3

Configurer des comptes

utilisateur

La configuration des comptes utilisateur est une tâche essentielle lors de la préparation d’un
serveur Windows 2000. Le compte utilisateur local ou l’objet utilisateur dans Active Direc-
tory est l’élément de base utilisé pour l’attribution des permissions d’accès aux ressources du
réseau. Avant de créer des groupes d’utilisateurs et des ressources partagées, les administra-
teurs devront maîtriser la création et la gestion des comptes utilisateur avec Active Directory.

Dans ce chapitre
 Définition d’une stratégie relative aux comptes utilisateur
 Introduction aux comptes utilisateur
 Éléments à prendre en compte dans la création de comptes utilisateur
 Création d’un compte utilisateur de domaine
 Définition des éléments relatifs aux mots de passe
 Définition des propriétés des comptes utilisateur
 Gestion des comptes utilisateur
 Conseils d’experts
 Windows 2000 Server
60 GUIDE DE L’ADMINISTRATEUR

Créer des comptes utilisateur sécurisés

Le développement d’une stratégie efficace de gestion des utilisateurs est essen-
tiel à l’établissement et à la maintenance d’un environnement réseau sécurisé. La
plupart des administrateurs ne mesurent pas l’importance d’une bonne stratégie
en matière de comptes utilisateur et implémentent souvent des systèmes
comportant des failles de sécurité importantes. Lors du développement d’une
stratégie de compte d’utilisateur, vous devez considérer les éléments suivants :
• respect d’une convention d’appellation standardisée,
• définition d’un compte unique pour chaque utilisateur,
• mise en place des règles relatives aux mots de passe,
• définition d’une stratégie d’exploitation acceptable,
• définition d’une stratégie d’audit et des critères de réponse.
Une convention d’appellation standardisée permet de mettre en relation de façon
efficace les noms d’ouverture de session et leurs détenteurs. Lorsque vous
consultez les fichiers journaux, les résultats d’audit ou les listes de contrôle d’ac-
cès, vous devez être en mesure d’identifier facilement le possesseur de chaque
compte utilisateur.
N’autorisez jamais les utilisateurs à partager des comptes. Les comptes partagés
sont un véritable cauchemar en termes de sécurité. Quelle que soit l’étendue de
vos procédures de sécurité et de suivi, une telle autorisation rend impossible tou-
te détection de violation de sécurité.
Définissez un ensemble de règles de mots de passe efficaces sans être trop
pesantes pour les utilisateurs. Les administrateurs sont parfois un peu trop zélés
lorsqu’ils définissent les règles relatives aux mots de passe. Si celles-ci sont trop
strictes, les utilisateurs auront tendance, au mépris des consignes de sécurité
élémentaires, à noter par écrit leurs mots de passe et à les laisser bien en éviden-
ce, dans leur agenda ou sous leur clavier. Vous ne devez pas pour autant
renoncer ; optez pour des règles qui interdisent la plupart des mots figurant dans
les dictionnaires ou les noms propres. La meilleure solution consiste à combiner
lettres et chiffres. Par ailleurs, contraignez les utilisateurs à changer leur mot de
passe fréquemment. En dépit des avertissements, nombreux sont ceux qui ne
pourront s’empêcher de donner leur mot de passe à leurs collègues.
Les options de Windows 2000 ne vous seront pas d’une grande utilité si votre
entreprise n’a pas fait l’effort de mettre en place un véritable schéma directeur en
matière d’informatique et de réseaux. Il faut par ailleurs développer une politique
d’audit afin d’être en mesure de détecter des violations de sécurité et mettre en
place un plan d’action pour lutter contre ces intrusions. Les fonctionnalités éten-
dues d’audit de Windows 2000 permettent de surveiller l’activité du réseau, celle
du système de fichiers, des imprimantes et de presque tout objet Active Directory.
Identifiez les ressources les plus critiques et surveillez-les (tentatives de décryp-
tage des mots de passe, de blocage des ports TCP/IP, d’accès à des dossiers et
des fichiers pour lesquels l’utilisateur ne dispose pas des droits d’accès, et ainsi
de suite). La politique d’audit doit spécifier, outre les systèmes à surveiller, les
réponses aux violations de sécurité éventuelles.
 Configurer des comptes utilisateur
CHAPITRE 3
61

Définition d’une stratégie relative aux comptes utilisateur

Avant de créer ne serait-ce qu’un compte utilisateur, vous devez développer des règles d’utili-
sation valides et acceptables. En plus des directives relatives aux mots de passe et des proprié-
tés des comptes, ces règles doivent inclure des informations sur les services réseau pour
lesquels le compte est défini. Elles doivent également contenir des instructions relatives au
partage des comptes et des mots de passe, à l’accès aux serveurs sans autorisation, ainsi qu’à
l’obtention des mots de passe d’autres utilisateurs sans leur consentement. Dans la mesure du
possible, ces règles viendront s’ajouter au règlement intérieur en vigueur dans l’entreprise et,
à ce titre, leur non-respect devra faire l’objet de sanctions. Veillez à impliquer le département
des ressources humaines dans le développement de ces règles pour vérifier qu’elles sont bien
conformes à la législation en vigueur. L’objectif de ces règles est de rappeler aux utilisateurs
l’importance des mesures de sécurité et les conséquences désastreuses que les actions des
pirates ont sur les systèmes d’informations.

Modèle de stratégie offrant un compromis entre sécurité et facilité

d’exploitation
Si ce modèle ne répond sans doute pas à tous vos besoins, il devrait vous mettre le pied à
l’étrier. Veillez à bien ajuster périodiquement les stratégies de sécurité définies, pour vérifier
qu’elles répondent toujours aux exigences de votre entreprise.

Objectif

Cette procédure vise à établir les règles de base relatives à la sécurité des systèmes d’informa-
tion et des communications. L’essor des échanges inter et intra-entreprises accroît plus que
jamais la nécessité de protéger les informations contre tout accès non autorisé.

Interprétation

La responsabilité de l’interprétation de cette procédure est du ressort du PDG de l’entreprise

et des responsables de la sécurité.

Définitions

• Un ordinateur désigne tout périphérique électronique programmable pouvant être utilisé

pour développer, stocker, accéder à ou transporter des informations ou des logiciels.
• Un dépôt de données désigne toute base de données, tout entrepôt de données ou site web.
• L’accès externe désigne la capacité à accéder à des informations ou à des services à l’exté-
rieur du périmètre du réseau. Cela inclut l’accès via des connexions réseau privées ou publi-
ques, l’Internet par exemple, ou les réseaux cellulaires, sans fil ou les réseaux téléphoniques
publics.
• L’accès géré désigne l’accès préautorisé à un ordinateur, dans lequel l’utilisateur accède
uniquement à certaines fonctions et informations.
 Windows 2000 Server
62 GUIDE DE L’ADMINISTRATEUR

• Une usurpation se produit lorsqu’une personne utilise l’identité et/ou l’identification utili-
sateur de quelqu’un d’autre pour accéder aux systèmes informatiques, aux services ou aux
infrastructures d’une entreprise.
• L’authentification utilisateur désigne les trois niveaux d’authentification utilisés :

1. L’authentification numérique est la méthode la moins sûre ; elle peut être très facile-
ment interceptée. Il s’agit le plus souvent d’un code personnel d’authentification (PAC,
Personal Authentication Code) ou d’un numéro personnel d’authentification (PIN, Per-
sonal Identification Number). L’identificateur numérique est approuvé uniquement pour
les applications d’audiomessagerie et les applications de ressources humaines en libre-
service, en raison des limitations des technologies de téléphonie. En règle générale,
l’authentification numérique utilisée seule devrait être réservée aux systèmes non criti-
ques.
2. L’authentification simple est une technique d’authentification d’efficacité moyenne
qui consiste en une chaîne de caractères, de nombres et/ou de caractères spéciaux connus
seulement de l’utilisateur.
3. L’authentification double est le niveau d’authentification utilisateur le plus élevé et né-
cessite deux facteurs d’authentification : un premier élément connu (numéro d’identifi-
cation, code d’authentification ou mot de passe) et un second élément en possession de
l’utilisateur (une carte à puce, une clé privée ou encore un identificateur biométrique).

