GESTION DE PARCS D’ORDINATEURS INF-1017
Contenu du cours 2 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Généralités sur les groupes Étendue des groupes Planification et gestion des OU Planification et gestion des groupes Administration des groupes prédéfinis et des droits utilisateurs Création de comptes machine (computer) Création de comptes utilisateur
Contenu du cours 2 ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur Profils utilisateur LECTURES: Chapitre 9 (WIN SERVER 2003) Notes de cours (site ftp UQTR)
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Généralités Les groupes sont des objets de l’annuaire AD ou des objets locaux de la machine, ces objets contiennent des utilisateurs, des contacts, des ordinateurs ou d’autres groupes Les groupes facilitent l’administration des droits et permissions puisqu’elles peuvent être affectées à un groupe d’utilisateurs au lieu des utilisateurs individuellement WINDOWS SERVER 2003 gère deux types de groupes: Groupe de sécurité: Auxquels ont peut affecter des privilèges Groupe de distribution: Permet d’acheminer des messages à des groupes d’utilisateurs Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Généralités (Exchange) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Généralités (Relations entre groupes et utilisateurs) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Généralités (Relations entre groupes et utilisateurs) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue d’un groupe Global Peut avoir des permissions pour des ressources situées dans tous les domaines d’une forêt, ce type de groupe ne peut contenir que des membres du domaine où il a été crée Idéal pour les objets (comptes utilisateurs, d’ordinateurs) de l’annuaire nécessitant une maintenance régulière Peut contenir d’autres groupes globaux du même domaine et/ou des utilisateurs et/ou des ordinateurs du même domaine Local de domaine Ses membres peuvent provenir de n’importe quel domaine mais ne pouvez lui accorder des permissions que sur des ressources (locales) du domaine où le groupe à été créé Membres possibles Autres groupes locaux de domaine du même domaine Groupes globaux de tous les domaines Groupes universels de tous les domaines Utilisateurs de tous les domaines Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue d’un groupe Universel Peut avoir des permissions pour des ressources situées dans tous les domaines d’une forêt Idéal pour consolider des groupes de plusieurs domaines dans une forêt Membres possibles Autres groupes locaux de domaine du même domaine Groupes globaux de tous les domaines Groupes universels de tous les domaines Utilisateurs de tous les domaines Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue d’un groupe Groupe local Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue d’un groupe Utilisations Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue d’un groupe Groupe global Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Exemple d’utilisation de groupes locaux et globaux Une compagnie avec deux domaines (Entcert1.com et Entcert2.com) Les ingénieurs des deux domaines doivent pouvoir accéder à des ressources comme des répertoires et des applications disponibles dans le domaine Entcert2.com Sol’n: Création de deux groupes globaux et un groupe local Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Exemple d’utilisation de groupes locaux et globaux Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Étendue d’un groupe Universel Peut contenir des membres de tous les domaines et se voir doter de permissions sur les ressources de tous les domaines Membres possibles: Autres groupes universels Groupes globaux Utilisateurs Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des OU Permet d’offrir des outils pour organiser les collections d’objets dans un domaine. Une OU peut contenir des imprimantes, des ordinateurs, des groupes, etc. Permet de gérer les niveaux de contrôle administratif par l’utilisation de permissions spécifiques. Permet de simplifier la gestion des regroupements de ressources selon leurs caractéristiques propres. Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des OU Organisation d’objets en OU Modèles hiérarchiques possibles Group Dénominations possibles des OU
