Utilisateurs, profil, GPO, commandes NET Présenté par Suzanne Savoie
Utilisateurs Onglet Profil Modification de propriétés de comptes d’utilisateurs Pour modifier un compte d’utilisateur de domaine, ouvrez le composant logiciel Utilisateur et ordinateurs Active Directory, puis double-cliquez sur l’utilisateur dont vous souhaitez modifier les propriétés. Onglet Profil Les profils d’utilisateurs créent et préservent automatiquement les paramètres de bureau de l’environnement de travail de chaque utilisateur sur l’ordinateur local. L’onglet Profil permet de définir un chemin vers le partage réseau sur lequel les profils d’utilisateur seront enregistrés. De plus, vous pouvez attribuer un script d’ouverture de session et un dossier de base à chaque compte d’utilisateur.
Utilisateurs Administration de comptes d’utilisateurs L’administration de comptes d’utilisateurs ne se résume pas à la création de comptes pour les nouveaux utilisateurs. Elle implique la modification de comptes d’utilisateurs, ainsi que le paramétrage de profils et de répertoire de base. Gestion de profils d’utilisateurs Un profil d’utilisateur est un ensemble de dossiers et de données qui consigne votre environnement de bureau et vos paramètres d’applications courants, ainsi que vos données personnelles. La première fois que vous ouvrez une session sur un ordinateur client qui exécute Windows 2000, il copie le dossier de profil local Default User dans le dossier %systemdrive%\Documents and Settings\nom utilisateur. Lorsque l’ordinateur sur lequel vous avez ouvert une session a fait l’objet d’une mise à jour vers Windows 2000 Professionnel à partir de Windows NT avec profils actifs, le dossier de profil n’est pas créé dans le dossier Documents ans Settings, mais reste à l’emplacement c:\winnt\profiles. Profiles d’utilisateurs itinérants Un profil d’utilisateur itinérant se configure sur un serveur réseau afin d’être toujours disponible quel que soit l’ordinateur sur lequel l’utilisateur correspondant ouvre une session sur le domaine. Lorsqu’un utilisateur ouvre une session, Windows 2000 copie le profil d’utilisateur itinérant présent sur le serveur réseau sur l’ordinateur client Windows 2000 sur lequel l’ouverture de session a lieu.
Utilisateurs Administration de comptes d’utilisateurs Profiles d’utilisateurs itinérants Un profil d’utilisateur itinérant se configure sur un serveur réseau afin d’être toujours disponible quel que soit l’ordinateur sur lequel l’utilisateur correspondant ouvre une session sur le domaine. Lorsqu’un utilisateur ouvre une session, Windows 2000 copie le profil d’utilisateur itinérant présent sur le serveur réseau sur l’ordinateur client Windows 2000 sur lequel l’ouverture de session a lieu. Pour configurer un profil itinérant, vous devez créer un dossier partagé sur un serveur, puis utiliser un chemin exprimé selon le format suivant : \\serveur\partage. Utilisez un nom intuitif pour le dossier partagé, tel que profils. Dans l’onglet Profil de la boîte de dialogue Propriétés du compte d’utilisateur, tapez le chemin dans la zone chemin du profil. Vous pouvez taper la variable %username% en lieu et place du nom d’utilisateur. Windows 2000 remplace la variable par le nom de compte d’utilisateur. Pour améliorer les performances d’ouverture de session sur un réseau fortement sollicité, placez les dossiers de profils sur un serveur membre plutôt que sur un contrôleur de domaine.
Utilisateurs Administration de comptes d’utilisateurs Profils obligatoires Un profil obligatoire est en lecture seule. Lorsque l’utilisateur ferme une session, Windows 2000 n’enregistre aucune modification apportée par l’utilisateur au cours de la session. Un fichier caché dans le profil, nommé Ntuser.dat, contient les paramètres d’environnement d’utilisateur tels que l’aspect du bureau. Vous pouvez restreindre l’accès de ce fichier à la lecture seul en changeant son nom en Ntuser.man. Vous pouvez personnaliser un profil et l’attribuer à plusieurs utilisateurs qui disposeront alors des mêmes paramètres et connexions à l’ouverture de session. Créez d’abord un modèle de profil d’utilisateur qui contiendra les paramètres de bureau personnalisés dont vous souhaitez que les utilisateurs disposent. Ouvrez ensuite une session en tant qu’administrateur, puis copiez le modèle de profil d’utilisateur dans un dossier sur le serveur. Utilisez l’application système du panneau de configuration pour copier le modèle de profil. Tous les utilisateurs qui se verront attribuer le profil doivent pouvoir accéder à ce dossier. Activez l’onglet profil de chaque utilisateur puis dans la zone Chemin du profil tapez le chemin vers le profil. Changez l’extension du fichier ntuser.dat en ntuser.man pour le rendre obligatoire (en lecture seul).