• L’ID utilisateur désigne l’identification assignée à un utilisateur, que celui-ci est invité à
fournir lorsqu’il tente d’accéder aux systèmes ou services informatiques.

Responsabilités
Chaque service/employé a les responsabilités décrites ci-dessous. Ces dernières sont essen-
tielles dans la réussite d’une politique de sécurité au sein d’une entreprise.
Fournisseur de service
• Il est de la responsabilité de tous les fournisseurs de service d’assurer la conformité aux
quatre principes décrits ci-dessous. Il est également de la responsabilité du fournisseur
d’assurer que son service fournit des fonctionnalités permettant la mise en œuvre de
services d’authentification utilisateur et qu’il est optimisé pour un déploiement global au
sein d’une entreprise. Dans ce domaine, une attention toute particulière devra être portée à
la conformité aux normes en vigueur dans l’entreprise, aux performances opérationnelles
et à l’accessibilité.
• Tous les composants matériels et logiciels du système, les programmes d’application et les
applications réseau (le courrier électronique, par exemple) seront soumis aux règles de
sécurité développées à partir des quatre principes suivants :
1. L’utilisation de valeurs par défaut sécurisées : l’option par défaut de toute application
doit être la plus sûre.
2. L’attribution de privilèges minimaux servant à limiter les accès utilisateur aux infor-
mations ou fonctions nécessaires à la réalisation des tâches qui leur sont assignées.
 Configurer des comptes utilisateur
CHAPITRE 3
63

3. Le contrôle d’accès discrétionnaire nécessite de mesures de sécurité à plusieurs ni-

veaux, selon la valeur des données à protéger.
4. La capacité à être soumis à un audit pour permettre de détecter les violations de sécu-
rité ou l’utilisation frauduleuse d’équipements ou de services.

Décideurs
Il incombe à chaque décideur/responsable de s’assurer que tous les employés et sous-traitants
autorisés sont informés de ces procédures et qu’ils les appliquent.
Système d’information
Le système d’information doit fournir un moyen de garantir un accès authentifié et sécurisé
aux ressources du système d’information de l’entreprise. Les procédures définies doivent
inclure le service de sécurité de l’entreprise, chargé de vérifier régulièrement le système
d’information et les répertoires de données afin de contrôler que les services d’authentifica-
tion utilisateur et les mesures de protection de l’information utilisés correspondent à la nature
et à la classification de ces informations.
Employés
Tout le personnel de support technique, toutes les personnes ayant accès au système informa-
tique et au système de communication, ainsi que leurs responsables sont tenus de suivre ces
procédures.
Procédure
Sécurité des systèmes informatiques et des systèmes de communication
• L’utilisation d’adresses IP non enregistrées sera considérée comme une violation de la poli-
tique acceptable d’exploitation. Tous les centres de contrôle réseau et les installations
informatiques centralisées devront conserver des traces des équipements et des configura-
tions matériels. Ces notes devront inclure l’enregistrement et le suivi de tout le matériel au
sein d’un système de gestion de stock approprié. Par ailleurs, il est nécessaire d’identifier la
configuration minimale requise pour supporter les applications et/ou les services critiques
dans l’hypothèse d’une catastrophe.
• Tout équipement facilement démontable doit être protégé contre la perte ou le vol, au
besoin au moyen de câbles ou d’attaches de fixation. Des procédures de contrôle doivent
être mises en place pour suivre les déplacements autorisés de matériel – dans le cadre d’une
utilisation hors site, par exemple –, à l’exception des ordinateurs portables affectés expres-
sément à des individus.
• Toutes les activités de maintenance et les modifications de configuration (matérielles et
logicielles) doivent être planifiées et leur réalisation doit être suivie. Des historiques seront
conservés à des fins d’audit.
• Les commandes documentées doivent être définies et mises en place pour protéger les
données client, fournisseurs et employés contre tout dommage ou modification lors de la
transmission.
• Des sauvegardes régulières seront effectuées selon la fréquence de modification des
données.
 Windows 2000 Server
64 GUIDE DE L’ADMINISTRATEUR

• Les utilisateurs ne devront pas reconfigurer les réseaux ou surveiller le trafic à moins d’être
expressément autorisés à le faire. En outre, ils s’abstiendront d’utiliser les systèmes de
communication pour accéder à des systèmes dont l’accès ne leur est pas explicitement
autorisé.
• Toutes les adresses IP (Internet Protocol) doivent être assignées et enregistrées dans la base
de données de l’entreprise.

Logiciels
• Tous les utilisateurs de logiciels autorisés et de logiciels propriétaires doivent respecter les
modalités prévues par les accords de licence, tels qu’ils sont définis par leurs éditeurs
respectifs.
• Lorsque les logiciels sont mis à disposition via des réseaux ou des systèmes électroniques
de type BBS, tout employé doit vérifier que le logiciel qu’il envisage d’utiliser se trouve
bien dans le domaine public. En cas de doute, les logiciels ne doivent pas être employés,
sauf avec l’autorisation expresse de l’éditeur.
• Tous les logiciels doivent être testés contre tous les virus connus, chevaux de Troie, etc.,
avant leur emploi.
• L’utilisation de logiciels non autorisés constitue une violation des procédures en vigueur
dans l’entreprise relatives à l’emploi de logiciels tiers et, à ce titre, sera interdite. Les contre-
venants s’exposent à des procédures disciplinaires pouvant aller jusqu’au licenciement.
• Les logiciels approuvés par le service informatique devront être utilisés sur les systèmes
pour détecter et supprimer les virus.

Gestion des privilèges

• Une demande de modification ou d’affectation d’un ID utilisateur nécessite la réalisation
d’une procédure d’autorisation.
• Lorsqu’un ID utilisateur existe sur plusieurs systèmes, toutes ses occurrences seront enre-
gistrées pour la même personne, à l’exception des fonctions de maintenance du système.
• Les ID et authentification utilisateur sont définis sur une base individuelle et ne doivent pas
être partagés.
• L’usurpation d’identité utilisateur n’est pas autorisée et constitue une violation de la sécu-
rité. Tout utilisateur pris en situation d’usurpation devra être signalé.
• Tous les privilèges d’accès au système seront immédiatement supprimés dès que le contrat
de travail prendra fin. Le responsable du salarié en fin de contrat est chargé de s’assurer de
la suppression de ces privilèges.
• Tous les mots de passe d’accès au système et réseau doivent être conformes aux règles défi-
nies pour les mots de passe.
• Les utilisateurs s’abstiendront d’essayer d’accéder aux informations pour lesquelles ils ne
disposent pas d’autorisation explicite.
• Les utilisateurs ne laisseront pas sans surveillance un terminal connecté et non protégé par
mot de passe ou qui ne dispose pas de fonction de sollicitation de nouvelle authentification
après un certain temps.
 Configurer des comptes utilisateur
CHAPITRE 3
65

• Tous les bureaux et les systèmes portables doivent disposer d’un produit de contrôle
d’accès approuvé.

Violations de sécurité
• Les utilisateurs signaleront rapidement tous les problèmes de sécurité à leurs responsables,
qui à leur tour préviendront leur direction ou le service de sécurité de l’entreprise.
• Le service de sécurité de l’entreprise devra étudier tous les rapports reçus et, le cas échéant,
mener les enquêtes appropriées.
• Le service de sécurité de l’entreprise peut périodiquement demander à un utilisateur ou à
un groupe d’utilisateurs de changer son mot de passe si des violations de sécurité sont
suspectées.

Introduction aux comptes utilisateur

Un compte utilisateur est l’identificateur unique d’un individu sur le réseau Windows 2000.
Windows 2000 utilise le compte de domaine pour valider l’identité d’une personne et lui
accorder l’accès aux ressources partagées. Chaque utilisateur a besoin d’un identificateur
unique et du mot de passe qui lui est associé, qu’il conserve en tant qu’information privée.
Quand un utilisateur de Windows 95/98/NT/2000 emploie un ID d’ouverture de session et un
mot de passe, un contrôleur de domaine valide l’ID et le mot de passe et lui fournit un jeton
d’accès. Quand l’utilisateur accède à une ressource réseau, le jeton d’accès est comparé à la
liste de contrôle d’accès (ACL) pour déterminer son niveau d’accès à la ressource.
Microsoft a introduit Active Directory dans Windows 2000, qui fonctionne comme une sorte
de dépôt central de toutes les informations relatives aux comptes et aux utilisateurs. La créa-
tion et la gestion des comptes utilisateur s’effectuent via le composant Utilisateurs et ordina-
teurs Active Directory et la console d’administration de Microsoft. Cet utilitaire remplace le
Gestionnaire des utilisateurs du domaine de Windows NT 4.0. Le composant Utilisateurs et
ordinateurs Active Directory se substitue également au Gestionnaire de serveur en ce qui
concerne la création des comptes d’ordinateurs.

Éléments à prendre en compte dans la création de comptes

utilisateur
Avant de créer des comptes utilisateur, il est important de mettre au point une convention
d’appellation cohérente. Une convention courante consiste à associer l’initiale du prénom et
le nom de famille, par exemple sous la forme mdupont, pour Marc Dupont. Si un second
M. Dupont existe dans la société et qu’un compte à son nom doive être créé, vous pourrez
opter pour l’initiale du second prénom ou encore la seconde lettre du prénom. Vous obtien-
drez ainsi mhdupont pour Marc Henri Dupont ou madupont pour Marc Dupont.
Lorsque vous mettez au point une convention d’appellation, évitez les noms sans signification
comme emp1234 ou les chaînes numériques aléatoires comme 101245, qui compliquent
considérablement les choses lorsqu’il s’agit de mettre en correspondance cet ID et son
possesseur par simple consultation de fichiers journaux. De tels ID sont également difficiles à
 Windows 2000 Server
66 GUIDE DE L’ADMINISTRATEUR

mémoriser pour les utilisateurs. Privilégiez autant que possible les noms mnémoniques. Lors
de la création de comptes, veillez également à ne pas utiliser des mots argotiques ou des mots
susceptibles d’être interprétés comme des insultes dans certaines cultures.
Optez pour une chaîne d’identification comprise entre quatre et dix caractères, ce qui consti-
tue un bon compromis entre sécurité et facilité de mémorisation.
Dans certaines entreprises, les administrateurs autorisent les utilisateurs à choisir eux-mêmes
leur identificateur. La plupart suggèrent aux utilisateurs de recourir à la convention standard
consistant à utiliser l’initiale du prénom et le nom de famille, en les laissant toutefois libres de
leur choix. Vous pouvez naturellement opter pour ce type de système, même s’il peut se révé-
ler plus simple, en termes d’administration, de limiter le choix des utilisateurs.

Paramètres par défaut des comptes utilisateur

L’étape suivante va consister à définir les paramètres par défaut de chaque compte. Les para-
mètres dont vous devrez définir les valeurs par défaut sont les suivants :
• Mot de passe initial
• L’utilisateur doit modifier le mot de passe à la prochaine ouverture de session
• L’utilisateur ne peut pas modifier le mot de passe
• Le mot de passe n’expire jamais
• Compte désactivé

Mot de passe initial

Le mot de passe initial est celui que vous définirez à la création du compte et auquel l’utilisa-
teur aura recours pour se connecter la première fois. Vous pouvez utiliser un ensemble de mots
de passe standard ou assigner de façon aléatoire un mot de passe unique à chaque utilisateur.
L’utilisateur doit modifier le mot de passe à la prochaine ouverture de session
Il s’agit de la valeur par défaut et nous vous conseillons de la conserver telle quelle. Lorsque
vous définissez le mot de passe initial, vous êtes deux à le connaître. Quand les utilisateurs
sont contraints de le modifier pour ouvrir la session suivante, ils doivent choisir un nouveau
mot de passe connu de personne d’autre. Si vous désactivez cette option et si vous utilisez un
ensemble standard de mots de passe, vous risquez de vous retrouver avec un grand nombre de
personnes dotées du même mot de passe.
L’utilisateur ne peut pas modifier le mot de passe
Cette option est désactivée par défaut et nous vous conseillons de la conserver ainsi. Elle vous
sera parfois utile avec les comptes de service ou pour des applications spécialisées. Toutefois,
la plupart du temps, l’activation de cette option aura surtout des conséquences négatives, dans
la mesure où elle empêchera les utilisateurs de modifier eux-mêmes leur mot de passe et les
rendra tributaires de l’administrateur si leur mot de passe est découvert.
Le mot de passe n’expire jamais
Cette option est également désactivée par défaut. Il s’agit là encore d’un paramètre conçu
pour les comptes spécialisés et qui ne s’applique pas à la plupart des comptes utilisateur.
 Configurer des comptes utilisateur
CHAPITRE 3
67

Contraindre les utilisateurs à sélectionner régulièrement un nouveau mot de passe constitue

une protection contre le partage des mots de passe, qui est assez courant en entreprise, en
dépit des avertissements et des efforts de l’administrateur réseau.
Compte désactivé
Cette option est aussi désactivée par défaut et sera conservée telle quelle pour la plupart des
nouveaux comptes. Elle est très utile pour l’administration des comptes utilisateur. Tout
d’abord, vous pouvez définir une politique de mots de passe qui désactive automatiquement
un compte après un certain nombre de tentatives de connexions infructueuses. Un autre cas
d’utilisation : les congés et autres absences. Vous pouvez désactiver le compte sans le suppri-
mer pour vous assurer qu’aucun autre utilisateur ne tentera de se connecter au moyen de cet
identificateur. Au retour de l’utilisateur, il vous suffira de réactiver le compte. Ce dernier
retrouvera dès lors un accès immédiat à toutes les ressources partagées. Cette technique peut
également être utilisée pour transférer la propriété d’un compte lors du départ d’un employé.
Vous pouvez alors désactiver le compte et le réactiver lors de l’entrée en fonction de son
remplaçant. Ce nouvel employé aura ainsi un accès immédiat aux données appropriées.

REMARQUE Le compte par défaut de l’administrateur ne peut pas être désactivé. C’est pourquoi la plupart des admi-
nistrateurs choisissent de modifier leur ID et d’opter pour un ID moins évident que « Administrateur ». Si
une telle modification ne protège pas de l’intervention de hackers potentiels, ces derniers auront une étape de plus à
effectuer pour accéder au système. Le mot de passe défini sur le compte Administrateur est essentiel à l’intégrité du
système. Optez pour un mot de passe composé de caractères alphanumériques pour rendre toute violation encore
plus difficile.

Création d’un compte utilisateur de domaine

Un compte de domaine est un compte accessible par tout contrôleur de domaine, serveur
membre ou domaine accrédité. Seuls des comptes utilisateur de domaine peuvent être stockés
dans Active Directory, à la différence des serveurs membres et des serveurs autonomes qui
peuvent disposer, en outre, de comptes locaux.

Utilisateurs et ordinateurs Active Directory

Vous pouvez accéder au gestionnaire des utilisateurs et ordinateurs d’Active Directory via le
menu Démarrer. Sélectionnez Démarrer, Programmes, Outils d’administration, puis Utilisa-
teurs et ordinateurs Active Directory. Vous pouvez également accéder à de nombreux outils
administratifs à partir de l’assistant de configuration de votre serveur qui démarre automati-
quement lorsque vous vous connectez en tant qu’administrateur au serveur. Pour accéder au
gestionnaire des utilisateurs et ordinateurs d’Active Directory, cliquez sur Active Directory
(voir la Figure 3.1) dans le volet gauche, puis sur le lien Gérer les comptes d’utilisateurs et les
paramètres des groupes.
 Windows 2000 Server
68 GUIDE DE L’ADMINISTRATEUR

Figure 3.1
L’assistant Configurez
votre serveur permet
d’accéder aux divers
outils d’administration
de Windows 2000.

