Académique Documents
Professionnel Documents
Culture Documents
La configuration des comptes utilisateur est une tâche essentielle lors de la préparation d’un
serveur Windows 2000. Le compte utilisateur local ou l’objet utilisateur dans Active Direc-
tory est l’élément de base utilisé pour l’attribution des permissions d’accès aux ressources du
réseau. Avant de créer des groupes d’utilisateurs et des ressources partagées, les administra-
teurs devront maîtriser la création et la gestion des comptes utilisateur avec Active Directory.
Dans ce chapitre
Définition d’une stratégie relative aux comptes utilisateur
Introduction aux comptes utilisateur
Éléments à prendre en compte dans la création de comptes utilisateur
Création d’un compte utilisateur de domaine
Définition des éléments relatifs aux mots de passe
Définition des propriétés des comptes utilisateur
Gestion des comptes utilisateur
Conseils d’experts
Windows 2000 Server
60 GUIDE DE L’ADMINISTRATEUR
Objectif
Cette procédure vise à établir les règles de base relatives à la sécurité des systèmes d’informa-
tion et des communications. L’essor des échanges inter et intra-entreprises accroît plus que
jamais la nécessité de protéger les informations contre tout accès non autorisé.
Interprétation
Définitions
• Une usurpation se produit lorsqu’une personne utilise l’identité et/ou l’identification utili-
sateur de quelqu’un d’autre pour accéder aux systèmes informatiques, aux services ou aux
infrastructures d’une entreprise.
• L’authentification utilisateur désigne les trois niveaux d’authentification utilisés :
1. L’authentification numérique est la méthode la moins sûre ; elle peut être très facile-
ment interceptée. Il s’agit le plus souvent d’un code personnel d’authentification (PAC,
Personal Authentication Code) ou d’un numéro personnel d’authentification (PIN, Per-
sonal Identification Number). L’identificateur numérique est approuvé uniquement pour
les applications d’audiomessagerie et les applications de ressources humaines en libre-
service, en raison des limitations des technologies de téléphonie. En règle générale,
l’authentification numérique utilisée seule devrait être réservée aux systèmes non criti-
ques.
2. L’authentification simple est une technique d’authentification d’efficacité moyenne
qui consiste en une chaîne de caractères, de nombres et/ou de caractères spéciaux connus
seulement de l’utilisateur.
3. L’authentification double est le niveau d’authentification utilisateur le plus élevé et né-
cessite deux facteurs d’authentification : un premier élément connu (numéro d’identifi-
cation, code d’authentification ou mot de passe) et un second élément en possession de
l’utilisateur (une carte à puce, une clé privée ou encore un identificateur biométrique).
• L’ID utilisateur désigne l’identification assignée à un utilisateur, que celui-ci est invité à
fournir lorsqu’il tente d’accéder aux systèmes ou services informatiques.
Responsabilités
Chaque service/employé a les responsabilités décrites ci-dessous. Ces dernières sont essen-
tielles dans la réussite d’une politique de sécurité au sein d’une entreprise.
Fournisseur de service
• Il est de la responsabilité de tous les fournisseurs de service d’assurer la conformité aux
quatre principes décrits ci-dessous. Il est également de la responsabilité du fournisseur
d’assurer que son service fournit des fonctionnalités permettant la mise en œuvre de
services d’authentification utilisateur et qu’il est optimisé pour un déploiement global au
sein d’une entreprise. Dans ce domaine, une attention toute particulière devra être portée à
la conformité aux normes en vigueur dans l’entreprise, aux performances opérationnelles
et à l’accessibilité.
• Tous les composants matériels et logiciels du système, les programmes d’application et les
applications réseau (le courrier électronique, par exemple) seront soumis aux règles de
sécurité développées à partir des quatre principes suivants :
1. L’utilisation de valeurs par défaut sécurisées : l’option par défaut de toute application
doit être la plus sûre.
2. L’attribution de privilèges minimaux servant à limiter les accès utilisateur aux infor-
mations ou fonctions nécessaires à la réalisation des tâches qui leur sont assignées.
Configurer des comptes utilisateur
CHAPITRE 3
63
Décideurs
Il incombe à chaque décideur/responsable de s’assurer que tous les employés et sous-traitants
autorisés sont informés de ces procédures et qu’ils les appliquent.
