TP 09 Vendredi 5 Avril 2013

• étudier la gestion des utilisateurs et des groupes au sein d'un domaine Windows Server 2003, à travers les composants de l'Active Directory
• découvrir comment :
  • créer des utilisateurs ;
  • créer des groupes ;
  • affecter des utilisateurs à un ou plusieurs groupes ;
  • affecter des pouvoirs précis à un (des) groupe(s) ou un (des) utilisateur(s).

• nous utiliserons le serveur srv2003PN installé lors d'un précédent TP

Un compte est dit local pour une station de travail ou un serveur membre Windows Server 2003 lorsqu'il permet d'ouvrir une session sur la machine en local. Vous ne pourrez pas utiliser les comptes locaux pour ouvrir une session dans un domaine, nous ne les étudierons pas dans cette séquence de TP. Le compte d'ouverture de session d'un utilisateur sur un domaine Active Directory est dit global ou de domaine.

Les unités d'organisation sont des conteneurs Active Directory dans lesquels vous pouvez placer des utilisateurs, des groupes, des ordinateurs et d'autres unités d'organisation. Vous pouvez créer des unités d'organisation de façon à refléter la structure fonctionnelle ou commerciale de votre société.

• Créer l'unité d'organisation EuromediaFrance dans votre domaine
• Créer dans cette unité d'organisation d'autres unité d'organisation : Commercial, Comptabilité, Direction, Secrétariat

Nous allons d'abord créer l'utilisateur Jean Valentin, notre responsable du Service Commercial.

• Allez dans Démarrer/Outils d'administration, choisissez Utilisateurs et ordinateurs Active Directory.
• Sélectionnez l'unité d'organisation où vous voulez créer l'utilisateur, nous choisirons pour notre exemple EuromediaFrance/Commercial.
• Cliquez dans le menu Action/Nouveau/Utilisateur.
• Renseignez les différents champs, comme ci-après( à l'exception du domaine qui et celui que vous avez défini) pour notre exemple Jean Valentin.

Tous ces champs sont obligatoires sauf Prénom et Initiales, le « Nom complet» doit être unique à l'intérieur de l'unité d'organisation et le « Nom d'ouverture de session » doit être unique dans le domaine.

Notez que le Nom complet est automatiquement rempli une fois que vous avez saisi les champs Prénom et Nom.

• Cliquez Suivant après les avoir renseignés.

Le Nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000) ou nom de login NetBios est limité à 20 caractères, il est renseigné d'après le Nom d'ouverture de session de l'utilisateur défini sur le serveur Windows 2003.

Le mot de passe de chaque utilisateur doit respecter la longueur minimale (7 caractères par défaut) et les règles de complexité (majuscules et minuscules) que vous avez défini.

• Tapez Pass2003 dans la zone Mot de passe puis confirmez-le dans la zone suivante.

Attention au respect de la casse pour les mots de passe. Pour les noms d'ouverture de session, la casse est indifférente.

L'option L'utilisateur doit changer de mot de passe… permet d'obliger l'utilisateur à entrer un nouveau mot de passe lorsqu'il se connectera pour la première fois.

• L'option L'utilisateur ne peut pas changer de mot de passe permet à l'inverse d'imposer un mot de passe à l'utilisateur qu'il ne pourra pas modifier.

Ceci est utilisé pour les comptes d'invité utilisés par des personnes de passage qui ne doivent donc pas modifier le mot de passe que vous avez défini.

• L'option Le mot de passe n'expire jamais permet de ne pas avoir à changer de mot de passe.
• L'option Le compte est désactivé permet que personne ne puisse utiliser ce compte dans le cas par exemple où une personne s'absente. Il suffira à son retour de réactiver le compte en décochant la case.
• Laissez cochée l'option L'utilisateur doit changer de mot de passe… puis Suivant et Terminer.

Si vous avez activé les règles de complexité pour les mots de passe et ne les avez pas respectées (pass2003 au lieu de Pass2003), alors un message s'affiche. Renseignez à nouveau le mot de passe en utilisant la longueur minimale définie (7 caractères par défaut) et l'utilisation de caractères majuscules et minuscules si la complexité est activée.

