gestion de parcs dordinateurs inf-1017. contenu du cours 2 administration des utilisateurs et des...

GESTION DE PARCS D’ORDINATEURS

INF-1017

Contenu du cours 2

• ADMINISTRATION DES UTILISATEURS ET DES GROUPES– Généralités sur les groupes– Étendue des groupes– Planification et gestion des OU– Planification et gestion des groupes– Administration des groupes prédéfinis et des droits

utilisateurs– Création de comptes machine (computer)– Création de comptes utilisateur

Contenu du cours 2

• ADMINISTRATION DES UTILISATEURS ET DES GROUPES– Administration des comptes utilisateur– Profils utilisateur

• LECTURES: Chapitre 9 (WIN SERVER 2003)

• Notes de cours (site ftp UQTR)

ADMINISTRATION DES UTILISATEURS ET DES GROUPES

• Généralités– Les groupes sont des objets de l’annuaire AD ou des objets locaux de la

machine, ces objets contiennent des utilisateurs, des contacts, des ordinateurs ou d’autres groupes

– Les groupes facilitent l’administration des droits et permissions puisqu’elles peuvent être affectées à un groupe d’utilisateurs au lieu des utilisateurs individuellement

– WINDOWS SERVER 2003 gère deux types de groupes:• Groupe de sécurité: Auxquels ont peut affecter des privilèges

• Groupe de distribution: Permet d’acheminer des messages à des groupes d’utilisateurs


• Généralités

(Exchange)


• Généralités (Relations entre groupes et utilisateurs)


• Étendue d’un groupe– Global

• Peut avoir des permissions pour des ressources situées dans tous les domaines d’une forêt, ce type de groupe ne peut contenir que des membres du domaine où il a été crée

• Idéal pour les objets (comptes utilisateurs, d’ordinateurs) de l’annuaire nécessitant une maintenance régulière

• Peut contenir d’autres groupes globaux du même domaine et/ou des utilisateurs et/ou des ordinateurs du même domaine

– Local de domaine• Ses membres peuvent provenir de n’importe quel domaine mais ne pouvez

lui accorder des permissions que sur des ressources (locales) du domaine où le groupe à été créé

• Membres possibles– Autres groupes locaux de domaine du même domaine– Groupes globaux de tous les domaines– Groupes universels de tous les domaines– Utilisateurs de tous les domaines


• Étendue d’un groupe– Universel

• Peut avoir des permissions pour des ressources situées dans tous les domaines d’une forêt

• Idéal pour consolider des groupes de plusieurs domaines dans une forêt

• Membres possibles– Autres groupes locaux de domaine du même domaine

– Groupes globaux de tous les domaines

– Groupes universels de tous les domaines

– Utilisateurs de tous les domaines


• Étendue d’un groupe– Groupe local


• Étendue d’un groupe– Utilisations


• Étendue d’un groupe– Groupe global


• Exemple d’utilisation de groupes locaux et globaux– Une compagnie avec deux domaines (Entcert1.com et

Entcert2.com)– Les ingénieurs des deux domaines doivent pouvoir

accéder à des ressources comme des répertoires et des applications disponibles dans le domaine Entcert2.com

– Sol’n: Création de deux groupes globaux et un groupe local


• Exemple d’utilisation de groupes locaux et globaux


• Étendue d’un groupe– Universel

• Peut contenir des membres de tous les domaines et se voir doter de permissions sur les ressources de tous les domaines

• Membres possibles:

– Autres groupes universels

– Groupes globaux

– Utilisateurs


• Planification et gestion des OU– Permet d’offrir des outils pour organiser les collections d’objets dans un

domaine. Une OU peut contenir des imprimantes, des ordinateurs, des groupes, etc.

– Permet de gérer les niveaux de contrôle administratif par l’utilisation de permissions spécifiques.

– Permet de simplifier la gestion des regroupements de ressources selon leurs caractéristiques propres.


