Conﬁgurer des comptes utilisateur - eyrolles.com · teurs devront maîtriser la création et la gestion des comptes utilisateur avec Active Directory. Dans ce chapitre Définition

3

Configurer des comptes

utilisateur

La configuration des comptes utilisateur est une tâche essentielle lors de la préparation d’unserveur Windows 2000. Le compte utilisateur local ou l’objet utilisateur dans Active Direc-tory est l’élément de base utilisé pour l’attribution des permissions d’accès aux ressources duréseau. Avant de créer des groupes d’utilisateurs et des ressources partagées, les administra-teurs devront maîtriser la création et la gestion des comptes utilisateur avec Active Directory.

Dans ce chapitre

�

Définition d’une stratégie relative aux comptes utilisateur

�

Introduction aux comptes utilisateur

�

Éléments à prendre en compte dans la création de comptes utilisateur

�

Création d’un compte utilisateur de domaine

�

Définition des éléments relatifs aux mots de passe

�

Définition des propriétés des comptes utilisateur

�

Gestion des comptes utilisateur

�

Conseils d’experts

Windows 2000 Server

G

UIDE

DE

L

’

ADMINISTRATEUR

60

Créer des comptes utilisateur sécurisés

Le développement d’une stratégie efficace de gestion des utilisateurs est essen-tiel à l’établissement et à la maintenance d’un environnement réseau sécurisé. Laplupart des administrateurs ne mesurent pas l’importance d’une bonne stratégieen matière de comptes utilisateur et implémentent souvent des systèmescomportant des failles de sécurité importantes. Lors du développement d’unestratégie de compte d’utilisateur, vous devez considérer les éléments suivants :

•

respect d’une convention d’appellation standardisée,

•

définition d’un compte unique pour chaque utilisateur,

•

mise en place des règles relatives aux mots de passe,

•

définition d’une stratégie d’exploitation acceptable,

•

définition d’une stratégie d’audit et des critères de réponse.

Une convention d’appellation standardisée permet de mettre en relation de façonefficace les noms d’ouverture de session et leurs détenteurs. Lorsque vousconsultez les fichiers journaux, les résultats d’audit ou les listes de contrôle d’ac-cès, vous devez être en mesure d’identifier facilement le possesseur de chaquecompte utilisateur.

N’autorisez jamais les utilisateurs à partager des comptes. Les comptes partagéssont un véritable cauchemar en termes de sécurité. Quelle que soit l’étendue devos procédures de sécurité et de suivi, une telle autorisation rend impossible tou-te détection de violation de sécurité.

Définissez un ensemble de règles de mots de passe efficaces sans être troppesantes pour les utilisateurs. Les administrateurs sont parfois un peu trop zéléslorsqu’ils définissent les règles relatives aux mots de passe. Si celles-ci sont tropstrictes, les utilisateurs auront tendance, au mépris des consignes de sécuritéélémentaires, à noter par écrit leurs mots de passe et à les laisser bien en éviden-ce, dans leur agenda ou sous leur clavier. Vous ne devez pas pour autantrenoncer ; optez pour des règles qui interdisent la plupart des mots figurant dansles dictionnaires ou les noms propres. La meilleure solution consiste à combinerlettres et chiffres. Par ailleurs, contraignez les utilisateurs à changer leur mot depasse fréquemment. En dépit des avertissements, nombreux sont ceux qui nepourront s’empêcher de donner leur mot de passe à leurs collègues.

Les options de Windows 2000 ne vous seront pas d’une grande utilité si votreentreprise n’a pas fait l’effort de mettre en place un véritable schéma directeur enmatière d’informatique et de réseaux. Il faut par ailleurs développer une politiqued’audit afin d’être en mesure de détecter des violations de sécurité et mettre enplace un plan d’action pour lutter contre ces intrusions. Les fonctionnalités éten-dues d’audit de Windows 2000 permettent de surveiller l’activité du réseau, celledu système de fichiers, des imprimantes et de presque tout objet Active Directory.Identifiez les ressources les plus critiques et surveillez-les (tentatives de décryp-tage des mots de passe, de blocage des ports TCP/IP, d’accès à des dossiers etdes fichiers pour lesquels l’utilisateur ne dispose pas des droits d’accès, et ainside suite). La politique d’audit doit spécifier, outre les systèmes à surveiller, lesréponses aux violations de sécurité éventuelles.

Configurer des comptes utilisateur

C

HAPITRE

3

61

Définition d’une stratégie relative aux comptes utilisateur

Avant de créer ne serait-ce qu’un compte utilisateur, vous devez développer des règles d’utili-sation valides et acceptables. En plus des directives relatives aux mots de passe et des proprié-tés des comptes, ces règles doivent inclure des informations sur les services réseau pourlesquels le compte est défini. Elles doivent également contenir des instructions relatives aupartage des comptes et des mots de passe, à l’accès aux serveurs sans autorisation, ainsi qu’àl’obtention des mots de passe d’autres utilisateurs sans leur consentement. Dans la mesure dupossible, ces règles viendront s’ajouter au règlement intérieur en vigueur dans l’entreprise et,à ce titre, leur non-respect devra faire l’objet de sanctions. Veillez à impliquer le départementdes ressources humaines dans le développement de ces règles pour vérifier qu’elles sont bienconformes à la législation en vigueur. L’objectif de ces règles est de rappeler aux utilisateursl’importance des mesures de sécurité et les conséquences désastreuses que les actions despirates ont sur les systèmes d’informations.

Modèle de stratégie offrant un compromis entre sécurité et facilité d’exploitation

Si ce modèle ne répond sans doute pas à tous vos besoins, il devrait vous mettre le pied àl’étrier. Veillez à bien ajuster périodiquement les stratégies de sécurité définies, pour vérifierqu’elles répondent toujours aux exigences de votre entreprise.

Objectif

Cette procédure vise à établir les règles de base relatives à la sécurité des systèmes d’informa-tion et des communications. L’essor des échanges inter et intra-entreprises accroît plus quejamais la nécessité de protéger les informations contre tout accès non autorisé.

Interprétation

La responsabilité de l’interprétation de cette procédure est du ressort du PDG de l’entrepriseet des responsables de la sécurité.

Définitions

• Un

ordinateur

désigne tout périphérique électronique programmable pouvant être utilisépour développer, stocker, accéder à ou transporter des informations ou des logiciels.

• Un

dépôt de données

désigne toute base de données, tout entrepôt de données ou site web.

• L’

accès externe

désigne la capacité à accéder à des informations ou à des services à l’exté-rieur du périmètre du réseau. Cela inclut l’accès

via

des connexions réseau privées ou publi-ques, l’Internet par exemple, ou les réseaux cellulaires, sans fil ou les réseaux téléphoniquespublics.

• L’

accès géré

désigne l’accès préautorisé à un ordinateur, dans lequel l’utilisateur accèdeuniquement à certaines fonctions et informations.

Windows 2000 Server

G

UIDE

DE

L

’

ADMINISTRATEUR

62

• Une

usurpation

se produit lorsqu’une personne utilise l’identité et/ou l’identification utili-sateur de quelqu’un d’autre pour accéder aux systèmes informatiques, aux services ou auxinfrastructures d’une entreprise.

• L’

authentification utilisateur

désigne les trois niveaux d’authentification utilisés :

1. L’

authentification numérique

est la méthode la moins sûre ; elle peut être très facile-ment interceptée. Il s’agit le plus souvent d’un code personnel d’authentification (PAC,

Personal Authentication Code

) ou d’un numéro personnel d’authentification (PIN,

Per-sonal Identification Number

). L’identificateur numérique est approuvé uniquement pourles applications d’audiomessagerie et les applications de ressources humaines en libre-service, en raison des limitations des technologies de téléphonie. En règle générale,l’authentification numérique utilisée seule devrait être réservée aux systèmes non criti-ques.