Pour plus d'efficacité dans la création des comptes d'utilisateurs de votre domaine, nous vous conseillons de créer un utilisateur modèle avec les caractéristiques communes aux utilisateurs de votre unité d'organisation ou de votre domaine. Ce modèle vous servira à créer par recopie l'ensemble de vos comptes.

• Sélectionnez l'unité d'organisation de référence. Nous choisirons donc pour

notre exemple EuromediaFrance.

• Cliquez le menu Action Nouveau Utilisateur et créez l'utilisateur modèle suivant :

Nos utilisateurs ont été créés avec des propriétés minimales, qu'il va falloir étoffer. Nous ferons désormais les manipulations sur l'utilisateur « Modèle ». Cet utilisateur générique apparaît dans le volet droit de la console après avoir développé EuromediaFrance.

• Double-cliquez sur l’icône Modèle (l'utilisateur modèle que vous venez de créer) ou cliquez droit sur cette icône Modèle puis Propriétés.

Les onglets correspondent aux différentes propriétés de l'objet utilisateur :

• Onglet Général : il reprend l'écran dans lequel vous avez saisi le nom et le prénom de l'utilisateur avec quelques propriétés supplémentaires comme le n° de téléphone que vous pouvez renseigner.
• Onglet Adresse : il permet de saisir l'adresse complète de votre utilisateur.
• Onglet Compte : les options de compte sont celles que l'on a définies sur les mots de passe lors de la création du compte d'utilisateur. On peut aussi y définir une date d'expiration du compte (pour un intérimaire par exemple).

Vos utilisateurs habituels ne sont pas dans vos locaux le week-end ni entre 20 h et 8 h. Nous allons donc limiter les horaires d'accès de notre modèle.

• Cliquez l'onglet Compte puis Horaires d'accès…
• Sélectionnez la ligne du Dimanche puis cliquez ouverture de session refusée, le changement est matérialisé par une ligne blanche :

• Faites de même pour le Samedi et les heures avant 8 h et après 20 h.
• Le résultat est le suivant :

• Cliquez pour valider les changements.
• Onglet Compte, bouton Se connecter à… : il permet de désigner à partir de quelle machine l'utilisateur est habilité à ouvrir une session. On peut lui affecter une, plusieurs ou toutes les machines du domaine.

• Onglet Profil : détermine où l'on stocke le profil utilisateur ; ainsi, plusieurs utilisateurs de la même machine peuvent avoir leur propre environnement. C'est ici aussi que l'on indique le chemin d'un éventuel script pour cet utilisateur ainsi que le chemin de son dossier de base (ou privé).

Il est intéressant de configurer ces éléments pour notre modèle, comme sur l'écran ci-dessous

• Tapez \\nom du serveur\profils\%username% dans la zone Chemin du profil.
• Cliquez Connecter et choisissez H (pour « Home ») comme lettre de lecteur réseau.
• Tapez \\nom du serveur\users\%username% dans la zone À: puis cliquez OK(✔ne pas cliquez Appliquer).

L'utilisation de la variable %username% permet d'avoir par défaut l'autorisation NTFS Contrôle Total pour l'utilisateur sur son répertoire privé.

Le répertoire Modèle est créé automatiquement dans le volume Users :

Les onglets suivants ne seront pas renseignés pour notre modèle, vous les remplirez le cas échéant pour chaque utilisateur :

• Onglet Téléphone : il permet de saisir divers numéros de téléphone pour l' utilisateur.
• Onglet Organisation : il permet de saisir les informations concernant le titre, la fonction et l'entreprise de l'utilisateur.
• Onglet Membre de : il permet d'indiquer l'appartenance de l'utilisateur à un ou des groupes et de lui ajouter des affectations. Par défaut, tout utilisateur fait partie du groupe Utilisateurs du Domaine.
• Onglet Appel entrant : il permet de configurer les permissions d'appel et de rappel éventuel, afin de permettre à l'utilisateur d'ouvrir une session à travers un accès distant (Service RAS).

Les autres onglets sont utilisés pour configurer les services Terminal Server, leur étude sera réalisée ultérieurement …

Nous allons renommer le compte Modèle en _Modèle afin qu'il apparaisse en haut de votre liste d'utilisateurs, ce qui facilitera sa visibilité pour les opérations de copie.

• Cliquez avec le bouton droit Modèle puis cliquez Renommer.
• Tapez _Modèle puis validez

• Tapez _Modèle dans toutes les zones Nom et Nom d'ouverture de session puis cliquez OK.

Lorsqu'un utilisateur est absent longtemps, vous pouvez pour plus de sécurité désactiver son compte, pour le réactiver à son retour. C'est ce que nous allons faire pour notre utilisateur générique « Modèle », car il vaut mieux éviter que ce compte soit utilisé par n'importe qui.

• Cliquez avec le bouton droit _Modèle, puis cliquez Désactiver le compte puis OK.

L'utilisateur Modèle apparaît dans le volet droit sous une nouvelle forme (barré d’une croix rouge). Pour réactiver un compte, choisissez l'option Activer le compte dans le menu contextuel.

Nous avons créé l'utilisateur Modèle, nous allons maintenant l'utiliser pour créer d'autres utilisateurs par copie.

• Cliquez avec le bouton droit _Modèle, puis cliquez Copier…
• Renseignez les différents champs, comme ci-après pour notre exemple Christophe Durand, puis cliquez Suivant.

• Tapez Pass2003 dans la zone Mot de passe puis confirmez-le dans la zone suivante.
• Cochez l'option L'utilisateur doit changer de mot de passe…
• Décochez l'option Le compte est désactivé puis cliquez OK puis Suivant.
• Cliquez Terminer : l'utilisateur Christophe Durand apparaît dans le volet droit.

Nous allons renommer le compte Administrateur afin de limiter les risques d'intrusion avec un compte disposant de tous les privilèges. Afin de prévenir une erreur de manipulation ou une erreur réseau, nous allons effectuer une copie du compte et nous désactiverons l'original ensuite.

• Placez-vous dans l'unité d'organisation Users.
• Cliquez avec le bouton droit Administrateur, puis cliquez Copier…
• Renseignez les différents champs en utilisant un nom connu de vous seul puis cliquez Suivant.
• Tapez un mot de passe et confirmez-le dans la zone suivante.
• Cliquez Suivant puis Terminer.

Vérifiez que l'utilisateur que vous venez de créer est bien membre des groupes administratifs du domaine et testez ses droits. Vous pouvez maintenant désactiver le compte Administrateur afin d'empêcher toute utilisation frauduleuse.

Christophe Durand fait partie du service Comptabilité, nous allons donc le déplacer dans l'unité d'organisation ad hoc, soit : Comptabilité.

• Cliquez avec le bouton droit Christophe Durand , puis cliquez Déplacer…
• Développez l'unité d'organisation EuromédiaFrance en cliquant sur +
• Cliquez Comptabilité puis OK.

• L'utilisateur Christophe Durand apparaît maintenant dans le volet droit de Comptabilité

Pour accélérer la création de vos utilisateurs, copiez votre modèle dans chaque unité d'organisation, vous n'aurez plus à effectuer de déplacement d'utilisateur.

• Créez ainsi un modèle Commercial avec les spécificités d'appartenance au groupe Commerciaux …

Si un utilisateur oublie son mot de passe, il n'est pas possible de le lui retrouver, il faut le réinitialiser.

• Cliquez avec le bouton droit sur l'utilisateur, puis cliquez Réinitialiser le mot de passe…
• Renseignez les nouveaux mots de passe puis validez

L'appartenance des utilisateurs à des groupes de sécurité, permet de simplifier la tâche de l'administrateur en regroupant les utilisateurs de mêmes ressources ; l'administrateur affectera les autorisations à un groupe plutôt qu'à chaque utilisateur.

Windows Server 2003 offre des groupes prédéfinis, chacun d'eux ayant des droits bien spécifiques. Il convient donc de savoir quels droits on veut accorder à notre utilisateur avant d'utiliser ces groupes. Pour connaître les droits associés à ces groupes prédéfinis, allez chercher la rubrique Groupes prédéfinis, Active Directory dans l'aide de Windows 2003.

Les groupes prédéfinis sont faits de façon à ce que l'administrateur du réseau délègue des tâches de gestion bien précises à certains utilisateurs. Pour un grand réseau il convient mieux qu'il y ait des groupes de personnes chargées uniquement de la gestion des sauvegardes, d'autres qui seront opérateurs d'impression, etc.