Système d’information
Le système d’information doit fournir un moyen de garantir un accès authentifié et sécurisé
aux ressources du système d’information de l’entreprise. Les procédures définies doivent
inclure le service de sécurité de l’entreprise, chargé de vérifier régulièrement le système
d’information et les répertoires de données afin de contrôler que les services d’authentifica-
tion utilisateur et les mesures de protection de l’information utilisés correspondent à la nature
et à la classification de ces informations.
Employés
Tout le personnel de support technique, toutes les personnes ayant accès au système informa-
tique et au système de communication, ainsi que leurs responsables sont tenus de suivre ces
procédures.
Procédure
Sécurité des systèmes informatiques et des systèmes de communication
• L’utilisation d’adresses IP non enregistrées sera considérée comme une violation de la poli-
tique acceptable d’exploitation. Tous les centres de contrôle réseau et les installations
informatiques centralisées devront conserver des traces des équipements et des configura-
tions matériels. Ces notes devront inclure l’enregistrement et le suivi de tout le matériel au
sein d’un système de gestion de stock approprié. Par ailleurs, il est nécessaire d’identifier la
configuration minimale requise pour supporter les applications et/ou les services critiques
dans l’hypothèse d’une catastrophe.
• Tout équipement facilement démontable doit être protégé contre la perte ou le vol, au
besoin au moyen de câbles ou d’attaches de fixation. Des procédures de contrôle doivent
être mises en place pour suivre les déplacements autorisés de matériel – dans le cadre d’une
utilisation hors site, par exemple –, à l’exception des ordinateurs portables affectés expres-
sément à des individus.
• Toutes les activités de maintenance et les modifications de configuration (matérielles et
logicielles) doivent être planifiées et leur réalisation doit être suivie. Des historiques seront
conservés à des fins d’audit.
• Les commandes documentées doivent être définies et mises en place pour protéger les
données client, fournisseurs et employés contre tout dommage ou modification lors de la
transmission.
• Des sauvegardes régulières seront effectuées selon la fréquence de modification des
données.
Windows 2000 Server
64 GUIDE DE L’ADMINISTRATEUR
• Les utilisateurs ne devront pas reconfigurer les réseaux ou surveiller le trafic à moins d’être
expressément autorisés à le faire. En outre, ils s’abstiendront d’utiliser les systèmes de
communication pour accéder à des systèmes dont l’accès ne leur est pas explicitement
autorisé.
• Toutes les adresses IP (Internet Protocol) doivent être assignées et enregistrées dans la base
de données de l’entreprise.
Logiciels
• Tous les utilisateurs de logiciels autorisés et de logiciels propriétaires doivent respecter les
modalités prévues par les accords de licence, tels qu’ils sont définis par leurs éditeurs
respectifs.
• Lorsque les logiciels sont mis à disposition via des réseaux ou des systèmes électroniques
de type BBS, tout employé doit vérifier que le logiciel qu’il envisage d’utiliser se trouve
bien dans le domaine public. En cas de doute, les logiciels ne doivent pas être employés,
sauf avec l’autorisation expresse de l’éditeur.
• Tous les logiciels doivent être testés contre tous les virus connus, chevaux de Troie, etc.,
avant leur emploi.
• L’utilisation de logiciels non autorisés constitue une violation des procédures en vigueur
dans l’entreprise relatives à l’emploi de logiciels tiers et, à ce titre, sera interdite. Les contre-
venants s’exposent à des procédures disciplinaires pouvant aller jusqu’au licenciement.
• Les logiciels approuvés par le service informatique devront être utilisés sur les systèmes
pour détecter et supprimer les virus.
• Tous les bureaux et les systèmes portables doivent disposer d’un produit de contrôle
d’accès approuvé.
Violations de sécurité
• Les utilisateurs signaleront rapidement tous les problèmes de sécurité à leurs responsables,
qui à leur tour préviendront leur direction ou le service de sécurité de l’entreprise.
• Le service de sécurité de l’entreprise devra étudier tous les rapports reçus et, le cas échéant,
mener les enquêtes appropriées.
• Le service de sécurité de l’entreprise peut périodiquement demander à un utilisateur ou à
un groupe d’utilisateurs de changer son mot de passe si des violations de sécurité sont
suspectées.
mémoriser pour les utilisateurs. Privilégiez autant que possible les noms mnémoniques. Lors
de la création de comptes, veillez également à ne pas utiliser des mots argotiques ou des mots
susceptibles d’être interprétés comme des insultes dans certaines cultures.
Optez pour une chaîne d’identification comprise entre quatre et dix caractères, ce qui consti-
tue un bon compromis entre sécurité et facilité de mémorisation.
Dans certaines entreprises, les administrateurs autorisent les utilisateurs à choisir eux-mêmes
leur identificateur. La plupart suggèrent aux utilisateurs de recourir à la convention standard
consistant à utiliser l’initiale du prénom et le nom de famille, en les laissant toutefois libres de
leur choix. Vous pouvez naturellement opter pour ce type de système, même s’il peut se révé-
ler plus simple, en termes d’administration, de limiter le choix des utilisateurs.
REMARQUE Le compte par défaut de l’administrateur ne peut pas être désactivé. C’est pourquoi la plupart des admi-
nistrateurs choisissent de modifier leur ID et d’opter pour un ID moins évident que « Administrateur ». Si
une telle modification ne protège pas de l’intervention de hackers potentiels, ces derniers auront une étape de plus à
effectuer pour accéder au système. Le mot de passe défini sur le compte Administrateur est essentiel à l’intégrité du
système. Optez pour un mot de passe composé de caractères alphanumériques pour rendre toute violation encore
plus difficile.
Figure 3.1
L’assistant Configurez
votre serveur permet
d’accéder aux divers
outils d’administration
de Windows 2000.
Chacun de ces groupes est désigné sous le nom d’unité d’organisation (OU) et constitue un
groupe logique d’objets. Les administrateurs peuvent créer des unités d’organisation supplé-
mentaires pour gérer les utilisateurs et les ordinateurs de leur réseau. Des unités d’organisa-
tion peuvent également être employées pour définir diverses stratégies de sécurité fondées sur
les exigences de l’entreprise.
1. Cliquez sur Users. La liste des utilisateurs et des groupes définis dans Active Directory
s’affiche dans le volet de droite. Pour créer un nouvel utilisateur, cliquez sur l’icône Créer
un nouvel utilisateur dans le conteneur actuel de la barre d’outils ou cliquez avec le bou-
ton droit de la souris sur le dossier Users, pointez dans le menu contextuel la commande
Nouveau, puis sélectionnez Utilisateur. Une fenêtre intitulée Nouvel objet – Utilisateur
s’affiche.
2. Complétez les informations relatives au prénom et au nom de l’utilisateur.
Configurer des comptes utilisateur
CHAPITRE 3
69
Figure 3.2
Le composant
Utilisateurs et
ordinateurs Active
Directory.
3. Sélectionnez un nom d’ouverture de session pour l’utilisateur. Les autres champs seront
automatiquement complétés au moyen des informations de domaine appropriées (voir la
Figure 3.3).
4. Cliquez sur Suivant.
Figure 3.3
Première étape dans la création
d’un compte utilisateur.
5. L’étape suivante va consister à définir le mot de passe initial et à décider des options à
activer. La plupart des administrateurs choisissent d’activer l’option L’utilisateur doit
modifier le mot de passe à la prochaine ouverture de session, qui contraint les utilisateurs
à modifier et à choisir un mot de passe connu d’eux seuls (voir la Figure 3.4). Cliquez
sur Suivant.
6. L’assistant objet affiche un résumé des propriétés de l’objet, parmi lesquelles le nom du
compte et les options de confirmation. Si ces propriétés vous conviennent, cliquez sur
Terminer.
Windows 2000 Server
70 GUIDE DE L’ADMINISTRATEUR
Figure 3.4
La seconde étape de la création d’un
compte utilisateur consiste à définir
un mot de passe initial ainsi que
les paramètres du compte.
Le compte est créé et le contenu de la fenêtre principale des Utilisateurs et ordinateurs Active
Directory est actualisé. À ce stade, les utilisateurs peuvent se connecter à Active Directory. Ils
ne pourront toutefois pas encore accéder aux ressources, dans la mesure où les autorisations
n’ont pas encore été définies.
Modèles de sécurité
Microsoft fournit plusieurs modèles de sécurité. Les administrateurs peuvent utiliser directe-
ment les modèles fournis ou les adapter suivant leurs besoins. Ces modèles contiennent des
exemples de contrôleurs de domaine, de stations de travail, et de serveurs sécurisés et non
sécurisés qui permettront aux administrateurs de définir différents profils de sécurité en fonc-
tion du serveur administré.
Configurer des comptes utilisateur
CHAPITRE 3
71
Figure 3.5
La boîte de dialogue Ajouter-supprimer
des composants logiciels enfichables
permet de personnaliser la console
d’administration de Microsoft.
