ADMINISTRATION

WINDOWS

CHAPITRE 5 : GESTION D’OBJETS ADDS

UNITÉ D’ORGANISATION, UTILISATEURS,
GROUPE ET ORDINATEUR

1
PLAN DU CHAPITRE 5

1. Présentation et Généralités
2. Comptes d'utilisateurs
3. Comptes d'ordinateurs
4. Gestion des Groupes
5. Manipulations

2
1. PRÉSENTATION ET GÉNÉRALITÉS
 L'une des responsabilités d’un administrateur système est la gestion des
comptes d'utilisateurs et d'ordinateurs.
 Ces comptes sont des objets du service d'annuaire Active Directory.
1. Compte d'utilisateur :
 C’est un objet qui contient toutes les informations définissant un utilisateur.
 Il inclut le nom d'utilisateur et le mot de passe, ainsi que les appartenances aux
groupes.
 Permettre à chaque utilisateur de se connecter au réseau et d'accéder aux
ressources
2. Compte d'ordinateur :
 Identifie un ordinateur dans un domaine.
 Fournit un moyen d’authentifier et de vérifier l’accès des ordinateurs aux ressources
du réseau.
❖ Pour être complètement authentifié par Active Directory, un utilisateur doit
posséder un compte d'utilisateur valide. Mais aussi il doit ouvrir une session
sur le domaine à partir d'un ordinateur comportant un compte d'ordinateur
valide
3
2. COMPTES D'UTILISATEURS

 Il peut s'agir d'un compte local ou de domaine:

1. Compte local:
 stocké sur l’ordinateur local.
 permet à un utilisateur d'ouvrir une session et d'accéder aux ressources
uniquement sur l'ordinateur sur lequel vous créez le compte d'utilisateur
local.
2. Compte de domaine:
 stocké dans Active Directory.
 Permet à un utilisateur d'ouvrir une session sur un domaine (sur n'importe
quel ordinateur) et d'accéder aux ressources situées n'importe où sur le
réseau.
❖ En tant qu'administrateur système, vous devez créer des comptes
d'utilisateurs locaux et de domaine pour gérer votre environnement réseau.
❖ Dans une entreprise, la gestion des comptes d'utilisateur se fera
généralement par domaine
4
2. COMPTES D'UTILISATEURS

 Vous pouvez placer des comptes d'utilisateurs de domaine dans n'importe

quel domaine de la forêt et dans n'importe quelle unité d'organisation du
domaine.
 En général, les hiérarchies de comptes sont fonction des limites
géopolitiques ou des modèles d'entreprises:
 Conception géopolitique: les utilisateurs sont placés dans les unités
d'organisation qui correspondent à leur emplacement physique.
 Conception d'entreprise: expl. vous placez votre personnel des ventes dans
une unité d'organisation « Ventes » et le personnel de comptabilité dans une
unité d'organisation « Comptabilité ».

5
2. COMPTES D'UTILISATEURS

6
3. COMPTES D'ORDINATEURS

 Les deux fonctions principales d'un compte d'ordinateur résident dans les
activités de sécurité et de gestion.
 Sécurité:
 Authentification: Lorsqu'un compte d'ordinateur est créé, l'ordinateur peut utiliser des
processus d'authentification avancés tels que l'authentification Kerberos.
 Audit: L'ordinateur a également besoin d'un compte d'ordinateur pour déterminer la
façon dont l'audit est appliqué.
 Gestion:
 Les comptes d'ordinateurs aident l'administrateur système à gérer la structure du
réseau:
 Déploiement de logiciel
 Gestion du bureau
 Inventaire du matériel et des logiciels

7
4. GESTION DES GROUPES

 Un groupe est un ensemble d'utilisateurs et de comptes d'ordinateurs que

vous pouvez gérer comme un tout.
 Les groupes :
 simplifient l'administration en vous permettant d'accorder des autorisations en
une seule fois à un groupe, plutôt qu'en plusieurs fois à chaque compte
d'utilisateur individuel.
 se caractérisent par le type et l'étendue.
 peuvent être imbriqués, ce qui signifie que vous pouvez ajouter un groupe à un
autre groupe.