Utilisateurs Administration de comptes d’utilisateurs Création de dossiers de base En plus du dossier Mes Documents, Windows 2000 vous permet de créer un dossier de base et de l’attribuer à un utilisateur. Pour créer un dossier de base sur un serveur de fichiers du réseau, vous devez effectuer les trois tâches suivantes : Créer et partager un dossier. Modifier l’autorisation Contrôle total. Retirez au groupe Tout le monde l’autorisation Contrôle total sur le dossier partagé, puis attribuez-là au groupe Utilisateurs. Fournir le chemin du dossier de base dans l’onglet profil des propriétés de l’utilisateur. Vous pouvez modifier le répertoire de destination de Mes documents en accédant aux propriétés de l’icône Mes documents placée sur le bureau. Faites en sorte que les utilisateurs enregistrent leurs documents dans le dossier Mes documents, plutôt que dans des répertoires de base. Windows 2000 configure automatiquement le dossier Mes documents. Ce dernier constitue l’emplacement d’enregistrement de données par défaut des applications Microsoft. Le recours à la redirection de dossiers et aux dossiers en ligne vous permet de définir le dossier Mes documents sur un emplacement réseau et de le rendre disponible aux utilisateurs, même si ces derniers ne sont pas connectés au réseau.
Utilisateurs Administration de comptes d’utilisateurs L’enregistrement de dossiers de base sur un serveur de fichiers offre les avantages suivants: Les utilisateurs peuvent accéder à leurs dossiers de base à partir de n’importe quel ordinateur client présent sur le réseau. La sauvegarde et l’administration des documents des utilisateurs sont centralisées. Les dossiers de base sont accessibles à partir d’un ordinateur client qui exécute n’importe quel système d’exploitation Microsoft. Pour créer un dossier de base sur un serveur de fichiers du réseau, vous devez effectuer les trois tâches suivantes: Créer et partager un dossier. Modifier l’autorisation Contrôle total. Retirez au groupe Tout le monde l’autorisation Contrôle total sur le dossier partagé, puis attribuez-là au groupe utilisateur. Ainsi, seuls les utilisateurs dotés de comptes d’utilisateurs de domaine peuvent accéder au dossier partagé. Fournir le chemin du dossier de base dans les propriétés de compte de l’utilisateur.
Utilisateurs La gestion des Group Policy La gestion efficace d’un réseau implique l’encadrement précis de la session de l’utilisateur, ce qui lui permet de se retrouver dans un environnement clairement défini, offrant toutes les ressources nécessaires, ainsi qu’une grande stabilité dans les méthodes d’utilisation du système. Cet encadrement permet à l’administrateur de réduire au maximum le temps de support et surtout, d’assurer une sécurité élevée qui protégera le système d’une utilisation excessive ou d’une erreur grave qu’un utilisateur pourrait commettre. Dans Windows 2000, le contrôle de l’environnement de l’utilisateur peut être effectué en utilisant le concept de Group Policy.
Utilisateurs La gestion des Group Policy Dans une entreprise, l’administration des postes de travail des utilisateurs est une tâche très coûteuse. Un administrateur doit passer à chaque poste de travail afin de configurer l’interface et créer les raccourcis nécessaires, activer ou désactiver certaines fonctionnalités, installer et configurer les applications, définir des variables d’environnements et des lettres logiques, etc. Dans Windows 2000, nous pouvons utiliser le concept du Group Policy afin d’effectuer ces tâches automatiquement, lors du démarrage du poste et de l’ouverture de la session auprès d’un contrôleur de domaine. Le Groupe Policy offre les fonctionnalités suivantes : Sa gestion est centralisée dans le Service d’annuaire Il gère l’interface de l’utilisateur et définit des paramètres dans la base de registre. Il automatise l’installation et la mise à jour des applications. Nous pouvons déployer et distribuer des applications en utilisant le mécanisme d’assignation ou de publication. Il redirige à l’endroit des répertoires personnels de l’utilisateur. Nous pouvons ajouter des fichiers, des raccourcis et des répertoires dans le profil de l’utilisateur, situé dans \Documents and Settings\%username% Il définit les paramètres de sécurité au niveau du poste local et du réseau. Nous pouvons définir Account Policies, Audit Policy, Event Log et d’autres. Différents types de script. Nous pouvons associer des fichiers Startup Script qui s’exécutent lors du démarrage et de la fermeture du système ainsi que des fichiers Login Script lors d’ouverture et de la fermeture de la session de Logon.