2. L’

authentification simple

est une technique d’authentification d’efficacité moyennequi consiste en une chaîne de caractères, de nombres et/ou de caractères spéciaux connusseulement de l’utilisateur.

3. L’

authentification double

est le niveau d’authentification utilisateur le plus élevé et né-cessite deux facteurs d’authentification : un premier élément connu (numéro d’identifi-cation, code d’authentification ou mot de passe) et un second élément en possession del’utilisateur (une carte à puce, une clé privée ou encore un identificateur biométrique).

• L’

ID utilisateur

désigne l’identification assignée à un utilisateur, que celui-ci est invité àfournir lorsqu’il tente d’accéder aux systèmes ou services informatiques.

Responsabilités

Chaque service/employé a les responsabilités décrites ci-dessous. Ces dernières sont essen-tielles dans la réussite d’une politique de sécurité au sein d’une entreprise.

Fournisseur de service

• Il est de la responsabilité de tous les fournisseurs de service d’assurer la conformité auxquatre principes décrits ci-dessous. Il est également de la responsabilité du fournisseurd’assurer que son service fournit des fonctionnalités permettant la mise en œuvre deservices d’authentification utilisateur et qu’il est optimisé pour un déploiement global ausein d’une entreprise. Dans ce domaine, une attention toute particulière devra être portée àla conformité aux normes en vigueur dans l’entreprise, aux performances opérationnelleset à l’accessibilité.

• Tous les composants matériels et logiciels du système, les programmes d’application et lesapplications réseau (le courrier électronique, par exemple) seront soumis aux règles desécurité développées à partir des quatre principes suivants :

1.

L’utilisation de valeurs par défaut sécurisées :

l’option par défaut de toute applicationdoit être la plus sûre.

2.

L’attribution de privilèges minimaux

servant à limiter les accès utilisateur aux infor-mations ou fonctions nécessaires à la réalisation des tâches qui leur sont assignées.


C

HAPITRE

3

63

3.

Le contrôle d’accès discrétionnaire

nécessite de mesures de sécurité à plusieurs ni-veaux, selon la valeur des données à protéger.

4.

La capacité à être soumis à un audit

pour permettre de détecter les violations de sécu-rité ou l’utilisation frauduleuse d’équipements ou de services.

Décideurs

Il incombe à chaque décideur/responsable de s’assurer que tous les employés et sous-traitantsautorisés sont informés de ces procédures et qu’ils les appliquent.

Système d’information

Le système d’information doit fournir un moyen de garantir un accès authentifié et sécuriséaux ressources du système d’information de l’entreprise. Les procédures définies doiventinclure le service de sécurité de l’entreprise, chargé de vérifier régulièrement le systèmed’information et les répertoires de données afin de contrôler que les services d’authentifica-tion utilisateur et les mesures de protection de l’information utilisés correspondent à la natureet à la classification de ces informations.

Employés

Tout le personnel de support technique, toutes les personnes ayant accès au système informa-tique et au système de communication, ainsi que leurs responsables sont tenus de suivre cesprocédures.

Procédure

Sécurité des systèmes informatiques et des systèmes de communication

• L’utilisation d’adresses IP non enregistrées sera considérée comme une violation de la poli-tique acceptable d’exploitation. Tous les centres de contrôle réseau et les installationsinformatiques centralisées devront conserver des traces des équipements et des configura-tions matériels. Ces notes devront inclure l’enregistrement et le suivi de tout le matériel ausein d’un système de gestion de stock approprié. Par ailleurs, il est nécessaire d’identifier laconfiguration minimale requise pour supporter les applications et/ou les services critiquesdans l’hypothèse d’une catastrophe.

• Tout équipement facilement démontable doit être protégé contre la perte ou le vol, aubesoin au moyen de câbles ou d’attaches de fixation. Des procédures de contrôle doiventêtre mises en place pour suivre les déplacements autorisés de matériel – dans le cadre d’uneutilisation hors site, par exemple –, à l’exception des ordinateurs portables affectés expres-sément à des individus.

• Toutes les activités de maintenance et les modifications de configuration (matérielles etlogicielles) doivent être planifiées et leur réalisation doit être suivie. Des historiques serontconservés à des fins d’audit.

• Les commandes documentées doivent être définies et mises en place pour protéger lesdonnées client, fournisseurs et employés contre tout dommage ou modification lors de latransmission.

• Des sauvegardes régulières seront effectuées selon la fréquence de modification desdonnées.

Windows 2000 Server

G

UIDE

DE

L

’

ADMINISTRATEUR

64

• Les utilisateurs ne devront pas reconfigurer les réseaux ou surveiller le trafic à moins d’êtreexpressément autorisés à le faire. En outre, ils s’abstiendront d’utiliser les systèmes decommunication pour accéder à des systèmes dont l’accès ne leur est pas explicitementautorisé.

• Toutes les adresses IP (

Internet Protocol

) doivent être assignées et enregistrées dans la basede données de l’entreprise.

Logiciels

• Tous les utilisateurs de logiciels autorisés et de logiciels propriétaires doivent respecter lesmodalités prévues par les accords de licence, tels qu’ils sont définis par leurs éditeursrespectifs.

• Lorsque les logiciels sont mis à disposition

via

des réseaux ou des systèmes électroniquesde type BBS, tout employé doit vérifier que le logiciel qu’il envisage d’utiliser se trouvebien dans le domaine public. En cas de doute, les logiciels ne doivent pas être employés,sauf avec l’autorisation expresse de l’éditeur.

• Tous les logiciels doivent être testés contre tous les virus connus, chevaux de Troie, etc.,avant leur emploi.

• L’utilisation de logiciels non autorisés constitue une violation des procédures en vigueurdans l’entreprise relatives à l’emploi de logiciels tiers et, à ce titre, sera interdite. Les contre-venants s’exposent à des procédures disciplinaires pouvant aller jusqu’au licenciement.

• Les logiciels approuvés par le service informatique devront être utilisés sur les systèmespour détecter et supprimer les virus.

Gestion des privilèges

• Une demande de modification ou d’affectation d’un ID utilisateur nécessite la réalisationd’une procédure d’autorisation.

• Lorsqu’un ID utilisateur existe sur plusieurs systèmes, toutes ses occurrences seront enre-gistrées pour la même personne, à l’exception des fonctions de maintenance du système.

• Les ID et authentification utilisateur sont définis sur une base individuelle et ne doivent pasêtre partagés.

• L’usurpation d’identité utilisateur n’est pas autorisée et constitue une violation de la sécu-rité. Tout utilisateur pris en situation d’usurpation devra être signalé.

• Tous les privilèges d’accès au système seront immédiatement supprimés dès que le contratde travail prendra fin. Le responsable du salarié en fin de contrat est chargé de s’assurer dela suppression de ces privilèges.

• Tous les mots de passe d’accès au système et réseau doivent être conformes aux règles défi-nies pour les mots de passe.

• Les utilisateurs s’abstiendront d’essayer d’accéder aux informations pour lesquelles ils nedisposent pas d’autorisation explicite.

• Les utilisateurs ne laisseront pas sans surveillance un terminal connecté et non protégé parmot de passe ou qui ne dispose pas de fonction de sollicitation de nouvelle authentificationaprès un certain temps.


C

HAPITRE

3

65

• Tous les bureaux et les systèmes portables doivent disposer d’un produit de contrôled’accès approuvé.

Violations de sécurité

• Les utilisateurs signaleront rapidement tous les problèmes de sécurité à leurs responsables,qui à leur tour préviendront leur direction ou le service de sécurité de l’entreprise.

• Le service de sécurité de l’entreprise devra étudier tous les rapports reçus et, le cas échéant,mener les enquêtes appropriées.