Windows 2000 Server
72 GUIDE DE L’ADMINISTRATEUR
Figure 3.6
Vous pouvez ajouter et supprimer
à votre convenance et selon vos
besoins d’administration les
composants optionnels de la MMC.
REMARQUE Vous risquez d’obtenir un avertissement relatif aux conflits potentiels détectés avec la stratégie de groupe
de domaine par défaut. La stratégie de domaine par défaut prévaut sur la base de données du composant
Configuration et analyse de la sécurité. Pour administrer la stratégie de groupe de domaine, vous devez utiliser le
composant Stratégies de groupe auquel vous pouvez également accéder via la MMC.
Procédez comme dans l’exemple suivant pour modifier les stratégies de compte :
1. Ouvrez ou créez une console d’administration contenant le composant Modèles de sé-
curité.
2. Cliquez sur Modèles de sécurité pour développer l’arborescence.
3. Développez l’arborescence jusqu’à localiser la stratégie de compte du modèle de sécu-
rité à modifier.
Windows 2000 Server
74 GUIDE DE L’ADMINISTRATEUR
4. Cliquez sur Stratégie de mot de passe pour consulter, dans le volet droit de la fenêtre, la
liste des éléments de configuration (voir la Figure 3.7).
5. Pour modifier un paramètre spécifique, double-cliquez sur son intitulé pour ouvrir une
nouvelle fenêtre. Apportez les modifications souhaitées et validez par OK.
6. Procédez à l’identique pour modifier les stratégies de verrouillage du compte.
Figure 3.7
Les modèles de sécurité
donnent accès aux
paramètres de stratégie
de compte utilisés
pour définir différentes
options relatives aux
mots de passe.
Une fois les stratégies de compte définies, vous pouvez charger le modèle de sécurité et sélec-
tionner Configurer l’ordinateur maintenant dans le menu Action du composant Configuration
et analyse de la sécurité.
• Organisation
• Membre de
• Appel entrant
Figure 3.8
La fenêtre des propriétés de
l’utilisateur met à votre disposition
plusieurs onglets pour configurer
les comptes utilisateur.
Certains onglets permettent de suivre des informations d’ordre général ; d’autres affectent
directement le comportement du compte. N’hésitez pas à compléter les champs d’informa-
tions générales qui constitueront un emplacement centralisé, accessible à d’autres applica-
tions, dans lequel vous pourrez stocker des informations relatives aux utilisateurs.
Général
L’onglet Général contient les champs suivants (voir la Figure 3.9) :
• Prénom. Spécifié lors de la création du compte.
• Nom. Spécifié lors de la création du compte.
• Nom affiché. Une combinaison du prénom et du nom.
• Description. Une entrée courte décrivant le compte.
• Téléphone
• Adresse de messagerie
• Page web
L’onglet Général permet de définir des informations génériques relatives à l’utilisateur : une
description, un bureau, un numéro de téléphone ou une adresse e-mail. Aucune de ces infor-
mations n’affecte le comportement du compte.
Configurer des comptes utilisateur
CHAPITRE 3
77
Figure 3.9
L’onglet Général de la fenêtre
des propriétés de l’utilisateur.
Adresse
L’onglet Adresse comprend les champs suivants (voir la Figure 3.10) :
• Adresse
• Boîte postale
• Ville
• Département ou région
• Code postal
• Pays
Compte
L’onglet Compte propose entre autres les paramètres suivants (voir la Figure 3.11) :
• Nom d’ouverture de session de l’utilisateur
• Nom d’ouverture de session avant l’installation de Windows 2000
Windows 2000 Server
78 GUIDE DE L’ADMINISTRATEUR
Figure 3.10
L’onglet Adresse de la fenêtre
des propriétés de l’utilisateur.
Outre ces propriétés, disponibles lors de la phase de création de compte, l’onglet Compte
comprend d’autres propriétés telles que les Horaires d’accès, la possibilité de Se connecter à
et les règles d’expiration du compte.
• Horaires d’accès. Cette option permet aux administrateurs de définir un ensemble de
règles qui régissent les périodes de connexion autorisées. Elle se révéle très utile dans les
environnements étroitement contrôlés dans lesquels les administrateurs veulent s’assurer
que certains utilisateurs se connectent uniquement pendant les périodes indiquées. Elle
peut également être utilisée comme information de base pour la mise à disposition d’une
fenêtre de sauvegarde (on s’assure ainsi qu’aucun utilisateur n’est connecté avec des docu-
ments ouverts lors des sauvegardes).
• Se connecter à. Cette option permet à un administrateur de spécifier exactement à quelle
machine l’utilisateur peut accéder. Elle permet aussi de s’assurer que les utilisateurs se connec-
tent uniquement à leur ordinateur ou à toute autre machine qui leur est explicitement affectée.
• Date d’expiration. Une option très utile avec les ID temporaires ou personnels. Un compte
peut expirer automatiquement de manière que l’administrateur n’ait pas à effectuer un suivi
précis des employés. Si l’employé est toujours présent ou si le compte est toujours utilisé, il
est alors possible de réactiver ce dernier et de définir une nouvelle date d’expiration.
Configurer des comptes utilisateur
CHAPITRE 3
79
Figure 3.11
L’onglet Compte vous
permet de reconfigurer
le comportement du
compte,ainsi que
certaines de ses options.
Profil
L’onglet Profil est un onglet de propriétés très important qui contient la plupart des paramè-
tres d’administration courants. Parmi ces paramètres figurent (voir la Figure 3.12) :
• Chemin de profil. Permet à l’administrateur de spécifier un profil pour le compte utilisa-
teur. Cette option est similaire au concept de profil itinérant implémenté dans Windows NT
4.0, qui permet à un utilisateur de disposer d’un profil unique sur chaque machine.
• Script d’ouverture de session. Le script est exécuté lorsque l’utilisateur se connecte au
réseau. Cette option est généralement employée pour configurer les paramètres de sécurité,
installer des applications ou contrôler la configuration système.
• Chemin local. Le répertoire local peut se trouver sur le disque local de l’utilisateur ou être
mappé sur un partage serveur. Si vous spécifiez un répertoire qui n’existe pas, Win-
dows 2000 tentera de se connecter à cette machine et de créer ce répertoire. Vous pouvez
utiliser la variable système %USERNAME% comme raccourci pour faire référence à l’ID
utilisateur.
• Chemin du profil. Ce champ permet à un administrateur de définir un dossier réseau
comme chemin d’accès UNC (Universal Naming Convention) contenant des documents
partagés avec d’autres membres d’un groupe ou d’une équipe de projet. Cette notion est
similaire à celle de répertoire local pour les groupes ou les équipes de projet.
Téléphones
L’onglet Téléphones contient les champs suivants (voir la Figure 3.13) :
• Domicile
Windows 2000 Server
80 GUIDE DE L’ADMINISTRATEUR
Figure 3.12
L’onglet Profil de la fenêtre
des propriétés de
l’utilisateur contient les
paramètres relatifs aux
scripts de connexion, aux
répertoires locaux et
distants.
• Radiomessagerie
• Téléphone mobile
• Télécopie
• Téléphone IP
• Notes
REMARQUE Malheureusement, les différents onglets de la fenêtre des propriétés de l’utilisateur comportent quelques
champs redondants, dont la saisie n’est pas reprise automatiquement. Citons, à titre d’exemple, le champ
Numéro de téléphone de l’onglet Général, ou encore le champ Adresse de messagerie des onglets Général et
Compte. Il peut être fastidieux d’avoir à saisir autant d’informations redondantes.
Organisation
L’onglet Organisation contient d’autres informations d’ordre général ; il peut être lié à un
autre utilisateur qui serait le responsable de l’utilisateur. Lorsqu’un responsable est sélec-
tionné, vous pouvez basculer très facilement vers son compte. Dans les entreprises connais-
sant de très importants mouvements de personnels, il n’est pas inutile de suivre ce type
d’informations avec un outil de gestion de ressources humaines.
Configurer des comptes utilisateur
CHAPITRE 3
81
Figure 3.13
Autre onglet
d’informations générales :
l’onglet Téléphones de la
fenêtre des propriétés de
l’utilisateur.
Membre de
L’onglet Membre de correspond à la notion de groupes de Windows NT 4.0 (voir la
Figure 3.15). La liste de tous les membres de groupes s’affiche dans cette fenêtre, et vous
disposez de boutons permettant d’ajouter ou de supprimer des groupes à votre convenance.
Pour ajouter des groupes complémentaires, cliquez sur Ajouter. Sélectionnez le groupe et
cliquez sur Ajouter, puis validez par OK pour refermer la fenêtre de Sélection de groupes
(voir la Figure 3.16).
L’option Groupe principal est uniquement disponible sur les clients Macintosh. Elle doit être
définie sur le groupe avec lequel l’utilisateur partage le plus de données. Elle est utilisée pour
des associations d’autorisation lorsqu’un client Macintosh crée un dossier ou un fichier.
Appel entrant
L’onglet Appel entrant permet à un administrateur de spécifier qui peut se connecter à
distance et comment ces personnes se connecteront (voir la Figure 3.17).
Windows 2000 Server
82 GUIDE DE L’ADMINISTRATEUR
Figure 3.14
L’onglet Organisation de
la fenêtre des propriétés
de l’utilisateur.
Figure 3.15
L’onglet Membre de, de
la fenêtre des propriétés
de l’utilisateur.
Configurer des comptes utilisateur
CHAPITRE 3
83
Figure 3.16
Association d’un
compte utilisateur à
différents groupes.
Figure 3.17
L’onglet Appel entrant
de la fenêtre des propriétés
de l’utilisateur permet
à un administrateur
de contrôler qui peut se
connecter à distance via
l’accès réseau à distance.
Windows 2000 Server
84 GUIDE DE L’ADMINISTRATEUR
Figure 3.18
La console d’administration
Microsoft (MMC) fournit
un accès très pratique
à de nombreux outils
d’administration, y compris
le composant Utilisateurs
et ordinateurs Active
Directory.
REMARQUE Pour supprimer un compte utilisateur, après avoir cliqué sur l’utilisateur, vous pouvez également utiliser le
bouton Supprimer de la barre d’outils ou la touche Suppr.
ASTUCELa meilleure solution consiste à désactiver un compte et à le conserver tel quel pendant quelques jours ou
semaines, le temps de déterminer s’il vous est toujours d’une quelconque utilité. Vous n’aurez pas à le
recréer pour un nouveau collaborateur reprenant les mêmes fonctions lors de son arrivée dans l’entreprise.
Configurer des comptes utilisateur
CHAPITRE 3
85
Figure 3.19
La boîte de dialogue de
réinitialisation d’un mot de
passe vous permet de
modifier le mot de passe
des utilisateurs ayant la
mémoire courte !
Activer un compte
Procédez ainsi pour activer un compte utilisateur désactivé :
1. Dans l’arborescence de la console, cliquez sur Users.
2. Dans le volet de droite, cliquez avec le bouton droit sur l’utilisateur.
3. Sélectionnez Activer le compte dans le menu Action.
Désactiver un compte
Procédez ainsi pour désactiver un compte (voir la Figure 3.20) :
1. Dans l’arborescence de la console, cliquez sur Users.
2. Dans le volet de droite, cliquez avec le bouton droit sur l’utilisateur.
3. Sélectionnez Désactiver le compte à partir du menu Action.
Windows 2000 Server
86 GUIDE DE L’ADMINISTRATEUR
Figure 3.20
Le menu Action relatif aux comptes
utilisateur du composant Utilisateurs
et ordinateurs Active Directory.
Figure 3.21
Utilisez les fonctionnalités
de recherche d’utilisateurs,
de contacts et de groupes pour
localiser un compte utilisateur
dans Active Directory.
Configurer des comptes utilisateur
CHAPITRE 3
87
Figure 3.22
Déplacement d’un utilisateur
d’une unité d’organisation à
une autre au sein d’un même
domaine.
Toutefois, l’inconvénient majeur des certificats est que, aujourd’hui (le mercredi 21 juin 2000
à 22 h 33), peu de systèmes d’exploitation et d’outils d’administration sont en mesure de les
prendre en compte. Une solution, qui permet de conserver les avantages des certificats et des
comptes utilisateur, consiste à mapper un certificat sur un compte utilisateur. Le système
d’exploitation peut ainsi continuer à utiliser des comptes tout en introduisant les certificats
pour les systèmes capables de les gérer.
Avec cette technique, l’utilisateur peut, pour se connecter au système, présenter un certificat
qui détermine le compte auquel il peut se connecter.
Dans la plupart des cas, un certificat peut être mappé sur un compte d’utilisateur de deux
manières différentes : un seul certificat est mappé sur un seul compte utilisateur, ou plusieurs
certificats sont mappés sur un seul compte utilisateur.
• Mappage UPN. Le mappage UPN (User Principle Name) est un cas particulier de mappage
individualisé (one to one). Le mappage UPN est uniquement disponible via Active Direc-
tory. Les autorités de certification des entreprises placent une entrée dans chaque certificat
qui est dénommée UPN. L’UPN est similaire à une adresse e-mail et est unique dans un
domaine Windows 2000. Avec un mappage UPN, l’UPN est utilisé pour localiser le compte
de l’utilisateur dans Active Directory et pour autoriser ou non la connexion.