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des OU Création d’OU Choisissez Utilisateurs et Ordinateurs Active Directory dans le menu Outils d’administration Cliquez-droit sur le domaine, choisissez Nouveau puis Unité d’organisation Introduire le nom de la nouvelle OU et cliquez sur OK Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des groupes Création d’un groupe Ouvrez l’outil d’administration Utilisateurs et ordinateurs Active Directory Ouvrez le domaine dans lequel vous créez le groupe Cliquez-droit sur Users (ou le OU choisi), faites Nouveau/Groupe pour ouvrir la boîte de dialogue Nouvel objet-Groupe Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Planification et gestion des groupes Création d’un groupe Saisissez le nom du groupe et cochez l’option Étendue de groupe et le Type de groupe Cliquez sur OK. Le nouveau groupe est inséré dans le conteneur Users (ou le OU choisi) Ajout d’utilisateurs (de membres) à un groupe Ouvrez l’outil d’administration Utilisateurs et ordinateurs AD Cliquez sur le conteneur qui contient les objets à ajouter au groupe Sélectionnez les objets (users, groupes, ordinateurs, etc.) à ajouter Cliquez-droit sur votre sélection et choisissez Ajouter à un groupe. La boîte de dialogue Sélectionnez groupe s’ouvre. Utilisez Types d’objets et Emplacements pour restreindre la recherche Tapez les premières lettres du nom du groupe et cliquez OK. La liste des correspondances est affichée, cliquez sur le groupe souhaité puis sur OK Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Groupes locaux de domaine prédéfinis Fournissent aux utilisateurs des droits et des permissions pour effectuer certaines tâches sur les contrôleurs de domaines et sur AD Les utilisateurs et les groupes globaux ajoutés aux groupes locaux de domaine héritent automatiquement des droits et permissions prédéfinis pour ces groupes locaux de domaines Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Groupes locaux de domaine prédéfinis Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Groupes locaux de domaine prédéfinis Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Groupes globaux prédéfinis Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Groupes locaux de domaine prédéfinis Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Groupes locaux de domaine prédéfinis Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Groupes globaux prédéfinis Par défaut les groupes ne possèdent pas de privilèges intrinsèques, l’administrateur affecte les privilèges Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Droits utilisateur Les permissions indiquent les accès dont peut bénéficier un utilisateur (ou un groupe) sur les objets comme des fichiers, répertoires et imprimantes Ex: Si un utilisateur peut lire un répertoire ou accéder à une imprimante nous parlons de permissions Les droits se divisent en privilèges et en droits d’ouverture de session Exemples de privilèges: Possibilité d’exécuter des audits de sécurité ou de forcer l’arrêt du système à partir d’une autre machine Droits d’ouverture concernent la capacité de se connecter à une machine de certaines façons Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Permissions sur les objets AD FULL CONTROL: Permet à un utilisateur de changer des permissions, prendre des droits de propriétés (take ownnership) et accomplir les tâches permises par toutes les autres permissions standards. WRITE: Permet la modification des attributs d’objets AD. READ: Permet la visualisation des objets AD, leurs attributs, leur propriétaire et leurs permissions. CREATE CHILD OBJECTS: Ajout d’objets AD dans une OU. DELETE CHILD OBJECTS: Éliminer des objets d’une OU.
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Les permissions sur les objets AD peuvent être: Allouées (Allowed) ou défendues (Denied) Défendues implicitement ou explicitement. Standards ou spéciales si un degré plus fin de contrôle sur les objets est requis. Créées au niveau d’un objet lui-même ou héritées de son objet parent.
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Héritage des permissions
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Héritage des permissions et déplacement d’objets Lors du déplacement d’un objet AD Les permissions explicites restent les mêmes. Les objets déplacés héritent des permissions du nouveau parent. Les objets déplacés ne sont plus héritiers des permissions de leur ancien parent. L’héritage des permissions peut être bloqué par la création de permissions explicites. En copiant (COPY) les permissions héritées à l’objet, elles deviennent alors explicites, elles peuvent alors être modifiées. En les éliminant (REMOVE), et ajoutant de nouvelles permissions à un objet.
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Droits d’ouverture de session Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Privilèges affectés par défaut aux groupes Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Privilèges affectés par défaut aux groupes (suite) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Privilèges affectés par défaut aux groupes (suite) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Privilèges affectés par défaut aux groupes (suite) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Affectation de droits à un groupe Si un groupe d’utilisateurs doivent pouvoir ouvrir des sessions locales sur les serveurs WINDOWS SERVER 2003 mais qu’ils ne doivent pas être membres de l’un des groupes possédant par défaut ce droit Solution: Créer un groupe (ex: SessionsLocales) Ajouter les utilisateurs à ce groupe Affecter à ce groupe le droit d’ouvrir des sessions locales Ouvrir l’outil d’administration Utilisateur et ordinateurs AD. Cliquez-droit sur le domaine et choisissez Propriétés Allez dans l’onglet Stratégies de groupe, cliquez sur Modifier. Développez la branche Configuration ordinateur et ensuite la branche Paramètres Windows Sous Paramètres de sécurité, cliquez sur Stratégies locales puis Attributions des droits utilisateur, cliquez deux fois sur Ouvrir une session localement dans le volet de droite Cochez Définir ces paramètres de stratégies, cliquez sur Ajouter Tapez le nom du groupe auquel vous accordez ce droit (ou cliquez sur Parcourir). Cliquez deux fois sur OK et fermer la fenêtre Stratégies de groupe Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des groupes prédéfinis et des droits utilisateurs Affectation de droits à un groupe Droits utilisateur dans la stratégie de groupe
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes machine L’outil d’administration Utilisateur et ordinateur AD facilite l’ajout, la suppression, la localisation, le déplacement et la gestion des ordinateurs dans un domaine et une forêt. Les ordinateurs sont traités de façon similaires à des comptes utilisateurs dans AD. Ils sont associés à des objets dans AD. Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes machine Création d’un compte machine Ouvrir l’outil d’administration Utilisateur et ordinateur AD Cliquez-droit sur le conteneur (Domain -> Computers, ou un OU) dans lequel vous voulez créer le compte, choisissez Nouveau puis Ordinateurs Donnez un nom à la machine
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes machine Enlever un compte machine Ouvrir l’outil d’administration Utilisateur et ordinateur AD Cliquez-droit sur le conteneur (Domain -> Computers, ou un OU) dans lequel vous voulez créer le compte, choisissez Effacer OK pour confirmer
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur Chaque personne qui veut accéder au réseau doit posséder un compte utilisateur qui permet: D’authentifier l’identité des personnes De contrôler les accès aux ressources du domaine D’auditer les actions faites via le compte WINDOWS SERVER 2003 ne crée que deux comptes prédéfinis Compte Administrateur avec tous les droits et permissions Compte Invité avec des privilèges restreints Dénomination et paramétrage de compte Créez les noms principaux de sécurité en suivant une convention de dénomination cohérente (ex: Nom+initiale du prénom, Prénom+initiale du nom) Paramètres à considérer Horaire d’accès: Par défaut, un utilisateur peut ouvrir une session à n’importe quelle heure du jour ou de la nuit mais peut être changé selon les besoins Date d’expiration d’un compte Un bon mot de passe (au moins 6 caractères dont 2 alphanumériques) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur Création d’un compte utilisateur de domaine Ce type de compte peut être créé dans l’OU par défaut USERS mais vous pouvez créer une OU destinée à contenir les comptes utilisateurs de domaine Ouvrir l’outil d’administration Utilisateur et ordinateur AD Cliquez-droit sur le conteneur dans lequel vous voulez créer le compte, choisissez Nouveau puis Utilisateur Tapez les nom et prénom de l’utilisateur Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur Création d’un compte utilisateur de domaine Création d’un compte utilisateur (suite) Tapez le nom d’ouverture de session. Ce nom doit être unique au niveau de AD Tapez un mot de passe et définissez les stratégies de mot de passe, cliquez Suivant Un écran de confirmation montrant les détails du compte est ensuite affiché, si tout est conforme, cliquez sur Terminer Configuration d’un compte utilisateur Démarrer l’outil d’administration Utilisateurs et ordinateur AD Ouvrez l’OU contenant le compte utilisateur concerné Cliquez-droit sur le compte et choisissez Propriétés Cliquez sur l’onglet correspondant à la propriété à modifier. Quand vous avez terminé vos modifications faite OK Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur Configuration d’un compte utilisateur (Propriétés générales) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur Configuration d’un compte utilisateur (Propriétés Adresse) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur Configuration d’un compte utilisateur (Propriétés Compte) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur Configuration d’un compte utilisateur (Propriétés Compte: Heures d’accès, machines d’accès) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Création de comptes utilisateur Configuration d’un compte utilisateur (Propriétés Compte: Membre) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Onglets correspondant aux propriétés d’un compte utilisateur Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur Recherche d’un compte utilisateur Ouvrez l’outil d’administration Utilisateurs et ordinateurs AD, dans la barre d’outils cliquez sur Rechercher La boîte de dialogue Rechercher utilisateurs, contacts et groupes s’ouvre Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur Recherche d’un compte utilisateur (suite) Déroulez la liste Rechercher et sélectionnez le type d’objet à rechercher Spécifiez l’étendue de la recherche dans la zone Dans. Tapez un nom ou une partie de nom et cliquez Rechercher L’option Requête commune permet de rechercher les comptes désactivés ou les comptes ayant un mot de passe expiré Pour un recherche avancée cliquez sur l’onglet Avancé (ex: recherche d’une imprimante) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur Activation et désactivation d’un compte utilisateur Rechercher le compte de l’utilisateur Cliquez-droit sur le nom de l’utilisateur et choisissez Désactiver le compte Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur Suppression d’un compte utilisateur Veuillez être bien certain avant de supprimer un compte puisque toute la configuration du compte (permissions, les appartenances aux groupes etc.) est détruite Autres opérations Transfert d’un compte utilisateur Renommer un compte utilisateur Réinitialisation d’un mot de passe Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur Autres opérations Déverrouillage de compte utilisateur Ex: Un utilisateur contrevient à une stratégie de groupe en faisant trop de tentatives erronées de saisie de mot de passe, la GPO verrouille le compte Rechercher le compte verrouillé Cliquez-droit sur le compte et choisissez Propriétés Cliquez sur l’onglet Compte Décochez la case Le compte est verrouillé et cliquez OK Répertoires personnels Le répertoire personnel de l’utilisateur lui permet d’entreposer ses documents sur un serveur Avantages: Centralisation de la sauvegarde des documents des utilisateurs Les utilisateurs peuvent avoir accès à leurs répertoires personnels depuis n’importe quel poste de travail Les répertoires personnels sont accessibles à tous les clients MicroSoft Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur Répertoires personnels Création de répertoires personnels sur un serveur Sur le serveur créez un nouveau dossier destiné à contenir les répertoires personnels Cliquez-droit sur ce répertoire et choisissez Partage et sécurité Cliquez sur l’onglet Partage puis sur Partager ce dossier Cliquez sur l’onglet Sécurité et assignez le contrôle total au groupe Utilisateurs Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur Répertoires personnels Accès des utilisateurs à leurs répertoires personnels Pour rendre un répertoire personnel accessible à un utilisateur il faut ajouter le chemin de ce répertoire aux propriétés du compte utilisateur Trouver le compte utilisateur dans AD Cliquez-droit sur le nom de l’utilisateur et choisissez Propriétés Allez dans l’onglet Profil. Dans la zone Dossier de base, cliquez sur Connecter puis tapez une lettre de lecteur qui servira à se connecter au serveur de fichiers Dans la zone À, spécifiez le nom UNC de la connexion (ex: \\serveur\partage\utilisateur) En utilisant la variable %username% il y aura création d’un répertoire personnel portant le nom d’ouverture de session de l’utilisateur Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Administration des comptes utilisateur Répertoires personnels Spécification d’un répertoire personnel Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur Contient les configurations du bureau et des applications de l’utilisateurs Avantages: Plusieurs utilisateurs peuvent utiliser le même ordinateur, chaque utilisateur retrouve sa configuration personnelle Toute modification du bureau faite par un utilisateur n’affecte pas les autres utilisateurs de la même machine Si les profils sont stockés sur un serveur ils peuvent suivrent les utilisateurs quelles que soient les machines WINDOWS SERVER 2003 sur lesquelles ils ouvrent des sessions Types de profil Local: Spécifique à un utilisateur, local à une machine et stocké sur son disque dure Itinérant: Créé par un administrateur et stocké sur un serveur donc suit l’utilisateur quelle que soit la machine sur laquelle il ouvre une session Obligatoire: Profil itinérant qui ne peut être modifié que par un administrateur Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur Profil local (Répertoires) Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur Combinaison des profiles User et All users Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur Contenu d’un profil Application data Bureau (défaut) Favoris (défaut) (emplacement les plus utilisés sur le WEB) Local settings (défaut) Menu Démarrer (défaut) Mes Documents (défaut) Modèles Recent (fichiers, dossiers récemment utilisés) SendTo Voisinage d’impression (raccourcis vers les éléments du dossier Imprimantes et télécopieurs) Voisinage réseau Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur Profils locaux (Administrateur) Profil propre à une machine stocké dans le dossier Documents and Settings Group
ADMINISTRATION DES UTILISATEURS ET DES GROUPES Profils utilisateur Profils itinérants Créez sur le serveur un dossier partagé destiné aux profils (ex: Profils) Dans l’onglet Profil de la boîte de dialogue des propriétés de l’utilisateur, tapez le chemin du profil (ex: \\serveur\dossier_profils\%username%) Group