La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

GESTION DE PARCS DORDINATEURS INF-1017. Contenu du cours 2 ADMINISTRATION DES UTILISATEURS ET DES GROUPES –Généralités sur les groupes –Étendue des groupes.

Présentations similaires


Présentation au sujet: "GESTION DE PARCS DORDINATEURS INF-1017. Contenu du cours 2 ADMINISTRATION DES UTILISATEURS ET DES GROUPES –Généralités sur les groupes –Étendue des groupes."— Transcription de la présentation:

1 GESTION DE PARCS DORDINATEURS INF-1017

2 Contenu du cours 2 ADMINISTRATION DES UTILISATEURS ET DES GROUPES –Généralités sur les groupes –Étendue des groupes –Planification et gestion des OU –Planification et gestion des groupes –Administration des groupes prédéfinis et des droits utilisateurs –Création de comptes machine (computer) –Création de comptes utilisateur

3 Contenu du cours 2 ADMINISTRATION DES UTILISATEURS ET DES GROUPES –Administration des comptes utilisateur –Profils utilisateur LECTURES: Chapitre 9 (WIN SERVER 2003) Notes de cours ( site ftp UQTR )

4 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Généralités –Les groupes sont des objets de lannuaire AD ou des objets locaux de la machine, ces objets contiennent des utilisateurs, des contacts, des ordinateurs ou dautres groupes –Les groupes facilitent ladministration des droits et permissions puisquelles peuvent être affectées à un groupe dutilisateurs au lieu des utilisateurs individuellement –WINDOWS SERVER 2003 gère deux types de groupes: Groupe de sécurité: Auxquels ont peut affecter des privilèges Groupe de distribution: Permet dacheminer des messages à des groupes dutilisateurs

5 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Généralités (Exchange)

6 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Généralités (Relations entre groupes et utilisateurs)

7 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Généralités (Relations entre groupes et utilisateurs)

8 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue dun groupe –Global Peut avoir des permissions pour des ressources situées dans tous les domaines dune forêt, ce type de groupe ne peut contenir que des membres du domaine où il a été crée Idéal pour les objets (comptes utilisateurs, dordinateurs) de lannuaire nécessitant une maintenance régulière Peut contenir dautres groupes globaux du même domaine et/ou des utilisateurs et/ou des ordinateurs du même domaine –Local de domaine Ses membres peuvent provenir de nimporte quel domaine mais ne pouvez lui accorder des permissions que sur des ressources (locales) du domaine où le groupe à été créé Membres possibles –Autres groupes locaux de domaine du même domaine –Groupes globaux de tous les domaines –Groupes universels de tous les domaines –Utilisateurs de tous les domaines

9 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue dun groupe –Universel Peut avoir des permissions pour des ressources situées dans tous les domaines dune forêt Idéal pour consolider des groupes de plusieurs domaines dans une forêt Membres possibles –Autres groupes locaux de domaine du même domaine –Groupes globaux de tous les domaines –Groupes universels de tous les domaines –Utilisateurs de tous les domaines

10 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue dun groupe –Groupe local

11 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue dun groupe –Utilisations

12 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue dun groupe –Groupe global

13 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Exemple dutilisation de groupes locaux et globaux –Une compagnie avec deux domaines (Entcert1.com et Entcert2.com) –Les ingénieurs des deux domaines doivent pouvoir accéder à des ressources comme des répertoires et des applications disponibles dans le domaine Entcert2.com –Soln: Création de deux groupes globaux et un groupe local

14 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Exemple dutilisation de groupes locaux et globaux

15 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue dun groupe –Universel Peut contenir des membres de tous les domaines et se voir doter de permissions sur les ressources de tous les domaines Membres possibles: –Autres groupes universels –Groupes globaux –Utilisateurs

16 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des OU –Permet doffrir des outils pour organiser les collections dobjets dans un domaine. Une OU peut contenir des imprimantes, des ordinateurs, des groupes, etc. –Permet de gérer les niveaux de contrôle administratif par lutilisation de permissions spécifiques. –Permet de simplifier la gestion des regroupements de ressources selon leurs caractéristiques propres.

17 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des OU Organisation dobjets en OU Modèles hiérarchiques possibles Dénominations possibles des OU

18 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des OU –Création dOU Choisissez Utilisateurs et Ordinateurs Active Directory dans le menu Outils dadministration Cliquez-droit sur le domaine, choisissez Nouveau puis Unité dorganisation Introduire le nom de la nouvelle OU et cliquez sur OK

19 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des groupes –Création dun groupe Ouvrez loutil dadministration Utilisateurs et ordinateurs Active Directory Ouvrez le domaine dans lequel vous créez le groupe Cliquez-droit sur Users (ou le OU choisi), faites Nouveau/Groupe pour ouvrir la boîte de dialogue Nouvel objet-Groupe

20 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des groupes –Création dun groupe Saisissez le nom du groupe et cochez loption Étendue de groupe et le Type de groupe Cliquez sur OK. Le nouveau groupe est inséré dans le conteneur Users (ou le OU choisi) –Ajout dutilisateurs (de membres) à un groupe Ouvrez loutil dadministration Utilisateurs et ordinateurs AD Cliquez sur le conteneur qui contient les objets à ajouter au groupe Sélectionnez les objets (users, groupes, ordinateurs, etc.) à ajouter Cliquez-droit sur votre sélection et choisissez Ajouter à un groupe. La boîte de dialogue Sélectionnez groupe souvre. Utilisez Types dobjets et Emplacements pour restreindre la recherche Tapez les premières lettres du nom du groupe et cliquez OK. La liste des correspondances est affichée, cliquez sur le groupe souhaité puis sur OK

21 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Groupes locaux de domaine prédéfinis Fournissent aux utilisateurs des droits et des permissions pour effectuer certaines tâches sur les contrôleurs de domaines et sur AD Les utilisateurs et les groupes globaux ajoutés aux groupes locaux de domaine héritent automatiquement des droits et permissions prédéfinis pour ces groupes locaux de domaines

22 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Groupes locaux de domaine prédéfinis

23 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Groupes locaux de domaine prédéfinis

24 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Groupes globaux prédéfinis

25 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Groupes locaux de domaine prédéfinis

26 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Groupes locaux de domaine prédéfinis

27 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Groupes globaux prédéfinis Par défaut les groupes ne possèdent pas de privilèges intrinsèques, ladministrateur affecte les privilèges

28 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Droits utilisateur Les permissions indiquent les accès dont peut bénéficier un utilisateur (ou un groupe) sur les objets comme des fichiers, répertoires et imprimantes –Ex: Si un utilisateur peut lire un répertoire ou accéder à une imprimante nous parlons de permissions Les droits se divisent en privilèges et en droits douverture de session –Exemples de privilèges: Possibilité dexécuter des audits de sécurité ou de forcer larrêt du système à partir dune autre machine –Droits douverture concernent la capacité de se connecter à une machine de certaines façons

29 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Permissions sur les objets AD FULL CONTROL: Permet à un utilisateur de changer des permissions, prendre des droits de propriétés (take ownnership) et accomplir les tâches permises par toutes les autres permissions standards. WRITE: Permet la modification des attributs dobjets AD. READ: Permet la visualisation des objets AD, leurs attributs, leur propriétaire et leurs permissions. CREATE CHILD OBJECTS: Ajout dobjets AD dans une OU. DELETE CHILD OBJECTS: Éliminer des objets dune OU.

30 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Les permissions sur les objets AD peuvent être: Allouées (Allowed) ou défendues (Denied) Défendues implicitement ou explicitement. Standards ou spéciales si un degré plus fin de contrôle sur les objets est requis. Créées au niveau dun objet lui-même ou héritées de son objet parent.

31 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Héritage des permissions

32 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Héritage des permissions et déplacement dobjets Lors du déplacement dun objet AD –Les permissions explicites restent les mêmes. –Les objets déplacés héritent des permissions du nouveau parent. –Les objets déplacés ne sont plus héritiers des permissions de leur ancien parent. Lhéritage des permissions peut être bloqué par la création de permissions explicites. –En copiant (COPY) les permissions héritées à lobjet, elles deviennent alors explicites, elles peuvent alors être modifiées. –En les éliminant (REMOVE), et ajoutant de nouvelles permissions à un objet.

33 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Droits douverture de session

34 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Privilèges affectés par défaut aux groupes

35 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Privilèges affectés par défaut aux groupes (suite)

36 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Privilèges affectés par défaut aux groupes (suite)

37 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Privilèges affectés par défaut aux groupes (suite)

38 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Affectation de droits à un groupe Si un groupe dutilisateurs doivent pouvoir ouvrir des sessions locales sur les serveurs WINDOWS SERVER 2003 mais quils ne doivent pas être membres de lun des groupes possédant par défaut ce droit –Solution: »Créer un groupe (ex: SessionsLocales) »Ajouter les utilisateurs à ce groupe »Affecter à ce groupe le droit douvrir des sessions locales –Ouvrir loutil dadministration Utilisateur et ordinateurs AD. Cliquez-droit sur le domaine et choisissez Propriétés –Allez dans longlet Stratégies de groupe, cliquez sur Modifier. Développez la branche Configuration ordinateur et ensuite la branche Paramètres Windows –Sous Paramètres de sécurité, cliquez sur Stratégies locales puis Attributions des droits utilisateur, cliquez deux fois sur Ouvrir une session localement dans le volet de droite –Cochez Définir ces paramètres de stratégies, cliquez sur Ajouter –Tapez le nom du groupe auquel vous accordez ce droit (ou cliquez sur Parcourir). Cliquez deux fois sur OK et fermer la fenêtre Stratégies de groupe

39 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs –Affectation de droits à un groupe Droits utilisateur dans la stratégie de groupe

40 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes machine –Loutil dadministration Utilisateur et ordinateur AD facilite lajout, la suppression, la localisation, le déplacement et la gestion des ordinateurs dans un domaine et une forêt. –Les ordinateurs sont traités de façon similaires à des comptes utilisateurs dans AD. Ils sont associés à des objets dans AD.

41 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes machine –Création dun compte machine Ouvrir loutil dadministration Utilisateur et ordinateur AD Cliquez-droit sur le conteneur (Domain -> Computers, ou un OU) dans lequel vous voulez créer le compte, choisissez Nouveau puis Ordinateurs Donnez un nom à la machine

42 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes machine –Enlever un compte machine Ouvrir loutil dadministration Utilisateur et ordinateur AD Cliquez-droit sur le conteneur (Domain -> Computers, ou un OU) dans lequel vous voulez créer le compte, choisissez Effacer OK pour confirmer

43 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur –Chaque personne qui veut accéder au réseau doit posséder un compte utilisateur qui permet: Dauthentifier lidentité des personnes De contrôler les accès aux ressources du domaine Dauditer les actions faites via le compte –WINDOWS SERVER 2003 ne crée que deux comptes prédéfinis Compte Administrateur avec tous les droits et permissions Compte Invité avec des privilèges restreints –Dénomination et paramétrage de compte Créez les noms principaux de sécurité en suivant une convention de dénomination cohérente (ex: Nom+initiale du prénom, Prénom+initiale du nom) –Paramètres à considérer Horaire daccès: Par défaut, un utilisateur peut ouvrir une session à nimporte quelle heure du jour ou de la nuit mais peut être changé selon les besoins Date dexpiration dun compte Un bon mot de passe (au moins 6 caractères dont 2 alphanumériques)

44 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur –Création dun compte utilisateur de domaine Ce type de compte peut être créé dans lOU par défaut USERS mais vous pouvez créer une OU destinée à contenir les comptes utilisateurs de domaine –Ouvrir loutil dadministration Utilisateur et ordinateur AD –Cliquez-droit sur le conteneur dans lequel vous voulez créer le compte, choisissez Nouveau puis Utilisateur –Tapez les nom et prénom de lutilisateur

45 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur –Création dun compte utilisateur de domaine Création dun compte utilisateur (suite) –Tapez le nom douverture de session. Ce nom doit être unique au niveau de AD –Tapez un mot de passe et définissez les stratégies de mot de passe, cliquez Suivant –Un écran de confirmation montrant les détails du compte est ensuite affiché, si tout est conforme, cliquez sur Terminer –Configuration dun compte utilisateur Démarrer loutil dadministration Utilisateurs et ordinateur AD Ouvrez lOU contenant le compte utilisateur concerné Cliquez-droit sur le compte et choisissez Propriétés Cliquez sur longlet correspondant à la propriété à modifier. Quand vous avez terminé vos modifications faite OK

46 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur –Configuration dun compte utilisateur (Propriétés générales)

47 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur –Configuration dun compte utilisateur (Propriétés Adresse)

48 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur –Configuration dun compte utilisateur (Propriétés Compte)

49 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur –Configuration dun compte utilisateur (Propriétés Compte: Heures daccès, machines daccès)

50 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur –Configuration dun compte utilisateur (Propriétés Compte: Membre)

51 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Onglets correspondant aux propriétés dun compte utilisateur

52 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur –Recherche dun compte utilisateur Ouvrez loutil dadministration Utilisateurs et ordinateurs AD, dans la barre doutils cliquez sur Rechercher La boîte de dialogue Rechercher utilisateurs, contacts et groupes souvre

53 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur –Recherche dun compte utilisateur (suite) Déroulez la liste Rechercher et sélectionnez le type dobjet à rechercher Spécifiez létendue de la recherche dans la zone Dans. Tapez un nom ou une partie de nom et cliquez Rechercher Loption Requête commune permet de rechercher les comptes désactivés ou les comptes ayant un mot de passe expiré Pour un recherche avancée cliquez sur longlet Avancé (ex: recherche dune imprimante)

