~~SLIDESHOW~~ ====== SI5 - Windows 2003 : Gestion des Utilisateurs et des Groupes ====== TP 06 - mardi 22 février et jeudi 24 février 2012 ===== Objectifs ===== * étudier la gestion des utilisateurs et des groupes au sein d'un domaine Windows Server 2003, à travers les composants de l'Active Directory * découvrir comment : * créer des utilisateurs ; * créer des groupes ; * affecter des utilisateurs à un ou plusieurs groupes ; * affecter des pouvoirs précis à un (des) groupe(s) ou un (des) utilisateur(s). ===== Prérequis ===== * nous utiliserons le serveur **srv2003PN** installé lors d'un précédent TP ====== GESTION DES UTILISATEURS ET DES GROUPES ====== Un compte est dit **local** pour une station de travail ou un serveur membre Windows Server 2003 lorsqu'il permet d'ouvrir une session sur la machine en local. Vous ne pourrez pas utiliser les comptes locaux pour ouvrir une session dans un domaine, nous ne les étudierons pas dans cette séquence de TP. **Le compte d'ouverture de session d'un utilisateur sur un domaine Active Directory est dit global ou de domaine.** ===== Création d'utilisateurs ===== Nous allons d'abord créer l'utilisateur **Jean Valentin, notre responsable du Service Commercial**. * Ouvrez une session en tant qu'administrateur ou opérateur de compte. * Allez dans **Démarrer/Outils d'administration**, choisissez **Utilisateurs et ordinateurs Active Directory**. * Sélectionnez l'unité d'organisation où vous voulez créer l'utilisateur, nous choisirons pour notre exemple **France/Siege Euromedia France/Commercial**. * Cliquez dans le menu **Action/Nouveau/Utilisateur**. * Renseignez les différents champs, comme ci-après pour notre exemple Jean Valentin. {{:si5:si5..c4_g1.png|Fig1: création d'un utilisateur}} Tous ces champs sont obligatoires sauf **Prénom** et **Initiales**, le « Nom complet» doit être unique à l'intérieur de l'unité d'organisation et le « Nom d'ouverture de session » doit être unique dans le domaine. //Notez que le **Nom complet** est automatiquement rempli une fois que vous avez saisi les champs Prénom et Nom//. * Cliquez **Suivant** après les avoir renseignés. //Le Nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000) ou nom de login NetBios est limité à 20 caractères, il est renseigné d'après le Nom d'ouverture de session de l'utilisateur défini sur le serveur Windows 2003.// Le mot de passe de chaque utilisateur doit respecter la longueur minimale (7 caractères par défaut) et les règles de complexité (majuscules et minuscules) que vous avez défini. * Tapez **Pass2003** dans la zone **Mot de passe** puis confirmez-le dans la zone suivante. //Attention au respect de la casse pour les mots de passe. Pour les noms d'ouverture de session, la casse est indifférente.// {{:si5:si5..c4_g2.png|Fig2: Saisie du mot de passe}} L'option **L'utilisateur doit changer de mot de passe...** permet d'obliger l'utilisateur à entrer un nouveau mot de passe lorsqu'il se connectera pour la première fois. * L'option **L'utilisateur ne peut pas changer de mot de passe** permet à l'inverse d'imposer un mot de passe à l'utilisateur qu'il ne pourra pas modifier. Ceci est utilisé pour les comptes d'invité utilisés par des personnes de passage qui ne doivent donc pas modifier le mot de passe que vous avez défini. * L'option **Le mot de passe n'expire jamais** permet de ne pas avoir à changer de mot de passe. * L'option **Le compte est désactivé** permet que personne ne puisse utiliser ce compte dans le cas par exemple où une personne s'absente. Il suffira à son retour de réactiver le compte en décochant la case. * Laissez cochée l'option **L'utilisateur doit changer de mot de passe...** puis **Suivant** et **Terminer**. //Si vous avez activé les règles de complexité pour les mots de passe et ne les avez pas respectées (pass2003 au lieu de Pass2003), alors un message s'affiche. Renseignez à nouveau le mot de passe en utilisant la longueur minimale définie (7 caractères par défaut) et l'utilisation de caractères majuscules et minuscules si la complexité est activée.// Pour plus d'efficacité dans la création des comptes d'utilisateurs de votre domaine, nous vous conseillons de créer un utilisateur modèle avec les caractéristiques communes aux utilisateurs de votre unité d'organisation ou de votre domaine. Ce modèle vous servira à créer par recopie l'ensemble de vos comptes. * Sélectionnez l'unité d'organisation de référence. Nous choisirons donc pour notre exemple **Siège EUROMEDIA France**. * Cliquez le menu **Action Nouveau Utilisateur** et créez l'utilisateur modèle suivant : {{:si5:si5..c4_g3.png|Fig3: Utilisateur modèle}} ===== Propriétés de l'objet utilisateur ===== Nos utilisateurs ont été créés avec des propriétés minimales, qu'il va falloir étoffer. Nous ferons désormais les manipulations sur l'utilisateur « Modèle ». Cet utilisateur générique apparaît dans le volet droit de la console après avoir développé **Siège EUROMEDIA France**. * Double-cliquez sur l’icône **Modèle** (l'utilisateur modèle que vous venez de créer) ou cliquez droit sur cette icône **Modèle** puis **Propriétés**. Les onglets correspondent aux différentes propriétés de l'objet utilisateur : * Onglet **Général :** il reprend l'écran dans lequel vous avez saisi le nom et le prénom de l'utilisateur avec quelques propriétés supplémentaires comme le n° de téléphone que vous pouvez renseigner. * Onglet **Adresse :** il permet de saisir l'adresse complète de votre utilisateur. * Onglet **Compte :** les options de compte sont celles que l'on a définies sur les mots de passe lors de la création du compte d'utilisateur. On peut aussi y définir une date d'expiration du compte (pour un intérimaire par exemple). {{:si5:si5..c4_g4.png|Fig4: Options de compte}} Vos utilisateurs habituels ne sont pas dans vos locaux le week-end ni entre 20 h et 8 h. Nous allons donc limiter les horaires d'accès de notre modèle. * Cliquez l'onglet **Compte** puis **Horaires d'accès...** * Sélectionnez la ligne du **Dimanche** puis cliquez **ouverture de session refusée**, le changement est matérialisé par une ligne blanche : {{:si5:si5..c4_g5.png|Fig5: Horaires d'accès}} * Faites de même pour le Samedi et les heures avant 8 h et après 20 h. * Le résultat est le suivant : {{:si5:si5..c4_g6.png|Fig6: Horaires d'accès (bis)}} * Cliquez pour valider les changements. * Onglet Compte, bouton **Se connecter à... :** il permet de désigner à partir de quelle machine l'utilisateur est habilité à ouvrir une session. On peut lui affecter une, plusieurs ou toutes les machines du domaine. {{:si5:si5..c4_g7.png|Fig7: Stations accessibles}} * Onglet **Profil :** détermine où l'on stocke le profil utilisateur ; ainsi, plusieurs utilisateurs de la même machine peuvent avoir leur propre environnement. C'est ici aussi que l'on indique le chemin d'un éventuel script pour cet utilisateur ainsi que le chemin de son dossier de base (ou privé). Il est intéressant de configurer ces éléments pour notre modèle, comme sur l'écran ci-dessous {{:si5:si5..c4_g8.png|Fig8: Profil utilisateur}} * Tapez \\nom du serveur\profils\%username% dans la zone **Chemin du profil**. * Cliquez **Connecter** et choisissez H (pour « Home ») comme lettre de lecteur réseau. * Tapez \\nom du serveur\users\%username% dans la zone À: puis cliquez OK. //L'utilisation de la variable %username% permet d'avoir par défaut l'autorisation NTFS **Contrôle Total** pour l'utilisateur sur son répertoire privé.// Le répertoire **Modèle** est créé automatiquement dans le volume **Users** : {{:si5:si5..c4_g9.png|}} Les onglets suivants ne seront pas renseignés pour notre modèle, vous les remplirez le cas échéant pour chaque utilisateur : * Onglet **Téléphone :** il permet de saisir divers numéros de téléphone pour l' utilisateur. * Onglet **Organisation :** il permet de saisir les informations concernant le titre, la fonction et l'entreprise de l'utilisateur. * Onglet **Membre de :** il permet d'indiquer l'appartenance de l'utilisateur à un ou des groupes et de lui ajouter des affectations. Par défaut, tout utilisateur fait partie du groupe **Utilisateurs du Domaine**. * Onglet **Appel entrant :** il permet de configurer les permissions d'appel et de rappel éventuel, afin de permettre à l'utilisateur d'ouvrir une session à travers un accès distant (Service RAS). Les autres onglets sont utilisés pour configurer les services **Terminal Server**, leur étude sera réalisée ultérieurement ... ===== RENOMMER ===== Nous allons renommer le compte **Modèle** en **_Modèle** afin qu'il apparaisse en haut de votre liste d'utilisateurs, ce qui facilitera sa visibilité pour les opérations de copie. * Cliquez avec le bouton droit **Modèle** puis cliquez **Renommer**. * Tapez **_Modèle** puis validez {{:si5:si5..c4_g10.png|Fig10: Modification du nom de l'utilisateur}} * Tapez **_Modèle** dans toutes les zones **Nom** et **Nom d'ouverture de session** puis cliquez **OK**. ===== DÉSACTIVER ===== Lorsqu'un utilisateur est absent longtemps, vous pouvez pour plus de sécurité désactiver son compte, pour le réactiver à son retour. C'est ce que nous allons faire pour notre utilisateur générique « Modèle », car il vaut mieux éviter que ce compte soit utilisé par n'importe qui. * Cliquez avec le bouton droit **_Modèle**, puis cliquez **Désactiver le compte** puis **OK**. L'utilisateur **Modèle** apparaît dans le volet droit sous une nouvelle forme (barré d’une croix rouge). Pour réactiver un compte, choisissez l'option **Activer le compte** dans le menu contextuel. ===== COPIER ===== Nous avons créé l'utilisateur **Modèle**, nous allons maintenant l'utiliser pour créer d'autres utilisateurs par copie. * Cliquez avec le bouton droit **_Modèle**, puis cliquez **Copier...** * Renseignez les différents champs, comme ci-après pour notre exemple Christophe Durand, puis cliquez **Suivant**. {{:si5:si5..c4_g11.png|Fig11: Copier un objet utilisateur}} * Tapez **Pass2003** dans la zone **Mot de passe** puis confirmez-le dans la zone suivante. * Cochez l'option **L'utilisateur doit changer de mot de passe...** * Décochez l'option **Le compte est désactivé** puis cliquez **OK** puis **Suivant**. * Cliquez **Terminer :** l'utilisateur **Christophe Durand** apparaît dans le volet droit. Nous allons renommer le compte **Administrateur** afin de limiter les risques d'intrusion avec un compte disposant de tous les privilèges. Afin de prévenir une erreur de manipulation ou une erreur réseau, nous allons effectuer une copie du compte et nous désactiverons l'original ensuite. * Placez-vous dans l'unité d'organisation **Users**. * Cliquez avec le bouton droit **Administrateur**, puis cliquez **Copier...** * Renseignez les différents champs en utilisant un nom connu de vous seul puis cliquez **Suivant**. * Tapez un mot de passe et confirmez-le dans la zone suivante. * Cliquez **Suivant** puis **Terminer**. Vérifiez que l'utilisateur que vous venez de créer est bien membre des groupes administratifs du domaine et testez ses droits. Vous pouvez maintenant désactiver le compte **Administrateur** afin d'empêcher toute utilisation frauduleuse. ===== DÉPLACER ===== Christophe Durand fait partie du service **Comptabilité**, nous allons donc le déplacer dans l'unité d'organisation ad hoc, soit : **Comptabilité**. * Cliquez avec le bouton droit **Christophe Durand** , puis cliquez **Déplacer...** * Développez l'unité d'organisation **Siège Euromédia France** en cliquant sur + * Cliquez **Comptabilité** puis **OK**. {{:si5:si5..c4_g12.png|}} * L'utilisateur **Christophe Durand** apparaît maintenant dans le volet droit de **Comptabilité** Pour accélérer la création de vos utilisateurs, copiez votre modèle dans chaque unité d'organisation, vous n'aurez plus à effectuer de déplacement d'utilisateur. * Créez ainsi un modèle **Commercial ** avec les spécificités d'appartenance au groupe Commerciaux ... ===== CHANGEMENT DE MOT DE PASSE ===== Si un utilisateur oublie son mot de passe, il n'est pas possible de le lui retrouver, il faut le réinitialiser. * Cliquez avec le bouton droit sur l'utilisateur, puis cliquez **Réinitialiser le mot de passe...** * Renseignez les nouveaux mots de passe puis validez ===== Appartenance à un groupe de sécurité ===== L'appartenance des utilisateurs à des groupes de sécurité, permet de simplifier la tâche de l'administrateur en regroupant les utilisateurs de mêmes ressources ; l'administrateur affectera les autorisations à un groupe plutôt qu'à chaque utilisateur. Windows Server 2003 offre des groupes prédéfinis, chacun d'eux ayant des droits bien spécifiques. Il convient donc de savoir quels droits on veut accorder à notre utilisateur avant d'utiliser ces groupes. Pour connaître les droits associés à ces groupes prédéfinis, allez chercher la rubrique **Groupes prédéfinis, Active Directory** dans l'aide de Windows 2003. Les groupes prédéfinis sont faits de façon à ce que l'administrateur du réseau délègue des tâches de gestion bien précises à certains utilisateurs. Pour un grand réseau il convient mieux qu'il y ait des groupes de personnes