• Le service de sécurité de l’entreprise peut périodiquement demander à un utilisateur ou àun groupe d’utilisateurs de changer son mot de passe si des violations de sécurité sontsuspectées.

Introduction aux comptes utilisateur

Un compte utilisateur est l’identificateur unique d’un individu sur le réseau Windows 2000.Windows 2000 utilise le compte de domaine pour valider l’identité d’une personne et luiaccorder l’accès aux ressources partagées. Chaque utilisateur a besoin d’un identificateurunique et du mot de passe qui lui est associé, qu’il conserve en tant qu’information privée.

Quand un utilisateur de Windows 95/98/NT/2000 emploie un ID d’ouverture de session et unmot de passe, un contrôleur de domaine valide l’ID et le mot de passe et lui fournit un jetond’accès. Quand l’utilisateur accède à une ressource réseau, le jeton d’accès est comparé à laliste de contrôle d’accès (ACL) pour déterminer son niveau d’accès à la ressource.

Microsoft a introduit Active Directory dans Windows 2000, qui fonctionne comme une sortede dépôt central de toutes les informations relatives aux comptes et aux utilisateurs. La créa-tion et la gestion des comptes utilisateur s’effectuent

via

le composant Utilisateurs et ordina-teurs Active Directory et la console d’administration de Microsoft. Cet utilitaire remplace leGestionnaire des utilisateurs du domaine de Windows NT 4.0. Le composant Utilisateurs etordinateurs Active Directory se substitue également au Gestionnaire de serveur en ce quiconcerne la création des comptes d’ordinateurs.

Éléments à prendre en compte dans la création de comptes utilisateur

Avant de créer des comptes utilisateur, il est important de mettre au point une conventiond’appellation cohérente. Une convention courante consiste à associer l’initiale du prénom etle nom de famille, par exemple sous la forme mdupont, pour Marc Dupont. Si un secondM. Dupont existe dans la société et qu’un compte à son nom doive être créé, vous pourrezopter pour l’initiale du second prénom ou encore la seconde lettre du prénom. Vous obtien-drez ainsi mhdupont pour Marc Henri Dupont ou madupont pour Marc Dupont.

Lorsque vous mettez au point une convention d’appellation, évitez les noms sans significationcomme emp1234 ou les chaînes numériques aléatoires comme 101245, qui compliquentconsidérablement les choses lorsqu’il s’agit de mettre en correspondance cet ID et sonpossesseur par simple consultation de fichiers journaux. De tels ID sont également difficiles à

Windows 2000 Server

G

UIDE

DE

L

’

ADMINISTRATEUR

66

mémoriser pour les utilisateurs. Privilégiez autant que possible les noms mnémoniques. Lorsde la création de comptes, veillez également à ne pas utiliser des mots argotiques ou des motssusceptibles d’être interprétés comme des insultes dans certaines cultures.

Optez pour une chaîne d’identification comprise entre quatre et dix caractères, ce qui consti-tue un bon compromis entre sécurité et facilité de mémorisation.

Dans certaines entreprises, les administrateurs autorisent les utilisateurs à choisir eux-mêmesleur identificateur. La plupart suggèrent aux utilisateurs de recourir à la convention standardconsistant à utiliser l’initiale du prénom et le nom de famille, en les laissant toutefois libres deleur choix. Vous pouvez naturellement opter pour ce type de système, même s’il peut se révé-ler plus simple, en termes d’administration, de limiter le choix des utilisateurs.

Paramètres par défaut des comptes utilisateur

L’étape suivante va consister à définir les paramètres par défaut de chaque compte. Les para-mètres dont vous devrez définir les valeurs par défaut sont les suivants :

• Mot de passe initial

• L’utilisateur doit modifier le mot de passe à la prochaine ouverture de session

• L’utilisateur ne peut pas modifier le mot de passe

• Le mot de passe n’expire jamais

• Compte désactivé

Mot de passe initial

Le mot de passe initial est celui que vous définirez à la création du compte et auquel l’utilisa-teur aura recours pour se connecter la première fois. Vous pouvez utiliser un ensemble de motsde passe standard ou assigner de façon aléatoire un mot de passe unique à chaque utilisateur.

L’utilisateur doit modifier le mot de passe à la prochaine ouverture de session

Il s’agit de la valeur par défaut et nous vous conseillons de la conserver telle quelle. Lorsquevous définissez le mot de passe initial, vous êtes deux à le connaître. Quand les utilisateurssont contraints de le modifier pour ouvrir la session suivante, ils doivent choisir un nouveaumot de passe connu de personne d’autre. Si vous désactivez cette option et si vous utilisez unensemble standard de mots de passe, vous risquez de vous retrouver avec un grand nombre depersonnes dotées du même mot de passe.

L’utilisateur ne peut pas modifier le mot de passe

Cette option est désactivée par défaut et nous vous conseillons de la conserver ainsi. Elle voussera parfois utile avec les comptes de service ou pour des applications spécialisées. Toutefois,la plupart du temps, l’activation de cette option aura surtout des conséquences négatives, dansla mesure où elle empêchera les utilisateurs de modifier eux-mêmes leur mot de passe et lesrendra tributaires de l’administrateur si leur mot de passe est découvert.

Le mot de passe n’expire jamais

Cette option est également désactivée par défaut. Il s’agit là encore d’un paramètre conçupour les comptes spécialisés et qui ne s’applique pas à la plupart des comptes utilisateur.


C

HAPITRE

3

67

Contraindre les utilisateurs à sélectionner régulièrement un nouveau mot de passe constitueune protection contre le partage des mots de passe, qui est assez courant en entreprise, endépit des avertissements et des efforts de l’administrateur réseau.

Compte désactivé

Cette option est aussi désactivée par défaut et sera conservée telle quelle pour la plupart desnouveaux comptes. Elle est très utile pour l’administration des comptes utilisateur. Toutd’abord, vous pouvez définir une politique de mots de passe qui désactive automatiquementun compte après un certain nombre de tentatives de connexions infructueuses. Un autre casd’utilisation : les congés et autres absences. Vous pouvez désactiver le compte sans le suppri-mer pour vous assurer qu’aucun autre utilisateur ne tentera de se connecter au moyen de cetidentificateur. Au retour de l’utilisateur, il vous suffira de réactiver le compte. Ce dernierretrouvera dès lors un accès immédiat à toutes les ressources partagées. Cette technique peutégalement être utilisée pour transférer la propriété d’un compte lors du départ d’un employé.Vous pouvez alors désactiver le compte et le réactiver lors de l’entrée en fonction de sonremplaçant. Ce nouvel employé aura ainsi un accès immédiat aux données appropriées.

Le compte par défaut de l’administrateur ne peut pas être désactivé. C’est pourquoi la plupart des admi-nistrateurs choisissent de modifier leur ID et d’opter pour un ID moins évident que « Administrateur ». Si

une telle modification ne protège pas de l’intervention de hackers potentiels, ces derniers auront une étape de plus àeffectuer pour accéder au système. Le mot de passe défini sur le compte Administrateur est essentiel à l’intégrité dusystème. Optez pour un mot de passe composé de caractères alphanumériques pour rendre toute violation encoreplus difficile.

Création d’un compte utilisateur de domaineUn compte de domaine est un compte accessible par tout contrôleur de domaine, serveurmembre ou domaine accrédité. Seuls des comptes utilisateur de domaine peuvent être stockésdans Active Directory, à la différence des serveurs membres et des serveurs autonomes quipeuvent disposer, en outre, de comptes locaux.