8
4. GESTION DES GROUPES : TYPES DE
GROUPES

1. Les types de groupes dans Active Directory sont :

 Les groupes de sécurité:
 Utilisés pour affecter des droits et des autorisations d'utilisateur à des groupes
d'utilisateurs et d'ordinateurs.
 Les droits déterminent ce que les membres d'un groupe de sécurité peuvent
faire dans un domaine ou une forêt.
 Les autorisations déterminent à quelles ressources un membre d'un groupe
peut accéder sur le réseau.
 Les groupes de distribution
 Utilisés avec des applications de messagerie, telles que Microsoft® Exchange
Server, pour envoyer des messages à des ensembles d'utilisateurs.
 L'objectif principal de ce type de groupe est de rassembler des objets
connexes, pas d'accorder des autorisations.
9
4. GESTION DES GROUPES : ÉTENDUES DE
GROUPES

2. Étendues de groupes:
 L'étendue d'un groupe détermine si le groupe couvre plusieurs domaines ou s'il
est limité à un seul domaine.
 L'étendue de groupe spécifie également qui sont les membres du groupe.
 Les membres d’un groupe peuvent inclure des comptes d'utilisateurs, des
comptes d'ordinateurs et d'autres groupes.
 L'étendue de groupe définit :
 les domaines à partir desquels vous pouvez ajouter des membres au groupe
 les domaines dans lesquels vous pouvez utiliser le groupe pour accorder des
autorisations
 les domaines dans lesquels vous pouvez imbriquer le groupe à l'intérieur
d'autres groupes.

10
4. GESTION DES GROUPES : ÉTENDUES DE
GROUPES

 Les étendues de groupe dans Active Directory sont les suivantes :

 Global
 Universel
 Domaine local

11
GROUPES LOCAUX DE DOMAINE

 Un groupe local de domaine est un groupe de sécurité ou de distribution

qui peut contenir des utilisateurs, des ordinateurs et d'autres groupes de
son propre domaine.
 Vous pouvez utiliser les groupes de sécurité locaux de domaine pour
accorder des droits d'utilisateur et des autorisations uniquement dans le
même domaine que celui où se trouve le groupe local de domaine.

12
LES GROUPES GLOBAUX

 Un groupe global est un groupe de sécurité ou de distribution qui peut

contenir des utilisateurs, des groupes et des ordinateurs du même
domaine que le groupe global.
 Vous pouvez utiliser des groupes de sécurité globaux pour affecter des
droits d'utilisateur, déléguer une certaine autorité aux objets Active
Directory ou affecter des autorisations aux ressources dans tout domaine
de la forêt ou tout autre domaine d'approbation d'une autre forêt.
 Les groupes à étendue globale ne sont pas répliqués à l’extérieur de leur
propre domaine, vous pouvez modifier fréquemment les comptes

13
LES GROUPES UNIVERSELS

 Un groupe universel est un groupe de sécurité ou de distribution qui peut

contenir des utilisateurs, des groupes et des ordinateurs d'un domaine de
sa forêt.
 Vous pouvez utiliser un groupe de sécurité universel pour affecter des
droits et des autorisations d'utilisateur à des ressources situées dans
n'importe quel domaine de la forêt.

14
5. MANIPULATIONS

 Une fois l'installation de l'AD

terminée, nous retrouvons
l'utilitaire « Utilisateurs et ordinateurs Active Directory »
disponible dans les outils
d'administration

15
5. MANIPULATIONS

 On va premièrement créer une OU pour y mettre les utilisateurs

et ordinateurs concernés

16
5. MANIPULATIONS

 On crée, dans cette OU,

un compte utilisateur

17
5. MANIPULATIONS

 L’utilisateur a deux moyens pour ouvrir une session :

 UPN, c’est-à-dire la forme d’adresse email, safa.rejichi@irs.lan
 Authentification Windows NT ou 2000 avec le nom du domaine Netbios suivi de
l’utilisateur, IRS\safa.rejichi.
 Pour le nom d'ouverture de session, généralement on utilise l'UPN (User
Principal Name)
 Les noms UPN se composent de trois parties : le préfixe UPN (nom d'ouverture
de session de l'utilisateur), le caractère @ et le suffixe UPN
 Le suffixe UPN par défaut est le nom DNS de la forêt, qui correspond au nom
DNS du premier domaine dans le premier arbre de la forêt

18
5. MANIPULATIONS

 On indique un mot de passe sécurisé pour l'utilisateur et on spécifie la

politique de mots de passe

19
5. MANIPULATIONS

 On crée un compte ordinateur,

soit dans l'OU, soit directement
dans le domaine, suivant la
portée de ce compte

20
5. MANIPULATIONS
 Nous avons donc deux items dans
notre OU « Etudents »
 On peut en créer
beaucoup plus...

 S’il on affiche les propriétés de l’utilisateur avec un clique droite puis

Propriétés on voit que l’on a beaucoup plus d’informations que dans
l’assistant.
 On peut alors remplir le bureau, le numéro de téléphone, etc. de l’utilisateur. 21
5. MANIPULATIONS

 Dans l’onglet Compte on trouve :

 La partie liée à l’ouverture de la session
 Horaire d’accès : restriction des horaires
d’accès
 Se connecter à : Restriction des ordinateur
 Verrouillage du compte
 Option de compte : Gestion de mot de passe,
activation ou nom du compte, chiffrement,….
 Date d’expiration

22
5. MANIPULATIONS

 Au niveau du compte utilisateur, dans

les propriétés, on va définir l'emplacement
du répertoire de profil de l’utilisateur.