• Planification et gestion des OU

Organisation d’objets en OU Modèles hiérarchiques possibles

Dénominations possibles des OU


• Planification et gestion des OU– Création d’OU

• Choisissez Utilisateurs et Ordinateurs Active Directory dans le menu Outils d’administration

• Cliquez-droit sur le domaine, choisissez Nouveau puis Unité d’organisation

• Introduire le nom de la nouvelle OU et cliquez sur OK


• Planification et gestion des groupes– Création d’un groupe

• Ouvrez l’outil d’administration Utilisateurs et ordinateurs Active Directory

• Ouvrez le domaine dans lequel vous créez le groupe

• Cliquez-droit sur Users (ou le OU choisi), faites Nouveau/Groupe pour ouvrir la boîte de dialogue Nouvel objet-Groupe


• Planification et gestion des groupes– Création d’un groupe

• Saisissez le nom du groupe et cochez l’option Étendue de groupe et le Type de groupe

• Cliquez sur OK. Le nouveau groupe est inséré dans le conteneur Users (ou le OU choisi)

– Ajout d’utilisateurs (de membres) à un groupe• Ouvrez l’outil d’administration Utilisateurs et ordinateurs AD

• Cliquez sur le conteneur qui contient les objets à ajouter au groupe

• Sélectionnez les objets (users, groupes, ordinateurs, etc.) à ajouter

• Cliquez-droit sur votre sélection et choisissez Ajouter à un groupe. La boîte de dialogue Sélectionnez groupe s’ouvre. Utilisez Types d’objets et Emplacements pour restreindre la recherche

• Tapez les premières lettres du nom du groupe et cliquez OK. La liste des correspondances est affichée, cliquez sur le groupe souhaité puis sur OK


• Administration des groupes prédéfinis et des droits utilisateurs– Groupes locaux de domaine prédéfinis

• Fournissent aux utilisateurs des droits et des permissions pour effectuer certaines tâches sur les contrôleurs de domaines et sur AD

• Les utilisateurs et les groupes globaux ajoutés aux groupes locaux de domaine héritent automatiquement des droits et permissions prédéfinis pour ces groupes locaux de domaines


• Administration des groupes prédéfinis et des droits utilisateurs

– Groupes locaux de domaine prédéfinis


• Administration des groupes prédéfinis et des droits utilisateurs

– Groupes globaux prédéfinis


• Groupes locaux de domaine prédéfinis


• Administration des groupes prédéfinis et des droits utilisateurs– Groupes globaux prédéfinis

• Par défaut les groupes ne possèdent pas de privilèges intrinsèques, l’administrateur affecte les privilèges


• Administration des groupes prédéfinis et des droits utilisateurs– Droits utilisateur

• Les permissions indiquent les accès dont peut bénéficier un utilisateur (ou un groupe) sur les objets comme des fichiers, répertoires et imprimantes

– Ex: Si un utilisateur peut lire un répertoire ou accéder à une imprimante nous parlons de permissions

• Les droits se divisent en privilèges et en droits d’ouverture de session– Exemples de privilèges: Possibilité d’exécuter des audits de sécurité ou de forcer

l’arrêt du système à partir d’une autre machine

– Droits d’ouverture concernent la capacité de se connecter à une machine de certaines façons


• Administration des groupes prédéfinis et des droits utilisateurs– Permissions sur les objets AD

• FULL CONTROL: Permet à un utilisateur de changer des permissions, prendre des droits de propriétés (take ownnership) et accomplir les tâches permises par toutes les autres permissions standards.

• WRITE: Permet la modification des attributs d’objets AD.

• READ: Permet la visualisation des objets AD, leurs attributs, leur propriétaire et leurs permissions.

• CREATE CHILD OBJECTS: Ajout d’objets AD dans une OU.

• DELETE CHILD OBJECTS: Éliminer des objets d’une OU.


• Administration des groupes prédéfinis et des droits utilisateurs– Les permissions sur les objets AD peuvent être:

• Allouées (Allowed) ou défendues (Denied)

• Défendues implicitement ou explicitement.

• Standards ou spéciales si un degré plus fin de contrôle sur les objets est requis.

• Créées au niveau d’un objet lui-même ou héritées de son objet parent.


• Administration des groupes prédéfinis et des droits utilisateurs– Héritage des permissions


• Administration des groupes prédéfinis et des droits utilisateurs– Héritage des permissions et déplacement d’objets

• Lors du déplacement d’un objet AD

– Les permissions explicites restent les mêmes.

– Les objets déplacés héritent des permissions du nouveau parent.

– Les objets déplacés ne sont plus héritiers des permissions de leur ancien parent.

• L’héritage des permissions peut être bloqué par la création de permissions explicites.

– En copiant (COPY) les permissions héritées à l’objet, elles deviennent alors explicites, elles peuvent alors être modifiées.

– En les éliminant (REMOVE), et ajoutant de nouvelles permissions à un objet.


• Droits d’ouverture de session


• Privilèges affectés par défaut aux groupes


• Privilèges affectés par défaut aux groupes (suite)


• Administration des groupes prédéfinis et des droits utilisateurs– Affectation de droits à un groupe

• Si un groupe d’utilisateurs doivent pouvoir ouvrir des sessions locales sur les serveurs WINDOWS SERVER 2003 mais qu’ils ne doivent pas être membres de l’un des groupes possédant par défaut ce droit

– Solution:

» Créer un groupe (ex: SessionsLocales)

» Ajouter les utilisateurs à ce groupe

» Affecter à ce groupe le droit d’ouvrir des sessions locales

– Ouvrir l’outil d’administration Utilisateur et ordinateurs AD. Cliquez-droit sur le domaine et choisissez Propriétés

– Allez dans l’onglet Stratégies de groupe, cliquez sur Modifier. Développez la branche Configuration ordinateur et ensuite la branche Paramètres Windows

– Sous Paramètres de sécurité, cliquez sur Stratégies locales puis Attributions des droits utilisateur, cliquez deux fois sur Ouvrir une session localement dans le volet de droite

– Cochez Définir ces paramètres de stratégies, cliquez sur Ajouter

– Tapez le nom du groupe auquel vous accordez ce droit (ou cliquez sur Parcourir). Cliquez deux fois sur OK et fermer la fenêtre Stratégies de groupe


• Administration des groupes prédéfinis et des droits utilisateurs– Affectation de droits à un groupe

• Droits utilisateur dans la stratégie de groupe


• Création de comptes machine– L’outil d’administration Utilisateur et ordinateur AD

facilite l’ajout, la suppression, la localisation, le déplacement et la gestion des ordinateurs dans un domaine et une forêt.

– Les ordinateurs sont traités de façon similaires à des comptes utilisateurs dans AD. Ils sont associés à des objets dans AD.


• Création de comptes machine – Création d’un compte machine

• Ouvrir l’outil d’administration Utilisateur et ordinateur AD

• Cliquez-droit sur le conteneur (Domain -> Computers, ou un OU) dans lequel vous voulez créer le compte, choisissez Nouveau puis Ordinateurs

• Donnez un nom à la machine


• Création de comptes machine – Enlever un compte machine

• Ouvrir l’outil d’administration Utilisateur et ordinateur AD

• Cliquez-droit sur le conteneur (Domain -> Computers, ou un OU) dans lequel vous voulez créer le compte, choisissez Effacer

• OK pour confirmer


• Création de comptes utilisateur– Chaque personne qui veut accéder au réseau doit posséder un compte utilisateur

qui permet:• D’authentifier l’identité des personnes

• De contrôler les accès aux ressources du domaine

• D’auditer les actions faites via le compte

– WINDOWS SERVER 2003 ne crée que deux comptes prédéfinis• Compte Administrateur avec tous les droits et permissions

• Compte Invité avec des privilèges restreints

– Dénomination et paramétrage de compte• Créez les noms principaux de sécurité en suivant une convention de dénomination

cohérente (ex: Nom+initiale du prénom, Prénom+initiale du nom)

– Paramètres à considérer• Horaire d’accès: Par défaut, un utilisateur peut ouvrir une session à n’importe

quelle heure du jour ou de la nuit mais peut être changé selon les besoins

• Date d’expiration d’un compte

• Un bon mot de passe (au moins 6 caractères dont 2 alphanumériques)


• Création de comptes utilisateur– Création d’un compte utilisateur de domaine

• Ce type de compte peut être créé dans l’OU par défaut USERS mais vous pouvez créer une OU destinée à contenir les comptes utilisateurs de domaine

– Ouvrir l’outil d’administration Utilisateur et ordinateur AD

– Cliquez-droit sur le conteneur dans lequel vous voulez créer le compte, choisissez Nouveau puis Utilisateur

– Tapez les nom et prénom de l’utilisateur


• Création de comptes utilisateur– Création d’un compte utilisateur de domaine

• Création d’un compte utilisateur (suite)– Tapez le nom d’ouverture de session. Ce nom doit être unique au niveau de AD

– Tapez un mot de passe et définissez les stratégies de mot de passe, cliquez Suivant

– Un écran de confirmation montrant les détails du compte est ensuite affiché, si tout est conforme, cliquez sur Terminer

– Configuration d’un compte utilisateur• Démarrer l’outil d’administration Utilisateurs et ordinateur AD

• Ouvrez l’OU contenant le compte utilisateur concerné

• Cliquez-droit sur le compte et choisissez Propriétés

• Cliquez sur l’onglet correspondant à la propriété à modifier. Quand vous avez terminé vos modifications faite OK


• Création de comptes utilisateur– Configuration d’un compte utilisateur (Propriétés générales)


• Création de comptes utilisateur– Configuration d’un compte utilisateur (Propriétés Adresse)


• Création de comptes utilisateur– Configuration d’un compte utilisateur (Propriétés Compte)


• Création de comptes utilisateur– Configuration d’un compte utilisateur (Propriétés Compte: Heures d’accès,

machines d’accès)


• Création de comptes utilisateur– Configuration d’un compte utilisateur (Propriétés Compte: Membre)


• Onglets correspondant aux propriétés d’un compte utilisateur


• Administration des comptes utilisateur– Recherche d’un compte utilisateur

• Ouvrez l’outil d’administration Utilisateurs et ordinateurs AD, dans la barre d’outils cliquez sur Rechercher

• La boîte de dialogue Rechercher utilisateurs, contacts et groupes s’ouvre


• Administration des comptes utilisateur– Recherche d’un compte utilisateur (suite)

• Déroulez la liste Rechercher et sélectionnez le type d’objet à rechercher

• Spécifiez l’étendue de la recherche dans la zone Dans. Tapez un nom ou une partie de nom et cliquez Rechercher

• L’option Requête commune permet de rechercher les comptes désactivés ou les comptes ayant un mot de passe expiré

• Pour un recherche avancée cliquez sur l’onglet Avancé (ex: recherche d’une imprimante)


• Administration des comptes utilisateur– Activation et désactivation d’un compte utilisateur

• Rechercher le compte de l’utilisateur

• Cliquez-droit sur le nom de l’utilisateur et choisissez Désactiver le compte


• Administration des comptes utilisateur– Suppression d’un compte utilisateur

• Veuillez être bien certain avant de supprimer un compte puisque toute la configuration du compte (permissions, les appartenances aux groupes etc.) est détruite

– Autres opérations• Transfert d’un compte utilisateur

• Renommer un compte utilisateur

• Réinitialisation d’un mot de passe


• Administration des comptes utilisateur– Autres opérations

• Déverrouillage de compte utilisateur– Ex: Un utilisateur contrevient à une stratégie de groupe en faisant trop de tentatives

erronées de saisie de mot de passe, la GPO verrouille le compte

» Rechercher le compte verrouillé

» Cliquez-droit sur le compte et choisissez Propriétés

» Cliquez sur l’onglet Compte

» Décochez la case Le compte est verrouillé et cliquez OK

– Répertoires personnels• Le répertoire personnel de l’utilisateur lui permet d’entreposer ses documents sur un

serveur

• Avantages:– Centralisation de la sauvegarde des documents des utilisateurs

– Les utilisateurs peuvent avoir accès à leurs répertoires personnels depuis n’importe quel poste de travail

– Les répertoires personnels sont accessibles à tous les clients MicroSoft


• Administration des comptes utilisateur– Répertoires personnels

• Création de répertoires personnels sur un serveur– Sur le serveur créez un nouveau dossier destiné à contenir les répertoires personnels

– Cliquez-droit sur ce répertoire et choisissez Partage et sécurité

– Cliquez sur l’onglet Partage puis sur Partager ce dossier

– Cliquez sur l’onglet Sécurité et assignez le contrôle total au groupe Utilisateurs



• Accès des utilisateurs à leurs répertoires personnels– Pour rendre un répertoire personnel accessible à un utilisateur il faut ajouter le chemin de

ce répertoire aux propriétés du compte utilisateur

» Trouver le compte utilisateur dans AD

» Cliquez-droit sur le nom de l’utilisateur et choisissez Propriétés

» Allez dans l’onglet Profil. Dans la zone Dossier de base, cliquez sur Connecter puis tapez une lettre de lecteur qui servira à se connecter au serveur de fichiers

» Dans la zone À, spécifiez le nom UNC de la connexion (ex: \\serveur\partage\utilisateur)

» En utilisant la variable %username% il y aura création d’un répertoire personnel portant le nom d’ouverture de session de l’utilisateur



– Spécification d’un répertoire personnel


• Profils utilisateur– Contient les configurations du bureau et des applications de l’utilisateurs

– Avantages:• Plusieurs utilisateurs peuvent utiliser le même ordinateur, chaque utilisateur retrouve

sa configuration personnelle

• Toute modification du bureau faite par un utilisateur n’affecte pas les autres utilisateurs de la même machine

• Si les profils sont stockés sur un serveur ils peuvent suivrent les utilisateurs quelles que soient les machines WINDOWS SERVER 2003 sur lesquelles ils ouvrent des sessions

– Types de profil• Local: Spécifique à un utilisateur, local à une machine et stocké sur son disque dure

• Itinérant: Créé par un administrateur et stocké sur un serveur donc suit l’utilisateur quelle que soit la machine sur laquelle il ouvre une session

• Obligatoire: Profil itinérant qui ne peut être modifié que par un administrateur


• Profils utilisateur– Profil local (Répertoires)


• Profils utilisateur– Combinaison des profiles User et All users


• Profils utilisateur– Contenu d’un profil

• Application data

• Bureau (défaut)

• Favoris (défaut) (emplacement les plus utilisés sur le WEB)

• Local settings (défaut)

• Menu Démarrer (défaut)

• Mes Documents (défaut)• Modèles

• Recent (fichiers, dossiers récemment utilisés)

• SendTo

• Voisinage d’impression (raccourcis vers les éléments du dossier Imprimantes et télécopieurs)

• Voisinage réseau


• Profils utilisateur– Profils locaux (Administrateur)

• Profil propre à une machine stocké dans le dossier Documents and Settings


• Profils utilisateur– Profils itinérants

• Créez sur le serveur un dossier partagé destiné aux profils (ex: Profils)

• Dans l’onglet Profil de la boîte de dialogue des propriétés de l’utilisateur, tapez le chemin du profil (ex: \\serveur\dossier_profils\%username%)