Le but d'un groupe est d'y placer des utilisateurs qui auront tous les mêmes droits et les mêmes autorisations sur les ressources partagées. Il est en effet plus facile de faire des restrictions sur un groupe que pour chaque utilisateur.

Dans Windows Server 2003, on trouve aussi la présence de groupes de distribution utilisés pour la messagerie électronique mais ne donnant pas d'autorisations d’accès.

• cliquez Démarrer/Outils d'administration, puis choisissez Utilisateurs et Ordinateurs Active Directory.
• Sélectionnez l'unité d'organisation où vous voulez créer le groupe. Nous choisirons pour notre exemple EuromediaFrance/Commercial.
• Cliquez dans le menu Action Nouveau Groupe.
• Tapez Commerciaux dans la zone Nom de groupe puis cliquez OK

• Le groupe Commerciaux apparaît dans le volet droit (comme Groupe de sécurité - Global).

Notions de groupe local, global et universel :

• s'il appartient à un groupe Domaine local, un utilisateur ne peut avoir accès qu'à des ressources présentes dans son domaine.
• Dans un groupe Global, il peut se voir accorder l'accès à des ressources appartenant à d'autres domaines reliés par des relations d'approbation.
• Un groupe Universel permet lui de regrouper des utilisateurs et surtout des groupes globaux appartenant à plusieurs domaines en vue de leur accorder des permissions d'accès sur des ressources de différents domaines.

Un groupe Global peut contenir uniquement des membres (utilisateurs, groupes globaux) appartenant au domaine Dans la majorité des cas, c'est ce type de groupe qui est utilisé.

Un groupe Domaine local peut contenir des membres (utilisateurs, groupes globaux et universels) appartenant à n'importe quel domaine de la forêt et éventuellement des groupes Domaine local du même domaine.

Un groupe Universel est constitué d'un ensemble de comptes utilisateurs, de groupes globaux ou universels appartenant à n'importe quel domaine de la forêt.

La démarche d'organisation préconisée par Microsoft, et qui offre à la fois évolutivité et sécurité, est la suivante :

• créer un compte d'utilisateur de domaine ;
• créer un groupe global et y incorporer l'utilisateur ;
• créer un groupe domaine local correspondant à la ressource que l'on veut partager ;
• inclure le groupe global dans le groupe domaine local du domaine ou d'un autre domaine lié par une relation d'approbation ;
• attribuer les autorisations et les droits au groupe domaine local.

Remarque : Lorsque l'on crée un nouveau groupe, il s'agit par défaut d'un groupe de sécurité avec une étendue globale.

Ceci peut se faire de plusieurs manières : soit en ajoutant un membre au groupe, soit en faisant appartenir l'utilisateur à un groupe.

• Cliquez EuromediaFrance/Commercial dans le volet gauche.

1ère méthode

• Double-cliquez le groupe Commerciaux dans le volet droit ou cliquez-le avec le bouton droit puis Propriétés.
• Cliquez l'onglet Membres puis cliquez Ajouter.
• Tapez Jean Valentin puis cliquez Vérifier les noms puis OK pour valider.

• Cliquez OK dans Propriétés de Commerciaux.

2ème méthode

• Double-cliquez l'utilisateur Jean Valentin dans le volet droit (ou cliquez-le avec le bouton droit puis Propriétés).
• Cliquez l'onglet Membre de puis cliquez Ajouter.
• Cliquez le bouton Avancé… puis Rechercher, la liste de groupes du domaine s'affiche.
• Cliquez commerciaux dans la liste puis OK et à nouveau OK. Le groupe Commerciaux apparaît dans la fenêtre Membre de :

3ème méthode

• Cliquez avec le bouton droit l'utilisateur Jean Valentin dans le volet droit, puis cliquez Ajouter à un groupe…
• Cliquez le bouton Avancé… puis Rechercher.
• Cliquez commerciaux dans la liste puis OK et à nouveau OK.

Modifiez votre modèle « Commercial » en le rendant membre du groupe Commerciaux et vous pourrez maintenant créer les utilisateurs de ce groupe par recopie.