[AD DS] Gestion des utilisateurs

Création d'un utilisateur

Pour créer un nouvel utilisateur faites un clic droit sur l'unité d'organisation choisi puis « nouveau » et « utilisateur ». Lors de la création d'un utilisateur un nombre minimal d'informations sont demandée par rapport à l'ensemble des attributs dont dispose un utilisateur.

 

Sur la première page de l'assistant de création de comptes il vous faudra renseigner le prénom, le nom, le nom d'ouverture de session appelé aussi UPN (User Principal Name) et le nom d'ouverture de session de l'ancien format des domaines NT. L'ancien format « mondomaine\login » est encore très utilisé. L'UPN à un format proche des adresses email et il est possible de le modifier pour remplacer la partie après le @ avec le nom de domaine utilisé pour la messagerie. Si ce point vous intéresse il sera détaillé dans le chapitre concernant l'utilisation de suffixe UPN.

Sur la 2ème page il est demandé de renseigner un mot de passe. Celui-ci doit respecter les stratégies de mot de passe et les paramètres de complexité activée par défaut. « P@ssw0rd » est un mot de passe complexe selon la stratégie par défaut. La gestion des stratégies sera détaillée plus loin dans ce livre. Il est recommandé d'initialiser le mot de passe et de demander à l'utilisateur de changer de mot de passe lors de la première ouverture de session. L'option « l'utilisateur ne peut changer de mot de passe » et « le mot de passe n'expire jamais » peut trouver son intérêt dans des comptes spécialisés comme pour des comptes de services spécifiques à des applications. Néanmoins depuis Windows 2008 R2 il existe une autre option pour les comptes de services qui permet de gérer la sécurité des mots de passe : les comptes de service géré.

Sur l'affichage du résumé, cliquez sur « terminer ».

 

L'utilisateur ainsi créé est visible dans la console. Le type de l'objet par exemple « utilisateur » va déterminer les attributs qui peuvent être renseignés.

 

 

Si vous ouvrez les propriétés vous verrez un ensemble d'onglets permettant de compléter les informations de l'utilisateur. En effet vous pouvez renseigner le bureau, l'adresse, le numéro de téléphone et d'autres informations. Dans ce contexte Active Directory prend réellement un rôle d'annuaire d'entreprise. Si vous décidez d'installer Microsoft Exchange avec Outlook vous pourrez constater qu'un certain nombre d'informations dont le téléphone est facilement identifiable. Certaine page comme « réplication de mot de passe » ne sont pas disponibles sur des contrôleurs de domaine avec des anciennes versions.

 

Il est également possible de gérer des horaires d'accès (en bleu dans l'image ci-dessous) ou de limiter les postes sur lequel un utilisateur peut ouvrir une session(en vert ci-dessous). Je vous conseille d'utiliser ces options sans abus car ils sont contraignants. En effet il est bien pratique lors d'une panne sur un poste qu'un utilisateur puisse utiliser le poste d'un collègue absent en attendant le dépannage. Par contre si vous devez fournir un accès à un prestataire externe sur un seul serveur vous pouvez en plus d'une solution d'accès sécurisé, limité l'utilisateur à n'ouvrir une session que sur un équipement.

  •  

En cliquant sur « horaire d'accès » vous verrez un calendrier dont l'apparence date de Windows NT est qui permet de définir les plages ou l'utilisateur peut ouvrir une session (en bleu) et des plages dans laquelle cela n'est pas possible. Le fait d'interdire l'ouverture de session à certaines heures ne provoque pas automatiquement la fermeture de session pour les sessions déjà ouvertes. Si vous souhaitez mettre en place ce type de restriction il est possible de le configurer avec une stratégie de groupe.

 

Par défaut lors de la création d'un compte utilisateur celui-ci est automatiquement membre du groupe « utilisateur du domaine ». Nous présenterons un peu plus loin les groupes. Il n'est pas conseillé d'utiliser le groupe utilisateur du domaine pour définir des droits d'accès car tous les utilisateurs en sont membres par défaut.