• One to one (Individualisé). Le mappage individualisé consiste à mapper un certificat d’un
utilisateur sur un seul compte utilisateur. Vous pouvez délivrer des certificats à chacun de
vos employés à partir de votre propre service de certification, ou vous pouvez vous en
remettre à une autorité de certification approuvée par votre société. Il vous restera ensuite
à mapper les certificats obtenus sur les comptes utilisateur concernés.
Procédez ainsi pour mapper un compte utilisateur dans Active Directory (voir la Figure 3.23) :
1. Connectez-vous en tant qu’administrateur.
2. Ouvrez Utilisateurs et ordinateurs Active Directory.
3. Cliquez avec le bouton droit sur le nom de domaine à administrer, pointez Affichage et
vérifiez que l’élément de menu Fonctionnalités avancées est coché.
4. Faites un double-clic sur le nom de domaine, cliquez sur Users et, dans le volet de dé-
tails, localisez l’utilisateur pour lequel vous souhaitez mapper un certificat.
5. Cliquez avec le bouton droit sur le nom d’utilisateur, cliquez sur Nommer les mappages
et sélectionnez Ajouter.
6. Saisissez le nom et le chemin d’accès au fichier .cer, puis cliquez sur Ouvrir.
7. Effectuez l’une des opérations suivantes :
8 Pour mapper le certificat sur un compte, vérifiez que les deux cases d’option sont co-
chées.
9 Pour mapper un certificat sur plusieurs comptes, désactivez la case d’option relative au
sujet.
10. Validez par OK.
Configurer des comptes utilisateur
CHAPITRE 3
89
Figure 3.23
Mappage d’un certificat de
sécurité sur un utilisateur à
partir de la fenêtre Mappage
des identités de sécurité.
Une remarque importante à propos du mapping individualisé (one to one mapping). Cette technique ne
REMARQUE
vous permet pas de mapper le même certificat sur plusieurs comptes. Si vous tentez de le faire, aucun
compte ne sera associé au certificat et toute tentative d’utilisation du certificat échouera.
Conseils d’experts
La gestion des utilisateurs peut parfois devenir une tâche fastidieuse. Sous Windows 2000, le
composant Utilisateurs et ordinateurs Active Directory fournit un certain nombre de techni-
ques essentielles à la localisation et à la gestion des utilisateurs. Vous trouverez également
dans cette section quelques astuces relatives à l’attribution et à l’exploitation des droits
d’administration, ainsi que des conseils supplémentaires relatifs à la création d’une stratégie
de mots de passe efficace.
Fonctionnalités avancées
Lorsque vous démarrez le composant Utilisateurs et ordinateurs Active Directory et que vous
développez le domaine, vous obtenez plusieurs dossiers. Par défaut, les dossiers affichés sont
les suivants :
• Built-In
• Computers
Windows 2000 Server
90 GUIDE DE L’ADMINISTRATEUR
• Domain Controllers
• Users
Options de filtre
Les options de filtre vous permettent de contrôler l’affichage des objets en utilisant des attri-
buts d’objet et des requêtes LDAP (voir la Figure 3.24).
Figure 3.24
Les options de filtre
disponibles.
Accès administrateur
Ne vous connectez jamais en utilisant les droits administrateur. C’est une erreur très fréquente
parmi les administrateurs, la plupart du temps pour des raisons de convenance. Exécuter
Windows 2000 en tant qu’administrateur rend le système vulnérable aux chevaux de Troie et
autres virus. Les risques de violation de sécurité sont accrus. Le simple chargement d’une
page web peut endommager le système. De même, un site Internet peu connu peut héberger
un virus de type cheval de Troie qui risque d’être téléchargé sur le système et exécuté. Pire
encore, il pourrait reformater votre disque, supprimer des fichiers ou créer un nouvel utilisa-
teur disposant des droits d’accès administrateur. Le fait de séparer explicitement le compte
administrateur vous force également à vous connecter expressément en tant qu’administra-
teur. Les utilisateurs qui se connectent constamment avec des droits administrateur ont
Configurer des comptes utilisateur
CHAPITRE 3
91
tendance à faire des erreurs qui sont onéreuses en termes de configuration système. Ils
peuvent en outre affecter irrémédiablement la stabilité du système.