Utilisateurs et ordinateurs Active DirectoryVous pouvez accéder au gestionnaire des utilisateurs et ordinateurs d’Active Directory via lemenu Démarrer. Sélectionnez Démarrer, Programmes, Outils d’administration, puis Utilisa-teurs et ordinateurs Active Directory. Vous pouvez également accéder à de nombreux outilsadministratifs à partir de l’assistant de configuration de votre serveur qui démarre automati-quement lorsque vous vous connectez en tant qu’administrateur au serveur. Pour accéder augestionnaire des utilisateurs et ordinateurs d’Active Directory, cliquez sur Active Directory(voir la Figure 3.1) dans le volet gauche, puis sur le lien Gérer les comptes d’utilisateurs et lesparamètres des groupes.

REMARQUE

Windows 2000 ServerGUIDE DE L’ADMINISTRATEUR

68

Création de comptes utilisateurUne fois le composant Utilisateurs et ordinateurs Active Directory ouvert, cliquez sur le nomde domaine pour le développer (voir la Figure 3.2). Le domaine contient au moins les quatregroupes d’objets prédéfinis suivants :

• Built-in. Désigne les utilisateurs et les groupes d’administration système intégrés (valeurpar défaut) créés lors de l’installation de Windows 2000.

• Computers. La liste de tous les objets du compte définis par l’administrateur.

• Domain Controllers. Les contrôleurs de domaine pour Active Directory.

• Users. L’emplacement par défaut des comptes utilisateur et de groupes créés par l’adminis-trateur.

Chacun de ces groupes est désigné sous le nom d’unité d’organisation (OU) et constitue ungroupe logique d’objets. Les administrateurs peuvent créer des unités d’organisation supplé-mentaires pour gérer les utilisateurs et les ordinateurs de leur réseau. Des unités d’organisa-tion peuvent également être employées pour définir diverses stratégies de sécurité fondées surles exigences de l’entreprise.

1. Cliquez sur Users. La liste des utilisateurs et des groupes définis dans Active Directorys’affiche dans le volet de droite. Pour créer un nouvel utilisateur, cliquez sur l’icône Créerun nouvel utilisateur dans le conteneur actuel de la barre d’outils ou cliquez avec le bou-ton droit de la souris sur le dossier Users, pointez dans le menu contextuel la commandeNouveau, puis sélectionnez Utilisateur. Une fenêtre intitulée Nouvel objet – Utilisateurs’affiche.

2. Complétez les informations relatives au prénom et au nom de l’utilisateur.

Figure 3.1

L’assistant Configurez votre serveur permet d’accéder aux divers outils d’administration de Windows 2000.

Configurer des comptes utilisateurCHAPITRE 3

69

3. Sélectionnez un nom d’ouverture de session pour l’utilisateur. Les autres champs serontautomatiquement complétés au moyen des informations de domaine appropriées (voir laFigure 3.3).

4. Cliquez sur Suivant.

5. L’étape suivante va consister à définir le mot de passe initial et à décider des options àactiver. La plupart des administrateurs choisissent d’activer l’option L’utilisateur doitmodifier le mot de passe à la prochaine ouverture de session, qui contraint les utilisateursà modifier et à choisir un mot de passe connu d’eux seuls (voir la Figure 3.4). Cliquezsur Suivant.

6. L’assistant objet affiche un résumé des propriétés de l’objet, parmi lesquelles le nom ducompte et les options de confirmation. Si ces propriétés vous conviennent, cliquez surTerminer.

Figure 3.2

Le composant Utilisateurs et ordinateurs Active Directory.

Figure 3.3

Première étape dans la création d’un compte utilisateur.


70

Le compte est créé et le contenu de la fenêtre principale des Utilisateurs et ordinateurs ActiveDirectory est actualisé. À ce stade, les utilisateurs peuvent se connecter à Active Directory. Ilsne pourront toutefois pas encore accéder aux ressources, dans la mesure où les autorisationsn’ont pas encore été définies.

Définition des éléments relatifs aux mots de passeAvec Windows 2000, la définition des règles relatives aux mots de passe, telles que lalongueur, la durée de validité et le verrouillage après un nombre de tentatives infructueuses,relève des stratégies de compte. Les stratégies de compte sont gérées via le composant Confi-guration et analyse de la sécurité, qui constitue une nouvelle interface d’administrationcentralisée pour tous les paramètres de sécurité. Outre ce composant de console MMC, pourvous assister dans la définition de ces stratégies, vous pouvez recourir aux modèles de sécu-rité fournis avec Windows 2000. Ces derniers apparaissent aussi en tant que composants de laMMC sous le nom Modèles de sécurité.

Modèles de sécuritéMicrosoft fournit plusieurs modèles de sécurité. Les administrateurs peuvent utiliser directe-ment les modèles fournis ou les adapter suivant leurs besoins. Ces modèles contiennent desexemples de contrôleurs de domaine, de stations de travail, et de serveurs sécurisés et nonsécurisés qui permettront aux administrateurs de définir différents profils de sécurité en fonc-tion du serveur administré.

Figure 3.4

La seconde étape de la création d’un compte utilisateur consiste à définir un mot de passe initial ainsi que les paramètres du compte.


71

Charger les composants de sécurité dans la console d’administration Microsoft

Les composants de sécurité sont des composants optionnels de la console d’administrationMMC que les administrateurs peuvent charger dans une console personnelle.

Procédez ainsi pour créer votre console de sécurité :

1. Sélectionnez la commande Exécuter du menu Démarrer.

2. Tapez MMC et cliquez sur OK.

3. À partir du menu Console, sélectionnez Ajouter-supprimer un composant logiciel enfi-chable (voir la Figure 3.5). La liste des composants disponibles varie en fonction de vo-tre configuration.

4. Cliquez sur Ajouter.

5. Ajoutez les composants Modèles de sécurité et Configuration et analyse de la sécurité(voir la Figure 3.6).

6. Cliquez sur Fermer.

7. Cliquez sur OK pour refermer la fenêtre d’ajout-suppression de composants.

Figure 3.5

La boîte de dialogue Ajouter-supprimer des composants logiciels enfichables permet de personnaliser la console d’administration de Microsoft.


72

Charger les modèles de sécurité

Après avoir créé un modèle ou sélectionné un modèle existant, vous devez le charger dans labase de données du composant Configuration et analyse de la sécurité. La conception d’unetelle base de données est relativement simple, une fois le modèle défini.

Procédez ainsi pour créer une telle base de données :

1. Cliquez avec le bouton droit sur le composant Configuration et analyse de la sécurité.

2. Sélectionnez Ouvrir une base de données.

3. Attribuez à la base de données un nom explicite et cliquez sur Ouvrir.

4. Sélectionnez le modèle à utiliser avec la base de données Configuration et analyse de lasécurité.

5. Pour activer la base de données de Configuration et analyse de la sécurité, cliquez avec lebouton droit de la souris sur ce composant et sélectionnez Configurer l’ordinateur main-tenant.

6. Suivez les messages affichés pour enregistrer un fichier journal.

7. Une fois la configuration terminée, cliquez avec le bouton droit de la souris sur le com-posant Configuration et analyse de la sécurité et sélectionnez Analyser l’ordinateur main-tenant.

8. Suivez les instructions affichées pour enregistrer un fichier journal. Un résumé des op-tions de sécurité s’affiche dans le volet droit.

Figure 3.6

Vous pouvez ajouter et supprimer à votre convenance et selon vos besoins d’administration les composants optionnels de la MMC.


73

Vous risquez d’obtenir un avertissement relatif aux conflits potentiels détectés avec la stratégie de groupede domaine par défaut. La stratégie de domaine par défaut prévaut sur la base de données du composant

Configuration et analyse de la sécurité. Pour administrer la stratégie de groupe de domaine, vous devez utiliser lecomposant Stratégies de groupe auquel vous pouvez également accéder via la MMC.

Modifier les stratégies de compte (mot de passe)Il est possible d’apporter des modifications à la base de données de Configuration et analysede la sécurité active. Toutefois, la procédure recommandée est d’apporter, dans un premiertemps, les modifications au modèle, puis de le recharger.