 Accédez à l'onglet « Profil » et au niveau du champ "Chemin du profil",

indiquer :
 \\Nom du serveur AD\Nom du repertoire\%username%
 Dans notre exemple la ligne ressemble à cela :
 \\SERV2016\profiles\safa.rejichi

23
5. MANIPULATIONS

 C'est le client Windows 10 qui va utiliser ces informations.

 Dès qu'un utilisateur se connecte sur un ordinateur, son profil est
chargé du serveur en local puis le profil local est utilisé durant la
session
 Il se trouve dans le dossier « Utilisateurs » sur Windows 10
 A la fin de la session, le profil éventuellement modifié est sauvé sur le
serveur
 Les modifications de celui-ci sont sauvegardées en fin de session
➢ Il s'agit d'un profil itinérant ou « roaming user profile ».

 Le profils itinérant permet de synchroniser le profil d'un utilisateur

sur un serveur pour rendre ces données accessible depuis
l'ensemble du réseau local.
24
5. MANIPULATIONS

 Pour pouvoir gérer les profils itinérants correctement, on doit rajouter le

groupe des administrateurs pour la gestion de ceux-ci
 Pour cela, vous pouvez cliquer sur « Gestion de stratégies de
groupes » dans les outils d’administration.
 Ou bien, il faut exécuter gpedit.msc qui ouvre l'éditeur de stratégie de
groupe

25
5. MANIPULATIONS
 On va dans Configuration ordinateur -> Modèles d'administration ->
Système -> Profils utilisateurs -> ajouter le groupe de sécurité des
administrateurs aux profils utilisateur itinérants -> cliquez dessus pour
activer cet item

26
 Il faut maintenant créer le répertoire spécifié dans l'onglet profil du compte
utilisateur
 Nous créons un nouveau dossier nommé « profiles » sur « C: » de notre
serveur.

27
5. MANIPULATIONS

 On va éditer les permissions pour

ce dossier
 On va dans Propriété
 Puis l’onglet Sécurité
et Modifier

28
5. MANIPULATIONS
 Ensuite, Ajouter -> Avancé -> taper les initiale de « utilisateurs » puis
Rechercher et choisir « utilisateur du domaine » -> OK -> OK

29
5. MANIPULATIONS

 Ensuite, nous allons attribuer le contrôle total aux utilisateurs du domaine

30
5. MANIPULATIONS
 Ensuite, le répertoire profiles doit être partagé
 Il faut rajouter le groupe des utilisateurs du domaine (même démarche)
 Lui ajouter le droit « lecture/écriture »

31
5. MANIPULATIONS

 La configuration sur le serveur

étant terminée, il faut maintenant
faire passer le client Windows 10
dans le domaine fraîchement créé
 Remarque 1: le dossier
« profiles » est vide pour le moment

 Remarque 2: pour faire partie d’un domaine Active Directory, il faut

disposer de la version « Professionnel » de Windows (un ordinateur
Windows 10 Famille ne peut pas être membre d’un domaine AD)

32
5. MANIPULATIONS
 Attention, il faut changer à la fois le nom du PC client (qui doit
correspondre au compte ordinateur créé sur le serveur)

33
5. MANIPULATIONS
 Le nom de domaine correspond au nom de domaine créé sur le serveur
mais sans l'extension DNS
 Pour rejoindre le domaine,
il faut bien sûr en avoir
le droit, et il faut valider
la demande avec le compte
administrateur du domaine

34
5. MANIPULATIONS
 Une fois l'ordinateur client accepté dans le domaine, il faut redémarrer
celui-ci
 Une fois le PC client redémarré, on peut se loguer avec le compte
utilisateur du domaine, créés sur le serveur

35
5. MANIPULATIONS

 Sur le serveur Active Directory:

 Observer le contenu du dossier « profiles »
➢ Un dossier contenant le profil « safa.rejichi » a été crée

36
5. MANIPULATIONS

 Création d'un groupe:

 Dans les outils d'administration
->Utilisateurs et ordinateurs AD
 Ouvrez ou créez une OU
 Cliquez avec le bouton
droit sur ce conteneur
et choisissez Nouveau
puis Groupe

37
5. MANIPULATIONS

 Création d'un groupe:

 Tapez le nom du groupe et modifiez éventuellement le type et l'étendue du
groupe

38
5. MANIPULATIONS

 Modification d'un groupe:

 Dans les outils d'administration -> Utilisateurs et ordinateurs AD
 Dans l'arborescence
du domaine, cliquez
avec le bouton droit
sur votre groupe
puis sur Propriétés

39
5. MANIPULATIONS
 Modification d'un groupe:
 Sur la page Membres, on peut ajouter ou enlever des utilisateurs ou d'autres
groupes

40