Création de comptes utilisateur

Une fois le composant Utilisateurs et ordinateurs Active Directory ouvert, cliquez sur le nom
de domaine pour le développer (voir la Figure 3.2). Le domaine contient au moins les quatre
groupes d’objets prédéfinis suivants :
• Built-in. Désigne les utilisateurs et les groupes d’administration système intégrés (valeur
par défaut) créés lors de l’installation de Windows 2000.
• Computers. La liste de tous les objets du compte définis par l’administrateur.
• Domain Controllers. Les contrôleurs de domaine pour Active Directory.
• Users. L’emplacement par défaut des comptes utilisateur et de groupes créés par l’adminis-
trateur.

Chacun de ces groupes est désigné sous le nom d’unité d’organisation (OU) et constitue un
groupe logique d’objets. Les administrateurs peuvent créer des unités d’organisation supplé-
mentaires pour gérer les utilisateurs et les ordinateurs de leur réseau. Des unités d’organisa-
tion peuvent également être employées pour définir diverses stratégies de sécurité fondées sur
les exigences de l’entreprise.
1. Cliquez sur Users. La liste des utilisateurs et des groupes définis dans Active Directory
s’affiche dans le volet de droite. Pour créer un nouvel utilisateur, cliquez sur l’icône Créer
un nouvel utilisateur dans le conteneur actuel de la barre d’outils ou cliquez avec le bou-
ton droit de la souris sur le dossier Users, pointez dans le menu contextuel la commande
Nouveau, puis sélectionnez Utilisateur. Une fenêtre intitulée Nouvel objet – Utilisateur
s’affiche.
2. Complétez les informations relatives au prénom et au nom de l’utilisateur.
 Configurer des comptes utilisateur
CHAPITRE 3
69

Figure 3.2
Le composant
Utilisateurs et
ordinateurs Active
Directory.

3. Sélectionnez un nom d’ouverture de session pour l’utilisateur. Les autres champs seront
automatiquement complétés au moyen des informations de domaine appropriées (voir la
Figure 3.3).
4. Cliquez sur Suivant.

Figure 3.3
Première étape dans la création
d’un compte utilisateur.

5. L’étape suivante va consister à définir le mot de passe initial et à décider des options à
activer. La plupart des administrateurs choisissent d’activer l’option L’utilisateur doit
modifier le mot de passe à la prochaine ouverture de session, qui contraint les utilisateurs
à modifier et à choisir un mot de passe connu d’eux seuls (voir la Figure 3.4). Cliquez
sur Suivant.
6. L’assistant objet affiche un résumé des propriétés de l’objet, parmi lesquelles le nom du
compte et les options de confirmation. Si ces propriétés vous conviennent, cliquez sur
Terminer.
 Windows 2000 Server
70 GUIDE DE L’ADMINISTRATEUR

Figure 3.4
La seconde étape de la création d’un
compte utilisateur consiste à définir
un mot de passe initial ainsi que
les paramètres du compte.

Le compte est créé et le contenu de la fenêtre principale des Utilisateurs et ordinateurs Active
Directory est actualisé. À ce stade, les utilisateurs peuvent se connecter à Active Directory. Ils
ne pourront toutefois pas encore accéder aux ressources, dans la mesure où les autorisations
n’ont pas encore été définies.

Définition des éléments relatifs aux mots de passe

Avec Windows 2000, la définition des règles relatives aux mots de passe, telles que la
longueur, la durée de validité et le verrouillage après un nombre de tentatives infructueuses,
relève des stratégies de compte. Les stratégies de compte sont gérées via le composant Confi-
guration et analyse de la sécurité, qui constitue une nouvelle interface d’administration
centralisée pour tous les paramètres de sécurité. Outre ce composant de console MMC, pour
vous assister dans la définition de ces stratégies, vous pouvez recourir aux modèles de sécu-
rité fournis avec Windows 2000. Ces derniers apparaissent aussi en tant que composants de la
MMC sous le nom Modèles de sécurité.

Modèles de sécurité
Microsoft fournit plusieurs modèles de sécurité. Les administrateurs peuvent utiliser directe-
ment les modèles fournis ou les adapter suivant leurs besoins. Ces modèles contiennent des
exemples de contrôleurs de domaine, de stations de travail, et de serveurs sécurisés et non
sécurisés qui permettront aux administrateurs de définir différents profils de sécurité en fonc-
tion du serveur administré.
 Configurer des comptes utilisateur
CHAPITRE 3
71

Charger les composants de sécurité dans la console d’administration

Microsoft
Les composants de sécurité sont des composants optionnels de la console d’administration
MMC que les administrateurs peuvent charger dans une console personnelle.
Procédez ainsi pour créer votre console de sécurité :
1. Sélectionnez la commande Exécuter du menu Démarrer.
2. Tapez MMC et cliquez sur OK.
3. À partir du menu Console, sélectionnez Ajouter-supprimer un composant logiciel enfi-
chable (voir la Figure 3.5). La liste des composants disponibles varie en fonction de vo-
tre configuration.
4. Cliquez sur Ajouter.
5. Ajoutez les composants Modèles de sécurité et Configuration et analyse de la sécurité
(voir la Figure 3.6).
6. Cliquez sur Fermer.
7. Cliquez sur OK pour refermer la fenêtre d’ajout-suppression de composants.

Figure 3.5
La boîte de dialogue Ajouter-supprimer
des composants logiciels enfichables
permet de personnaliser la console
d’administration de Microsoft.
 Windows 2000 Server
72 GUIDE DE L’ADMINISTRATEUR

Figure 3.6
Vous pouvez ajouter et supprimer
à votre convenance et selon vos
besoins d’administration les
composants optionnels de la MMC.

Charger les modèles de sécurité

Après avoir créé un modèle ou sélectionné un modèle existant, vous devez le charger dans la
base de données du composant Configuration et analyse de la sécurité. La conception d’une
telle base de données est relativement simple, une fois le modèle défini.
Procédez ainsi pour créer une telle base de données :
1. Cliquez avec le bouton droit sur le composant Configuration et analyse de la sécurité.
2. Sélectionnez Ouvrir une base de données.
3. Attribuez à la base de données un nom explicite et cliquez sur Ouvrir.
4. Sélectionnez le modèle à utiliser avec la base de données Configuration et analyse de la
sécurité.
5. Pour activer la base de données de Configuration et analyse de la sécurité, cliquez avec le
bouton droit de la souris sur ce composant et sélectionnez Configurer l’ordinateur main-
tenant.
6. Suivez les messages affichés pour enregistrer un fichier journal.
7. Une fois la configuration terminée, cliquez avec le bouton droit de la souris sur le com-
posant Configuration et analyse de la sécurité et sélectionnez Analyser l’ordinateur main-
tenant.
8. Suivez les instructions affichées pour enregistrer un fichier journal. Un résumé des op-
tions de sécurité s’affiche dans le volet droit.
 Configurer des comptes utilisateur
CHAPITRE 3
73

REMARQUE Vous risquez d’obtenir un avertissement relatif aux conflits potentiels détectés avec la stratégie de groupe
de domaine par défaut. La stratégie de domaine par défaut prévaut sur la base de données du composant
Configuration et analyse de la sécurité. Pour administrer la stratégie de groupe de domaine, vous devez utiliser le
composant Stratégies de groupe auquel vous pouvez également accéder via la MMC.

Modifier les stratégies de compte (mot de passe)

Il est possible d’apporter des modifications à la base de données de Configuration et analyse
de la sécurité active. Toutefois, la procédure recommandée est d’apporter, dans un premier
temps, les modifications au modèle, puis de le recharger.
Procédez comme ci-dessous pour importer-recharger un modèle :
1. Ouvrez ou créez une console MMC contenant le composant Configuration et analyse de
la sécurité.
2. Cliquez avec le bouton droit de la souris sur le nœud Configuration et analyse de la sé-
curité.
3. Ouvrez ou créez une base de données de travail.
4. Sélectionnez Importer un modèle.
5. Sélectionnez un fichier de configuration et cliquez sur Ouvrir.
6. Répétez l’étape précédente pour tous les modèles à fusionner dans la base de données.
7. Cliquez avec le bouton droit sur le nœud Configuration et analyse de la sécurité et cli-
quez sur Configurer l’ordinateur maintenant.
Cette procédure permet de vous assurer que le modèle et la configuration active sont synchro-
nisés, ce qui limite les risques d’erreur lors de mises à jour ultérieures et donc de recharge-
ments des modèles, qui risqueraient d’écraser les modifications apportées directement à la
base de données active.
Le nœud Stratégie de compte contient trois sous-catégories :
• Stratégie de mot de passe. Les paramètres définis pour les mots de passe, tels que leur
entrée en vigueur et leur durée d’utilisation.
• Stratégie de verrouillage du compte. Les paramètres définissant le moment et la durée du
verrouillage d’un compte.
• Stratégie Kerberos. Kerberos est la méthode utilisée par Windows 2000 pour authentifier
un ID utilisateur et un mot de passe. Cette option vous permet de définir le niveau de sécu-
rité du protocole.

Procédez comme dans l’exemple suivant pour modifier les stratégies de compte :
1. Ouvrez ou créez une console d’administration contenant le composant Modèles de sé-
curité.
2. Cliquez sur Modèles de sécurité pour développer l’arborescence.
3. Développez l’arborescence jusqu’à localiser la stratégie de compte du modèle de sécu-
rité à modifier.
 Windows 2000 Server
74 GUIDE DE L’ADMINISTRATEUR

4. Cliquez sur Stratégie de mot de passe pour consulter, dans le volet droit de la fenêtre, la
liste des éléments de configuration (voir la Figure 3.7).
5. Pour modifier un paramètre spécifique, double-cliquez sur son intitulé pour ouvrir une
nouvelle fenêtre. Apportez les modifications souhaitées et validez par OK.
6. Procédez à l’identique pour modifier les stratégies de verrouillage du compte.

Figure 3.7
Les modèles de sécurité
donnent accès aux
paramètres de stratégie
de compte utilisés
pour définir différentes
options relatives aux
mots de passe.

Voici quelques options de stratégie de gestion des mots de passe :

• Conserver l’historique des mots de passe. Cette option empêche les utilisateurs de
remployer cycliquement les deux ou trois mêmes mots de passe.
• Durée de vie maximale du mot de passe. La durée maximale au bout de laquelle un utili-
sateur doit modifier un mot de passe. Après la durée spécifiée, l’utilisateur sera contraint de
changer ce mot de passe.
• Durée de vie minimale du mot de passe. La durée minimale avant laquelle un utilisateur
ne peut pas modifier son mot de passe. Cette option permet d’empêcher un utilisateur de
recourir à plusieurs mots de passe lui permettant de passer outre la conservation de l’histo-
rique des mots de passe.
• Longueur minimale du mot de passe. Le nombre de caractères minimal acceptable pour
un mot de passe. Nous recommandons en général une longueur minimale de six
caractères ; de nombreux administrateurs exigent huit caractères au minimum.
• Les mots de passe doivent respecter les exigences de complexité. Contraint l’utilisateur
à associer majuscules et minuscules, ainsi que des caractères alphanumériques dans son
mot de passe. Si les ID utilisateur ne sont pas sensibles à la casse, les mots de passe le sont.
• L’utilisateur doit se connecter pour modifier son mot de passe. Contraint l’utilisateur à
se connecter au réseau pour modifier un mot de passe.
 Configurer des comptes utilisateur
CHAPITRE 3
75

Parmi les options de stratégie de verrouillage de comptes, vous retrouverez :

• Seuil de verrouillage du compte. Le nombre de tentatives infructueuses d’ouvertures de
session après lequel le compte sera désactivé automatiquement. La plupart des administra-
teurs définiront ce nombre entre trois et sept, ce qui laisse à l’utilisateur un nombre suffisant
de tentatives pour s’apercevoir, par exemple, que le verrouillage majuscule [Caps Lock] est
activé et aux intrus peu de chances pour parvenir à s’introduire dans le système avant que
le compte ne soit verrouillé.
• Durée de verrouillage des comptes. La durée pendant laquelle un compte reste verrouillé
une fois le verrouillage activé. En règle générale, cette option est désactivée pour empêcher
la réactivation automatique du compte. Notez cependant que ce mécanisme de réactivation
automatique des comptes ne permet pas aux administrateurs de suivre la fréquence de
désactivation des comptes. Des pirates pourraient ainsi tenter de s’introduire dans le
système et attendre la réactivation automatique des comptes pour reprendre leurs tenta-
tives… qui pourraient finir par réussir.
• Réinitialiser le compteur de verrouillage du compte après. La durée d’attente avant la
réactivation du compte. Si cette période est trop faible, rien n’empêche un pirate d’attendre
cette réactivation pour reprendre ses tentatives.

Une fois les stratégies de compte définies, vous pouvez charger le modèle de sécurité et sélec-
tionner Configurer l’ordinateur maintenant dans le menu Action du composant Configuration
et analyse de la sécurité.

Définition des propriétés relatives aux comptes utilisateur

Toute la gestion des propriétés des comptes s’effectue, comme la création, via le composant
Utilisateurs et ordinateurs Active Directory. Pour modifier les propriétés d’un compte, ouvrez
l’arborescence Utilisateurs et ordinateurs Active Directory et cliquez sur le domaine que vous
souhaitez administrer.
La liste des utilisateurs et des groupes en cours dans le domaine s’affiche lorsque vous sélec-
tionnez le dossier de l’utilisateur ou celui de l’unité d’organisation (OU) appropriée. Pour
modifier les propriétés du compte, cliquez avec le bouton droit sur le nom de l’utilisateur et
sélectionnez Propriétés.

Modifier les comptes utilisateur

La fenêtre des propriétés de l’utilisateur se compose typiquement des onglets suivants (voir la
Figure 3.8) :
• Général
• Adresse
• Compte
• Profil
• Téléphones
 Windows 2000 Server
76 GUIDE DE L’ADMINISTRATEUR

• Organisation
• Membre de
• Appel entrant

Figure 3.8
La fenêtre des propriétés de
l’utilisateur met à votre disposition
plusieurs onglets pour configurer
les comptes utilisateur.

Certains onglets permettent de suivre des informations d’ordre général ; d’autres affectent
directement le comportement du compte. N’hésitez pas à compléter les champs d’informa-
tions générales qui constitueront un emplacement centralisé, accessible à d’autres applica-
tions, dans lequel vous pourrez stocker des informations relatives aux utilisateurs.

Général
L’onglet Général contient les champs suivants (voir la Figure 3.9) :
• Prénom. Spécifié lors de la création du compte.
• Nom. Spécifié lors de la création du compte.
• Nom affiché. Une combinaison du prénom et du nom.
• Description. Une entrée courte décrivant le compte.
• Téléphone
• Adresse de messagerie
• Page web

L’onglet Général permet de définir des informations génériques relatives à l’utilisateur : une
description, un bureau, un numéro de téléphone ou une adresse e-mail. Aucune de ces infor-
mations n’affecte le comportement du compte.
 Configurer des comptes utilisateur
CHAPITRE 3
77

Figure 3.9
L’onglet Général de la fenêtre
des propriétés de l’utilisateur.

Adresse
L’onglet Adresse comprend les champs suivants (voir la Figure 3.10) :
• Adresse
• Boîte postale
• Ville
• Département ou région
• Code postal
• Pays

L’onglet Adresse permet à l’administrateur de conserver un plus grand nombre d’informa-

tions sur l’utilisateur. Notez toutefois qu’elles peuvent être remployées via Active Directory
et associées à d’autres applications comme Exchange/Outlook, des serveurs LDAP ou des
systèmes utilisés par les services des ressources humaines dans la mesure où ils sont compa-
tibles Active Directory.

Compte
L’onglet Compte propose entre autres les paramètres suivants (voir la Figure 3.11) :
• Nom d’ouverture de session de l’utilisateur
• Nom d’ouverture de session avant l’installation de Windows 2000
 Windows 2000 Server
78 GUIDE DE L’ADMINISTRATEUR

Figure 3.10
L’onglet Adresse de la fenêtre
des propriétés de l’utilisateur.

