Vous êtes sur la page 1sur 21

Section: ASR –S3- et SN: IR -S2-

Module : Gestion des Clients et Administration des Permission

Chapitre 2
Gestion et configuration des comptes utilisateurs dans un domaine

Introduction :
Les comptes utilisateurs permettent aux utilisateurs d’accéder aux ressources du domaine : Les
informations de comptes sont centralisées sur un serveur, dans l'annuaire des objets du réseau. Si une
modification doit être apportée à un compte, elle doit être effectuée uniquement sur le serveur qui la diffusera
à l'ensemble du domaine. Ils sont associés à un mot de passe, et fonctionnent dans un environnement définit
(local ou domaine). Un utilisateur possédant un compte sur le domaine pourra donc s’identifier sur toutes les
machines de ce domaine, sauf si l’administrateur met une restriction en place.

1. Définition d’Active Directory :


Active Directory est le nom du service d'annuaire (au sens informatique) de Microsoft. Active Directory
permet de regrouper toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines
ou les applications. L'utilisateur peut ainsi trouver facilement des ressources partagées, et les administrateurs
peuvent contrôler leurs utilisations grâce à des fonctionnalités de sécurisation des accès aux ressources
répertoriées.
Active Directory a pour objectif de permettre la gestion des comptes, des ordinateurs, des ressources et de la
sécurité de façon centralisée, dans le cadre d’un domaine. Un domaine constitue un ensemble d’utilisateurs et
de machines dont le contrôle est centralisé.

1.1 Installation d’Active Directory :


Cette opération consiste à transformer un simple système en serveur de domaine Active Directory pour qu’il
devienne le premier contrôleur de domaine (DC) de l’entreprise ou de l’organisation.

Première étape, a priori déjà réglée : ouvrir une session en Administrateur local ou avec un compte qui
fait partie des administrateurs locaux du serveur.
1. Dans le Gestionnaire de serveur, cliquer sur l’étape « 2 – Ajouter des rôles et des fonctionnalités » .
2. Choisir « Installation basée sur un rôle ou une fonctionnalité » .
3. Dans notre exemple, le serveur est le seul du réseau, sinon choisir la bonne machine dans le pool de
serveurs.
4. Cocher le rôle « Services AD DS » pour Active Directory Domain Services. Remarque : les rôles DNS et
DHCP seront ajoutés plus tard.

5. Valider aussi l’ajout de rôles et de fonctionnalités complémentaires, requises pour l’installation de


ADDS.

6. L’écran suivant permet d’ajouter des fonctionnalités, ne rien faire et cliquer sur Suivant.
7. Vérifier le résumé de l’installation et cliquer sur « Installer » pour démarrer l’opération.
8. En laissant l’écran ouvert, à la fin du processus, on peut lire « Configuration requise. Installation réussie
sur SERVEUR » et surtout la ligne « Promouvoir ce serveur en contrôleur de domaine » : c’est sur cette
phrase qu’il faut cliquer pour convertir le serveur en contrôleur de domaine du réseau.

Si on a raté cet écran, on peut y accéder par le Gestionnaire de serveur, en cliquant sur l’icône « drapeau » à
gauche de « Gérer » :
9. Dans notre configuration exemple, il s’agit du premier serveur d’un nouveau réseau. Choisir « Ajouter
une nouvelle forêt » pour configurer un domaine neuf. Indiquer un Nom de domaine racine, par
exemple domaine.local ou entreprise.local.

10. Ce nouveau serveur sera-t-il le seul de l’entreprise ? Les postes seront-ils tous en Windows 10 ? Si oui
aux deux questions, on peut laisser le Niveau fonctionnel de la forêt et du domaine en Windows Server
2016. Si des serveurs ou des postes plus anciens viendront se connecter, il faut baisser les deux niveaux
fonctionnels à leur équivalent serveur. Par exemple, Windows 7 équivaut à Windows Server 2008
R2. Informations TechNet.
Laisser coché l’ajout de la fonctionnalité Serveur DNS pour ajouter ce rôle et indiquer un mot de passe de
récupération des services d’annuaire (DSRM). Ce mot de passe ne doit absolument pas être perdu.

11. Un message d’erreur en jaune vient alerter de la délégation du serveur DNS. Il n’y a rien à faire à ce
stade, cliquer simplement sur Suivant pour continuer.