Microsoft a introduit avec Windows 2000 la commande Exécuter en tant que. Cette dernière
vous permet de vous connecter sous un autre compte, typiquement un compte permettant de
réaliser des tâches d’administration. Procédez comme dans l’exemple suivant pour accéder à
la commande Exécuter en tant que :
1. Dans l’Explorateur Windows, cliquez sur le programme que vous voulez ouvrir.
2. La touche Maj étant enfoncée, cliquez avec le bouton droit de la souris sur ce programme
et sélectionnez Exécuter en tant que.
3. Sélectionnez l’option Exécuter le programme en tant que.
4. Saisissez le nom d’utilisateur, le mot de passe et le domaine du compte concerné (voir
la Figure 3.25).
Figure 3.25
La commande Exécuter
en tant que vous permet
d’exécuter un programme
sous une autre identité.
Vous pouvez également employer la commande Exécuter en tant que à partir de la ligne de
commande. La syntaxe est la suivante :
runas /utilisateur:utilisateur@domaine.societe.com "notepad \
’mon fichier.txt\’"
Vous serez alors invité à entrer un mot de passe.
REMARQUE Certaines applications telles que l’Explorateur Windows, le dossier « Imprimantes » et les éléments du
Bureau sont lancées indirectement. Vous ne pourrez pas les démarrer au moyen de la commande Exécu-
ter en tant que.
Lorsque vous définissez des stratégies de compte, gardez à l’esprit que Windows 2000 n’auto-
rise qu’une seule politique de compte de domaine, celle qui est située à la racine d’Active
Directory. En d’autres termes, la stratégie de compte de domaine peut devenir la stratégie de
compte par défaut de toute station de travail Windows 2000 ou serveur membre de ce
domaine, à l’exception des ordinateurs membres d’une unité d’organisation (OU). En plaçant
un compte dans une unité d’organisation, vous pouvez définir une stratégie de remplacement
à la stratégie de domaine par défaut. Cette technique se révélera utile pour définir des groupes
de machines qui nécessitent des règles de sécurité différentes.
Synthèse
L’objet Utilisateur constitue l’un des modules fondamentaux du domaine et d’Active Direc-
tory. Les administrateurs utilisent les objets Utilisateur pour contrôler l’accès aux ressources
et suivre l’activité dans un domaine. Lorsque vous définissez un domaine doté de ressources
partagées, la première étape consiste à développer et à mettre en place une stratégie de gestion
des utilisateurs. Sans une telle stratégie, il vous sera impossible de créer un environnement
serveur sécurisé qui supporte le partage de données et d’informations.
Une stratégie efficace de gestion des utilisateurs inclut des conventions d’appellation, des
restrictions de contrôle de mot de passe et des paramètres de compte. Les administrateurs
devront développer une stratégie de gestion des utilisateurs et disposer des compétences
nécessaires pour la mettre en place et la gérer.
L’étape suivante consiste à regrouper les utilisateurs. La gestion individuelle des accès peut
rapidement devenir une charge difficile à maîtriser si le réseau compte des centaines ou des
milliers d’utilisateurs. En les regroupant, les administrateurs sont en mesure d’apporter des
modifications assez significatives sur les permissions en une seule opération.
FAQ
Q : Y a-t-il une limite à la longueur d’un nom d’utilisateur d’ouverture de session ?
R : Oui, cette limite est de 20 caractères. Si un utilisateur emploie un nom d’utilisateur dont
la syntaxe est nom_d’utilisateur@domaine.com, la portion domaine.com s’affiche en grisé et
n’est pas comptabilisée dans les 20 caractères.
Q : Les utilisateurs de domaine Windows 2000 sont-ils compatibles avec ceux des versions
antérieures de Windows, y compris Windows 95/98 et NT ?
R : Oui. Tout client réseau Windows existant peut se connecter à un domaine Windows 2000
et avoir accès aux ressources Windows 2000.
Q : Peut-il y avoir plus d’une stratégie de mot de passe et de compte pour un domaine ?
R : Non, chaque domaine dispose d’une stratégie par défaut de domaine et de groupe. Il ne
peut y avoir qu’une stratégie de compte et de mot de passe pour l’ensemble du domaine,
élément de la stratégie de domaine par défaut. Si vous souhaitez définir des stratégies de
compte et de mot de passe différentes pour certains utilisateurs, vous devrez créer des domai-
nes supplémentaires.