Procédez comme ci-dessous pour importer-recharger un modèle :

1. Ouvrez ou créez une console MMC contenant le composant Configuration et analyse dela sécurité.

2. Cliquez avec le bouton droit de la souris sur le nœud Configuration et analyse de la sé-curité.

3. Ouvrez ou créez une base de données de travail.

4. Sélectionnez Importer un modèle.

5. Sélectionnez un fichier de configuration et cliquez sur Ouvrir.

6. Répétez l’étape précédente pour tous les modèles à fusionner dans la base de données.

7. Cliquez avec le bouton droit sur le nœud Configuration et analyse de la sécurité et cli-quez sur Configurer l’ordinateur maintenant.

Cette procédure permet de vous assurer que le modèle et la configuration active sont synchro-nisés, ce qui limite les risques d’erreur lors de mises à jour ultérieures et donc de recharge-ments des modèles, qui risqueraient d’écraser les modifications apportées directement à labase de données active.

Le nœud Stratégie de compte contient trois sous-catégories :

• Stratégie de mot de passe. Les paramètres définis pour les mots de passe, tels que leurentrée en vigueur et leur durée d’utilisation.

• Stratégie de verrouillage du compte. Les paramètres définissant le moment et la durée duverrouillage d’un compte.

• Stratégie Kerberos. Kerberos est la méthode utilisée par Windows 2000 pour authentifierun ID utilisateur et un mot de passe. Cette option vous permet de définir le niveau de sécu-rité du protocole.

Procédez comme dans l’exemple suivant pour modifier les stratégies de compte :

1. Ouvrez ou créez une console d’administration contenant le composant Modèles de sé-curité.

2. Cliquez sur Modèles de sécurité pour développer l’arborescence.

3. Développez l’arborescence jusqu’à localiser la stratégie de compte du modèle de sécu-rité à modifier.

REMARQUE


74

4. Cliquez sur Stratégie de mot de passe pour consulter, dans le volet droit de la fenêtre, laliste des éléments de configuration (voir la Figure 3.7).

5. Pour modifier un paramètre spécifique, double-cliquez sur son intitulé pour ouvrir unenouvelle fenêtre. Apportez les modifications souhaitées et validez par OK.

6. Procédez à l’identique pour modifier les stratégies de verrouillage du compte.

Voici quelques options de stratégie de gestion des mots de passe :

• Conserver l’historique des mots de passe. Cette option empêche les utilisateurs deremployer cycliquement les deux ou trois mêmes mots de passe.

• Durée de vie maximale du mot de passe. La durée maximale au bout de laquelle un utili-sateur doit modifier un mot de passe. Après la durée spécifiée, l’utilisateur sera contraint dechanger ce mot de passe.

• Durée de vie minimale du mot de passe. La durée minimale avant laquelle un utilisateurne peut pas modifier son mot de passe. Cette option permet d’empêcher un utilisateur derecourir à plusieurs mots de passe lui permettant de passer outre la conservation de l’histo-rique des mots de passe.

• Longueur minimale du mot de passe. Le nombre de caractères minimal acceptable pourun mot de passe. Nous recommandons en général une longueur minimale de sixcaractères ; de nombreux administrateurs exigent huit caractères au minimum.

• Les mots de passe doivent respecter les exigences de complexité. Contraint l’utilisateurà associer majuscules et minuscules, ainsi que des caractères alphanumériques dans sonmot de passe. Si les ID utilisateur ne sont pas sensibles à la casse, les mots de passe le sont.

• L’utilisateur doit se connecter pour modifier son mot de passe. Contraint l’utilisateur àse connecter au réseau pour modifier un mot de passe.

Figure 3.7

Les modèles de sécurité donnent accès aux paramètres de stratégie de compte utilisés pour définir différentes options relatives aux mots de passe.


75

Parmi les options de stratégie de verrouillage de comptes, vous retrouverez :

• Seuil de verrouillage du compte. Le nombre de tentatives infructueuses d’ouvertures desession après lequel le compte sera désactivé automatiquement. La plupart des administra-teurs définiront ce nombre entre trois et sept, ce qui laisse à l’utilisateur un nombre suffisantde tentatives pour s’apercevoir, par exemple, que le verrouillage majuscule [Caps Lock] estactivé et aux intrus peu de chances pour parvenir à s’introduire dans le système avant quele compte ne soit verrouillé.

• Durée de verrouillage des comptes. La durée pendant laquelle un compte reste verrouilléune fois le verrouillage activé. En règle générale, cette option est désactivée pour empêcherla réactivation automatique du compte. Notez cependant que ce mécanisme de réactivationautomatique des comptes ne permet pas aux administrateurs de suivre la fréquence dedésactivation des comptes. Des pirates pourraient ainsi tenter de s’introduire dans lesystème et attendre la réactivation automatique des comptes pour reprendre leurs tenta-tives… qui pourraient finir par réussir.

• Réinitialiser le compteur de verrouillage du compte après. La durée d’attente avant laréactivation du compte. Si cette période est trop faible, rien n’empêche un pirate d’attendrecette réactivation pour reprendre ses tentatives.

Une fois les stratégies de compte définies, vous pouvez charger le modèle de sécurité et sélec-tionner Configurer l’ordinateur maintenant dans le menu Action du composant Configurationet analyse de la sécurité.

Définition des propriétés relatives aux comptes utilisateurToute la gestion des propriétés des comptes s’effectue, comme la création, via le composantUtilisateurs et ordinateurs Active Directory. Pour modifier les propriétés d’un compte, ouvrezl’arborescence Utilisateurs et ordinateurs Active Directory et cliquez sur le domaine que voussouhaitez administrer.

La liste des utilisateurs et des groupes en cours dans le domaine s’affiche lorsque vous sélec-tionnez le dossier de l’utilisateur ou celui de l’unité d’organisation (OU) appropriée. Pourmodifier les propriétés du compte, cliquez avec le bouton droit sur le nom de l’utilisateur etsélectionnez Propriétés.

Modifier les comptes utilisateur

La fenêtre des propriétés de l’utilisateur se compose typiquement des onglets suivants (voir laFigure 3.8) :

• Général

• Adresse

• Compte

• Profil

• Téléphones


76

• Organisation

• Membre de

• Appel entrant

Certains onglets permettent de suivre des informations d’ordre général ; d’autres affectentdirectement le comportement du compte. N’hésitez pas à compléter les champs d’informa-tions générales qui constitueront un emplacement centralisé, accessible à d’autres applica-tions, dans lequel vous pourrez stocker des informations relatives aux utilisateurs.

Général

L’onglet Général contient les champs suivants (voir la Figure 3.9) :

• Prénom. Spécifié lors de la création du compte.

• Nom. Spécifié lors de la création du compte.

• Nom affiché. Une combinaison du prénom et du nom.

• Description. Une entrée courte décrivant le compte.

• Téléphone

• Adresse de messagerie

• Page web

L’onglet Général permet de définir des informations génériques relatives à l’utilisateur : unedescription, un bureau, un numéro de téléphone ou une adresse e-mail. Aucune de ces infor-mations n’affecte le comportement du compte.

Figure 3.8

La fenêtre des propriétés de l’utilisateur met à votre disposition plusieurs onglets pour configurer les comptes utilisateur.


77

Adresse

L’onglet Adresse comprend les champs suivants (voir la Figure 3.10) :

• Adresse

• Boîte postale

• Ville

• Département ou région

• Code postal

• Pays

L’onglet Adresse permet à l’administrateur de conserver un plus grand nombre d’informa-tions sur l’utilisateur. Notez toutefois qu’elles peuvent être remployées via Active Directoryet associées à d’autres applications comme Exchange/Outlook, des serveurs LDAP ou dessystèmes utilisés par les services des ressources humaines dans la mesure où ils sont compa-tibles Active Directory.