 

Utilisation de modèle d'utilisateur

Si vous devez régulièrement créer des comptes avec des paramètres identiques vous pouvez créer un modèle. Un modèle est un compte générique désactivé dont seules les informations communes sont renseignées et qui permet de créer rapidement des comptes utilisateurs par une simple copie. Toutes les informations ne sont pas copiées. Les champs copiés dépendent de la configuration des attributs du schéma Active Directory. Il est possible de le modifier mais cela demande des compétences avancées sur Active Directory.

 

Réinitialisé les mots de passe

Si un utilisateur a oublié son mot de passe vous pouvez le réinitialiser en faisant un clic droit sur l'utilisateur et en sélectionnant « réinitialiser le mot de passe ». En général dans ce cas il est préférable de conserver en même temps l'option « l'utilisateur devra changer de mot de passe ».

 

L'opération de changement de mot de passe par l'utilisateur n'est pas identique à la réinitialisation du mot de passe par l'administrateur. En effet lors du changement de mot de passe si l'utilisateur utilise le cryptage EFS (que nous avions évoqué lors de l'installation) il ne perd pas l'accès à la clé permettant de décrypter les fichiers. La réinitialisation du mot de passe peu donc empêcher l'ouverture de fichier crypté avec EFS.

 

 

Les profils itinérants

Les profils itinérants permettent à des utilisateurs de changer régulièrement de poste tout en conservant une grande partie de son environnement. Le principe consiste à copier le profil vers un partage réseau lors de la fermeture d'une session et de le copier du partage vers le nouveau poste lors de l'ouverture de session.

Néanmoins l'utilisation de profil itinérant peut ajouter des problèmes supplémentaires à gérer. Les problèmes qui interviennent lors de l'ouverture et de la fermeture de session sont enregistrés dans le journal d'évènement application de l'ordinateur concerné avec comme source « User Profile Service ». La plupart des problèmes se situent sur des fichiers temporaires corrompus ou des fichiers d'applications mal positionnées.

Vous pouvez configurer le chemin vers le partage devant contenir le profil de l'utilisateur dans la page « profil » de la fiche utilisateur.

 

Lorsque le chemin du profil est configuré un dossier correspondant au nom de l'utilisateur sera créé sur le partage. Sur les profils des postes Vista et des versions suivantes il peut y avoir « .Vx » qui apparaît dans le nom du dossier. Les profils avant Vista ne sont pas compatibles avec les profils récents. Dans notre exemple il s'agit d'un profil généré sur un poste client sous Windows 10.

 

 

Créer un dossier personnel sur un partage réseau pour l'utilisateur

Il est possible de créer un dossier partagé personnel pour chacun de vos utilisateurs et de le connecter automatiquement à une lettre de lecteur. Le dossier personnel se configure également dans la page « profil » de la fiche utilisateur.

 

Lors de l'ouverture de session le dossier utilisateur sera visible dans l'explorateur avec la lettre définie.

 

 

L'utilisateur doit disposer de droits d'accès sur le partage et des permissions NTFS sur le dossier cible.

 

Compte utilisateurs spécifiques

Lors de l'installation d'un nouveau domaine Active Directory, il existe des comptes spécifiques automatiquement présents. Parmi ces comptes il y a notamment :

  • Administrateur : ce compte dispose de droits d'administration sur l'annuaire sur les contrôleurs de domaine et sur les serveurs et les postes membres du domaine. Si vous êtes plusieurs administrateurs au sein d'une même équipe il est recommandé de créer des comptes d'administrations personnelles différentes du compte d'utilisation.
  • Invité : il est recommandé de laisser ce compte désactivé par défaut pour des raisons de sécurité.
  • Krbtgt : ce compte est un compte spécifique, pas très bien connu des administrateurs mais dont le rôle est important. En effet le mot de passe associé à ce compte est utilisé pour générer les tickets d'authentification Kerberos et il est donc un élément important de la sécurité. Il ne faut pas le supprimer ce compte et la modification du mot de passe est une opération particulière.

 

Theme: 

Systeme: 

Annee: 

Type: