux, les performances du
réseau augmentent car il y a de ce fait
moins de trafic sur le réseau, le serveur
n’étant pas constamment sollicité
Il est possible de paramétrer
les postes à partir desquels un utilisateur peut
se connecter au réseau. Soit vous lui autorisez
à ouvrir une session à partir de toutes les
stations de travail, soit vous spécifiez un ou
des stations de travail précises. Utiliser un
poste unique pour un utilisateur est une option
a utiliser dans un réseau à haute sécurité. En
effet, un utilisateur qui se connecte à une
station de travail qui n’est pas la sienne se
connectera en local et aura donc accès à toutes
les ressources locales de la machine. De plus,
spécifier un ou des stations de travail à partir
desquelles un utilisateur peut se connecter
permet à l’Administrateur du réseau de
surveiller l’utilisateur.
D'autre part, il est
également possible de fixer une date
d’expiration du compte d’un utilisateur. Cette
option peut être utile dans le cas d’un employé
temporaire. La date d’expiration de ce compte
correspondra à la date d’expiration de son
contrat.
Si le RAS (Remote Access
Service), l’Accès Réseau à Distance, est
installé, il est possible de paramétrer les
permissions d’appel. Ce service permet à un
utilisateur, ayant les permissions appropriées,
d’accéder aux ressources du réseau à distance,
en utilisant une ligne téléphonique (ou X25). Ce
service est utile pour les utilisateurs ayant
besoin d’accéder au réseau de chez eux par
exemple. Plusieurs options de rappel sont
paramétrables :
- Pas de rappel : l’utilisateur prend en
charge les frais de communication. Le
serveur ne rappellera pas l’utilisateur
- Défini par l’appelant : cette option
permet à un utilisateur d’être rappelé par
le serveur a un numéro qu’il spécifie. Dans
ce cas, c’est l’entreprise qui prend en
charge les frais de communication.
- Prédéfini au : permet un contrôle du
rappel par l’administrateur. C’est lui qui
décide du numéro auquel le serveur doit
rappeler un utilisateur donné. Cette option
peut servir à réduire les coûts mais aussi
accroître la sécurité car l’utilisateur
devra se trouver à un numéro précis.
NB : Dans les deux derniers cas, l’utilisateur
doit d’abord se connecter au serveur pour que
celui-ci le rappelle.
Lorsqu’un compte n’est plus
nécessaire, il est possible de le supprimer ou
de le renommer afin qu’il puisse être utilisé
par un autre utilisateur. Il faut savoir que le
fait de supprimer un compte supprime aussi le
SID (Security IDentification). Même si NT nous
permet 15000 SID différents, il est inutile de
supprimer un compte si celui-ci peut être
renommer pour un autre employé par exemple.
Lorsqu’un utilisateur ouvre
une session pour la première fois à partir d’un
client exécutant Windows NT, un profil
d’utilisateur par défaut est créé pour cet
utilisateur. Ce profil définit des éléments tels
que son environnement de travail et ses
connexions réseau et imprimante. Ce profil peut
être personnalisé afin de restreindre certains
éléments du bureau ou des outils présents sur le
poste.
Ces profils contiennent des
paramètres définissables par l’utilisateur pour
l’environnement de travail d’un ordinateur
exécutant Windows NT. Ces paramètres sont
sauvegardés automatiquement dans le dossier
Profiles (C:\Winnt\Profiles).
Pour les utilisateurs qui
ouvrent une session à partir des clients
n’exécutant pas Windows NT, un script
d’ouverture de session peut être utilisé
pour configurer les connexions réseau et
imprimante des utilisateurs ou pour définir
l’environnement de travail ou les paramètres
matériels. Il s’agit en fait d’un fichier de
commande (.bat ou .cmd) ou d’un fichier
exécutable qui s’exécute automatiquement lorsque
l’utilisateur se connecte au réseau.
Il est également possible
d'utiliser des profils d’utilisateur errants,
c'est-à-dire un profil offrant à l’utilisateur
le même environnement de travail quelque soit la
station de travail à partir de laquelle il se
connecte au réseau. Ces profils sont enregistrés
sur le serveur. Il existe deux options
concernant ces profils errants :
- Profil errant obligatoire : il peut être
appliqué à un ou plusieurs utilisateurs et
est non modifiable par ces utilisateurs.
Seul l’administrateur décide de ce qui peut
être à disposition des utilisateurs (outils,
configuration etc.). Même si l’utilisateur
effectue des changements de configuration,
ces modifications ne seront pas prises en
compte lors de la déconnexion
- Profil errant personnel : il ne peut
être appliqué qu’à un seul utilisateur et
peut être modifié par cet utilisateur. A
chaque déconnexion de l’utilisateur, les
différents changements de paramètres seront
enregistrés
NB : ces options de profils errants s’appliquent
parfaitement sur un parc dotés de systèmes
Windows NT. Pour les parcs utilisant des clients
Windows 95 par exemple, il se peut que certains
problèmes se posent. Il faut alors utiliser
l’Editeur de Stratégies Système (POLEDIT)
Création de profils d’utilisateur errants
Une fois le compte
d’utilisateur créé et la première ouverture de
session avec ce compte effectuée, un profil
d’utilisateur est automatiquement créé dans le
dossier Profiles..