Compte

L’onglet Compte propose entre autres les paramètres suivants (voir la Figure 3.11) :

• Nom d’ouverture de session de l’utilisateur

• Nom d’ouverture de session avant l’installation de Windows 2000

Figure 3.9

L’onglet Général de la fenêtre des propriétés de l’utilisateur.


78

• L’utilisateur doit modifier le mot de passe à la prochaine ouverture de session

• L’utilisateur ne peut pas modifier le mot de passe

• Le mot de passe n’expire jamais

• Enregistrer le mot de passe en utilisant un cryptage réversible

Outre ces propriétés, disponibles lors de la phase de création de compte, l’onglet Comptecomprend d’autres propriétés telles que les Horaires d’accès, la possibilité de Se connecter àet les règles d’expiration du compte.

• Horaires d’accès. Cette option permet aux administrateurs de définir un ensemble derègles qui régissent les périodes de connexion autorisées. Elle se révéle très utile dans lesenvironnements étroitement contrôlés dans lesquels les administrateurs veulent s’assurerque certains utilisateurs se connectent uniquement pendant les périodes indiquées. Ellepeut également être utilisée comme information de base pour la mise à disposition d’unefenêtre de sauvegarde (on s’assure ainsi qu’aucun utilisateur n’est connecté avec des docu-ments ouverts lors des sauvegardes).

• Se connecter à. Cette option permet à un administrateur de spécifier exactement à quellemachine l’utilisateur peut accéder. Elle permet aussi de s’assurer que les utilisateurs se connec-tent uniquement à leur ordinateur ou à toute autre machine qui leur est explicitement affectée.

• Date d’expiration. Une option très utile avec les ID temporaires ou personnels. Un comptepeut expirer automatiquement de manière que l’administrateur n’ait pas à effectuer un suiviprécis des employés. Si l’employé est toujours présent ou si le compte est toujours utilisé, ilest alors possible de réactiver ce dernier et de définir une nouvelle date d’expiration.

Figure 3.10

L’onglet Adresse de la fenêtre des propriétés de l’utilisateur.


79

Profil

L’onglet Profil est un onglet de propriétés très important qui contient la plupart des paramè-tres d’administration courants. Parmi ces paramètres figurent (voir la Figure 3.12) :

• Chemin de profil. Permet à l’administrateur de spécifier un profil pour le compte utilisa-teur. Cette option est similaire au concept de profil itinérant implémenté dans Windows NT4.0, qui permet à un utilisateur de disposer d’un profil unique sur chaque machine.

• Script d’ouverture de session. Le script est exécuté lorsque l’utilisateur se connecte auréseau. Cette option est généralement employée pour configurer les paramètres de sécurité,installer des applications ou contrôler la configuration système.

• Chemin local. Le répertoire local peut se trouver sur le disque local de l’utilisateur ou êtremappé sur un partage serveur. Si vous spécifiez un répertoire qui n’existe pas, Win-dows 2000 tentera de se connecter à cette machine et de créer ce répertoire. Vous pouvezutiliser la variable système %USERNAME% comme raccourci pour faire référence à l’IDutilisateur.

• Chemin du profil. Ce champ permet à un administrateur de définir un dossier réseaucomme chemin d’accès UNC (Universal Naming Convention) contenant des documentspartagés avec d’autres membres d’un groupe ou d’une équipe de projet. Cette notion estsimilaire à celle de répertoire local pour les groupes ou les équipes de projet.

Téléphones

L’onglet Téléphones contient les champs suivants (voir la Figure 3.13) :

• Domicile

Figure 3.11

L’onglet Compte vous permet de reconfigurer le comportement du compte,ainsi que certaines de ses options.


80

• Radiomessagerie

• Téléphone mobile

• Télécopie

• Téléphone IP

• Notes

Pour les utilisateurs « hyperconnectés » disposant de nombreux numéros de contact, vouspouvez recourir au bouton Autre qui vous donne accès à une boîte de dialogue dans laquellevous pouvez saisir plusieurs numéros.

Malheureusement, les différents onglets de la fenêtre des propriétés de l’utilisateur comportent quelqueschamps redondants, dont la saisie n’est pas reprise automatiquement. Citons, à titre d’exemple, le champ

Numéro de téléphone de l’onglet Général, ou encore le champ Adresse de messagerie des onglets Général etCompte. Il peut être fastidieux d’avoir à saisir autant d’informations redondantes.

Organisation

L’onglet Organisation contient d’autres informations d’ordre général ; il peut être lié à unautre utilisateur qui serait le responsable de l’utilisateur. Lorsqu’un responsable est sélec-tionné, vous pouvez basculer très facilement vers son compte. Dans les entreprises connais-sant de très importants mouvements de personnels, il n’est pas inutile de suivre ce typed’informations avec un outil de gestion de ressources humaines.

Figure 3.12

L’onglet Profil de la fenêtre des propriétés de l’utilisateur contient les paramètres relatifs aux scripts de connexion, aux répertoires locaux et distants.

REMARQUE


81

L’onglet Organisation contient les champs suivants (voir la Figure 3.14) :

• Titre

• Service

• Société

• Responsable

Membre de

L’onglet Membre de correspond à la notion de groupes de Windows NT 4.0 (voir laFigure 3.15). La liste de tous les membres de groupes s’affiche dans cette fenêtre, et vousdisposez de boutons permettant d’ajouter ou de supprimer des groupes à votre convenance.

Pour ajouter des groupes complémentaires, cliquez sur Ajouter. Sélectionnez le groupe etcliquez sur Ajouter, puis validez par OK pour refermer la fenêtre de Sélection de groupes(voir la Figure 3.16).

L’option Groupe principal est uniquement disponible sur les clients Macintosh. Elle doit êtredéfinie sur le groupe avec lequel l’utilisateur partage le plus de données. Elle est utilisée pourdes associations d’autorisation lorsqu’un client Macintosh crée un dossier ou un fichier.

Appel entrant

L’onglet Appel entrant permet à un administrateur de spécifier qui peut se connecter àdistance et comment ces personnes se connecteront (voir la Figure 3.17).

Figure 3.13

Autre onglet d’informations générales : l’onglet Téléphones de la fenêtre des propriétés de l’utilisateur.


82

Figure 3.14

L’onglet Organisation de la fenêtre des propriétés de l’utilisateur.

Figure 3.15

L’onglet Membre de, de la fenêtre des propriétés de l’utilisateur.


83

Figure 3.16

Association d’un compte utilisateur à différents groupes.

Figure 3.17

L’onglet Appel entrant de la fenêtre des propriétés de l’utilisateur permet à un administrateur de contrôler qui peut se connecter à distance via l’accès réseau à distance.


84

Gestion des comptes utilisateurToute l’administration des comptes peut s’effectuer via le composant Utilisateurs et ordina-teurs Active Directory de la console d’administration Microsoft (voir la Figure 3.18). Avec letemps, la plupart des administrateurs ajouteront de nombreux composants à cette console eteffectueront la plupart des tâches d’administration à partir de celle-ci. Une interface unique,en effet, facilite considérablement les choses. Les administrateurs peuvent enregistrer lesconfigurations de console sous forme de fichiers MSC. Ces fichiers peuvent ensuite êtrecopiés sur d’autres machines, ce qui permet à l’administrateur de développer une interfacetotalement personnalisée utilisable à partir de toute machine Windows 2000.

Procédez comme ci-dessous pour exécuter la console d’administration Microsoft :

1. Sélectionnez Exécuter dans le menu Démarrer.

2. Tapez MMC et cliquez sur OK.

Supprimer des comptes utilisateurProcédez ainsi pour supprimer un compte :

1. Dans l’arborescence de la console, cliquez sur Users.

2. Cliquez avec le bouton droit sur un compte utilisateur, puis sélectionnez Supprimer.

3. Cliquez sur Oui pour confirmer.

Pour supprimer un compte utilisateur, après avoir cliqué sur l’utilisateur, vous pouvez également utiliser lebouton Supprimer de la barre d’outils ou la touche Suppr.

