Vous pouvez créer des utilisateurs, des groupes

TP 2 : Comptes et groupes (2 h 00)
I ENVIRONNEMENT LOGICIEL ET MATÉRIEL
Vous disposez de :

Windows 2008 server R2 Datacenter en tant que contrôleur de domaine
ActiveDirectory sur le domaine « votrenom.local» ;

Windows Seven intégré au domaine "votrenom.local" :
II LES COMPTES, LES GROUPES C'EST QUOI ?
Les comptes et les groupes permettent de gérer plus facilement l’administration du réseau. Il semble
assez logique que sur un réseau, n’importe qui ne fasse pas n’importe quoi. L’Administrateur a
généralement des droits et des permissions élevés sur tous les objets du réseau (comptes d’utilisateurs,
machines, dossiers…) alors que les utilisateurs ont des droits moindres. Pour faciliter encore cette
gestion on peut regrouper les utilisateurs en groupes et c’est à tel ou tel groupe qu’on va attribuer des
droits ou des permissions.
Nous avons déjà vu en première année qu’il existait des comptes locaux permettant de travailler en
groupe de travail (workgroup) mais leur rôle se limite à autoriser l’accès à une machine locale et non à
l’ensemble des ressources d’un domaine.
Pour accéder à l’ensemble des ressources d’un domaine il faut créer des comptes et des groupes
accessibles depuis n’importe quel poste (sauf limitations particulières). Ces comptes d’utilisateurs et
ces groupes sont stockés dans la base de données de l’Active Directory, base de données stockée sur le
serveur qui a été installé en Active Directory (la sauvegarde de cette base pourrait être assurée par
d’autres serveurs accueillant des copies de l’Active Directory).
Pour essayer de mettre en évidence ces notions, nous allons créer cinq comptes d’utilisateurs (Art1,
Art2, Aut1, Aut2 et Boss). Ultérieurement, lors des autres TP, les "Artistes" auront le droit de faire des
choses, les "Auteurs" n’auront que des droits minimums et le Boss aura des droits d’administrateur.
III
AJOUT DU DISQUE DÉDIÉ AU STOCKAGE DES DONNÉES UTILISATEURS
Les données des utilisateurs seront stockées sur un disque différent du système d’exploitation. Ce
disque accueillera :

Les répertoires personnels des utilisateurs dans (\homes) ;
Ajoutez le disque (dans l'outil de virtualisation puis avec le gestionnaire de disque) et créez le
répertoire.
IV
CRÉATION DES PARTAGES RÉSEAU ET PERMISSIONS NTFS
Créez un partage réseau pour le répertoire « homes » accessible à « Tout le monde » en «
Lecture/Écriture ».
Modifiez les permissions NTFS du répertoire « homes » afin d’enlever les permissions pour le groupe
« Utilisateurs ». Conservez les permissions pour les utilisateurs « Système », « Administrateurs » et «
CREATEUR PROPRIETAIRE »
1
Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski
V CRÉATION DES OU
Les «Unités d’Organisation » permettent d’appliquer des stratégies différentes aux utilisateurs et aux
groupes d’utilisateurs mais aussi de structurer les objets ActiveDirectory dans l’arborescence.
Sous la racine, créez l’OU « Départements » et ajoutez-y les OU « artistes » et « auteurs » et "
direction" à partir de l’outil « Utilisateurs et ordinateurs Active Directory »
Sous la racine, créez l'UO Groupes.
VI
CRÉATION DE COMPTES
Cette création doit en principe être réalisée au niveau du serveur contrôleur de domaine.
Pour créer des comptes d’utilisateurs il suffit de :
1. Faites « Démarrer », « Programmes », « Outils d’administration » puis « Utilisateurs et ordinateurs
Active Directory ».
2. Dans la fenêtre qui s’affiche (dite : console MMC – Microsoft Management Console) cliquez sur
la croix située à gauche du nom de domaine.
3. Cliquez ensuite sur l'UO Ventes.
La liste des utilisateurs actuels s’affiche (pour l'instant aucun utilisateur n'est créé dans cette UO).