L’utilisateur ou l’administrateur peuvent
modifier tous les paramètres nécessaires pour
que toutes les modifications soient prises en
compte et enregistrées dans ce dossier.
En tant qu’administrateur, il
faut ensuite créer un dossier sur le serveur
comme par exemple
\\serveurnt\Profils\nom_utilisateur.
Dans le Panneau de Configuration, il faut
double-cliquer sur l’icône Système puis cliquer
sur l’onglet Profils Utilisateur. Cliquer sur le
profil désiré et appuyer sur le bouton Copier
vers.
Dans la zone correspondante,
taper le chemin UNC menant au dossier. Sous
Autorisé à utiliser, cliquer sur
Modifier. Ajouter l’utilisateur approprié.
NB : Dans le dossier dans lesquels sont stockés
les différents profils, renommez le fichier
ntuser.dat de l’utilisateur correspondant en
ntuser.man pour rendre son profil obligatoire
Dans le Gestionnaire des
utilisateurs pour les domaines, double-cliquer
sur le compte de l’utilisateur concerné et
cliquer sur Profils. Dans la zone
Chemin du profil de l’utilisateur, taper le
chemin UNC menant au dossier profil du réseau.
L’utilisation de la boîte de
dialogue Profil d’environnement des
utilisateurs peut servir à entrer les
chemins du profil utilisateur, le script
d’ouverture de session, et le dossier de base.
Plusieurs options sont paramétrables, notamment
pour indiquer des chemins d’accès aux différents
éléments :
- Chemin du profil de l’utilisateur :
indique le chemin vers le dossier profil de
l’utilisateur. Pour les profils
d’utilisateur personnels, tapez
\\nom_serveur\paratge_profil\%username% .
Pour les profils obligatoires, remplacer le
%username% par nom_profil
- Nom du script d’ouverture de session :
il est possible d’utiliser soit un chemin
menant à l’ordinateur local de
l’utilisateur, soit un chemin UNC menant à
un dossier partagé sur un serveur réseau
- Répertoire de base : pour spécifier un
chemin réseau, sélectionner Connecter et une
lettre d’unité. Taper ensuite le chemin UNC.
Avant de spécifier un emplacement de réseau,
un dossier doit être créé sur le serveur et
doit être partagé sur le réseau
NB : utiliser la variable %username% chaque fois
qu’un dossier de base ou un profil d’utilisateur
personnel sont créés. Elle sera en effet
automatiquement remplacée par le compte
d’utilisateur
Windows NT permet de plus de
gérer les utilisateurs par groupe,
c'est-à-dire qu'il permet de définir des
ensembles d'utilisateurs possèdant le même type
de permissions en les classant selon des
catégories.
Un groupe est un ensemble de
comptes d’utilisateurs. Un utilisateur inséré
dans un groupe se voit attribuer toutes les
permissions et droits du groupe. Les groupes
simplifient donc l’administration car il est
possible d’attribuer des permissions à plusieurs
utilisateurs simultanément. Il existe deux type
de groupe différents :
- Les groupes locaux : servent à donner
aux utilisateurs des permissions d’accès à
une ressource réseau. Ils servent également
à donner aux utilisateurs des droits pour
lancer des tâches système (modifier l’heure
sur un ordinateur, sauvegarder et récupérer
des fichiers etc.). Il existe des groupes
locaux prédéfinis.
- Les groupes globaux : servent à
organiser les comptes d’utilisateur de
domaine. Ils servent surtout dans des
réseaux à domaines multiples, lorsque les
utilisateurs d’un domaine doivent pouvoir
accéder aux ressources d’un autre domaine.
Lors du premier démarrage de
Windows NT 6 groupes, par défaut sont créés:
- Administrateurs
- Opérateurs de sauvegarde
- Duplicateurs
- Utilisateurs avec pouvoir
- Utilisateurs
- Invités
Il est possible de supprimer
ces groupes par défaut ainsi que d'ajouter des
groupes d'utilisateurs personnalisés, avec des
permissions particulières selon les opérations
qu'ils sont amenés à faire sur le système. Pour
ajouter un groupe, il suffit de cliquer sur
Nouveau groupe local dans le menu
utilisateur.
Il suffit ensuite d'affecter
les différents utilisateurs à un groupe en
sélectionnant un utilisateur et en cliquant sur
Ajouter. Cela fait apparaître la boîte de
dialgoue suivante:
Celle-ci permet tout
simplement de sélectionner les groupes auxquels
un utilisateur est susceptible de faire
partie...
Les groupes prédéfinis sont
des groupes qui ont des droits d’utilisateur
déterminés. Les droits d’utilisateur déterminent
les tâches système qu’un utilisateur ou membre
d’un groupe prédéfinis peut exécuter. Voici les
trois groupes prédéfinis offerts par Windows NT
:
- Les groupes locaux prédéfinis : donnent
aux utilisateurs des droits leur permettant
d’exécuter des tâches système telles que la
sauvegarde et la restauration de données, la
modification de l’heure, ainsi que
l’administration des ressources système. Ils
se trouvent sur tous les ordinateurs
exécutant Windows NT
- Les groupes globaux prédéfinis :
fournissent aux administrateurs un moyen
simple leur permettant de contrôler tous les
utilisateurs du domaine. Les groupes globaux
prédéfinis se trouvent uniquement sur les
Contrôleurs de domaine.
- Les groupes système organisent
automatiquement les utilisateurs pour
l’utilisation du système. Les
administrateurs ne leur affectent pas
d’utilisateurs. Les utilisateurs sont soit
membres par défaut, soit deviennent membres
au cours de l’activité du réseau. Ils se
trouvent sur tous les ordinateurs exécutant
Windows NT
Tous ces groupes prédéfinis ne peuvent être ni
renommés, ni supprimés.
Voici les groupes locaux
prédéfinis:
- Utilisateurs Peuvent exécuter des tâches
pour lesquelles ils disposent d’un droit
d’accès et accéder aux ressources pour
lesquelles ils ont obtenu une permission
Le groupe local Utilisateurs avec pouvoir ne
réside que sur les serveurs membres et les
ordinateurs exécutant NT Workstation. Les
membres de ce groupe peuvent créer et
modifier des comptes, ainsi que partager des
ressources.
- Administrateurs Peuvent exécuter toutes
les tâches administratives sur l’ordinateur
local. Si l’ordinateur est un Contrôleur de
domaine, les membres peuvent administrer
entièrement le domaine
- Invités Peuvent exécuter toutes les
tâches pour lesquelles ils disposent d’un
droit d’accès et accéder aux ressources pour
lesquelles ils ont obtenu une permission.
Ses membres ne peuvent effectuer aucune
modification permanente dans leur
environnement local
- Opérateurs de sauvegarde Peuvent
utiliser le programme de sauvegarde de
Windows NT pour sauvegarder et restaurer
tous les ordinateurs exécutant Windows NT²
- Duplicateurs Utilisés par le service de
Duplicateur de répertoires. Ce groupe n’est
pas utilisé pour l’administration
Les groupes suivants sont
définis uniquement sur les contrôleurs de
domaine:
- Opérateurs de compte Peuvent
créer, supprimer et modifier les
utilisateurs, les groupes locaux et globaux.
Ils ne peuvent pas modifier les groupes
Administrateurs et Opérateurs de serveur
- Opérateurs de serveur Peuvent
partager les ressources disque, sauvegarder
et restaurer les serveurs
- Opérateurs d’impression Peuvent
configurer et gérer les imprimantes en
réseau
Lorsque Windows NT Server
est installé comme Contrôleur de domaine,
trois groupes globaux sont créés dans la
SAM. Par défaut, ces groupes n’ont pas de
droits inhérents. Ils acquièrent des droits
au moment où ils sont ajoutés aux groupes
locaux ou lorsque des droits d’utilisateur
ou des permissions leur sont attribués.
- Utilisateurs du domaine est
automatiquement ajouté au Groupe
Utilisateurs local. Par défaut, le
compte Administrateur est membre de ce
groupe
- Administrateur du domaine est
automatiquement ajouté au Groupe
Administrateurs local. Ces membres
peuvent exécuter des tâches
administratives sur l’ordinateur local.
Par défaut, le compte administrateur est
membre de ce groupe
- Invités du domaine est
automatiquement ajouté au Groupe Invités
local. Par défaut, le compte Invité est
membre de ce groupe
Enfin les groupes
systèmes prédéfinis résident sur tous les
ordinateurs exécutant Windows NT. Les
utilisateurs en deviennent membres par
défaut pendant le fonctionnement du réseau.
Le statut de membre ne peut pas être
modifié.
- Tout le monde Comprend tous
les utilisateurs locaux et distants qui
ont accès à l’ordinateur. Il contient
également tous les comptes autres que
ceux créés par l’Administrateur dans le
domaine.
- Créateur Propriétaire
Comprend l’utilisateur qui a créé ou
pris possession d’une ressource. Ce
groupe peut être utilisé pour gérer les
accès aux fichiers et aux dossiers
uniquement des volumes NTFS
- Réseau Comprend tout
utilisateur connecté à une ressource
partagée de votre ordinateur à partir
d’un autre ordinateur sur le réseau
- Interactif Inclut
automatiquement tout utilisateur qui se
connecte localement à l’ordinateur. Les
membres interactifs ont accès aux
ressources de l’ordinateur sur lequel
ils sont connectés.
|