La meilleure solution consiste à désactiver un compte et à le conserver tel quel pendant quelques jours ousemaines, le temps de déterminer s’il vous est toujours d’une quelconque utilité. Vous n’aurez pas à le

recréer pour un nouveau collaborateur reprenant les mêmes fonctions lors de son arrivée dans l’entreprise.

Figure 3.18

La console d’administration Microsoft (MMC) fournit un accès très pratique à de nombreux outils d’administration, y compris le composant Utilisateurs et ordinateurs Active Directory.

REMARQUE

ASTUCE


85

Modifier les mots de passe utilisateurProcédez de cette façon pour réinitialiser un mot de passe utilisateur (voir la Figure 3.19) :


2. Dans le volet de droite, cliquez avec le bouton droit sur l’utilisateur dont vous souhaitezmodifier le mot de passe.

3. Sélectionnez Réinitialiser le mot de passe.

4. Saisissez le nouveau mot de passe et confirmez-le.

5. Si vous souhaitez que l’utilisateur modifie ce mot de passe lors de la session suivante,activez l’option L’utilisateur doit modifier le mot de passe à la prochaine ouverture desession.

Activer un compteProcédez ainsi pour activer un compte utilisateur désactivé :


2. Dans le volet de droite, cliquez avec le bouton droit sur l’utilisateur.

3. Sélectionnez Activer le compte dans le menu Action.

Désactiver un compteProcédez ainsi pour désactiver un compte (voir la Figure 3.20) :


2. Dans le volet de droite, cliquez avec le bouton droit sur l’utilisateur.

3. Sélectionnez Désactiver le compte à partir du menu Action.

Figure 3.19

La boîte de dialogue de réinitialisation d’un mot de passe vous permet de modifier le mot de passe des utilisateurs ayant la mémoire courte !


86

Autres fonctions de Utilisateurs et ordinateurs Active DirectoryProcédez comme ci-dessous pour localiser un compte dans Active Directory (voir la Figure3.21) :

1. Ouvrez ou créez une console d’administration Microsoft dotée du composant Utilisa-teurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur le nœud de domaine et sélectionnez Rechercher.

3. Si vous savez à quelle unité d’organisation l’utilisateur appartient, sélectionnez-la ou cli-quez sur Parcourir.

4. Saisissez le nom de l’utilisateur à localiser dans le champ Nom de l’onglet Utilisateurs,contacts et groupes.

5. Cliquez sur le bouton Rechercher.

Figure 3.20

Le menu Action relatif aux comptes utilisateur du composant Utilisateurs et ordinateurs Active Directory.

Figure 3.21

Utilisez les fonctionnalités de recherche d’utilisateurs, de contacts et de groupes pour localiser un compte utilisateur dans Active Directory.


87

Déplacer des comptes utilisateur

Procédez ainsi pour déplacer un compte utilisateur (voir la Figure 3.22) :


2. Dans le volet de détails, cliquez avec le bouton droit sur l’utilisateur et sélectionnezDéplacer.

3. Sélectionnez le domaine.

4. Sélectionnez le domaine et le dossier appartenant à l’emplacement vers lequel vous sou-haitez déplacer le compte utilisateur. Cliquez sur OK.

Mapper un certificat sur un utilisateur

Windows 2000 permet de mapper un certificat émis pour un compte utilisateur. Un serveurpeut ensuite utiliser la technologie des clés publiques pour authentifier l’utilisateur via cecertificat. Pour se connecter à un système, l’utilisateur présente un certificat qui est authenti-fié. La procédure est identique à la saisie par l’utilisateur d’un ID utilisateur et d’un mot depasse, à la seule différence que ce procédé est plus sûr.

Généralement, les systèmes informatiques utilisent une base de données centralisée pour gérerles comptes utilisateur. Cette technique est maîtrisée par la plupart des administrateurs. Toute-fois, à mesure que les systèmes deviennent plus complexes, avec des centaines de milliersd’utilisateurs, la gestion d’une base de données centralisée peut devenir problématique.

Les certificats par clé publique permettent de régler ce problème. Des certificats peuvent êtrelargement distribués, délivrés par de nombreuses parties. Les vérifications étant effectuées sur labase du certificat, il n’est plus nécessaire de faire référence à une base de données centralisée.

Figure 3.22

Déplacement d’un utilisateur d’une unité d’organisation à une autre au sein d’un même domaine.


88

Toutefois, l’inconvénient majeur des certificats est que, aujourd’hui (le mercredi 21 juin 2000à 22 h 33), peu de systèmes d’exploitation et d’outils d’administration sont en mesure de lesprendre en compte. Une solution, qui permet de conserver les avantages des certificats et descomptes utilisateur, consiste à mapper un certificat sur un compte utilisateur. Le systèmed’exploitation peut ainsi continuer à utiliser des comptes tout en introduisant les certificatspour les systèmes capables de les gérer.

Avec cette technique, l’utilisateur peut, pour se connecter au système, présenter un certificatqui détermine le compte auquel il peut se connecter.

Dans la plupart des cas, un certificat peut être mappé sur un compte d’utilisateur de deuxmanières différentes : un seul certificat est mappé sur un seul compte utilisateur, ou plusieurscertificats sont mappés sur un seul compte utilisateur.

• Mappage UPN. Le mappage UPN (User Principle Name) est un cas particulier de mappageindividualisé (one to one). Le mappage UPN est uniquement disponible via Active Direc-tory. Les autorités de certification des entreprises placent une entrée dans chaque certificatqui est dénommée UPN. L’UPN est similaire à une adresse e-mail et est unique dans undomaine Windows 2000. Avec un mappage UPN, l’UPN est utilisé pour localiser le comptede l’utilisateur dans Active Directory et pour autoriser ou non la connexion.

• One to one (Individualisé). Le mappage individualisé consiste à mapper un certificat d’unutilisateur sur un seul compte utilisateur. Vous pouvez délivrer des certificats à chacun devos employés à partir de votre propre service de certification, ou vous pouvez vous enremettre à une autorité de certification approuvée par votre société. Il vous restera ensuiteà mapper les certificats obtenus sur les comptes utilisateur concernés.

Procédez ainsi pour mapper un compte utilisateur dans Active Directory (voir la Figure 3.23) :

1. Connectez-vous en tant qu’administrateur.

2. Ouvrez Utilisateurs et ordinateurs Active Directory.

3. Cliquez avec le bouton droit sur le nom de domaine à administrer, pointez Affichage etvérifiez que l’élément de menu Fonctionnalités avancées est coché.

4. Faites un double-clic sur le nom de domaine, cliquez sur Users et, dans le volet de dé-tails, localisez l’utilisateur pour lequel vous souhaitez mapper un certificat.

5. Cliquez avec le bouton droit sur le nom d’utilisateur, cliquez sur Nommer les mappageset sélectionnez Ajouter.

6. Saisissez le nom et le chemin d’accès au fichier .cer, puis cliquez sur Ouvrir.

7. Effectuez l’une des opérations suivantes :

8 Pour mapper le certificat sur un compte, vérifiez que les deux cases d’option sont co-chées.

9 Pour mapper un certificat sur plusieurs comptes, désactivez la case d’option relative ausujet.

10. Validez par OK.


89

Une remarque importante à propos du mapping individualisé (one to one mapping). Cette technique nevous permet pas de mapper le même certificat sur plusieurs comptes. Si vous tentez de le faire, aucun

compte ne sera associé au certificat et toute tentative d’utilisation du certificat échouera.