4. Faites un clic droit, « Nouveau », « Utilisateur».
5. En respectant la casse proposée dans le polycopié, saisissez comme « Nom » : Art1, comme
« Nom détaillé » : Monsieur Artiste, comme « Nom d’ouverture de session… » : Art1 puis cliquez
sur « Suivant »
6. Comme « Mot de passe » saisissez et confirmez : Password1 puis enlevez la coche éventuelle
située devant « L’utilisateur doit changer de mot… » pour ne la placer que devant « Le mot de passe
n’expire jamais » puis cliquez sur « Suivant » et sur « Terminer ».
7. Observez la création d’un compte pour l’utilisateur, l’icône représentant une « simple tête ».
8. Recommencez la procédure des points 4 à 6 avec comme utilisateur : Art2, Madame Artiste,
Art2 mot de passe Password1 –
9. Passez dans l'UO "auteurs" et créez Aut1, Monsieur Auteur, Aut1 mot de passe Password1 puis
Aut2, Madame Auteur, Aut2 mot de passe Password1.
10. Passez dans l'UO "Direction" et créez un dernier utilisateur : Boss, Monsieur Boss, Boss et
Password1 comme mot de passe.
Constatez au passage que plusieurs comptes peuvent avoir le même mot de passe. Seul le nom de
compte ne peut être identique d’un utilisateur à un autre !
N.B. : Si vous craigniez d’avoir fait une erreur (par exemple oublié de cocher « Le mot de passe
n’expire jamais »…) vous pouvez faire un « clic-droit » sur le nom de l’utilisateur à vérifier ou à
modifier, ce qui fait apparaître un menu contextuel dans lequel s’affiche le mot « Propriétés ». En
cliquant sur cette option vous avez accès aux paramètres du compte et vous pouvez les modifier car
vous êtes actuellement connecté (on dit aussi « logué ») en tant qu’Administrateur ! Un utilisateur
« lambda » n’a pas les mêmes droits Artiste évidemment !
Observez les différents onglets de propriétés (« Général », « Adresse », « Compte »…) qui
correspondent à autant d’informations et de critères de recherche possible au sein de l’Active
Directory dite également « Service d’annuaire ».
2
Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski
VII
CRÉATION DE TROIS GROUPES
Pour les besoins des TP ultérieurs, nous allons créer trois groupes d’utilisateurs (Groupe des Artistes,
Groupe des Auteurs et Direction) dans l'UO "Groupes".
Cette création doit en principe être réalisée au niveau du serveur contrôleur de domaine.
 Si nécessaire, faites « Démarrer », « Programmes », « Outils d’administration » puis « Utilisateurs
et ordinateurs Active Directory ».
 Dans la fenêtre qui s’affiche (console MMC) cliquez sur la croix située à gauche du nom de
domaine.
 Cliquez ensuite sur votre UO "Groupes".
 Faites un clic droit, « Nouveau », « Groupe »..
 En respectant la casse proposée , saisissez dans la zone « Nom de groupe » : gp_Artistes.
 Laissez l’option « Globale » dans « Étendue du groupe » et « Sécurité » dans « Type de groupe »
 Observez la création d’un nouveau groupe, l’icône représentant une « double tête ».
 Recommencez la procédure des points 4 à 6 avec comme nom de groupe : gp_Auteurs et gpDirection.
N.B. : En cas de problème vous pouvez faire un « clic-droit » sur le nom de l’utilisateur à vérifier ou à
modifier, pour obtenir le menu contextuel. En cliquant sur l’option « Propriétés » vous accédez aux
paramètres du compte et vous pouvez les modifier - si vous êtes connecté « logué » Administrateur !
VIII
AFFECTATION DES COMPTES AUX GROUPES
Nous allons maintenant affecter les utilisateurs Art1, Art2, Aut1, Aut2 et Boss à leur(s) groupe(s)
respectif(s).
Cette création doit en principe être réalisée au niveau du serveur contrôleur de domaine.
