Université de Jandouba

Institut Supérieur d'Informatique du Kef

Administration systèmes Windows

Chapitre2:Administration des comptes
utilisateurs et ordinateurs
2ème Licence en Ingénierie des Réseaux et Systèmes

Enseignante: Dr. Marwa SAMMOUDA

2022/2023
Plan

• 2.1 Compte Utilisateur

• 2.2 Compte ordinateur

• 2.3 Groupe

2
2.1 Compte Utilisateur
o Description
Active Directory contient différents types d’objets:
les utilisateurs, les ordinateurs...
Un compte d'utilisateur est un objet qui regroupe
toutes les informations définissant un utilisateur sur
Windows server. Ce compte peut être:
• Les comptes d'utilisateurs de domaine: permettent aux utilisateurs d'ouvrir une session
dans un domaine et d'accéder aux ressources depuis n'importe quel point du réseau.
• Les comptes d'utilisateurs locaux: permettent aux utilisateurs d'ouvrir une session et
d'accéder aux ressources uniquement sur l'ordinateur sur lequel vous créez le compte
d'utilisateur local.
Marwa SAMMOUDA 3
2.1 Compte Utilisateur
o Description
• L’utilisateur doit pour cela saisir un login et mot de passe afin de prouver son identité.
• Si la saisie de l’utilisateur est valide l’authentification est réussie, un jeton est attribué à la
personne, qui contient notamment le SID (Security IDentifier) du compte utilisateur,
unique dans le domaine AD, ainsi que l’ensemble des SID des groupes dont il est membre.
Remarque:
 Pour créer un compte d'utilisateur de domaine: Cliquez sur Démarrer, pointez sur
Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
 Pour créer un compte d'utilisateur local: Cliquez sur Démarrer, pointez sur Outils
d'administration, puis cliquez sur Gestion de l'ordinateur.
Marwa SAMMOUDA 4
2.1 Compte Utilisateur
o Noms associés aux comptes d'utilisateurs de domaine
Dans AD, il existe quatre types de noms associés aux comptes d'utilisateurs de domaine:
 Nom d'ouverture de session d'utilisateur: doit être unique dans la forêt dans laquelle vous
créez le compte d'utilisateur. Il est utilisé comme nom unique relatif.
 Nom d'ouverture de session pré-Windows 2000: Le nom d'ouverture de session d'utilisateur
pré-Windows 2000 doit être unique dans le domaine. NomDomaine\NomUtilisateur
 Nom principal d'ouverture de session d'utilisateur: Le nom d'utilisateur principal (UPN)
comprend le nom d'ouverture de session et le suffixe UPN liés par le caractère @. L'UPN doit
être unique dans la forêt. La seconde partie de l'UPN est le suffixe UPN. Ce suffixe peut
correspondre au nom de domaine DNS, au nom DNS de n'importe quel domaine de la forêt
ou un autre nom créé par un administrateur uniquement des fins d'ouverture de session.
 Nom unique relatif LDAP: Le nom unique relatif LDAP identifie de façon unique l'objet
dans son conteneur parent. Tous les noms uniques relatifs LDAP doivent donc être uniques
dans une unité d'organisation.

Marwa SAMMOUDA 5
2.1 Compte Utilisateur
o Noms associés aux comptes d'utilisateurs de domaine

Marwa SAMMOUDA 6
2.1 Compte Utilisateur
o Création d’un utilisateur de domaine
Il est possible de créer des comptes utilisateurs à souhait (dans la limite du nombre d’objets
maximum autorisé par AD). Cette opération s’effectue à l’aide de la console Utilisateurs et
ordinateurs Active Directory. La création peut être automatisée à l’aide de scripts PowerShell.

 Sur AD, lancez la console Utilisateurs et ordinateurs Active Directory.

 Effectuez un clic droit sur le dossier système Users puis, dans le menu contextuel,

sélectionnez Nouveau Utilisateur.

 Un assistant se lance. Il permet la création de l’objet utilisateur.

Marwa SAMMOUDA 7
2.1 Compte Utilisateur
o Création d’un utilisateur de domaine

Marwa SAMMOUDA 8
2.1 Compte Utilisateur
o Options de mot de passe
L'administrateur peut choisir l'une des options de mot de passe suivantes pour protéger l'accés
au domaine ou un ordinateur.
 L'utilisateur doit changer le mot de passe à la prochaine ouverture de session: Cette
option est utilisée lorsqu'un nouvel utilisateur ouvre pour la première fois une session sur
un système ou que l'administrateur réinitialise un mot de passe oublié par un utilisateur.
 L'utilisateur ne peut pas changer de mot de passe: Cette option est utilisée lorsque pour
contrôler le moment auquel un mot de passe de compte d'utilisateur peut être modifié.
 Le mot de passe n'expire jamais: Cette option empêche l'expiration du mot de passe. Il est
préférable, à des fins de sécurité, de ne pas l'utiliser.
 Le compte est désactivé: Cette option empêche l'utilisateur d'ouvrir une session en se
servant du compte sélectionné.

Marwa SAMMOUDA 9
2.1 Compte Utilisateur
o Options de mot de passe
Suite de l’exemple de création du compte utilisateur de domaine:
Décochez l’option L’utilisateur doit changer le mot de passe à la prochaine ouverture de session.

Marwa SAMMOUDA 10
2.1 Compte Utilisateur
o Propriétés de l’objet utilisateur
Il est également possible de choisir:
 Une date d’expiration pour le compte (très utile pour des personnes en CDD ou des
stagiaires) ; lorsque la date est passée, le compte est automatiquement désactivé.
 Le déverrouillage du compte peut également être effectué suite à un nombre de tentatives
de connexion infructueuses égal à celui configuré dans la stratégie de mot de passe.
 La configuration des horaires d’accès, qui permet d’autoriser l’ouverture de session sur
le domaine dans une fourchette de temps (par exemple, 9h 18h), et la limitation des postes
sur lesquels l’utilisateur a le droit de se connecter sont également deux propriétés
configurables dans cet onglet.
Marwa SAMMOUDA 11
2.1 Compte Utilisateur
o Propriétés de l’objet utilisateur

Remarque: L’onglet Éditeur d’attributs

permet la visualisation et/ou la modification
des attributs LDAP de l’objet.

Marwa SAMMOUDA 12
2.1 Compte Utilisateur
o Création d’un modèle d’utilisateur
⁃ Il est fréquent dans une entreprise que plusieurs personnes faisant partie d’un même
service aient accès aux mêmes ressources partagées. La liste des groupes dont ils sont
membres est donc la même.
Afin de faciliter la création d’utilisateurs possédant des propriétés communes, il est
possible de créer un modèle utilisateur qui peut être copié.
⁃ L’utilisateur qui sert de modèle peut être un compte modèle désactivé/activé.
• En pratique: Effectuez un clic droit sur l’utilisateur puis, dans le menu contextuel,
sélectionnez Copier.
Les options de compte sont par défaut les mêmes que celles du compte modèle.
Marwa SAMMOUDA 13
2.1 Compte Utilisateur
o Création d’un modèle d’utilisateur

Marwa SAMMOUDA 14
2.1 Compte Utilisateur
o Création d’un modèle d’utilisateur
Les propriétés qui sont copiées sont :

⁃ Ville et Code postal dans l’onglet Adresse

⁃ Toutes les propriétés à l’exception des noms d’ouverture de session

⁃ Le chemin du profil et le script d’ouverture de session

⁃ Service et Société dans l’onglet Organisation

⁃ La liste des groupes dans l’onglet Membre de

Marwa SAMMOUDA 15
2.1 Compte Utilisateur
o Le jeton d’accès
⁃ Lors de l’ouverture d’une session, AD se charge de l’authentification des utilisateurs et
ordinateurs. L’autorité de sécurité locale (LSA) traite les requêtes d’authentification
effectuées, en utilisant Kerberosv5. Le protocole NTLMv2 peut également être utilisé.
⁃ Après avoir authentifié un utilisateur, le contrôleur de domaine qui a effectué l’opération
génère un jeton d’accès. Ce dernier contient le SID (Security Identifier) de l’utilisateur,
ainsi que le SID des groupes dont l’utilisateur est membre.
⁃ Lors de la tentative d’accès à une ressource, les SID contenus dans le jeton de l’utilisateur
sont comparés à ceux présents dans la DACL (Discretionary Access Control List).

Marwa SAMMOUDA 16
2.1 Compte Utilisateur
o Création d’un utilisateur en PowerShell
⁃ La création d’utilisateurs Active Directory en PowerShell permet d’automatiser la création
de un ou plusieurs objets. Il est possible d’utiliser un fichier CSV avec un script
PowerShell afin de créer un grand nombre d’utilisateur.
⁃ La cmdlet permettant la création d’un objet utilisateur dans un annuaire AD est
NewADUser.

Marwa SAMMOUDA 17
2.2 Compte Ordinateur
o Description
⁃ Les comptes d'ordinateurs, qui sont semblables aux comptes d'utilisateurs, fournissent un
moyen d'authentifier et d'auditer l'accès des ordinateurs au réseau ainsi qu'aux ressources
du domaine.
⁃ Dans AD, les ordinateurs sont des unités de sécurité, tout comme les utilisateurs.
⁃ Comme pour le compte utilisateur, l’ordinateur possède un nom d’ouverture de session
(attribut sAMAccountName), un mot de passe et un SID. Ces informations d’identification
permettent au compte ordinateur d’être authentifié sur le domaine. Si l’authentification
réussit, une relation sécurisée est établie entre le contrôleur de domaine et le poste.

Marwa SAMMOUDA 18
2.2 Compte Ordinateur
o Fonctions du compte ordinateur
⁃ Les deux principales fonctions d'un compte d'ordinateur:
 Des activités de sécurité: Lorsqu'un compte d'ordinateur est créé, l'ordinateur peut
utiliser des processus d'authentification avancés tels que l'authentification Kerberos et
la sécurité IP (IPSec, Internet Protocol Security) pour crypter le trafic IP. L'ordinateur
a Egalement besoin d'un compte d'ordinateur pour indiquer la façon dont l'audit est
appliqué et enregistré.
 Des activités de gestion: Les comptes d'ordinateurs aident l'administrateur à gérer la
structure du réseau: gérer la fonctionnalité de l'environnement graphique, administrer
l'inventaire des matériels et des logiciels, contrôler l'accès aux ressources…
Marwa SAMMOUDA 19
2.2 Compte Ordinateur
o Le conteneur computers
⁃ Lorsque l’ordinateur est joint au domaine et si le compte n’existe pas, un compte
ordinateur est automatiquement créé dans le conteneur Computers. Ce dernier est un
dossier système, aucune stratégie de groupe ne peut lui être appliquée (hors héritage
évidemment). Il est donc nécessaire de déplacer le compte de l’ordinateur vers l’unité
d’organisation souhaitée.
⁃ Il est possible d’effectuer la création des nouveaux comptes ordinateurs vers un autre
conteneur. En effectuant cette opération, le conteneur par défaut peut être une unité
d’organisation sur laquelle est positionnée une stratégie de groupe.
⁃ Pour effectuer cette opération, la commande redircmp est utilisée.
Marwa SAMMOUDA 20
2.2 Compte Ordinateur
o Le conteneur computers: Exemple

⁃ Sur AD1, lancez la console Utilisateurs et

ordinateurs Active Directory.
⁃ Cliquez sur la racine du domaine puis cliquez sur
l’icône permettant la création d’une unité
d’organisation.
⁃ Dans le champ Nom, saisissez COrdinateurs
puis cliquez sur OK.

Marwa SAMMOUDA 21
2.2 Compte Ordinateur
o Le conteneur computers: Exemple
⁃ Sur Lancez une invite de commandes DOS puis saisissez la commande redircmp
"OU=COrdinateurs, DC=Formation, DC=Local" puis appuyez sur [Entrée] du clavier.

⁃ Lors des prochaines jonctions, les comptes ordinateurs seront créés dans l’OU COrdinateurs.

Marwa SAMMOUDA 22
2.2 Compte Ordinateur
o Canal sécurisé entre le contrôleur de domaine et le poste

⁃ Lors de la jonction au domaine un compte ordinateur est créé. Ce dernier possède un nom
d’utilisateur (sAMAccountName) et un mot de passe stocké sous forme de secret LSA
(autorité de sécurité locale).

⁃ Un changement de mot de passe est effectué tous les 30 jours.

⁃ Lors de la connexion au domaine, les informations d’identification sont utilisées par le

service Netlogon afin de créer un canal sécurisé avec le contrôleur de domaine.

Marwa SAMMOUDA 23
2.2 Compte Ordinateur
o Rupture de canal sécurisé
⁃ Dans certains cas, il peut arriver qu’un canal sécurisé soit rompu.
Le compte ordinateur n’étant alors plus authentifié
il est impossible d’ouvrir une session sur le domaine
⁃ Plusieurs actions peuvent causer cette rupture du canal :

• Restauration d’un contrôleur de domaine

• Restauration du poste

• Suppression et recréation du compte ordinateur

Marwa SAMMOUDA 24
2.2 Compte Ordinateur
o Récréation de canal sécurisé

⁃ Pour ouvrir la session sur le domaine, la recréation du canal sécurisé est nécessaire.

⁃ Pour réinitialiser le canal sécurisé rompu il est nécessaire de placer la machine concernée

dans un workgroup (groupe de travail) puis de la remettre dans le domaine.

⁃ Une autre méthode consiste à régénérer le canal à l’aide des outils netdom ou nltest

Marwa SAMMOUDA 25