• L’utilisateur doit modifier le mot de passe à la prochaine ouverture de session

• L’utilisateur ne peut pas modifier le mot de passe
• Le mot de passe n’expire jamais
• Enregistrer le mot de passe en utilisant un cryptage réversible

Outre ces propriétés, disponibles lors de la phase de création de compte, l’onglet Compte
comprend d’autres propriétés telles que les Horaires d’accès, la possibilité de Se connecter à
et les règles d’expiration du compte.
• Horaires d’accès. Cette option permet aux administrateurs de définir un ensemble de
règles qui régissent les périodes de connexion autorisées. Elle se révéle très utile dans les
environnements étroitement contrôlés dans lesquels les administrateurs veulent s’assurer
que certains utilisateurs se connectent uniquement pendant les périodes indiquées. Elle
peut également être utilisée comme information de base pour la mise à disposition d’une
fenêtre de sauvegarde (on s’assure ainsi qu’aucun utilisateur n’est connecté avec des docu-
ments ouverts lors des sauvegardes).
• Se connecter à. Cette option permet à un administrateur de spécifier exactement à quelle
machine l’utilisateur peut accéder. Elle permet aussi de s’assurer que les utilisateurs se connec-
tent uniquement à leur ordinateur ou à toute autre machine qui leur est explicitement affectée.
• Date d’expiration. Une option très utile avec les ID temporaires ou personnels. Un compte
peut expirer automatiquement de manière que l’administrateur n’ait pas à effectuer un suivi
précis des employés. Si l’employé est toujours présent ou si le compte est toujours utilisé, il
est alors possible de réactiver ce dernier et de définir une nouvelle date d’expiration.
 Configurer des comptes utilisateur
CHAPITRE 3
79

Figure 3.11
L’onglet Compte vous
permet de reconfigurer
le comportement du
compte,ainsi que
certaines de ses options.

Profil
L’onglet Profil est un onglet de propriétés très important qui contient la plupart des paramè-
tres d’administration courants. Parmi ces paramètres figurent (voir la Figure 3.12) :
• Chemin de profil. Permet à l’administrateur de spécifier un profil pour le compte utilisa-
teur. Cette option est similaire au concept de profil itinérant implémenté dans Windows NT
4.0, qui permet à un utilisateur de disposer d’un profil unique sur chaque machine.
• Script d’ouverture de session. Le script est exécuté lorsque l’utilisateur se connecte au
réseau. Cette option est généralement employée pour configurer les paramètres de sécurité,
installer des applications ou contrôler la configuration système.
• Chemin local. Le répertoire local peut se trouver sur le disque local de l’utilisateur ou être
mappé sur un partage serveur. Si vous spécifiez un répertoire qui n’existe pas, Win-
dows 2000 tentera de se connecter à cette machine et de créer ce répertoire. Vous pouvez
utiliser la variable système %USERNAME% comme raccourci pour faire référence à l’ID
utilisateur.
• Chemin du profil. Ce champ permet à un administrateur de définir un dossier réseau
comme chemin d’accès UNC (Universal Naming Convention) contenant des documents
partagés avec d’autres membres d’un groupe ou d’une équipe de projet. Cette notion est
similaire à celle de répertoire local pour les groupes ou les équipes de projet.

Téléphones
L’onglet Téléphones contient les champs suivants (voir la Figure 3.13) :
• Domicile
 Windows 2000 Server
80 GUIDE DE L’ADMINISTRATEUR

Figure 3.12
L’onglet Profil de la fenêtre
des propriétés de
l’utilisateur contient les
paramètres relatifs aux
scripts de connexion, aux
répertoires locaux et
distants.

• Radiomessagerie
• Téléphone mobile
• Télécopie
• Téléphone IP
• Notes

Pour les utilisateurs « hyperconnectés » disposant de nombreux numéros de contact, vous

pouvez recourir au bouton Autre qui vous donne accès à une boîte de dialogue dans laquelle
vous pouvez saisir plusieurs numéros.

REMARQUE Malheureusement, les différents onglets de la fenêtre des propriétés de l’utilisateur comportent quelques
champs redondants, dont la saisie n’est pas reprise automatiquement. Citons, à titre d’exemple, le champ
Numéro de téléphone de l’onglet Général, ou encore le champ Adresse de messagerie des onglets Général et
Compte. Il peut être fastidieux d’avoir à saisir autant d’informations redondantes.

Organisation
L’onglet Organisation contient d’autres informations d’ordre général ; il peut être lié à un
autre utilisateur qui serait le responsable de l’utilisateur. Lorsqu’un responsable est sélec-
tionné, vous pouvez basculer très facilement vers son compte. Dans les entreprises connais-
sant de très importants mouvements de personnels, il n’est pas inutile de suivre ce type
d’informations avec un outil de gestion de ressources humaines.
 Configurer des comptes utilisateur
CHAPITRE 3
81

Figure 3.13
Autre onglet
d’informations générales :
l’onglet Téléphones de la
fenêtre des propriétés de
l’utilisateur.

L’onglet Organisation contient les champs suivants (voir la Figure 3.14) :

• Titre
• Service
• Société
• Responsable

Membre de
L’onglet Membre de correspond à la notion de groupes de Windows NT 4.0 (voir la
Figure 3.15). La liste de tous les membres de groupes s’affiche dans cette fenêtre, et vous
disposez de boutons permettant d’ajouter ou de supprimer des groupes à votre convenance.
Pour ajouter des groupes complémentaires, cliquez sur Ajouter. Sélectionnez le groupe et
cliquez sur Ajouter, puis validez par OK pour refermer la fenêtre de Sélection de groupes
(voir la Figure 3.16).
L’option Groupe principal est uniquement disponible sur les clients Macintosh. Elle doit être
définie sur le groupe avec lequel l’utilisateur partage le plus de données. Elle est utilisée pour
des associations d’autorisation lorsqu’un client Macintosh crée un dossier ou un fichier.

Appel entrant
L’onglet Appel entrant permet à un administrateur de spécifier qui peut se connecter à
distance et comment ces personnes se connecteront (voir la Figure 3.17).
 Windows 2000 Server
82 GUIDE DE L’ADMINISTRATEUR

Figure 3.14
L’onglet Organisation de
la fenêtre des propriétés
de l’utilisateur.

Figure 3.15
L’onglet Membre de, de
la fenêtre des propriétés
de l’utilisateur.
 Configurer des comptes utilisateur
CHAPITRE 3
83

Figure 3.16
Association d’un
compte utilisateur à
différents groupes.

Figure 3.17
L’onglet Appel entrant
de la fenêtre des propriétés
de l’utilisateur permet
à un administrateur
de contrôler qui peut se
connecter à distance via
l’accès réseau à distance.
 Windows 2000 Server
84 GUIDE DE L’ADMINISTRATEUR

Gestion des comptes utilisateur

Toute l’administration des comptes peut s’effectuer via le composant Utilisateurs et ordina-
teurs Active Directory de la console d’administration Microsoft (voir la Figure 3.18). Avec le
temps, la plupart des administrateurs ajouteront de nombreux composants à cette console et
effectueront la plupart des tâches d’administration à partir de celle-ci. Une interface unique,
en effet, facilite considérablement les choses. Les administrateurs peuvent enregistrer les
configurations de console sous forme de fichiers MSC. Ces fichiers peuvent ensuite être
copiés sur d’autres machines, ce qui permet à l’administrateur de développer une interface
totalement personnalisée utilisable à partir de toute machine Windows 2000.

Figure 3.18
La console d’administration
Microsoft (MMC) fournit
un accès très pratique
à de nombreux outils
d’administration, y compris
le composant Utilisateurs
et ordinateurs Active
Directory.