Utilisateurs La gestion des Group Policy Un Group Policy est un objet dans le Service d’annuaire. Nous utilisons le programme Group Policy Editor afin de créer et d’administrer un Group Policy pour ensuite l’associer au conteneur de type Site, Domaine ou Unité d’organisation. Le système Windows 2000 applique les paramètres de ce Group Policy aux utilisateurs et aux ordinateurs situés à l’intérieur de ces conteneurs. L’objet Group Policy ne contient pas les paramètres que nous définissons. En effet, il utilise deux endroits pour les stocker : un objet dans le Service d’annuaire appelé Group Policy Container (GPO) et un répertoire sur le disque qu’on appelle Group Policy Template (GPT).
Utilisateurs Group Policy container Group Policy Template Remarque La gestion des Group Policy Group Policy container Est un objet dans le service d’annunaire tenant les propriété de l’objet Group Policy qui sont les suivantes : La version des informations pour assurer que les informations dans le Group Policy Container sont synchronisées avec les informations situées dans le Group Policy Template. L’état des informations pour indiquer si le Group Policy est actif ou non. Group Policy Template C’est une structure de répertoire située à l’intérieur du répertoire SYSVOL\POLICIES, sous le répertoire nommé avec le numéro d’identification du Group Policy. Cette structure contient Adm, Scripts, User et Machine. Remarque Pour visualiser le Group Policy Container, il suffit d’utiliser le programme Utilisateurs et ordinateurs Active Directory, activer l’option fonctionnalités avancées du menu affichage.
Utilisateurs La création et l’association d’un objet Group Policy Nous devons créer un Group Policy et ensuite l’associer à un ou plusieurs objets de type conteneur dans le Service d’annuaire. Seulement les sites, les domaines et les conteneurs OU peuvent être associés aux Group Policy. Cependant, les conteneurs prédéfinis tels que Users, Computers et Builtin ne peuvent pas avoir de Group Policy associés. Voici la procédure pour créer et associer un Group Policy à un domaine et à un conteneur OU. Démarrer le programme utilisateur et ordinateur Active directory. Avec le bouton de droite de la souris, pointer sur le domaine ou sur le conteneur OU désiré et cliquer sur propriétés. Sélectionner l’onglet Group Policy et cliquer sur nouveau et taper un nom. Ce Group Policy est créé et associé directement au domaine ou au conteneur OU spécifié. La procédure est la même pour créer et associer un Group Policy à un site sauf que vous devez passer par le programme Sites et Services Active Directory.
Utilisateurs Association d’un Group Policy existant à un objet Démarrer le programme Utilisateur et ordinateur Active Directory. Avec le bouton de droite de la souris, pointer sur le domaine ou sur le conteneur OU désiré et cliquer sur Propriétés. Sélectionner l’onglet Group Policy, cliquer sur Add et sélectionner le Group Policy à associer.
Utilisateurs Le processus d’exécution des Group Policy Les Group Policy s’exécutent lors du démarrage de l’ordinateur, lors de l’ouverture de session de Logon et ensuite se rafraîchissent à intervalles précis. Lors du démarrage de l’ordinateur les paramètres de configuration du système et les fichiers startup scripts s’exécutent. Lors d’ouverture de session de Logon les paramètres de l’environnement de l’utilisateur et les login scripts s’exécutent. De plus, les Group Policy se rafraîchissent à toutes les 90 minutes sur les postes clients et à toutes les 5 minutes sur les serveurs contrôleurs de domaine et les serveurs membres de domaine.
Utilisateurs La propagation et le blocage des Group Policy Un site, domaine ou conteneur OU peut avoir un ou plusieurs objets Group Policy associés. Dans ce cas, les paramètres de tous les Group Policy seront appliqués et accumulés selon l’ordre spécifié dans la boîte des propriétés de l’objet conteneur. D’autre part, les Group Policy se propagent d’un conteneur parent à un autre fils afin d’affecter tous les utilisateurs et les équipements y résidant. Les Group Policy s ’appliquent en suivant l’ordre suivant : ceux de site en premier lieu, ensuite ceux de domaine et finalement, ceux du conteneur OU. Nous pouvons bloquer la propagation des Group Policy au niveau de l’objet de type conteneur. En conséquence, les Group Policy hérités du parent ne seront pas exécutés. Il y a une case à cocher à cet effet.
