TP 2 : Comptes et groupes

I ENVIRONNEMENT LOGICIEL ET MATÉRIEL

Vous disposez de :
 Windows 2016 server Datacenter en tant que contrôleur de domaine ActiveDirectory
sur le domaine « votrenom.local» ;
 Windows 10 intégré au domaine "votrenom.local" :

II INTRODUCTION

Les comptes et les groupes permettent de gérer plus facilement l’administration du réseau. Il semble
assez logique que sur un réseau, n’importe qui ne fasse pas n’importe quoi. L’Administrateur a
généralement des droits et des permissions élevés sur tous les objets du réseau (comptes d’utilisateurs,
machines, dossiers…) alors que les utilisateurs ont des droits moindres. Pour faciliter encore cette
gestion on peut regrouper les utilisateurs en groupes et c’est à tel ou tel groupe qu’on va attribuer des
droits ou des permissions.
Nous avons déjà vu en première année qu’il existait des comptes locaux permettant de travailler en
groupe de travail (workgroup) mais leur rôle se limite à autoriser l’accès à une machine locale et non à
l’ensemble des ressources d’un domaine.
Pour accéder à l’ensemble des ressources d’un domaine il faut créer des comptes et des groupes
accessibles depuis n’importe quel poste (sauf limitations particulières). Ces comptes d’utilisateurs et
ces groupes sont stockés dans la base de données de l’Active Directory, base de données stockée sur le
serveur qui a été installé en Active Directory.
Pour essayer de mettre en évidence ces notions, nous allons créer cinq comptes d’utilisateurs (Art1,
Art2, Aut1, Aut2 et Boss). Ultérieurement, lors des autres TP, les "Artistes" auront le droit de faire des
choses, les "Auteurs" n’auront que des droits minimums et le Boss aura des droits d’administrateur.

III CRÉATION DES PARTAGES RÉSEAU ET PERMISSIONS NTFS

Bien qu'il soit plus prudent de créer les répertoires utilisateurs dans une partition autre que celle du
système, créez un répertoire "homes" puis un partage réseau pour ce répertoire accessible à « Tout le
monde » en « Lecture/Écriture » (onglet « Partage »).

Modifiez les permissions NTFS du répertoire « homes » afin de limiter les permissions pour
l’utilisateur « Tout le monde » à ce dossier (pour cela onglet « Sécurité », bouton « Avancé »,
sélection de l’utilisateur « Tout le monde », bouton « Modifier », puis « S’applique à » : « Ce dossier
seulement ». Conservez les autres permissions.

IV CRÉATION DES OU

Les «Unités d’Organisation » permettent d’appliquer des stratégies différentes aux utilisateurs et aux
groupes d’utilisateurs mais aussi de structurer les objets ActiveDirectory dans l’arborescence.
Sous la racine, créez l’OU « Départements » et ajoutez-y les OU « artistes » et « auteurs » et "
direction" à partir de l’outil « Utilisateurs et ordinateurs Active Directory »
Sous la racine, créez l'UO Groupes.

1 Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski

V CRÉATION DE COMPTES

À partir de l’outil « Utilisateurs et ordinateurs Active Directory » :

1. Cliquez sur l'UO artistes.
La liste des utilisateurs actuels s’affiche (pour l'instant aucun utilisateur n'est créé dans cette UO).
2. Faites un clic droit, « Nouveau », « Utilisateur», saisissez comme « Nom » : Art1, comme « Nom
détaillé » : Monsieur Artiste, comme « Nom d’ouverture de session… » : Art1 puis cliquez sur
« Suivant »
3. Comme « Mot de passe » saisissez et confirmez : Password1 puis enlevez la coche éventuelle
située devant « L’utilisateur doit changer de mot… » pour ne la placer que devant « Le mot de passe
n’expire jamais » puis cliquez sur « Suivant » et sur « Terminer ».
4. Observez la création d’un compte pour l’utilisateur, l’icône représentant une « simple tête ».
5. Recommencez la procédure des points 1 à 4 avec comme utilisateur : Art2, Madame Artiste,
Art2 mot de passe Password1 –
6. Passez dans l'UO "auteurs" et créez Aut1, Monsieur Auteur, Aut1 mot de passe Password1 puis
Aut2, Madame Auteur, Aut2 mot de passe Password1.
7. Passez dans l'UO "Direction" et créez un dernier utilisateur : Boss, Monsieur Boss, Boss et
Password1 comme mot de passe.
Observez les différents onglets de propriétés (« Général », « Adresse », « Compte »…) qui
correspondent à autant d’informations et de critères de recherche possible au sein de l’Active
Directory ou « Service d’annuaire ». Arrêtez-vous sur l'onglet Profil puis dans la partie "Dossier de
base", choisir "Connecter" et tapez le chemin vers le dossier utilisateur de la forme
\\NomServeur\NomPartageDossier\%username%.