Procédez comme ci-dessous pour exécuter la console d’administration Microsoft :

1. Sélectionnez Exécuter dans le menu Démarrer.
2. Tapez MMC et cliquez sur OK.

Supprimer des comptes utilisateur

Procédez ainsi pour supprimer un compte :
1. Dans l’arborescence de la console, cliquez sur Users.
2. Cliquez avec le bouton droit sur un compte utilisateur, puis sélectionnez Supprimer.
3. Cliquez sur Oui pour confirmer.

REMARQUE Pour supprimer un compte utilisateur, après avoir cliqué sur l’utilisateur, vous pouvez également utiliser le
bouton Supprimer de la barre d’outils ou la touche Suppr.

ASTUCELa meilleure solution consiste à désactiver un compte et à le conserver tel quel pendant quelques jours ou
semaines, le temps de déterminer s’il vous est toujours d’une quelconque utilité. Vous n’aurez pas à le
recréer pour un nouveau collaborateur reprenant les mêmes fonctions lors de son arrivée dans l’entreprise.
 Configurer des comptes utilisateur
CHAPITRE 3
85

Modifier les mots de passe utilisateur

Procédez de cette façon pour réinitialiser un mot de passe utilisateur (voir la Figure 3.19) :
1. Dans l’arborescence de la console, cliquez sur Users.
2. Dans le volet de droite, cliquez avec le bouton droit sur l’utilisateur dont vous souhaitez
modifier le mot de passe.
3. Sélectionnez Réinitialiser le mot de passe.
4. Saisissez le nouveau mot de passe et confirmez-le.
5. Si vous souhaitez que l’utilisateur modifie ce mot de passe lors de la session suivante,
activez l’option L’utilisateur doit modifier le mot de passe à la prochaine ouverture de
session.

Figure 3.19
La boîte de dialogue de
réinitialisation d’un mot de
passe vous permet de
modifier le mot de passe
des utilisateurs ayant la
mémoire courte !

Activer un compte
Procédez ainsi pour activer un compte utilisateur désactivé :
1. Dans l’arborescence de la console, cliquez sur Users.
2. Dans le volet de droite, cliquez avec le bouton droit sur l’utilisateur.
3. Sélectionnez Activer le compte dans le menu Action.

Désactiver un compte
Procédez ainsi pour désactiver un compte (voir la Figure 3.20) :
1. Dans l’arborescence de la console, cliquez sur Users.
2. Dans le volet de droite, cliquez avec le bouton droit sur l’utilisateur.
3. Sélectionnez Désactiver le compte à partir du menu Action.
 Windows 2000 Server
86 GUIDE DE L’ADMINISTRATEUR

Figure 3.20
Le menu Action relatif aux comptes
utilisateur du composant Utilisateurs
et ordinateurs Active Directory.

Autres fonctions de Utilisateurs et ordinateurs Active Directory

Procédez comme ci-dessous pour localiser un compte dans Active Directory (voir la Figure
3.21) :
1. Ouvrez ou créez une console d’administration Microsoft dotée du composant Utilisa-
teurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur le nœud de domaine et sélectionnez Rechercher.
3. Si vous savez à quelle unité d’organisation l’utilisateur appartient, sélectionnez-la ou cli-
quez sur Parcourir.
4. Saisissez le nom de l’utilisateur à localiser dans le champ Nom de l’onglet Utilisateurs,
contacts et groupes.
5. Cliquez sur le bouton Rechercher.

Figure 3.21
Utilisez les fonctionnalités
de recherche d’utilisateurs,
de contacts et de groupes pour
localiser un compte utilisateur
dans Active Directory.
 Configurer des comptes utilisateur
CHAPITRE 3
87

Déplacer des comptes utilisateur

Procédez ainsi pour déplacer un compte utilisateur (voir la Figure 3.22) :
1. Dans l’arborescence de la console, cliquez sur Users.
2. Dans le volet de détails, cliquez avec le bouton droit sur l’utilisateur et sélectionnez
Déplacer.
3. Sélectionnez le domaine.
4. Sélectionnez le domaine et le dossier appartenant à l’emplacement vers lequel vous sou-
haitez déplacer le compte utilisateur. Cliquez sur OK.

Figure 3.22
Déplacement d’un utilisateur
d’une unité d’organisation à
une autre au sein d’un même
domaine.

Mapper un certificat sur un utilisateur

Windows 2000 permet de mapper un certificat émis pour un compte utilisateur. Un serveur
peut ensuite utiliser la technologie des clés publiques pour authentifier l’utilisateur via ce
certificat. Pour se connecter à un système, l’utilisateur présente un certificat qui est authenti-
fié. La procédure est identique à la saisie par l’utilisateur d’un ID utilisateur et d’un mot de
passe, à la seule différence que ce procédé est plus sûr.
Généralement, les systèmes informatiques utilisent une base de données centralisée pour gérer
les comptes utilisateur. Cette technique est maîtrisée par la plupart des administrateurs. Toute-
fois, à mesure que les systèmes deviennent plus complexes, avec des centaines de milliers
d’utilisateurs, la gestion d’une base de données centralisée peut devenir problématique.
Les certificats par clé publique permettent de régler ce problème. Des certificats peuvent être
largement distribués, délivrés par de nombreuses parties. Les vérifications étant effectuées sur la
base du certificat, il n’est plus nécessaire de faire référence à une base de données centralisée.
 Windows 2000 Server
88 GUIDE DE L’ADMINISTRATEUR

Toutefois, l’inconvénient majeur des certificats est que, aujourd’hui (le mercredi 21 juin 2000
à 22 h 33), peu de systèmes d’exploitation et d’outils d’administration sont en mesure de les
prendre en compte. Une solution, qui permet de conserver les avantages des certificats et des
comptes utilisateur, consiste à mapper un certificat sur un compte utilisateur. Le système
d’exploitation peut ainsi continuer à utiliser des comptes tout en introduisant les certificats
pour les systèmes capables de les gérer.
Avec cette technique, l’utilisateur peut, pour se connecter au système, présenter un certificat
qui détermine le compte auquel il peut se connecter.
Dans la plupart des cas, un certificat peut être mappé sur un compte d’utilisateur de deux
manières différentes : un seul certificat est mappé sur un seul compte utilisateur, ou plusieurs
certificats sont mappés sur un seul compte utilisateur.
• Mappage UPN. Le mappage UPN (User Principle Name) est un cas particulier de mappage
individualisé (one to one). Le mappage UPN est uniquement disponible via Active Direc-
tory. Les autorités de certification des entreprises placent une entrée dans chaque certificat
qui est dénommée UPN. L’UPN est similaire à une adresse e-mail et est unique dans un
domaine Windows 2000. Avec un mappage UPN, l’UPN est utilisé pour localiser le compte
de l’utilisateur dans Active Directory et pour autoriser ou non la connexion.
• One to one (Individualisé). Le mappage individualisé consiste à mapper un certificat d’un
utilisateur sur un seul compte utilisateur. Vous pouvez délivrer des certificats à chacun de
vos employés à partir de votre propre service de certification, ou vous pouvez vous en
remettre à une autorité de certification approuvée par votre société. Il vous restera ensuite
à mapper les certificats obtenus sur les comptes utilisateur concernés.

Procédez ainsi pour mapper un compte utilisateur dans Active Directory (voir la Figure 3.23) :
1. Connectez-vous en tant qu’administrateur.
2. Ouvrez Utilisateurs et ordinateurs Active Directory.
3. Cliquez avec le bouton droit sur le nom de domaine à administrer, pointez Affichage et
vérifiez que l’élément de menu Fonctionnalités avancées est coché.
4. Faites un double-clic sur le nom de domaine, cliquez sur Users et, dans le volet de dé-
tails, localisez l’utilisateur pour lequel vous souhaitez mapper un certificat.
5. Cliquez avec le bouton droit sur le nom d’utilisateur, cliquez sur Nommer les mappages
et sélectionnez Ajouter.
6. Saisissez le nom et le chemin d’accès au fichier .cer, puis cliquez sur Ouvrir.
7. Effectuez l’une des opérations suivantes :
8 Pour mapper le certificat sur un compte, vérifiez que les deux cases d’option sont co-
chées.
9 Pour mapper un certificat sur plusieurs comptes, désactivez la case d’option relative au
sujet.
10. Validez par OK.
 Configurer des comptes utilisateur
CHAPITRE 3
89

Figure 3.23
Mappage d’un certificat de
sécurité sur un utilisateur à
partir de la fenêtre Mappage
des identités de sécurité.