chargées uniquement de la gestion des sauvegardes, d'autres qui seront opérateurs d'impression, etc. Le but d'un groupe est d'y placer des utilisateurs qui auront tous les mêmes droits et les mêmes autorisations sur les ressources partagées. Il est en effet plus facile de faire des restrictions sur un groupe que pour chaque utilisateur. Dans Windows Server 2003, on trouve aussi la présence de groupes de distribution utilisés pour la messagerie électronique mais ne donnant pas d'autorisations d’accès. =====Création de groupes de sécurité ===== * cliquez **Démarrer/Outils d'administration**, puis choisissez **Utilisateurs et Ordinateurs Active Directory**. * Sélectionnez l'unité d'organisation où vous voulez créer le groupe. Nous choisirons pour notre exemple **Siège EUROMEDIA France/Commercial**. * Cliquez dans le menu **Action Nouveau Groupe**. * Tapez **Commerciaux** dans la zone **Nom de groupe** puis cliquez **OK** {{:si5:si5..c4_g13.png|Fig13: Nouveau groupe}} * Le groupe Commerciaux apparaît dans le volet droit (comme Groupe de sécurité - Global). ** Notions de groupe local, global et universel : ** * s'il appartient à un groupe **Domaine local**, un utilisateur ne peut avoir **accès qu'à des ressources présentes dans son domaine**. * Dans un groupe **Global**, il peut se voir accorder **l'accès à des ressources appartenant à d'autres domaines** reliés par des relations d'approbation. * Un groupe **Universel** permet lui de regrouper des **utilisateurs** et surtout des **groupes globaux appartenant à plusieurs domaines** en vue de leur accorder des permissions **d'accès sur des ressources de différents domaines**. **Un groupe Global peut contenir uniquement des membres** (utilisateurs, groupes globaux) **appartenant au domaine** Dans la majorité des cas, c'est ce type de groupe qui est utilisé. **Un groupe Domaine local peut contenir des membres** (utilisateurs, groupes globaux et universels) appartenant à n'importe quel domaine de la forêt et éventuellement des groupes Domaine local du même domaine. **Un groupe Universel** est constitué d'un ensemble de comptes utilisateurs, de groupes globaux ou universels **appartenant à n'importe quel domaine de la forêt**. La démarche d'organisation préconisée par Microsoft, et qui offre à la fois évolutivité et sécurité, est la suivante : * créer un **compte d'utilisateur** de domaine ; * créer un **groupe global** et y **incorporer l'utilisateur** ; * créer un **groupe domaine local** correspondant à la ressource que l'on veut partager ; * **indure le groupe global dans le groupe domaine local** du domaine ou d'un autre domaine lié par une relation d'approbation ; * **attribuer les autorisations** et les droits au **groupe domaine local**. //Remarque : Lorsque l'on crée un nouveau groupe, il s'agit par défaut d'un **groupe de sécurité** avec une étendue **globale**.// ===== Ajout d'un utilisateur à un groupe ===== Ceci peut se faire de plusieurs manières : soit en ajoutant un membre au groupe, soit en faisant appartenir l'utilisateur à un groupe. * Cliquez **Siège EUROMEDIA France/Commercial** dans le volet gauche. __1ère méthode__ * Double-cliquez le groupe **Commerciaux** dans le volet droit ou cliquez-le avec le bouton droit puis **Propriétés**. * Cliquez l'onglet **Membres** puis cliquez **Ajouter**. * Tapez **Jean Valentin** puis cliquez **Vérifier les noms** puis **OK** pour valider. {{:si5:si5..c4_g14.png|}} * Cliquez **OK** dans **Propriétés de Commerciaux**. __2ème méthode__ * Double-cliquez l'utilisateur **Jean Valentin** dans le volet droit (ou cliquez-le avec le bouton droit puis **Propriétés**). * Cliquez l'onglet **Membre de** puis cliquez **Ajouter**. * Cliquez le bouton **Avancé...** puis **Rechercher**, la liste de groupes du domaine s'affiche. * Cliquez **commerciaux** dans la liste puis **OK** et à nouveau **OK**. Le groupe **Commerciaux** apparaît dans la fenêtre **Membre de** : {{:si5:si5..c4_g15.png|}} __3ème méthode__ * Cliquez avec le bouton droit l'utilisateur **Jean Valentin** dans le volet droit, puis cliquez **Ajouter à un groupe...** * Cliquez le bouton **Avancé...** puis **Rechercher**. * Cliquez **commerciaux** dans la liste puis **OK** et à nouveau **OK**. //Modifiez votre modèle « Commercial » en le rendant membre du groupe Commerciaux et créez les utilisateurs de ce groupe par recopie//.