Utilisateurs La configuration des fichiers Scripts Dans Windows 2000, les fichiers Scripts peuvent être configurés en utilisant les Group Policy afin qu’ils s’exécutent d’une part lors de démarrage ou l’arrêt de système, d’autre part lors de l’ouverture ou de la fermeture de la session Logon. En ajoutant un fichier script à un Group Policy, ce fichier sera exécuté et appliqué aux utilisateurs ou aux ordinateurs situés dans le conteneur en question. Voici la procédure pour associer des fichiers Scripts à des objets Group Policy. Créer le fichier Script. Démarrer le programme Utilisateur et ordinateur Active Directory ou Site et service Active Directory.Avec le bouton de droite de la souris, pointer sur le site, le domaine ou le conteneur OU désiré et cliquer sur Propriétés. Sélectionner le Group Policy à configure et sous l’option configuration utilisateur ou configuration ordinateur, choisir ensuite paramètre Windows et script. Double-cliquer sur ouverture de connexion et cliquer sur le bouton montrer les fichiers.Copier le fichier Script dans la boîte apparue. Appuyer sur ajouter puis parcourir et ajouter le fichier script déjà copié. Cliquer sur Open.
Utilisateurs Réplication de SYSVOL Les modifications apportées au répertoire %systemroot%\SYSVOL d’un contrôleur de domaine sont automatiquement dupliquées sur les autres contrôleurs du site. La topologie et le processus de réplication sont indépendants mais identiques à ceux des réplications de Active Directory. Lorsqu’un administrateur ajoute, retire ou modifie un objet du contenu du dossier %systemroot\SYSVOL sur un quelconque contrôleur de domaine, ces modifications sont automatiquement dupliquées sur les autres contrôleurs du site. La structure par défaut du dossier se présente comme indiqué ci-dessous : %systemroot%\SYSVOL\Sysvol\nom_domain\Policies %systemroot%\SYSVOL\Sysvol\nom_domain\Scripts Tout fichier ou dossier ajouté à %systemroot%\SYSVOL\Sysvol\nom_domain sont automatiquement dupliqués.
Utilisateurs Fichiers batch et variables d’environnement Vous créez vos scripts et vous les placez ensuite sur un contrôleur de domaine dans le dossier \WINNT\Sysvol\Domain\Scripts. A partir de cet emplacement, il est répliqué vers les autres contrôleurs de domaine. Vous pouvez inclure les scripts dans les stratégies de groupe ou les placer directement dans la propriété de l’utilisateur. Pour l’utilisateur: Ouvrez la console Utilisateurs et ordinateurs Active Directory. Propriété de l’utilisateur et choisir l’onglet profil. Entrez le nom du script et non pas le chemin. Le script doit être situé dans le partage Netlogon, \winnt\sysvol\domain\scripts. Stratégie de groupe Copiez le script vers le dossier \winnt\sysvol\domain\scripts. Ouvrez la console de stratégie de groupe. Par exemple, si vous voulez que les utilisateurs de la OU production aient un script d’ouverture de session spécifique, modifiez la stratégie de groupe de la OU production. Déroulez l’arborescence Configuration utilisateur\paramètres windows\scripts (ouverture/fermeture de session). Ajoutez votre script dans la fenêtre propriété d’ouverture de session.
Utilisateurs Fichiers batch et variables d’environnement Si coder un script d’ouverture de session avec un langage complexe vous paraît hors de votre portée, vous pouvez toujours recourir au fichier batch. On peut en construire des sophistiqués avec l’interpréteur de commandes CMD. L’interpréteur batch manque de mises en boucle élaborées et de structures de programmation, mais si tout ce que vous désirez est de définir une variable d’environnement ou de mapper quelques lecteurs, un fichier batch convient mieux qu’un script VB. Voici plusieurs variables d’environnement fort utiles pour écrire des scripts destinés à l’administration des comptes utilisateur : Userprofile : Le chemin du profil local de l’utilisateur, généralement C:\Documents and Settings\nom_utilisateur. Allusersprofile : Le chemin du profil All Users Profile, généralement C:\Documents and Settings\All users. Computername : Le nom NetBios de l’ordinateur sur lequel l’utilisateur a ouvert une session. Homedrive : La lettre du lecteur à mapper vers le répertoire de base.
Utilisateurs Fichiers batch et variables d’environnement Voici plusieurs variables d’environnement fort utiles pour écrire des scripts destinés à l’administration des comptes utilisateur : Homepath: Le chemin UNC complet du répertoire de base. Logonserver : Le nom NetBios du serveur qui a authentifié l’utilisateur. OS : Le système d’exploitation qui s’exécute sur l’ordinateur de l’utilisateur. Userdomain : Le domaine qui a authentifié l’utilisateur. Username : Le nom NetBios de l’utilisateur. Voici un exemple de fichier batch utilisant ces variables : @echo off echo Allo, %username%. Bienvenu sur le domaine %userdomain%. echo Vous vous êtes connecté sur le serveur %logonserver% à partir de l’ordinateur %computername%