Conseils d’expertsLa gestion des utilisateurs peut parfois devenir une tâche fastidieuse. Sous Windows 2000, lecomposant Utilisateurs et ordinateurs Active Directory fournit un certain nombre de techni-ques essentielles à la localisation et à la gestion des utilisateurs. Vous trouverez égalementdans cette section quelques astuces relatives à l’attribution et à l’exploitation des droitsd’administration, ainsi que des conseils supplémentaires relatifs à la création d’une stratégiede mots de passe efficace.

Exploiter le composant Utilisateurs et ordinateurs Active Directory Vous pouvez modifier le mode d’affichage des objets à partir du composant Utilisateurs etordinateurs Active Directory. Pour cela, sélectionnez les éléments souhaités à partir du menuAffichage. Vous pourrez ainsi activer ou désactiver l’affichage de l’arborescence de laconsole, de la barre de description, de la barre d’état, etc.

Fonctionnalités avancées

Lorsque vous démarrez le composant Utilisateurs et ordinateurs Active Directory et que vousdéveloppez le domaine, vous obtenez plusieurs dossiers. Par défaut, les dossiers affichés sontles suivants :

• Built-In

• Computers

Figure 3.23

Mappage d’un certificat de sécurité sur un utilisateur à partir de la fenêtre Mappage des identités de sécurité.

REMARQUE


90

• Domain Controllers

• Users

Lorsque vous sélectionnez la commande Fonctionnalités avancées à partir du menu Affi-chage, deux nœuds supplémentaires s’affichent dans la console :

• LostAndFound

• System

Options de filtre

Les options de filtre vous permettent de contrôler l’affichage des objets en utilisant des attri-buts d’objet et des requêtes LDAP (voir la Figure 3.24).

Accès administrateur

Ne vous connectez jamais en utilisant les droits administrateur. C’est une erreur très fréquenteparmi les administrateurs, la plupart du temps pour des raisons de convenance. ExécuterWindows 2000 en tant qu’administrateur rend le système vulnérable aux chevaux de Troie etautres virus. Les risques de violation de sécurité sont accrus. Le simple chargement d’unepage web peut endommager le système. De même, un site Internet peu connu peut hébergerun virus de type cheval de Troie qui risque d’être téléchargé sur le système et exécuté. Pireencore, il pourrait reformater votre disque, supprimer des fichiers ou créer un nouvel utilisa-teur disposant des droits d’accès administrateur. Le fait de séparer explicitement le compteadministrateur vous force également à vous connecter expressément en tant qu’administra-teur. Les utilisateurs qui se connectent constamment avec des droits administrateur ont

Figure 3.24

Les options de filtre disponibles.


91

tendance à faire des erreurs qui sont onéreuses en termes de configuration système. Ilspeuvent en outre affecter irrémédiablement la stabilité du système.

Microsoft a introduit avec Windows 2000 la commande Exécuter en tant que. Cette dernièrevous permet de vous connecter sous un autre compte, typiquement un compte permettant deréaliser des tâches d’administration. Procédez comme dans l’exemple suivant pour accéder àla commande Exécuter en tant que :

1. Dans l’Explorateur Windows, cliquez sur le programme que vous voulez ouvrir.

2. La touche Maj étant enfoncée, cliquez avec le bouton droit de la souris sur ce programmeet sélectionnez Exécuter en tant que.

3. Sélectionnez l’option Exécuter le programme en tant que.

4. Saisissez le nom d’utilisateur, le mot de passe et le domaine du compte concerné (voirla Figure 3.25).

Vous pouvez également employer la commande Exécuter en tant que à partir de la ligne decommande. La syntaxe est la suivante :

rrrruuuunnnnaaaassss ////uuuuttttiiiilllliiiissssaaaatttteeeeuuuurrrr::::uuuuttttiiiilllliiiissssaaaatttteeeeuuuurrrr@@@@ddddoooommmmaaaaiiiinnnneeee....ssssoooocccciiiieeeetttteeee....ccccoooommmm """"nnnnooootttteeeeppppaaaadddd \\\\’’’’mmmmoooonnnn ffffiiiicccchhhhiiiieeeerrrr....ttttxxxxtttt\\\\’’’’""""

Vous serez alors invité à entrer un mot de passe.

Certaines applications telles que l’Explorateur Windows, le dossier « Imprimantes » et les éléments duBureau sont lancées indirectement. Vous ne pourrez pas les démarrer au moyen de la commande Exécu-

ter en tant que.

Stratégies de mot de passe de comptesNe configurez pas de stratégies de compte pour des unités d’organisation (OU) qui necontiennent aucun ordinateur. Une unité d’organisation comprenant uniquement des utilisa-teurs recevra toujours sa stratégie de compte du domaine.

Figure 3.25

La commande Exécuter en tant que vous permet d’exécuter un programme sous une autre identité.

REMARQUE


92

Lorsque vous définissez des stratégies de compte, gardez à l’esprit que Windows 2000 n’auto-rise qu’une seule politique de compte de domaine, celle qui est située à la racine d’ActiveDirectory. En d’autres termes, la stratégie de compte de domaine peut devenir la stratégie decompte par défaut de toute station de travail Windows 2000 ou serveur membre de cedomaine, à l’exception des ordinateurs membres d’une unité d’organisation (OU). En plaçantun compte dans une unité d’organisation, vous pouvez définir une stratégie de remplacementà la stratégie de domaine par défaut. Cette technique se révélera utile pour définir des groupesde machines qui nécessitent des règles de sécurité différentes.

SynthèseL’objet Utilisateur constitue l’un des modules fondamentaux du domaine et d’Active Direc-tory. Les administrateurs utilisent les objets Utilisateur pour contrôler l’accès aux ressourceset suivre l’activité dans un domaine. Lorsque vous définissez un domaine doté de ressourcespartagées, la première étape consiste à développer et à mettre en place une stratégie de gestiondes utilisateurs. Sans une telle stratégie, il vous sera impossible de créer un environnementserveur sécurisé qui supporte le partage de données et d’informations.

Une stratégie efficace de gestion des utilisateurs inclut des conventions d’appellation, desrestrictions de contrôle de mot de passe et des paramètres de compte. Les administrateursdevront développer une stratégie de gestion des utilisateurs et disposer des compétencesnécessaires pour la mettre en place et la gérer.

L’étape suivante consiste à regrouper les utilisateurs. La gestion individuelle des accès peutrapidement devenir une charge difficile à maîtriser si le réseau compte des centaines ou desmilliers d’utilisateurs. En les regroupant, les administrateurs sont en mesure d’apporter desmodifications assez significatives sur les permissions en une seule opération.

FAQQ : Y a-t-il une limite à la longueur d’un nom d’utilisateur d’ouverture de session ?

R : Oui, cette limite est de 20 caractères. Si un utilisateur emploie un nom d’utilisateur dontla syntaxe est nom_d’[email protected], la portion domaine.com s’affiche en grisé etn’est pas comptabilisée dans les 20 caractères.

Q : Les utilisateurs de domaine Windows 2000 sont-ils compatibles avec ceux des versionsantérieures de Windows, y compris Windows 95/98 et NT ?

R : Oui. Tout client réseau Windows existant peut se connecter à un domaine Windows 2000et avoir accès aux ressources Windows 2000.

Q : Peut-il y avoir plus d’une stratégie de mot de passe et de compte pour un domaine ?

R : Non, chaque domaine dispose d’une stratégie par défaut de domaine et de groupe. Il nepeut y avoir qu’une stratégie de compte et de mot de passe pour l’ensemble du domaine,élément de la stratégie de domaine par défaut. Si vous souhaitez définir des stratégies decompte et de mot de passe différentes pour certains utilisateurs, vous devrez créer des domai-nes supplémentaires.

Documents

Conﬁgurer des comptes utilisateur - eyrolles.com · teurs devront maîtriser la création et la gestion des comptes utilisateur avec Active Directory. Dans ce chapitre Définition