54 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur –Activation et désactivation dun compte utilisateur Rechercher le compte de lutilisateur Cliquez-droit sur le nom de lutilisateur et choisissez Désactiver le compte

55 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur –Suppression dun compte utilisateur Veuillez être bien certain avant de supprimer un compte puisque toute la configuration du compte (permissions, les appartenances aux groupes etc.) est détruite –Autres opérations Transfert dun compte utilisateur Renommer un compte utilisateur Réinitialisation dun mot de passe

56 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur –Autres opérations Déverrouillage de compte utilisateur –Ex: Un utilisateur contrevient à une stratégie de groupe en faisant trop de tentatives erronées de saisie de mot de passe, la GPO verrouille le compte »Rechercher le compte verrouillé »Cliquez-droit sur le compte et choisissez Propriétés »Cliquez sur longlet Compte »Décochez la case Le compte est verrouillé et cliquez OK –Répertoires personnels Le répertoire personnel de lutilisateur lui permet dentreposer ses documents sur un serveur Avantages: –Centralisation de la sauvegarde des documents des utilisateurs –Les utilisateurs peuvent avoir accès à leurs répertoires personnels depuis nimporte quel poste de travail –Les répertoires personnels sont accessibles à tous les clients MicroSoft

57 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur –Répertoires personnels Création de répertoires personnels sur un serveur –Sur le serveur créez un nouveau dossier destiné à contenir les répertoires personnels –Cliquez-droit sur ce répertoire et choisissez Partage et sécurité –Cliquez sur longlet Partage puis sur Partager ce dossier –Cliquez sur longlet Sécurité et assignez le contrôle total au groupe Utilisateurs

58 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur –Répertoires personnels Accès des utilisateurs à leurs répertoires personnels –Pour rendre un répertoire personnel accessible à un utilisateur il faut ajouter le chemin de ce répertoire aux propriétés du compte utilisateur »Trouver le compte utilisateur dans AD »Cliquez-droit sur le nom de lutilisateur et choisissez Propriétés »Allez dans longlet Profil. Dans la zone Dossier de base, cliquez sur Connecter puis tapez une lettre de lecteur qui servira à se connecter au serveur de fichiers »Dans la zone À, spécifiez le nom UNC de la connexion (ex: \\serveur\partage\utilisateur) \\serveur\partage\utilisateur »En utilisant la variable %username% il y aura création dun répertoire personnel portant le nom douverture de session de lutilisateur

59 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur –Répertoires personnels –Spécification dun répertoire personnel

60 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur –Contient les configurations du bureau et des applications de lutilisateurs –Avantages: Plusieurs utilisateurs peuvent utiliser le même ordinateur, chaque utilisateur retrouve sa configuration personnelle Toute modification du bureau faite par un utilisateur naffecte pas les autres utilisateurs de la même machine Si les profils sont stockés sur un serveur ils peuvent suivrent les utilisateurs quelles que soient les machines WINDOWS SERVER 2003 sur lesquelles ils ouvrent des sessions –Types de profil Local: Spécifique à un utilisateur, local à une machine et stocké sur son disque dure Itinérant: Créé par un administrateur et stocké sur un serveur donc suit lutilisateur quelle que soit la machine sur laquelle il ouvre une session Obligatoire: Profil itinérant qui ne peut être modifié que par un administrateur

61 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur –Profil local (Répertoires)

62 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur –Combinaison des profiles User et All users

63 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur –Contenu dun profil Application data Bureau (défaut) Favoris (défaut) (emplacement les plus utilisés sur le WEB) Local settings (défaut) Menu Démarrer (défaut) Mes Documents (défaut) Modèles Recent (fichiers, dossiers récemment utilisés) SendTo Voisinage dimpression (raccourcis vers les éléments du dossier Imprimantes et télécopieurs) Voisinage réseau

64 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur –Profils locaux (Administrateur) Profil propre à une machine stocké dans le dossier Documents and Settings

65 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur –Profils itinérants Créez sur le serveur un dossier partagé destiné aux profils (ex: Profils) Dans longlet Profil de la boîte de dialogue des propriétés de lutilisateur, tapez le chemin du profil (ex: \\serveur\dossier_profils\%username%)


Télécharger ppt "GESTION DE PARCS DORDINATEURS INF-1017. Contenu du cours 2 ADMINISTRATION DES UTILISATEURS ET DES GROUPES –Généralités sur les groupes –Étendue des groupes."

Présentations similaires


Annonces Google