12. Nous avons précédemment choisi un nom de domaine complet (FQDN), il faut maintenant indiquer
l’équivalent NetBIOS pour les anciens appareils qui ne gèrent pas les noms de domaines qualifiés. Par
exemple, pour « domaine.local » on pourra choisir le NetBIOS « DOMAINE » .
13. Valider l’emplacement de la base de données AD DS, des journaux d’historique et pour
SYSVOL. Laisser les dossiers proposés par défaut (NTDS et SYSVOL dans C:\Windows).

14. Un récapitulatif résume la configuration qui va être appliquée. Cliquer sur Suivant pour continuer.
15. Une dernière vérification est effectuée, des notifications sont affichées mais cliquer sur Installer pour
démarrer le processus.

16. L’opération dure quelques minutes et le redémarrage de Windows prendra plus de temps que d’habitude,
le temps de configurer le contrôleur de domaine.

17. La connexion à Windows doit maintenant se faire sur le domaine pour utiliser le compte Administrateur
du domaine. Utiliser le mot de passe du compte Administrateur créé lors de l’installation de Windows
Server 2016.

18. Il s’agit d’un nouveau profil Windows mais le Gestionnaire des tâches s’ouvre aussi automatiquement.
Des blocs indiquent l’état des rôles du serveur : AD DS, DNS, Services de fichiers et de stockage. En vert,
tout va bien. En rouge, pas de panique mais cliquer sur le message pour savoir de quoi il s’agit.
Outils d’administration

Quand on vient d’un système Windows Server 2008 / R2, on cherche d’abord les Outils d’administration pour
lancer les consoles de gestion Active Directory, DNS, DHCP, etc. Mais depuis Windows Server 2012 / R2,
c’est le Gestionnaire de serveur qui centralise ces fonctions. Dans la console, cliquer en haut à droite
sur Outils pour accéder aux outils de gestion du contrôleur de domaine.

Installer le serveur DHCP

Pour connecter plus facilement des postes clients et éviter la configuration manuelle des adresses IP sur ces
ordinateurs membres du domaine, il est recommandé d’utiliser le serveur DHCP du contrôleur de domaine.
Les ordinateurs recevront ainsi une adresse IP automatique et des options pourront automatiquement être
déployées sur les postes du réseau (passerelle, serveur de temps NTP, etc).

1. Depuis le Gestionnaire de serveur, cliquer sur l’étape « 2 – Ajouter des rôles et des fonctionnalités » .
2. Sélectionner « Installation basée sur un rôle ou une fonctionnalité » .
3. Choisir le serveur dans le pool proposé, comme lors de l’installation de l’annuaire Active Directory.

4. Cocher « Serveur DHCP » et valider les composants associés.


5. Faire Suivant à l’écran des fonctionnalités (ne pas en sélectionner) et continuer jusqu’à Installer.
6. Une discrète option « Terminer la configuration DHCP » est à cliquer pour configurer le compte
Administrateur autorisé à gérer le serveur DHCP.

7. Choisir l’Administrateur principal, par exemple DOMAINE\Administrateur.

8. Valider et Fermer.
Configurer le serveur DHCP

L’installation du rôle DHCP ne suffit pas à activer le serveur. Voyons maintenant sa configuration.

1. Dans le Gestionnaire de serveur, cliquer sur le menu Outils puis sur DHCP.
2. Dérouler DHCP, nom du serveur, IPv4. Fare un clic droit sur IPv4 et choisir Nouvelle étendue.

3. Donner un Nom à l’étendue DHCP et une Description (optionnel).

4. Choisir une plage d’adresse IP, en fonction de l’adresse IP fixe du serveur. Si le serveur a pour adresse IP
192.168.0.1, la plage DHCP sera aussi sur le sous réseau 192.168.0. Choisir une plage plus ou moins large
selon le nombre de postes et de périphériques (smartphones, tablettes) qui seront connectés. Laisser les
valeurs « Longueur » et « Masque de sous-réseau » par défaut.