 Si nécessaire, faites « Démarrer », « Programmes », « Outils d’administration » puis « Utilisateurs
et ordinateurs Active Directory ».
 Dans la fenêtre qui s’affiche (console MMC) cliquez sur la croix située à gauche du nom de
domaine.
 Cliquez ensuite sur l'UO "groupes".
 Faites un clic-droit sur l’icône de groupe gp_Artistes et cliquez sur « Propriétés » dans le menu
contextuel qui apparaît.
 Cliquez sur l’onglet « Membres » puis sur le bouton « Ajouter… ».
 Dans la liste des utilisateurs qui apparaît dans la partie supérieure faites un double clic (ou un
simple clic puis « Ajouter ») sur les utilisateurs suivants : Art1, Art2. Validez en cliquant sur « OK ».
 Recommencez la procédure avec le groupe : gp_auteurs où vous ajouterez Aut1 et Aut2 !
 Recommencez la procédure avec le groupe : gp_direction où vous ajouterez Boss !
 Ajoutez aussi le compte Boss dans le groupe "Administrateurs" !
N.B. : En cas de problème vous pouvez toujours faire un « clic-droit » sur le nom de l’utilisateur à
vérifier ou à modifier, pour obtenir le menu contextuel. En cliquant sur l’option « Propriétés » vous
accédez aux paramètres du compte et vous pouvez les modifier - si vous êtes connecté « logué »
Administrateur !
3
Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski
IX
ESSAIS DE CONNEXION D’UTILISATEURS
Une fois que les comptes d’utilisateurs et les groupes ont été créés, nous pouvons en tester le
« fonctionnement ».
Qu’en est-il des nouveaux comptes d’utilisateurs créés sur le domaine ? Nous allons faire quelques
essais – faites ces essais sur chaque poste (le Serveur et la Station) :
 Essayez de vous « loguer » avec le nom Art1 (Ce compte Art1a été créé comme utilisateur du
domaine sur le poste installé en Windows 2008 serveur et disposant dorénavant de l’Active Directory)
- mot de passe Password1.
Sur le Serveur - Y arrivez vous ?
 Oui
 Non
Sur la Station (domaine) - Y arrivez vous ?
 Oui
 Non
Sur la Station (machine locale) - Y arrivez vous ?
 Oui
 Non
Faites la même chose avec le compte Aut1 (Monsieur Auteur – mot de passe Auteur)
Sur le Serveur - Y arrivez vous ?
 Oui
 Non
Sur la Station (domaine) - Y arrivez vous ?
 Oui
 Non
Sur la Station (machine locale) - Y arrivez vous ?
 Oui
 Non
Faites la même chose avec le compte Boss (Monsieur Boss – mot de passe boss)
Sur le Serveur - Y arrivez vous ?
 Oui
 Non
Sur la Station (domaine) - Y arrivez vous ?
 Oui
 Non
Sur la Station (machine locale) - Y arrivez vous ?
 Oui
 Non
Tirez en les conclusions qui s’imposent sur les possibilités de connexion des utilisateurs du domaine
lorsque les postes qui sont installés en domaine.
- Sur le serveur :
- Sur la station (domaine) :
- Sur la station (machine locale) :
X LIMITATION DE CONNEXION D’UN UTILISATEUR À TEL OU TEL POSTE SEULEMENT
Pour des raisons diverses (sécurité, confidentialité…) il est possible de limiter l’accès d’un utilisateur à
tel ou tel poste de l’entreprise. Chaque utilisateur peut ainsi se voir limiter l’accès à certaines stations
seulement.
Aut1 est vraiment très maladroit et nous avons décidé de limiter son accès à une seule station car on
ignore quels dégâts il pourrait faire s’il se connectait sur une autre !
Cette création doit en principe être réalisée au niveau du serveur contrôleur de domaine.
1. Connectez-vous sur le serveur en tant qu’Administrateur ou en tant que Boss.
2. Faites « Démarrer », « Programmes », « Outils d’administration » puis « Utilisateurs et ordinateurs
Active Directory ».