VI CRÉATION DE TROIS GROUPES GLOBAUX

Pour les besoins des TP ultérieurs, nous allons créer trois groupes d’utilisateurs (Groupe des Artistes,
Groupe des Auteurs et Direction) dans l'UO "Groupes".
1. Cliquez sur votre UO "Groupes", faites un clic droit, « Nouveau », « Groupe », en respectant la
casse proposée, saisissez dans la zone « Nom de groupe » : gg_Artistes.
2. Laissez l’option « Globale » dans « Étendue du groupe » et « Sécurité » dans « Type de groupe »
3. Recommencez pour gg_Auteurs et gg_Direction.

VII AFFECTATION DES COMPTES AUX GROUPES GLOBAUX

Nous allons maintenant affecter les utilisateurs Art1, Art2, Aut1, Aut2 et Boss à leur(s) groupe(s)
respectif(s).
1. Cliquez ensuite sur l'UO "groupes", puis sur le groupe gp_Artistes et cliquez sur « Propriétés »
dans le menu contextuel qui apparaît, cliquez sur l’onglet « Membres » puis sur le bouton
« Ajouter… ». Dans la liste des utilisateurs qui apparaît dans la partie supérieure faites un double
clic (ou un simple clic puis « Ajouter ») sur les utilisateurs suivants : Art1, Art2. Validez en
cliquant sur « OK ».
2. Recommencez la procédure avec le groupe : gg_auteurs où vous ajouterez Aut1 et Aut2 !
3. Recommencez la procédure avec le groupe : gg_direction où vous ajouterez Boss !
4. Ajoutez aussi le compte Boss dans le groupe "Administrateurs" !

2 Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski

VIII ESSAIS DE CONNEXION D’UTILISATEURS

Une fois que les comptes d’utilisateurs et les groupes ont été créés, nous pouvons en tester le
« fonctionnement ».
Essayez de vous « loguer » avec le nom Art1 (Ce compte Art1a été créé comme utilisateur du
domaine sur le poste installé en Windows 2016 serveur et disposant dorénavant de l’Active Directory)
- mot de passe Password1.
Sur le Serveur - Y arrivez vous ?  Oui  Non
Sur la Station (domaine) - Y arrivez vous ?  Oui  Non
Sur la Station (machine locale) - Y arrivez vous ?  Oui  Non
Faites la même chose avec le compte Aut1 (Monsieur Auteur – mot de passe Auteur)
Sur le Serveur - Y arrivez vous ?  Oui  Non
Sur la Station (domaine) - Y arrivez vous ?  Oui  Non
Sur la Station (machine locale) - Y arrivez vous ?  Oui  Non
Faites la même chose avec le compte Boss (Monsieur Boss – mot de passe boss)
Sur le Serveur - Y arrivez vous ?  Oui  Non
Sur la Station (domaine) - Y arrivez vous ?  Oui  Non
Sur la Station (machine locale) - Y arrivez vous ?  Oui  Non
Tirez en les conclusions qui s’imposent sur les possibilités de connexion des utilisateurs du domaine
lorsque les postes qui sont installés en domaine.
- Sur le serveur :
- Sur la station (domaine) :
- Sur la station (machine locale) :

IX LIMITATION DE CONNEXION D’UN UTILISATEUR À TEL OU TEL POSTE SEULEMENT

Pour des raisons diverses (sécurité, confidentialité…) il est possible de limiter l’accès d’un utilisateur
à tel ou tel poste de l’entreprise. Chaque utilisateur peut ainsi se voir limiter l’accès à certaines stations
seulement.
Aut1 est vraiment très maladroit et nous avons décidé de limiter son accès à une seule station car on
ignore quels dégâts il pourrait faire s’il se connectait sur une autre !

Cliquez sur la bonne UO, la liste des utilisateurs s’affiche, faites un clic droit sur l’utilisateur Aut1 et
cliquez sur « Propriétés » dans le menu contextuel qui apparaît, cliquez sur l’onglet « Compte » puis
sur le bouton « Se connecter à… » et activez le choix Les ordinateurs suivants en cliquant sur le
radio-bouton correspondant (ici choisir une station qui n'existe pas).
Vérifiez que dorénavant Monsieur Auteur ne pourra plus se connecter QUE sur la station autorisée !

X LES PROFILS UTILISATEUR

Dans Windows 10, l’environnement informatique d’un utilisateur est essentiellement déterminé par
son profil d’utilisateur. Pour des raisons de sécurité, Windows 10 nécessite un profil d’utilisateur
pour chaque compte d’utilisateur pouvant accéder au système.

3 Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski

Le profil d’utilisateur contient tous les paramètres que l’utilisateur peut définir pour l’environnement
de travail d’un ordinateur qui exécute Windows 10 à savoir les paramètres de l’affichage, les
paramètres régionaux, ceux de la souris et les paramètres du son, outre les connexions au réseau et
aux imprimantes. Vous pouvez configurer des profils d’utilisateur pour qu’un profil suive un
utilisateur sur chaque ordinateur sur lequel il ouvre une session.

X.1 TYPES DE PROFILS D’UTILISATEUR

Le profil d’utilisateur est créé à la première ouverture de session de l’utilisateur sur un ordinateur.
Tous les paramètres propres à l’utilisateur sont automatiquement enregistrés dans le sous-dossier de
cet utilisateur dans le dossier Utilisateurs. Lorsque l’utilisateur ferme la session, son profil
d’utilisateur est mis à jour sur l’ordinateur sur lequel il avait ouvert la session. Le profil d’utilisateur
conserve donc les paramètres de bureau de l’environnement de travail de chaque utilisateur sur
l’ordinateur local. Seuls les administrateurs système sont autorisés à modifier les profils d’utilisateur
obligatoires.
Les types de profils d’utilisateur sont présentés ci-dessous.
 Profil d’utilisateur local. Ce profil est créé la première fois qu’un utilisateur ouvre une session sur
un ordinateur, et est stocké sur l’ordinateur local dans le répertoire "Utilisateurs". Toutes les
modifications apportées au profil d’utilisateur local sont propres à l’ordinateur sur lequel les
changements ont été effectués. Plusieurs profils d’utilisateur locaux peuvent exister sur un ordinateur.
 Profil d’utilisateur itinérant. Ce profil est créé par l’administrateur système et stocké sur un
serveur. Ce profil est disponible chaque fois qu’un utilisateur ouvre une session sur un ordinateur sur
le réseau. Si un utilisateur apporte des modifications aux paramètres de bureau, son profil d’utilisateur
est mis à jour sur le serveur lorsqu’il ferme la session.
 Profil d’utilisateur obligatoire. Ce profil est créé par l’administrateur pour indiquer les paramètres
particuliers d’un utilisateur ou d’utilisateurs, et peut être de type local ou itinérant. Un profil
d’utilisateur obligatoire ne permet pas à un utilisateur d’enregistrer des modifications apportées aux
paramètres de son bureau. L’utilisateur peut modifier les paramètres du bureau de l’ordinateur sur
lequel il a ouvert une session, mais ces modifications ne sont pas enregistrées lorsqu’il la ferme.

X.2 CRÉATION DE PROFILS D’UTILISATEUR ITINÉRANTS

Vous pouvez stocker des profils d’utilisateur sur un serveur pour qu’ils soient disponibles à chaque
fois qu’un utilisateur ouvre une session sur un ordinateur du réseau. Les profils sont stockés de façon
centralisée afin de permettre aux utilisateurs de disposer du même environnement de travail quel que
soit l’ordinateur sur lequel ils ouvrent une session.
Pour créer un profil d’utilisateur itinérant, suivez la procédure ci-dessous :
1. Créez un dossier partagé caché ($ à la fin du nom) sur le serveur, et donnez à "Tout le monde"
l’autorisation "Modifier" sur ce dossier. Dans l’onglet « Sécurité » les « utilisateurs authentifiés »
doivent avoir le contrôle total.
2. Indiquez le chemin d’accès du dossier partagé. Ouvrez la console Utilisateurs et ordinateurs
Active Directory. Dans le volet de détails, cliquez avec le bouton droit sur le compte d’utilisateur
approprié, puis cliquez sur Propriétés. Dans l’onglet Profil, sous Profil utilisateur, tapez le
chemin du dossier partagé dans la zone Chemin du profil. Le chemin d’accès doit s’afficher de la
façon suivante "\\serveur\dossier_partagé\votreUtilisateur" (Vous pouvez utiliser la variable
%username% au lieu d’indiquer le nom de l’utilisateur.)
3. Connectez-vous sur la machine 10 avec ce compte utilisateur. Rajoutez une icône sur le bureau.
Puis déconnectez-vous.

4 Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski

4. Sur le serveur, en tant qu'administrateur appropriez-vous ce dosssier "Profils\VotreUtilisateur"
mais laissez bien tous les droits à votreUtilisateur. Observez son contenu en faisant apparaître les
fichiers cachés.
Remarque : Le fichier Ntuser.dat contient la section du registre qui s’applique au compte
d’utilisateur, et contient les paramètres du profil d’utilisateur. Ce fichier se trouve dans le dossier de
profil de l’utilisateur.

5 Marie-pascale Delamare d'après Pierre Alain Goupille et Béatrice Galkowski