5. S’il y a des adresses IP à exclure de la plage sélectionnée, les indiquer sur l’écran « Ajout d’exclusions et
de retard » .
6. Par défaut, la Durée du bail est de 8 jours. Modifier cette durée si nécessaire. La durée du bail est la
durée pendant laquelle une adresse IP sera réservée à un appareil. Par exemple, si l’ordinateur de Michel se
connecte le lundi matin, son adresse IP lui sera attribuée jusqu’au lundi suivant, même s’il ne se connecte
pas. Le renouvellement se fera donc chaque semaine avec la valeur par défaut.
7. Demander la Configuration des paramètres DHCP « maintenant » .
8. Votre réseau informatique est certainement équipé d’un routeur ou d’une box pour l’accès à internet. A
l’écran Routeur, indiquer l’adresse IP de ce boitier qui deviendra la passerelle par défaut des postes
en DHCP. Ainsi, pas besoin de configurer chaque PC pour qu’il puisse aller sur internet.
9. L’option suivante, Nom de domaine et serveurs DNS, doit être préremplie avec le nom du domaine et
l’adresse IP du serveur principal. Laisser ainsi et cliquer sur Suivant.
10. S’il y a nécessité d’indiquer un serveur WINS (du temps de Windows NT 4.0, avant Active Directory),
sinon laisser vide et Suivant.
11. Valider « Oui, je veux activer cette étendue maintenant » pour commencer à utiliser le serveur
DHCP.
12. Dérouler IPv4, Etendue [192.168.0.0] pour voir l’étendue créée (Pool d’adresses), les Baux (c’est-à-dire
la liste des postes clients qui recevront une adresse IP automatique), les Réservations et Options
précédemment configurées.

2.1 Compte utilisateur de domaine :


Les comptes d'utilisateurs de domaine résident dans Active Directory, sur des contrôleurs de domaine
et peuvent accéder à toutes les ressources sur le réseau, à condition d'avoir les privilèges nécessaires.
Créer les comptes utilisateurs du domaine

Dernière étape avant de pouvoir ajouter des PC dans le réseau nouvellement créé, il faut ajouter les comptes
pour les utilisateurs du domaine.

1. Depuis le Gestionnaire de serveur, cliquer sur le menu Outils et choisir Utilisateurs et ordinateurs
Active Directory (tout en bas).
2. Dérouler « domaine.local » et Users pour voir la liste des utilisateurs et des groupes qui existent déjà, par
défaut dans Windows Server 2016. On notera que figure déjà le compte « Administrateur » que l’on utilise
déjà.

3. Pour mieux s’en sortir et ne pas se mélanger avec les comptes intégrés, nous allons créer un dossier pour
les utilisateurs de notre société (Unité d’Organisation, OU en anglais). Ce « super groupe » sera plus facile à
gérer, par exemple avec des GPO.

Faire un clic droit sur le nom du domaine, Nouveau, Unité d’organisation.


4. Donner un nom à cette UO / OU, par exemple le nom de l’entreprise.

5. Ce nouveau « dossier » s’ajoute au même niveau que Users. Faire un clic droit sur la nouvelle UO (ici
WindowsFacile), Nouveau, Utilisateur.
Renseigner Prénom, Nom, Nom d’ouverture de session (login) :
et préciser ensuite le mot de passe du compte. Celui-ci doit répondre aux critères de sécurité par défaut
(majuscules-minuscules-chiffres-caractères spéciaux, longueur minimale). Pour les petites structures,
l’option « Le mot de passe n’expire pas » évite aux utilisateurs d’avoir à changer leur mot de passe dix fois
par an, donc de l’oublier ou de le noter sur un papier collé sur l’écran.

Option de mot de passe :


• L'utilisateur doit changer le mot de passe à la prochaine ouverture de
• session :
Concerne la majorité des utilisateurs. Lorsque le compte est créé par l'administrateur, ce dernier force le
mot de passe d'ouverture de session. Cela oblige l'utilisateur à le changer immédiatement. Cela garantit
que l'administrateurn'en aura plus connaissance et ne pourra pas utiliser l'identité de l'utilisateur.
• L'utilisateur ne peut pas changer le mot de passe (compte sensible.) : Utilisépour les comptes partagés
par plusieurs utilisateurs. Cela garanti qu'un utilisateur ne peut pas changer le mot de passe, et c'est s'assurer
que les autresauront toujours accès à ce compte.
• Le mot de passe n'expire jamais : Option qui outrepasse les paramètres de lastratégie de compte,
utilisé pour certains comptes qui ne sont pas souvent utilisés. (Compte système ou compte de secours
pour l'administrateur).
 Le compte est désactivé : Permet d'interdire l'accès aux ressources pour un compte particulier. Les
comptes des utilisateurs momentanément absents doiventêtre désactivés.