3. Dans la fenêtre qui s’affiche (console MMC) cliquez sur la croix située à gauche du nom de
domaine.
4. Cliquez ensuite sur la bonne UO.
La liste des utilisateurs s’affiche (Rappelez vous qu’une icône représentant une « simple tête » indique
un utilisateur alors qu’une icône représentant une « double tête » indique un groupe).
4
Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski
5. Faites un clic droit sur l’utilisateur Aut1 et cliquez sur « Propriétés » dans le menu contextuel qui
apparaît.
6. Cliquez sur l’onglet « Compte » puis sur le bouton « Se connecter à… ».
7. Activez le choix Les ordinateurs suivants en cliquant sur le radio-bouton correspondant.
8. Dans la zone Nom de l’ordinateur on doit saisir le nom d’une station du réseau sur laquelle est
autorisé à se connecter Monsieur Auteur. Pour les besoins du TP vous allez saisir le nom d’une station
fictive (CLIENT2 par exemple) puis cliquer sur « Ajouter ».
9. Validez et terminez en cliquant successivement sur « OK » puis sur « OK ».
Dorénavant Monsieur Auteur ne pourra plus se connecter QUE sur la station autorisée !
XI
VÉRIFICATION DE LA LIMITATION DE CONNEXION PAR POSTE
Cette vérification doit être réalisée au niveau de la station.
1. Faites « Démarrer », « Arrêter » et choisissez « Fermer la session … » ou « Redémarrer » de
manière à vous reconnecter.
2. Dans la boîte de saisie « Ouverture de session Windows » entrez comme nom d’utilisateur Aut1 et
comme mot de passe Password1 en vérifiant que vous vous « loguez » sur votre domaine. Arrivezvous à vous connecter ?
XII
LES PROFILS UTILISATEUR
Dans Windows Seven, l’environnement informatique d’un utilisateur est essentiellement déterminé par
son profil d’utilisateur. Pour des raisons de sécurité, Windows Seven nécessite un profil d’utilisateur
pour chaque compte d’utilisateur pouvant accéder au système.
Le profil d’utilisateur contient tous les paramètres que l’utilisateur peut définir pour l’environnement
de travail d’un ordinateur qui exécute Windows Seven à savoir les paramètres de l’affichage, les
paramètres régionaux, ceux de la souris et les paramètres du son, outre les connexions au réseau et
aux imprimantes. Vous pouvez configurer des profils d’utilisateur pour qu’un profil suive un
utilisateur sur chaque ordinateur sur lequel il ouvre une session.
XII.1 TYPES DE PROFILS D’UTILISATEUR
Le profil d’utilisateur est créé à la première ouverture de session de l’utilisateur sur un ordinateur.
Tous les paramètres propres à l’utilisateur sont automatiquement enregistrés dans le sous-dossier de
cet utilisateur dans le dossier Utilisateurs. Lorsque l’utilisateur ferme la session, son profil
d’utilisateur est mis à jour sur l’ordinateur sur lequel il avait ouvert la session. Le profil d’utilisateur
conserve donc les paramètres de bureau de l’environnement de travail de chaque utilisateur sur
l’ordinateur local. Seuls les administrateurs système sont autorisés à modifier les profils d’utilisateur
obligatoires.
Les types de profils d’utilisateur sont présentés ci-dessous.
 Profil d’utilisateur local. Ce profil est créé la première fois qu’un utilisateur ouvre une session sur
un ordinateur, et est stocké sur l’ordinateur local dans le répertoire "Utilisateurs". Toutes les
modifications apportées au profil d’utilisateur local sont propres à l’ordinateur sur lequel les
changements ont été effectués. Plusieurs profils d’utilisateur locaux peuvent exister sur un ordinateur.
 Profil d’utilisateur itinérant. Ce profil est créé par l’administrateur système et stocké sur un
serveur. Ce profil est disponible chaque fois qu’un utilisateur ouvre une session sur un ordinateur sur
le réseau. Si un utilisateur apporte des modifications aux paramètres de bureau, son profil d’utilisateur
est mis à jour sur le serveur lorsqu’il ferme la session.