Une remarque importante à propos du mapping individualisé (one to one mapping). Cette technique ne
REMARQUE
vous permet pas de mapper le même certificat sur plusieurs comptes. Si vous tentez de le faire, aucun
compte ne sera associé au certificat et toute tentative d’utilisation du certificat échouera.

Conseils d’experts
La gestion des utilisateurs peut parfois devenir une tâche fastidieuse. Sous Windows 2000, le
composant Utilisateurs et ordinateurs Active Directory fournit un certain nombre de techni-
ques essentielles à la localisation et à la gestion des utilisateurs. Vous trouverez également
dans cette section quelques astuces relatives à l’attribution et à l’exploitation des droits
d’administration, ainsi que des conseils supplémentaires relatifs à la création d’une stratégie
de mots de passe efficace.

Exploiter le composant Utilisateurs et ordinateurs Active Directory

Vous pouvez modifier le mode d’affichage des objets à partir du composant Utilisateurs et
ordinateurs Active Directory. Pour cela, sélectionnez les éléments souhaités à partir du menu
Affichage. Vous pourrez ainsi activer ou désactiver l’affichage de l’arborescence de la
console, de la barre de description, de la barre d’état, etc.

Fonctionnalités avancées
Lorsque vous démarrez le composant Utilisateurs et ordinateurs Active Directory et que vous
développez le domaine, vous obtenez plusieurs dossiers. Par défaut, les dossiers affichés sont
les suivants :
• Built-In
• Computers
 Windows 2000 Server
90 GUIDE DE L’ADMINISTRATEUR

• Domain Controllers
• Users

Lorsque vous sélectionnez la commande Fonctionnalités avancées à partir du menu Affi-

chage, deux nœuds supplémentaires s’affichent dans la console :
• LostAndFound
• System

Options de filtre
Les options de filtre vous permettent de contrôler l’affichage des objets en utilisant des attri-
buts d’objet et des requêtes LDAP (voir la Figure 3.24).

Figure 3.24
Les options de filtre
disponibles.

Accès administrateur
Ne vous connectez jamais en utilisant les droits administrateur. C’est une erreur très fréquente
parmi les administrateurs, la plupart du temps pour des raisons de convenance. Exécuter
Windows 2000 en tant qu’administrateur rend le système vulnérable aux chevaux de Troie et
autres virus. Les risques de violation de sécurité sont accrus. Le simple chargement d’une
page web peut endommager le système. De même, un site Internet peu connu peut héberger
un virus de type cheval de Troie qui risque d’être téléchargé sur le système et exécuté. Pire
encore, il pourrait reformater votre disque, supprimer des fichiers ou créer un nouvel utilisa-
teur disposant des droits d’accès administrateur. Le fait de séparer explicitement le compte
administrateur vous force également à vous connecter expressément en tant qu’administra-
teur. Les utilisateurs qui se connectent constamment avec des droits administrateur ont
 Configurer des comptes utilisateur
CHAPITRE 3
91

tendance à faire des erreurs qui sont onéreuses en termes de configuration système. Ils
peuvent en outre affecter irrémédiablement la stabilité du système.
Microsoft a introduit avec Windows 2000 la commande Exécuter en tant que. Cette dernière
vous permet de vous connecter sous un autre compte, typiquement un compte permettant de
réaliser des tâches d’administration. Procédez comme dans l’exemple suivant pour accéder à
la commande Exécuter en tant que :
1. Dans l’Explorateur Windows, cliquez sur le programme que vous voulez ouvrir.
2. La touche Maj étant enfoncée, cliquez avec le bouton droit de la souris sur ce programme
et sélectionnez Exécuter en tant que.
3. Sélectionnez l’option Exécuter le programme en tant que.
4. Saisissez le nom d’utilisateur, le mot de passe et le domaine du compte concerné (voir
la Figure 3.25).

Figure 3.25
La commande Exécuter
en tant que vous permet
d’exécuter un programme
sous une autre identité.

Vous pouvez également employer la commande Exécuter en tant que à partir de la ligne de
commande. La syntaxe est la suivante :
runas /utilisateur:utilisateur@domaine.societe.com "notepad \
’mon fichier.txt\’"
Vous serez alors invité à entrer un mot de passe.

REMARQUE Certaines applications telles que l’Explorateur Windows, le dossier « Imprimantes » et les éléments du
Bureau sont lancées indirectement. Vous ne pourrez pas les démarrer au moyen de la commande Exécu-
ter en tant que.

Stratégies de mot de passe de comptes

Ne configurez pas de stratégies de compte pour des unités d’organisation (OU) qui ne
contiennent aucun ordinateur. Une unité d’organisation comprenant uniquement des utilisa-
teurs recevra toujours sa stratégie de compte du domaine.
 Windows 2000 Server
92 GUIDE DE L’ADMINISTRATEUR

Lorsque vous définissez des stratégies de compte, gardez à l’esprit que Windows 2000 n’auto-
rise qu’une seule politique de compte de domaine, celle qui est située à la racine d’Active
Directory. En d’autres termes, la stratégie de compte de domaine peut devenir la stratégie de
compte par défaut de toute station de travail Windows 2000 ou serveur membre de ce
domaine, à l’exception des ordinateurs membres d’une unité d’organisation (OU). En plaçant
un compte dans une unité d’organisation, vous pouvez définir une stratégie de remplacement
à la stratégie de domaine par défaut. Cette technique se révélera utile pour définir des groupes
de machines qui nécessitent des règles de sécurité différentes.

Synthèse
L’objet Utilisateur constitue l’un des modules fondamentaux du domaine et d’Active Direc-
tory. Les administrateurs utilisent les objets Utilisateur pour contrôler l’accès aux ressources
et suivre l’activité dans un domaine. Lorsque vous définissez un domaine doté de ressources
partagées, la première étape consiste à développer et à mettre en place une stratégie de gestion
des utilisateurs. Sans une telle stratégie, il vous sera impossible de créer un environnement
serveur sécurisé qui supporte le partage de données et d’informations.
Une stratégie efficace de gestion des utilisateurs inclut des conventions d’appellation, des
restrictions de contrôle de mot de passe et des paramètres de compte. Les administrateurs
devront développer une stratégie de gestion des utilisateurs et disposer des compétences
nécessaires pour la mettre en place et la gérer.
L’étape suivante consiste à regrouper les utilisateurs. La gestion individuelle des accès peut
rapidement devenir une charge difficile à maîtriser si le réseau compte des centaines ou des
milliers d’utilisateurs. En les regroupant, les administrateurs sont en mesure d’apporter des
modifications assez significatives sur les permissions en une seule opération.

FAQ
Q : Y a-t-il une limite à la longueur d’un nom d’utilisateur d’ouverture de session ?
R : Oui, cette limite est de 20 caractères. Si un utilisateur emploie un nom d’utilisateur dont
la syntaxe est nom_d’utilisateur@domaine.com, la portion domaine.com s’affiche en grisé et
n’est pas comptabilisée dans les 20 caractères.
Q : Les utilisateurs de domaine Windows 2000 sont-ils compatibles avec ceux des versions
antérieures de Windows, y compris Windows 95/98 et NT ?
R : Oui. Tout client réseau Windows existant peut se connecter à un domaine Windows 2000
et avoir accès aux ressources Windows 2000.
Q : Peut-il y avoir plus d’une stratégie de mot de passe et de compte pour un domaine ?
R : Non, chaque domaine dispose d’une stratégie par défaut de domaine et de groupe. Il ne
peut y avoir qu’une stratégie de compte et de mot de passe pour l’ensemble du domaine,
élément de la stratégie de domaine par défaut. Si vous souhaitez définir des stratégies de
compte et de mot de passe différentes pour certains utilisateurs, vous devrez créer des domai-
nes supplémentaires.