2.2 Intégration d’un client dans un domaine :


Pour connecter un client à un domaine, nous devons connaître le nom du domaine et posséder un compte
d’utilisateur valide sur le domaine, pour cela nous devons configurer le DNS dans les paramètres TCP/IP de
l’ordinateur client tout en suivant les étapes suivantes :
 Ouvrez les propriétés de Connexion au réseau local.

 Dans la liste, sélectionnez Protocole Internet (TCP/IP) puis cliquez sur Propriétés.

 Attribuer une adresse IP statique à votre ordinateur ainsi que le masque de sous- réseau et la passerelle
par défaut (voir figure 19).
Remarque :
Dans la zone Serveur DNS préféré, l’adresse IP que vous devez entrer doit être celle du serveur DNS.
 Validez la modification puis redémarrez votre ordinateur. Tester la connectivité du poste client
avec le serveur avec la commande Ping dans l’invité de commande. Après la configuration des
paramètres TCP/IP de l’ordinateur client nous passons à l’intégration du client au domaine tout
en suivant les étapes suivantes :

- Cliquez sur le bouton Démarrer, puis sur Panneau de configuration faites un double clic sur
Système, puis cliquez sur Modifier les paramètres.

-Sous Paramètres de nom d’ordinateur, de domaine et de groupe de travail, cliquez sur Modifier.
- Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot
de passe ou la confirmation.
- Sous l’onglet Nom de l’ordinateur, cliquez sur Modifier.
Vous pouvez également cliquer sur ID réseau pour utiliser l’Assistant Joindre un domaine ou un groupe de
travail afin d’automatiser le processus de connexion à un domaine et la création d’un compte d’utilisateur de
domaine sur votre ordinateur.

-Sous Membre d’un, cliquez sur Domaine. . Sous l’onglet Nom de l’ordinateur, taper le nom de
l’ordinateur.
Tapez le nom du domaine que vous souhaitez rejoindre, puis cliquez sur OK

Remarque :

Vous serez invité à taper votre nom d’utilisateur et mot de passe pour le domaine.
Une fois que vous avez rejoint le domaine, vous êtes invité à redémarrer votre ordinateur. Vous devez
redémarrer votre ordinateur pour que les modifications prennent effet.
Test :
Pour tester la connexion de poste client au domaine nous devons procéder comme suit: Cliquer sur le menu
démarrer puis outil d’administration, utilisateur et ordinateur active directory et on clique sur
ordinateur (computer) le nom de l’ordinateur.

2.3 Propriétés d’un compte utilisateur :


La boîte de dialogue des propriétés d’un compte utilisateur du domaine peut accueillir jusqu’à
treize onglets, selon la configuration du domaine. Toutes les données saisies dans la boîte de dialogue
des propriétés peuvent servir de critères de recherche dans Active Directory. Par exemple, vous
pouvez trouver le numéro de téléphone ou le service d’un utilisateur en faisant une recherche sur le
nom de cet utilisateur.

La boite de dialogue Propriétés contient les informations


sur chaque compte d'utilisateur.Quatre onglets Général,
Adresse, Compte et Profil contiennent des données
personnelles
.
La configuration des propriétés d’un compte utilisateur de domaine se fait comme suit:
- Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs
ActiveDirectory.
- Ouvrez le compte utilisateur du domaine concerné.
- Double cliquez sur le compte utilisateur pour ouvrir la boîte de dialogue Propriétés.
Cliquez sur l’onglet des propriétés à définir, effectuez les modifications de votre choix et
cliquez sur OK lorsque vous avez terminé. (Voir figure 25)

Figure 25
Les différentes propriétés sont :
• Propriétés personnelles sont les attributs des utilisateurs : (@dresse, n°
Téléphone Émail …). Ces Informations sont stockées dans la Base d’annuaire.
Elles permettent de localiser un utilisateur dans Active Directory.
• Environnement, Sessions, Contrôles à Distance, profiles de services Terminal
Server : sont utilisés pour le service Terminal Server.
• Certificats publiés : gère les certificats de l’utilisateur
• Membre de : Groupe auquel appartient l’utilisateur.
• Appel entrant : Paramétrage de l’utilisateur d’accès distant.
• Objet: Informations sur les dates de création, modification de l’objet et affichagedu
N° USN.
• Sécurité: droits d’accès sur l’objet utilisateur.
• Général: infos générales de type nom, prénom….
• Adresse, Téléphone, Organisations: Infos de types générales sur l’utilisateur
• COM+ : Appartenance de l’utilisateur dans les groupes de partitions COM+.
• Compte : Nom d’ouverture de session, horaires d’accès, options de mot de passeet
date d’expiration du compte
• Profil : Chemin d’accès du profil utilisateur, chemin d’accès du script
d’ouverture de session, chemin d’accès du répertoire personnel de l’utilisateur et
toute connexion automatique à des lecteurs réseau.

2.4 Rechercher des personnes ou ordinateurs ou objets dans Active


Directory :
A l’aide des renseignements que vous venez d’introduire dans la saisie du compte utilisateur
par exemple, vous pouvez retrouver un utilisateur dans tout Active Directory.
Menu Action – Rechercher de la console Utilisateurs et ordinateurs Active Directory.
Validez le menu Action – recherché (voir la figure 26).

Figure 26
Après la sélection d’une personne ou ordinateur ou objet dans Active Directory, nous cliquons
sur rechercher (voir figure 27)
Figure 27
2.5 Options de compte:

Des options peuvent être attribuées au compte de chaque utilisateur comme :


2.5.1 Heure de disponibilité ou restrictions d’horaires :
Les heures d'accès à l'ordinateur peuvent être restreintes de manière à ce que des intrus ne
puissent utiliser l'ordinateur pendant l'absence de l'utilisateur autorisé. C’est utilisé pour la
sécurité. Il vous suffit de définir des heures d’ouverture de session (horaire d’accès) (Voir
figure 28).

Figure 28
2.5.2 Ordinateurs autorisés :

La connexion au réseau à certains utilisateurs peut être autorisée qu'à partir d'un seul ou de
plusieurs ordinateurs. Cette fonction nécessite que le protocole NetBIOS sur TCP/IP soit
activé. (Onglet Propriétés avancées de TCP/IP). C'est ce protocole qui permet d'identifier les
ordinateurs par leurs noms.
Par défaut, les utilisateurs peuvent travailler en réseau à partir de n'importe quel ordinateur du
domaine (voir figure 29).

Figure 29

2.5.3 Expiration de compte :


L'option "Date d'expiration de compte" peut être rajoutée pour la désactivation automatique
du compte (voir figure 30).

Figure 30
Chapitre 01 Création et modification d’un compte utilisateur local

2.5.4 Copie d’un compte utilisateur :


La copie d’un compte utilisateur est utile si vous avez de nombreux
utilisateurs identiques à créer, vous devez choisir un compte modèle puis à
partir du menu Action – Copier, avec unecopie les éléments suivants sont
conservés (voir figure 31) :
 Restrictions horaires.
 Majorité des Options de comptes sur le mot de passe.
 Restriction d’accès.
 Date d’expiration.
 Appartenance aux groupes.
 Options de profil et de dossier de base.

Figure 31

2.2 Exercice d’application :


1. Créer deux comptes utilisateurs de domaine serveur1, serveur2 avec les données
suivantes:Prénom : user1, user2.
Nom d'ouverture de session : serveur1, serveur2. Le mot de passe user1, user2.
Activer la case à cocher l'utilisateur doit changer de mot de passe à la prochaine ouverture de
session.
2. Adhérer le poste clients au domaine serveurx.
3. Définir les propriétés du compte serveur1 avec les horaires d'accès du
samedi à Jeudide 8:00 à 16:00
4. Pour serveur2 définir les horaires d'accès entre 12:00 et 20:00, le reste des propriétés
est lemême que serveur1.

Page 20/11
Chapitre 01 Création et modification d’un compte utilisateur local

5. Tester :
6. Ouvrir une session avec serveur1 à partir de serveur que constater vous ?
7. Ouvrir une session avec serveur1 à partir de poste client.
8. Modifier l’heure système que constater vous?
9. Ouvrir une session avec serveur2 que constater vous?

Page 21/11

Vous aimerez peut-être aussi