5
Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski
 Profil d’utilisateur obligatoire. Ce profil est créé par l’administrateur pour indiquer les paramètres
particuliers d’un utilisateur ou d’utilisateurs, et peut être de type local ou itinérant. Un profil
d’utilisateur obligatoire ne permet pas à un utilisateur d’enregistrer des modifications apportées aux
paramètres de son bureau. L’utilisateur peut modifier les paramètres du bureau de l’ordinateur sur
lequel il a ouvert une session, mais ces modifications ne sont pas enregistrées lorsqu’il la ferme.
XII.2 CRÉATION DE PROFILS D’UTILISATEUR ITINÉRANTS ET OBLIGATOIRES
Vous pouvez stocker des profils d’utilisateur sur un serveur pour qu’ils soient disponibles à chaque
fois qu’un utilisateur ouvre une session sur un ordinateur du réseau. Les profils d’utilisateur itinérants
et obligatoires sont stockés de façon centralisée sur un serveur, afin de permettre aux utilisateurs de
disposer du même environnement de travail quel que soit l’ordinateur sur lequel ils ouvrent une
session.
Pour créer un profil d’utilisateur itinérant, suivez la procédure ci-dessous :
1. Créez un dossier partagé caché ($ à la fin du nom) sur le serveur, et donnez à "Tout le monde"
l’autorisation "Modifier" sur ce dossier.
2. Indiquez le chemin d’accès du dossier partagé. Ouvrez la console Utilisateurs et ordinateurs
Active Directory. Dans le volet de détails, cliquez avec le bouton droit sur le compte d’utilisateur
approprié, puis cliquez sur Propriétés. Dans l’onglet Profil, sous Profil utilisateur, tapez le
chemin du dossier partagé dans la zone Chemin du profil. Le chemin d’accès doit s’afficher de la
façon suivante :\serveur\dossier_partagé\votreUtilisateur (Vous pouvez utiliser la variable
%username% au lieu d’indiquer le nom de l’utilisateur. Windows 2008 remplace alors
automatiquement %username% par le nom du compte d’utilisateur du profil d’utilisateur
itinérant).
3. Connectez-vous sur la machine Seven avec ce compte utilisateur. Rajoutez une icône sur le
bureau. Puis déconnectez-vous.
4. Sur le serveur, en tant qu'administrateur appropriez-vous ce dosssier "Profils\VotreUtilisateur"
mais laissez bien tous les droits à votreUtilisateur. Observez son contenu en faisant apparaître les
fichiers cachés.
Remarque : Le fichier Ntuser.dat contient la section du registre qui s’applique au compte
d’utilisateur, et contient les paramètres du profil d’utilisateur. Ce fichier se trouve dans le dossier de
profil de l’utilisateur.
XII.3 CRÉATION D’UN PROFIL D’UTILISATEUR OBLIGATOIRE
Utilisez en général les profils obligatoires lorsqu’un groupe d’utilisateurs doit pouvoir disposer des
mêmes paramètres de bureau et si vous ne souhaitez pas qu’ils les modifient eux-mêmes.
1. Attribuez au fichier du profil Ntuser.dat l’extension .man dans le répertoire du profil de
l'utilisateur.
2. Testez en vous connectant sous ce compte utilisateur et rajoutez une icône sur le bureau par
exemple.
3. Vérifiez dans le répertoire de stockage du profil utilisateur si cette modification a été prise en
compte.
Remarque : Le fichier Ntuser.dat du dossier du profil de l’utilisateur sera masqué. Pour l’afficher
dans l’Explorateur Windows, cliquez sur Outils, puis sur Options des dossiers. Dans l’onglet
Affichage de la boîte de dialogue Options des dossiers, sous Paramètres avancés, activez la case à
cocher Afficher les fichiers et dossiers cachés. Désactivez la case à cocher Cacher les extensions
des fichiers dont le type est connu, puis cliquez sur 0K.
6
Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski