Windows Server Active directory - doc.esaip.orgdoc.esaip.org/~ptregouet/Cours/Windows/Cours Windows 2003.pdf · D’autre part, certains sous-systèmes de la version serveur proposent

Windows Server&

Active directory

Support de cours esaipP. Trégouët

Groupe Isaip-Esaip 1 / 26 Windows Server et Active Directory

Sommaire

1 WINDOWS SERVER ........................................................................................................................................................... 2

2 ACTIVE DIRECTORY ......................................................................................................................................................... 7

3 COMPTES ET GROUPES D'UTILISATEURS .............................................................................................................. 14

4 PROCÉDURES RECOMMANDÉES POUR L'AFFECTATION DES DROITS NTFS ............................................ 20

5 DÉLÉGATION D'ADMINISTRATION ........................................................................................................................... 25

6 NOTES SUR L'APPLICATION DES STRATÉGIES DE GROUPE (GPO) .............................................................. 25

7 BIBLIOGRAPHIE ............................................................................................................................................................... 26

1 Windows Server

1.1 De la station au serveur Windows

Windows 2000 Professionnel, Windows XP, Windows Vista, Windows 7 sont des versions station de travail des systèmes d'exploitation Microsoft. Elles sont principalement destinées à être exploitées par un utilisateur unique partageant, le cas échéant, ses ressources avec d’autres systèmes.

Les solutions serveurs de Windows : 2000 Serveur et 2003 Serveur, ou 2008 server, fournissent des ressources et des services à un ensemble de systèmes. Ces derniers sont généralement des stations de travail et éventuellement d’autres serveurs reliés les uns aux autres par un réseau local.

Les ressources et services disponibles sur le réseau sont principalement les bases de données, l’attribution d’espace disque, les accès aux imprimantes et les processus système.

Windows 2000/2003/2008 regroupe les ordinateurs en domaines, gérés chacun par un système serveur spécial appelé contrôleur de domaine, aidé, le cas échéant, d’un ou plusieurs contrôleurs de domaine supplémentaires. Ces serveurs sont chargés de l’authentification des utilisateurs, de la gestion des droits d'accès et d’un certains nombre d’activités annexes. Le noyau est commun aux différentes éditions de Windows, mais sa configuration diffère d’un environnement à l’autre.

En effet, le nombre maximal de processeurs est de deux pour la version station de travail, et de 32 pour la version serveur. La version serveur compte des modules supplémentaires : outils de gestion de domaines, Internet Information Server, services de noms de réseau. D’autre part, certains sous-systèmes de la version serveur proposent des fonctionnalités avancées, telles que les systèmes de fichiers à tolérance de pannes et les options de télé-amorçage pour les stations de travail dépourvues de disque dur, etc ...


1.2 Caractéristiques

La solution serveur s’adapte aux grands réseaux et permet de répondre à tous les besoins administratifs en organisant les domaines en unités administratives. Même pour les très grands réseaux, un seul domaine est suffisant, puisque la limite imposée par la base d’annuaire de Windows 2003 permet de stocker plusieurs millions d’objets (comptes d’utilisateurs, comptes d’ordinateurs…).


1.3 Les différentes versions

Il existe quatre versions du système d'exploitation Windows 2003 serveur:

Windows 2003 Standard (Quadri processeur) Windows 2003 Enterprise (Octo processeur ) Windows 2003 Datacenter (32 processeurs) Windows 2003 Web

Windows Server 2008 est disponible dans les versions listées ci-dessous

Windows Server 2008 Édition Standard (x86 et x64) Windows Server 2008 Édition Enterprise (x86 et x64) Windows Server 2008 Édition Datacenter (x86 et x64) Windows Web Server 2008 (x86 et x64)

Windows HPC Server 2008 Windows Storage Server 2008 (x86 et x64) Windows Small Business Server 2008 (x64) pour les PME Windows Essential Business Server 2008 (x64) pour les PME Windows Server 2008 pour systèmes Itanium Windows Server 2008 Foundation (maximum 15 utilisateurs)

L’édition « Enterprise »

Par rapport à la version standard, cette version ajoute la possibilité de mettre en cluster plusieurs serveurs. Ceci offre l’avantage de fournir aux utilisateurs une disponibilité 24H sur 24H, dans le sens où, si un serveur tombe en panne, l’autre serveur prend automatiquement le relais. De même, si une application échoue, il est alors possible de la démarrer sur l’autre serveur. En plus des fonctionnalités de tolérance de panne, la mise en cluster apporte une répartition de charge non négligeable pour les services réseaux comme les services WEB. Cette version de Windows est optimisée pour le traitement des gros volumes d’informations (base de données, traitement de transactions, aide à la décision).

L’édition « Datacenter »

Ce qui caractérise cette version c’est l’évolutivité SMP (Symetric MultiProcessing) permettant à un serveur de gérer jusqu'à 32 processeurs. La mémoire peut atteindre quant à elle 64 Go, sur la technologie INTEL. Toutes les fonctionnalités présentes dans Windows ainsi que les facultés de mise en cluster et de répartition de charge sont présentes.

L’édition « Web »

Cette version est basée sur la version «standard», mais dédiée uniquement aux fonctions de serveur Web; Un serveur "édition web" ne peut pas être un serveur de domaine, ni un serveur DHCP 1 mais il accepte un nombre de connexions simultanées illimité.

1 Dynamic Host Configuration Protocol : protocole réseau de configuration automatique d'adresse IP


1.4 Rôles du serveur

Les contrôleurs de domaines (principaux ou secondaires) : se sont des serveurs sur lesquels on a installé l'annuaire Active Directory et qui s'occupe de l'authentification des utilisateurs dans un domaine.

Les serveurs de fichiers : se sont des serveurs qui permettent de créer un espace de stockage partagé sur le réseau. Ils rendent ainsi une partie de leur espace disque disponible sur le réseau.

Les serveurs d'impression : ils permettent de partager une imprimante sur un réseau et de gérer la file d'attente d'impression de celle-ci.

Les serveurs d'applications : ils permettent à une application d'utiliser le système d'exploitation comme support afin d'en utiliser les composants de gestion (ex : serveur de messagerie, de base de données, ...)


1.5 Les outils clés

Outils d’administrationBien que de base soient fournis plusieurs outils d’administration, Windows 2003 permet, par l’intermédiaire des consoles d'administration (Management Console), de personnaliser et de créer plusieurs consoles répondant à vos besoins en terme d’administration. Outre les services déjà disponible avec Windows 2000, comme le service d’indexation, le service de certificat, les services d’installation à distance (RIS), le stockage à distance.. Certains services ont connu avec la version 2003 de nettes améliorations. Citons par exemple le DDNS (Dynamique DNS) qui autorise les clients DHCP à s’enregistrer automatiquement auprès du serveur DNS.

Accès réseau à distanceDe plus en plus présente dans les entreprises, la nécessité d’accéder aux réseaux distants via une ligne téléphonique, Internet, un réseau X25, un réseau Frame Relay, ATM ou encore Numeris, est assurée en standard dans Windows 2003 avec un service d’accès distant très efficace, permettant de devenir serveur d’accès distant et serveur VPN (réseau privé virtuel). La sécurité est aussi assurée tant sur le transit IP dans le tunnel crée par les protocoles PPTP2 ou L2TP3, que sur le plan de l’authentification.

Sauvegardes et restaurationsL’utilitaire de sauvegarde fourni avec Windows 2003 permet, grâce à un calendrier graphique de programmer tous types de sauvegarde dans le temps. Il permet une sauvegarde complète de votre système, permettant de restaurer un serveur sans perte d’informations. Les objets de l'annuaire Active Directory peuvent eux aussi être restaurés.

Moniteur réseau et routeurLe moniteur réseau permet de capturer des trames circulant sur le réseau, en filtrant sur tel ou tel protocole ou sur des machines interlocutrices précises, ou bien encore sur un contenu particulier. Il s’agit d’un outil indispensable pour la compréhension et l’analyse de votre réseau. Windows 2003 est un véritable routeur. Les fonctionnalités de routage de Windows 2003 ont été renforcées.

Le service "Terminal Server"Ce service fournit aux utilisateurs distants un bureau Windows 2003 et des applications entièrement exécutées sur le serveur. La machine distante, qui n'a pas besoin d'être très performante, est dite "client léger" ou "client fin". Elle joue simplement le rôle d'une console graphique (écran, clavier, souris, et quelques périphériques locaux).

Il est aussi possible pour les administrateurs d’installer les services Terminal Server uniquement dans le but d’administrer les serveurs à distance.

2 Point-to-point tunneling protocol est un protocole d'encapsulation PPP sur IP pour les réseaux privés virtuels3 Layer 2 Tunneling Protocol est une évolution à PPTP


2 Active Directory

2.1 Principe d’Active Directory

2.1.1 Un service d’annuaire

Active Directory est un service d’annuaire distribué, hiérarchique et orienté objet dont la base de données stocke toutes les informations concernant les matériels, les logiciels et les utilisateurs d’un réseau d’entreprise. Active Directory représente les utilisateurs par des objets de son arborescence. Les administrateurs emploient ces objets pour accorder aux utilisateurs des accès aux ressources du réseau, représentées, elles aussi par des objets dans l’arborescence. L’entité fondamentale d’organisation dans la base de données Active Directory, est le domaine, mais vous pouvez regrouper plusieurs domaines pour en faire une arborescence et regrouper plusieurs arborescences pour en faire une forêt. Les administrateurs pourront avoir des délégations d'administration sur un domaine, une arborescence, ou une forêt tout entière.

Un service d’annuaire ne se limite pas à une base de données, c’est aussi un ensemble de services permettant aux utilisateurs, applications et autres services divers d’accéder à cette base de données. Active Directory inclut un catalogue global qui permet de rechercher dans l’annuaire des objets à partir de la valeur de certains attributs, par exemple l'adresse e-mail d'un utilisateur. Les applications peuvent utiliser l’annuaire pour contrôler les accès aux ressources réseau, et d’autres services d’annuaire peuvent interagir avec AD via des protocoles normalisés.

Active Directory utilise un ensemble de protocoles standard qui permettent la compatibilité avec d’autres systèmes. Ces protocoles sont entre autres, le service de nom de domaine DNS, et l’accès à l'annuaire par le protocole LDAP.

2.1.2 Une banque de données

L'annuaire contient des informations sur les objets, tels que les utilisateurs, les groupes, les ordinateurs, les domaines, les unités organisationnelles et les stratégies de sécurité. Ces informations peuvent être publiées pour permettre aux utilisateurs et aux administrateurs de les utiliser. L'annuaire est stocké sur des serveurs appelés "contrôleurs de domaine" et est accessible par l'intermédiaire de services ou d'applications en réseau. Etant donné que l'annuaire est répliqué et que chaque contrôleur de domaine dispose d'une copie accessible en écriture, l'annuaire offre un grand niveau de disponibilité aux utilisateurs et aux administrateurs du domaine.

Les données de l'annuaire sont stockées dans le fichier ntds.dit sur le contrôleur de domaine. Il est recommandé de stocker ce fichier sur une partition NTFS. Certaines données d'administration ne sont pas stockées dans le fichier de base de données ntds.dit de l'annuaire, mais conservées dans un système de fichiers répliqué: il en est ainsi des scripts d'ouverture de session et des stratégies de groupe.

Il existe trois catégories de données mémorisées dans l'annuaire et répliquées entre les contrôleurs de domaine :

Données de domaine : les données de domaine contiennent des informations sur les objets au sein d'un domaine. Il s'agit généralement des informations d'annuaire, telles que les contacts électroniques, les attributs des comptes d'utilisateur et d'ordinateur et les ressources publiées dont les administrateurs et les utilisateurs pourraient avoir besoin.


Données de configuration : les données de configuration définissent la topologie de l'annuaire. Elles comprennent la liste de l'ensemble des domaines, arborescences et forêts, ainsi que l'emplacement des contrôleurs de domaine et des catalogues globaux.

Données de schéma : le schéma constitue la définition technique de toutes les données d'attribut et d'objet qu'il est possible de stocker dans l'annuaire. Windows Serveur 2003 inclut un schéma par défaut qui définit plusieurs types d'objets, tels que les comptes d'utilisateur et d'ordinateur, les groupes, les domaines, les unités organisationnelles et les stratégies de sécurité. Les administrateurs et les programmeurs peuvent développer le schéma en définissant de nouveaux types d'objets et attributs ou en ajoutant de nouveaux attributs aux objets existants. Des listes de contrôle d'accès (ACL) protègent les objets de schéma pour garantir que seuls les utilisateurs autorisés puissent modifier le schéma.

2.1.3 Le « Directory Information Tree »

Exemple d'arborescence

o=exempleHost.com,c=uso=ISP

o=custumerou=peopleou=groupsou=devices

o=exampleHost.comou=peopleou=groupsou=devices

ou=groupso=internet

dc=comdc=customerdc=example

Principe de nommage

LDAP / Active Directory

c = countryo = organizationdc = domain componentou = organizationnal unit


Dans Windows NT4, la base de données SAM (Security Accounts Manager) contient toutes les informations sur les utilisateurs, les ordinateurs et les groupes pour un domaine. La base de données SAM étant une ruche de la base de Registre, elle se trouve limitée par l'évolutivité même du registre. Dans les contrôleurs de domaines Windows, le Directory Information Tree (DIT) ou arborescence d'information d'annuaire remplace la base SAM.

Le DIT est basé sur le moteur de base de donnée Microsoft Jet est identique à celui qu'utilise Exchange Server. Le fichier ntds.dit, qui se trouve dans le dossier %systemroot%\ntds est l'équivalent Windows 2003 du fichier SAM.

C'est lui qui stocke la plupart des données de l'annuaire. En général, le DIT est plus grand que la SAM car Active Directory contient plus d'informations et de types d'objets que le service d'annuaire de NT 4 . Dans un domaine, le contenu du fichier ntds.dit se duplique dans tous les contrôleurs de domaines.

2.2 Infrastructure de Active Directory

Comme dans l'annuaire NT4, Active Directory utilise des domaines et des contrôleurs de domaines. Le domaine est toujours une entité structurelle fondamentale du service d’annuaire. Les contrôleurs de domaines ont également été repris de NT4 et gèrent les informations de l’annuaire à l’intérieur d’un domaine.

2.2.1 Les domaines

Chacun des objets d'un réseau existe dans un domaine et chaque domaine contient les informations des objets qu'il contient. Un domaine peut contenir des machines, des utilisateurs et d’autres informations. Il s’agit de la structure logique modélisant l’entreprise. Ils servent à regrouper des systèmes similaires. Lors de la mise en place de Active Directory, ils doivent avoir été considérés du point de vue logique, puisqu’ils doivent regrouper des objets formant un ensemble.

Un domaine est sécurisé, c'est à dire que l'accès aux objets est limité par des ACL (Access Control List). Les ACL contiennent les permissions, associées aux objets, qui déterminent quels utilisateurs ou quels types d'utilisateurs peuvent y accéder. Dans Windows 2003 serveur, les stratégies de sécurité et les configurations ne se transmettent pas d'un domaine à l'autre. L'administrateur de domaine peut déterminer les stratégies uniquement à l'intérieur de son propre domaine.

Dans Active Directory, il est possible d’organiser les domaines au sein d’une structure hiérarchique. Les domaines constituent toujours l’élément central et servent de conteneurs au sein de la structure globale d’Active Directory. Les unités organisationnelles (OU) sont des sous-conteneurs qui permettent de stocker d’autres objets, ou d'autres OU: une OU est analogue à un dossier dans une arborescence de fichiers.

2.2.2 Les contrôleurs de domaine et le catalogue global

Windows 2003 utilise comme NT4 les contrôleurs de domaine. A l'inverse de l'ancienne structure de NT4, tous les contrôleurs (principal ou secondaire) ont la même importance. Il est dorénavant possible d'appliquer des modifications à n'importe quel contrôleur de domaine, Windows 2003 répercute ensuite automatiquement ces modifications sur les autres contrôleurs du même domaine.


Un catalogue global est, dans une forêt, un contrôleur de domaine qui stocke une copie de tous les objets Active Directory présents dans la forêt (voir §2.2.6). Il s'agit donc d'un index de toutes les arborescences de domaines d'une forêt.

Les informations sont ainsi très facilement localisables. Il stocke également les attributs de recherche les plus courants de chaque objet. II contient aussi une copie complète de tous les objets de l'annuaire pour son domaine hôte et une copie partielle de tous les objets pour tous les autres domaines de la forêt. Il permet ainsi d'effectuer efficacement des recherches sans avoir à faire inutilement référence aux contrôleurs de domaine. Un catalogue global se crée automatiquement sur le contrôleur de domaine initial de la forêt. En règle générale, le catalogue global est stocké sur une à deux serveurs par site. Ainsi, la recherche d'informations dans l'annuaire peut s'effectuer dans tous les cas par le biais de requêtes locales.

Un catalogue global assure tes rôles suivants dans l'annuaire :

La recherche d'objets qui permet aux utilisateurs de rechercher des données d'annuaire à travers tous les domaines d'une forêt, quel que soit l'endroit où ces données se trouvent. Les recherches effectuées au sein d'une forêt sont très rapides et n'engendrent qu'un trafic minimal sur le réseau. Lorsque vous recherchez des utilisateurs ou des imprimantes. Tout l'annuaire dans une requête, la recherche se fait en fait dans un catalogue global. Une fois les critères de recherche spécifiés, votre demande est acheminée vers le port 3268 de catalogue global par défaut et envoyée à un catalogue global pour résolution.

L'authentification des noms d'utilisateur principaux qui: résout les noms d'utilisateur principaux lorsque le contrôleur de domaine assurant l'authentification ne connaît pas le compte.

Par exemple, si un compte d'utilisateur se trouve sur isaip.org et que l'utilisateur décide d'ouvrir une session sous le nom principal [email protected] à partir d'un ordinateur situé sur itii-isaip.org, le contrôleur de domaine de itii-isaip.org n'est pas en mesure de trouver le compte de l'utilisateur. Il contacte alors le serveur de catalogue global pour terminer l'ouverture de session.

Si aucun catalogue global n'est disponible lorsqu'un utilisateur ouvre une session sur un domaine Windows 2003, l'ordinateur utilise les informations d'identification figurant dans le cache pour connecter l'utilisateur, si ce dernier a déjà ouvert une session sur le domaine par le passé. Si l'utilisateur n'a jamais ouvert de session sur le domaine auparavant, il peut uniquement se connecter à l'ordinateur en mode local.


2.2.3 L’arborescence de domaines ou arbre

Une arborescence est un groupement ou un arrangement hiérarchique d'un ou plusieurs domaines Windows 2003 qui partagent des espaces de noms contigus. Tous les domaines d'un même arbre partagent le même schéma commun et partagent un catalogue commun.

Exemple d'arborescence :

domaine A : esaip.orgdomaine B : angers.esaip.orgdomaine C : irt.angers.esaip.orgdomaine D :

sep.angers.esaip.org

Il s'agit d'une structure à l'intérieur de laquelle sont organisés les domaines. Dans une arborescence, les domaines peuvent être organisés entre eux selon différents niveaux de hiérarchie.

La nouvelle version prend également en charge les relations d'approbation4 transitives.

Si le domaine C est un enfant du domaine B et si le domaine B est à son tour un enfant du domaine A, les utilisateurs du domaine A pourront accéder, en fonction de leurs autorisations d'accès, aux ressources du domaine C et réciproquement.

A présent il est donc possible de créer des structures plus complexes. La gestion des relations d'approbation par le système est désormais transparente. Une arborescence de domaine doit disposer d'un espace de noms homogène. A cet effet, on utilise des noms DNS pour pouvoir administrer conjointement des domaines portant des noms différents, il existe une autres structure : la forêt (voir §2.2.6).

4 Une relation d'approbation, entre un domaine A et un domaine B, est établie sous le contrôle des administrateurs

des 2 domaines, car elle nécessite de connaître un mot de passe administrateur dans les 2 domaines. Elle définit une

sorte de "relation de confiance" (qui peut être symétrique ou non), qui permettra par exemple

à des utilisateurs définis (maintenant et dans le futur) par l'administrateur du domaine A,

d'utiliser des ressources gérées par l'administrateur du domaine B.


2.2.4 Les Unités Organisationnelles : des conteneurs

Les OU (Organizationnal Units) sont des sous-conteneurs utilisés pour organiser les objets d'un domaine à l'intérieur de groupes administratifs logiques tels les ordinateurs, les imprimantes, les comptes d'utilisateurs, les fichiers partagés, les applications et même d'autres unités organisationnelles.

Les unités Organisationnelles servent donc à hiérarchiser les domaines qui peuvent être très vastes. Les OU sont le meilleur moyen de créer des structures hiérarchiques dans Active Directory. Outre le structuration d'informations, qui offre une clarté accrue dans les annuaires complexes notamment, les OU présentent un avantage important : elles tiennent lieu de frontière pour la délégations d'autorisations administratives.

L’OU est l'unité de base de la délégation d'administration sous Windows 2003, alors que sous NT4 c'était le domaine.

Le pouvoir d'administration peut donc être délégué de façon précise jusqu'au niveau de chaque unité organisationnelle, et concerner des propriétés ciblées de telle sorte qu'il est par exemple possible de ne déléguer à une personne donnée que le droit de réinitialiser les mots de passe et seulement pour les personnes de son service (si son service correspond à une OU) .

2.2.5 Les objets "feuilles" : des ressources du réseau

Les "feuilles de l'arbre" dans l'annuaire correspondent aux ressources du réseau et peuvent être par exemple un ordinateur ou un compte utilisateur.

Les domaines et les unités organisationnelles constituent 2 types de conteneurs dans Active Directory. Ces conteneurs permettent dès lors de construire la structure hiérarchique du répertoire. Chaque conteneur peut ensuite contenir des objets enfants. L'objet feuille en lui même ne peut contenir aucun autre objet.

Exemples d'objets feuilles :

• L'objet utilisateur : il définit un utilisateur précis dans un domaine• L'objet File d'impression : cet objet sert à localiser une imprimante• L'objet Ordinateur : cet objet identifie des systèmes qui appartiennent à un domaine.

2.2.6 Les Forêts

Une forêt est un arrangement hiérarchique d'une ou plusieurs arborescences qui ont des noms DNS disjoints.

Par exemple isaip.org et esaip.org sont 2 domaines disjoints car aucun d'eux n'est un sous-domaine de l'autre, au sens des domaines DNS;

alors que angers.esaip.org est en ce sens un sous-domaine de esaip.org


Tous les arbres d'une forêt partagent le même schéma commun et le même catalogue, mais ont des structures de noms différentes. Les domaines d'une forêt fonctionnent indépendamment les uns des autres, mais les forêts permettent la communication d'un domaine à l'autre.

A l'intérieur d'une forêt, des relations d'approbation transitives sont appliquées entre les domaines:

Les utilisateurs de l'arborescence "domaine1" peuvent accéder aux ressources de l'arborescence "domaine 2" et réciproquement si ces arborescences sont dans une même forêt.

2.3 Active Directory et sécurité

La sécurité de Active Directory est assurée par l'intermédiaire de l'authentification des ouvertures de session et du contrôle de l'accès aux objets de l'annuaire. À l'aide d'une seule ouverture de session réseau, les administrateurs peuvent gérer les données de l'annuaire et l'organisation de leur réseau, tandis que les utilisateurs réseau autorisés peuvent accéder aux ressources depuis n'importe quel point du réseau.

L'administration fondée sur des stratégies facilite la gestion des réseaux les plus complexes. Active Directory permet de stocker de façon sécurisée les informations des comptes d'utilisateur et des groupes grâce à un contrôle d'accès sur les objets et aux informations d'identification des utilisateurs. Etant donné qu'Active Directory stocke non seulement les informations d'identification des utilisateurs mais aussi les informations de contrôle d'accès, les utilisateurs qui ouvrent une session sur le réseau obtiennent à la fois l'authentification et l'autorisation nécessaires pour accéder aux ressources du système.

Par exemple, lorsqu'un utilisateur ouvre une session sur le réseau, le système de sécurité l'authentifie grâce aux informations stockées dans Active Directory. Lorsque l'utilisateur tente ensuite d'accéder à un service sur le réseau, le système vérifie les propriétés définies dans la liste de contrôle d'accès discrétionnaire (DACL) de ce service.

Les administrateurs peuvent gérer la sécurité du système plus efficacement grâce aux comptes de groupe que Active Directory leur permet de créer. Par exemple, un administrateur peut autoriser tous les utilisateurs d'un groupe à lire un fichier en modifiant les propriétés de ce dernier. Avec cette méthode, l'accès aux objets dans Active Directory repose sur l'appartenance à des groupes ( voir §3.4).


3 Comptes et groupes d'utilisateurs

3.1 Les Comptes

3.1.1 Deux types de comptes

Sur Windows Server 2003, il existe:

• les comptes locaux :L’utilisation d’un compte local entraîne un accès au compte uniquement sur la machine où ce dernier aura été crée.Les informations attachées à ce compte utilisateur seront donc stockées localement.

• les comptes de domaine : Le compte de domaine offre un atout intéressant car il permet d’accéder à un compte utilisateur depuis n’importe quelle machine du réseau.Les informations sont stockées sur le serveur, dans l’annuaire des objets réseau.

De manière générale, un compte d'utilisateur est le moyen par lequel un utilisateur s'identifie auprès d'un système (ordinateur) dont il souhaite utiliser les ressources.

Sous Windows 2000/XP, il s'agit également d'un mécanisme de protection des ressources contre les utilisateurs non autorisés. Un compte d'utilisateur est comparable à un badge permettant de distinguer les employés d'une entreprise du personnel extérieur, il ne désigne pas nécessairement une personne, mais une entité possédant des fichiers et ayant accès à des applications.

Dans la plupart des cas, un compte d'utilisateur représente un individu pouvant se connecter à un ordinateur pour y créer et modifier des fichiers.

Un compte d'utilisateur se compose d'un nom et d'un certain nombre d'attributs, tels que l'appartenance à un ou plusieurs groupes, le mot de passe et les règles de modification du mot de passe, les heures de connexion autorisés et l'emplacement de la station de travail, les permissions d'accès à distance, l'environnement utilisateur (comprenant la configuration du bureau, les scripts d'ouverture de session et le nom du répertoire personnel) et un ensemble de privilèges système appelés « droits de l'utilisateur ».

3.1.2 Les comptes d'utilisateur définis par défaut

AdministrateurCe compte est conçu pour la réalisation des tâches d'administration du système. Il offre un accès complet aux fichiers et aux répertoires ainsi qu'aux ressources système. C'est pourquoi il doit être utilisé avec précaution et en cas de nécessité absolue. En fonction des besoins, des comptes de niveau administrateur supplémentaires sont créés en dupliquant le compte Administrateur. Toutefois, il est possible de supprimer certains droits à ces comptes dérivés afin de limiter leur action au niveau du système. Tous les comptes d'administrateur devraient avoir un mot de passe particulier.

InvitéCompte destiné à des utilisateurs temporaires ou occasionnels, et désactivé par défaut dans Windows NT/2000 4.0. Il est recommandé de le garder désactivé, car ce compte est une porte grande ouverte sur l'extérieur. Définir un compte invité anonyme pour tous les utilisateurs occasionnels est contraire aux règles élémentaires de sécurité système, à l'exception des sites publics. Il est préférable de créer un compte invité ou des comptes individuels à durée de vie limitée. Tout compte invité doit recevoir un mot de passe non modifiable.

SystèmePseudo compte d'utilisateur permettant de lancer des processus serveur et d'attribuer des permissions d'accès aux fichiers, mais ne permettant pas d'ouvrir de session réseau, ni d'accéder aux ressources et aux activités système.Lors de leur installation, certains utilitaires et programmes système génèrent des comptes d'utilisateur.


3.1.3 Les groupes définis par défaut

Administrateurs du domaineCe groupe global contient par défaut le compte Administrateur. Ses membres ont des droits d'administration sur le domaine. C'est pourquoi seuls des comptes d'administrateurs système peuvent lui être ajoutés.

Utilisateurs du domaineContient tous les comptes d'utilisateur globaux du domaine.

Opérateurs de comptes, opérateurs de sauvegarde, opérateurs d'impression et opérateurs de serveur.Groupes dont les privilèges se situent à mi-chemin entre Administrateurs et utilisateurs ordinaires. Chacun d'eux effectue une tâche administrative spécifique et, à ce titre, n'a accès qu'à certains services système. Par défaut, tous ces groupes sont vides.

DuplicateurGroupe utilisé par le service de duplication des répertories et des fichiers.

UtilisateurGroupe contenant les utilisateurs ordinaires et, par défaut, le groupe global.

Utilisateurs du domaineIl est toujours défini mais les comptes d'utilisateur n'y sont pas ajoutés par défaut. Son utilisation est laissée à la discrétion de l'administrateur.

InvitésGroupe conçu pour les comptes invités du domaine local et contenant, par défaut, le groupe global Invités du domaine. Les groupes Interactif, Réseau et Tout le monde sont destinés à définir des accès aux ressources et aux fichiers. Il est impossible de leur ajouter des membres. En revanche, ils désignent les utilisateurs connectés, les utilisateurs accédant à des fichiers par l'intermédiaire du réseau, et tous les utilisateurs non spécifiés dans les paramètres de permissions d'accès aux fichiers et ressources

3.2 Types de profilsUn profil utilisateur est un ensemble de paramètres permettant de personnaliser le bureau de

l'utilisateur et les différentes applications qu'il utilise.

Tout profil utilisateur comporte en particulier les éléments d'environnement suivants :

• Composants et apparence du bureau• Configuration de la barre des tâches et du menu Démarrer• Paramètres du panneau de configuration• Contenu du menu Programmes>Accessoires et paramètres associés• Paramètres des imprimantes réseau• Paramètres applicatifs• Signets de fichiers d'aide• …

Un profil personnalisé est créé dès que l'utilisateur modifie un ou plusieurs paramètres du profil Default User. Vous avez d'ailleurs la possibilité de mettre à jour le profil utilisateur par défaut, en fonction des besoins de votre réseau.


Depuis la version 4 de Windows NT, chaque profil utilisateur est désormais stocké dans une arborescence de répertoires contenant ses composants (par opposition aux versions précédentes où tout était stocké dans un seul fichier).

C:\>set | find /I "profile"ALLUSERSPROFILE=C:\Documents and Settings\All UsersUSERPROFILE=C:\Documents and Settings\tregouet

Le fichier User.Dat contient des paramètres destinés au registre de Windows.

II existe trois types de profils utilisateur:

• Les profils locaux sont limités à un ordinateur. • Les profils itinérants sont disponibles pour une ouverture de session à partir d'un poste quelconque

du réseau, à condition toutefois que le répertoire réseau de stockage des paramètres personnels soit disponible.

• Les profils obligatoires, sont des profils itinérants en lecture seule, donc non modifiables, dont les paramètres sont définis par l'administrateur. Ils sont stockés dans un répertoire du réseau. Si ce répertoire est inaccessible, l'utilisateur disposant d'un profil obligatoire n'aura pas le droit de se connecter au domaine.

Les profils itinérants et obligatoires sont copiés à partir du serveur lorsque l'utilisateur ouvre une session. Lors de la fermeture de session, les modifications apportées au profil itinérant sont transférés de la station sur le serveur.

Dans les attributs d'un compte utilisateur, le champ "chemin du profil de l'utilisateur" désigne le chemin d'accès complet au fichier du profil de l'utilisateur. Il se réfère à un répertoire local ou à un répertoire partagé du serveur. Optez pour un répertoire partagé si le même profil risque d'être utilisé sur plusieurs ordinateurs (profil itinérant): il en résultera cependant une charge supplémentaire sur le réseau à l'ouverture et à la fermeture de session.

3.3 Attributs des comptes d'utilisateur

L'utilisateur doit changer de mot de passe à la prochaine ouverture de sessionLorsqu'elle est sélectionnée, cette option oblige l'utilisateur à changer de mot de passe à la session suivante.

L'utilisateur ne peut pas changer de mot de passeLorsqu'elle est cochée, cette option interdit à l'utilisateur de modifier son mot de passe.

Le mot de passe n'expire jamaisLorsqu'elle est cochée, les paramètres d'expiration en vigueur dans le domaine ou le réseau ne s'appliquent pas à ce compte.

Compte désactivéLorsque cette option est cochée, le compte ne permet plus d'accéder aux ressources et aux fichiers du domaine ou du système.

Compte verrouilléCette case est cochée lorsque le compte est verrouillé (c'est-à-dire désactivé) par le système, ce qui se produit automatiquement lorsque le nombre maximal d'ouvertures de session infructueuses accepté pour le domaine ou le système a été dépassé (erreurs de mot de passe).

Seul l'administrateur système a le droit de déverrouiller le compte (en ôtant la croix figurant dans la case Compte désactivé).

La boîte de dialogue Caractéristiques de l'utilisateur vous permet d'indiquer le nom complet de l'utilisateur, sa description (facultatif), le mot de passe du compte et les paramètres de modification du mot de passe.


3.4 Gestion des groupes

3.4.1 Principes

Les groupes permettent de simplifier la gestion de l'accès des utilisateurs aux ressources du réseau. Les groupes permettent d'affecter en une seule action une ressource à un ensemble d'utilisateurs au lieu de répéter l'action pour chaque utilisateur.

Un utilisateur peu être membre de plusieurs groupes, et avec cependant certaines restrictions, relatives au type de groupe, un groupe peut contenir d'autres groupes.

Il y a deux emplacements où l'ont peut trouver des groupes d'utilisateurs : l'ordinateur (station, serveur membre ou autonome) et le contrôleur de domaine.

Groupes de l'ordinateur

Ces groupes permettent d'accorder des permissions uniquement au niveau de la machine. Dans le cas d'une machine non reliée à un domaine, il est possible d'y inclure uniquement des comptes locaux.

Les groupes locaux de l'ordinateur sont crées à l'aide de l'outil "Gestion de l'ordinateur", et le composant "Utilisateurs et groupes locaux".

Groupes du contrôleur du domaine

Ils sont utilisables sur l'ensemble des machines du domaine et permettent d'avoir une gestion centralisée de la hiérarchie des groupes. Ils peuvent contenir des utilisateurs du domaine et même d'autres domaines.

Les groupes de domaine sont crées à l'aide de l'outil d'administration "Utilisateurs et ordinateurs Active Directory" et cela dans n'importe quelle unité organisationnelle.

Les groupes globaux : Ils donnent accès aux ordinateurs et aux ressources du domaine actif et des domaines approuvés, mais ne peuvent contenir que des comptes d'utilisateur globaux. Tout groupe global contenant un compte local est assimilé à un groupe local.

Un groupe global a pour icône deux utilisateurs près d'un globe terrestre.

Les groupes locaux du domaine : ils ne sont reconnus que par le domaine auquel ils sont associés, et dont ils permettent d'exploiter les fichiers et les ressources. Comme les utilisateurs locaux du domaine, ces groupes ne sont pas admis dans d'autres domaines.

Peuvent être membres d'un groupe local de domaine : les comptes d'utilisateur du domaine local et ceux de n'importe quel domaine approuvé (donc en particulier des domaines de la même forêt).

En outre, un groupe global du domaine local peut appartenir à un tel groupe. L'inverse est impossible.

Un groupe local du domaine a pour icône deux utilisateurs à proximité d'un ordinateur .


Groupes de sécurité ou groupes de distribution

Il existe deux types de groupes dans Active Directory :

Les groupes de distribution : ils servent spécialement comme groupes destinataires des messages électroniques. Ils ne permettent pas d'affecter des ressources aux utilisateurs.

Les groupes de sécurité : permettent d'affecter des utilisateurs et des ordinateurs à des ressources. Ils peuvent aussi être utilisés comme groupes de distribution.

Ces deux types de groupes dans Active Directory gèrent chacun 3 niveaux d’étendue. Leurs fonctionnements vont dépendre du niveau fonctionnel du domaine qui peut varier entre mixte (coexistence avec des domaines Windows NT4) et natif 2003. Selon le mode fonctionnel les fonctionnalités des groupes changent :

Les plus du niveau fonctionnel « Windows 2000 natif » par rapport au niveau fonctionnel « Windows 2000 mixte »

- Les groupes universels

Ils sont utilisables pour les groupes de distribution ET les groupes de sécurité, en 2000 mixte, seuls les groupes universels de distribution sont autorisés.

Lorsque le niveau fonctionnel d'un domaine est en Windows 2000 natif, les membres des groupes universels peuvent être des comptes, des groupes universels, et des groupes globaux provenant de n'importe quel domaine.

- L'imbrication des groupes

En mode 2000 mixte, l'imbrication des groupes de distribution seule est autorisée, en 2000 natif, on peut imbriquer les groupes de sécurité également.

L'imbrication permet d'ajouter un groupe comme membre d'un autre groupe.

Les groupes universels de sécurité peuvent avoir comme membre des comptes d'utili-sateurs, des comptes d'ordinateurs, des groupes universels et des groupes globaux de n'importe quel domaine de la forêt (ou d'une autre forêt en fonction des relations d'approbation inter-forêt).

Les groupes globaux peuvent avoir comme membre des comptes d'utilisateurs ainsi que des groupes globaux faisant partie du même domaine


Les groupes de domaine locaux peuvent contenir des comptes d'utilisateurs, des groupes universels et des groupes globaux de n'importe quel domaine.

- conversion des groupes

Le mode 2000 natif autorise la conversion des groupes de sécurité, on peut passer de :

Global vers universel mais uniquement si le groupe global n'est pas membre d'un autre groupe global

Domaine local vers universel uniquement si le groupe ne contient pas comme membre un groupe de domaine local

Universel vers global uniquement si le groupe n'a pas comme membre un autre groupe universel

Universel vers domaine local il n'y a aucune restriction

http://www.laboratoire-microsoft.org/articles/win/Niveaux-Fonctionnels/2/

3.4.2 Les groupes par défaut possèdent des droits et des autorisation

Les groupes par défaut dans Active Directory sont stockés dans la base Active Directory et sont visibles via la console d'administration Utilisateur et ordinateur Active Directory dans les conteneurs « Builtin » et « Users ». Ils sont créées automatiquement lors de l'installation d'Active Directory.

Voici les rôles et les propriétés de quelques uns d'entre eux :

Opérateurs de compte : Les membres de ce groupe peuvent gérer les comptes utilisateurs.Opérateurs de serveur : Les membres de ce groupe peuvent administrer les serveur du domaine.Contrôleurs de domaine : Ce groupe contient tous les comptes d'ordinateurs des contrôleurs de domaine.Invités du domaine : Les membres de ce groupe vont bénéficier d'un profil temporaire.Utilisateurs du domaine : Contient tous les utilisateurs du domaine. Ordinateurs du domaine : Ce groupe contient tous les ordinateurs du domaine

Administrateurs du domaine : Ce groupe contient les utilisateurs administrateur du domaine.Administrateurs de l'entreprise : Ce groupe contient les administrateurs de l'entreprise. Permet de créer les relations d'approbations entre domaines.Administrateurs du schéma : Ce groupe contient les utilisateurs capables de faire des modifications sur le schéma Active Directory.


4 Procédures recommandées pour l'affectation des droits NTFS

4.1 Les groupes de sécurité dans un domaine ou une forêt

Diverses solutions sont possibles pour affecter les droits d'accès en utilisant les groupes de sécurité, le tableau suivant résume les "bonne pratiques" qui permettront de le réaliser de manière simple et efficace.

Stratégie recommandée pour les groupes dans un domaine unique

Stratégie recommandée pour les groupes dans un environnement à domaines multiples

• Ajoutez les comptes d'utilisateur aux groupes globaux

• Ajoutez les groupes globaux à un autre groupe global

• Ajoutez les groupes globaux à un groupe local de domaine

• Affectez les autorisations sur les ressources au groupe local de domaine

• Dans chaque domaine, ajoutez aux groupes globaux des comptes d'utilisateurs ayant la même fonction• Imbriquez des groupes globaux dans un seul groupe global pour intégrer les utilisateurs.Cette étape n'est utile que si vous gérez un grand nombre d'utilisateurs.

• Imbriquez des groupes globaux dans un groupe universel

• Ajoutez les groupes universels à un groupe local du domaine

• Affectez les autorisations sur les ressources au groupe local de domaine

4.2 Gestion de l'accès aux ressources

4.2.1 Contrôle d’accès

Le système de contrôle d’accès dans Windows 2003 est basé sur trois composants qui permettent la définition du contexte de sécurité des éléments du système. Ces trois éléments sont :

Les entités de sécurité

Les entités de sécurités peuvent être un compte utilisateur, un compte d’ordinateur ou un groupe. Ils permettent d’affecter l’accès à un objet en le représentant dans le système informatique.

Le SID

Toutes les entités de sécurité sont identifiées dans le système par un numéro unique appelé SID.

Ce SID est lié à la vie de l’objet, ainsi si l’on supprime un groupe et qu’on recrée un groupe portant le même nom juste après, celui-ci se verra attribuer un nouveau SID. L’ensemble des définitions de sécurité étant basé sur ce SID, les accès donné au groupe supprimé ne seront pas transféré au nouveau groupe, même si celui-ci porte le même nom.


Les DACL – Discretionary Access Control List (liste de contrôle d'accès discrétionnaires5)

Les DACL sont associées à chaque objet sur lequel on va définir un contrôle d’accès.Ils sont composées d’ACE (Access Control Entry) qui définissent les accès à l’objet.

Les ACE se composent de la façon suivante :

• Le SID de l’entité à qui l’on va donner ou refuser un accès• Les informations sur l’accès (lecture , écriture ..)• Les informations d’héritage• L’indicateur de type d’ACE (autoriser ou refuser)

A chaque tentative d’accès à une ressource, cette liste sera parcourue afin de déterminer si l’action voulue peut être réalisée. Si un compte utilisateur ou un groupe n'est pas répertorié dans la DACL, l'accès à la ressource est refusé.

Les autorisations Refuser sont prioritaires sur les autorisations Autoriser. Si une autorisation Refuser a été attribuée à un utilisateur ou à un groupe auquel il appartient, cette autorisation est refusée. Lorsqu’une autorisation est refusée, toutes les autorisations en relation avec celle-ci sont également refusées.

4.2.2 Autorisations standard ou spéciales

Les autorisations standard

Elles permettent de fixer le niveau d'accès qu'ont les entités de sécurité (comptes, groupes utilisateurs ou ordinateurs) sur une ressource.

Les ressources utilisant ce système d'autorisations pour réguler leurs accès sont multiples ( Registre , Fichiers, Imprimantes, Active Directory, ...)

Les autorisations spéciales

Les autorisations standard sont limitées aux actions de base sur un objet (ex : Lecture, Modifier, Contrôle Total, ...). Aussi pour pouvoir gérer de façon plus fine les autorisations vous avez accès via le bouton "Avancé" à une liste d'autorisations précisant les autorisations standard .

4.2.3 Autorisation sur les fichiers et dossiers NTFS 6

NTFS (New Technology File System) est le système de fichiers utilisé par la famille NT (Windows NT, 2000, 2003 et XP*), il est le successeur des systèmes FAT et FAT32 qui existaient dans les versions précédentes de Windows (MS-DOS, Windows 3.1, 95, 98 et ME). Le principal avantage qu'offre NTFS par rapport au système de fichiers FAT est la sécurité.

5 Le "pouvoir discrétionnaire" est la faculté donnée aux juges d'un tribunal de pouvoir décider, en certains cas, selon leur

appréciation personnelle.

6 source : http://astuces.microcoms.net/windows/dossiers/autorisations-NTFS.php#intro


Les principales fonctionnalités intrinsèques à NTFS sont :

- Définir des permissions d'accès aux répertoires et aux fichiers.- Performances accrues pour l'accès aux fichiers, la recherche et la récupération d'informations.- Gestion personnalisée de la quantité d'espace disque disponible pour chaque utilisateur (quota)

- Compresser les fichiers afin de réduire l'espace utilisé sur le disque.- Crypter des données stockées sur le disque.

Autorisations de base pour les dossiers NTFS :

Affichage du contenu du dossierL’utilisateur peut voir les noms des fichiers et des sous-dossiers du dossier, mais cette autorisation ne permet pas d’accéder aux fichiers et aux dossiers

LectureL’utilisateur peut voir les noms des fichiers et des sous-dossiers du dossier et afficher ses propriétés, notamment les autorisations, le propriétaire et les attributs de ce dossier

EcritureL’utilisateur peut créer de nouveaux fichiers et sous-dossiers au sein du dossier, modifier les attributs du dossier, afficher les autorisations ainsi que le propriétaire du dossier

Lecture et exécutionL’utilisateur peut effectuer toutes les actions autorisées par les autorisations Lecture et Affichage du contenu du dossier et peut également parcourir les sous-dossiers (se déplacer dans le dossier pour atteindre d’autres fichiers et dossiers situés plus bas dans l’arborescence)

ModificationL’utilisateur peut effectuer toutes les actions permises par les autorisations Ecriture et Lecture et exécution mais également supprimer le dossier

Contrôle totalL’utilisateur peut effectuer toutes les actions permises par les autres autorisations de base, attribuer des autorisations aux autres utilisateurs, devenir propriétaire du dossier et supprimer les sous-dossiers et les fichiers

Autorisations de base pour les fichiers NTFS :Autorisations

Tâches autorisées

LectureL’utilisateur peut lire le contenu du fichier et afficher ses propriétés, y compris ses autorisations, son propriétaire et ses attributs de fichier

EcritureL’utilisateur peut écraser le fichier complètement (mais pas modifier son contenu), modifier ses attributs de fichier, afficher ses autorisations et son propriétaire

Lecture et exécutionL’utilisateur peut effectuer toutes les actions permises par l’autorisation Lecture et exécuter des applications

ModificationL’utilisateur peut effectuer toutes les actions permises par les autorisations Ecriture, Lecture et exécution, modifier le contenu du fichier et supprimer ce dernier

Contrôle totalL’utilisateur peut effectuer toutes les actions permises par les autres autorisations de base, attribuer des autorisations aux autres utilisateurs, et devenir propriétaire du fichier


Utilisateurs et groupes autorisés par défaut dans un volume NTFSAutorisation attribuée

AdministrateursContrôle total à la racine, sur les sous-dossiers et les fichiers

Créateur PropriétaireContrôle total sur les sous-dossiers et les fichiers uniquement

Tout le mondeLecture et exécution à la racine uniquement

SYSTEMContrôle total à la racine, sur les sous-dossiers et les fichiers

Utilisateurs- Lecture et exécution à la racine, sur les sous-dossiers et les fichiers- Création de dossiers/Ajout de données à la racine et dans les sous-dossiers- Création de fichiers/Ecriture de données dans les sous-dossiers uniquement

Conseil : supprimez les groupes et utilisateurs autorisés par défaut et définissez votre liste d'ACE autorisées, en partant du plus restrictif au moins restrictif, pour ce qui est des actions permises sur la ressource.

4.2.4 Règles d’évaluation des autorisations effectives

- Les autorisations Autoriser de toutes les sources (utilisateurs et groupes) sont combinées, et l’utilisateur bénéficie du niveau d’autorisation le plus élevé.- Les autorisations Refuser supplantent les autorisations Autoriser.- Les autorisations sur un fichier supplantent les autorisations sur le dossier qui le contient - Si aucune source n’a attribué d’autorisation à l’utilisateur, (rien pour les groupes, rien pour l'utilisateur) alors l’accès est refusé.

- Héritage : par défaut les autorisations d'un dossier sont héritées pour les fichiers et sous-dossiers qu'il contient (mais on peut "couper" l'héritage)

4.2.5 Droits d'accès en cas de copies ou déplacement de fichiers

Les règles suivantes sont appliquées :

• Copie ou déplacement vers une autre partition NTFS : héritage des autorisations du nouvel emplacement

• déplacement dans la même partition NTFS : conservation des droits du fichier ou dossier déplacé

• Copie ou déplacement vers une partition non NTFS : suppression des autorisations NTFS


4.2.6 Autorisations sur les dossiers partagés

Un dossier sera accessible pour d'autres postes du réseau s'il a été "partagé" (voir Propriétés du dossier)Sous Windows, la propriété "partager" n'existe que pour les dossiers (pas pour les fichiers).

Les autorisations de dossier partagé permettent de définir des autorisations d'accès à des ressources parta-gées dans un réseau.

Autorisations de dossier partagéAutorisation

LectureL’utilisateur peut afficher les noms des fichiers et des dossiers, exécuter des applications, ouvrir et lire des fichiers de données, afficher les attributs des fichiers et des dossiers, et naviguer dans l’arborescence en aval du dossier partagé

ModifierL’utilisateur peut effectuer toutes les actions permises par l’autorisation Lecture et créer et supprimer des fichiers et des dossiers, modifier des fichiers, et modifier les attributs des fichiers et des dossiers

Contrôle totalL’utilisateur peut effectuer toutes les actions permises par l’autorisation Modifier, modifier les attributions d’autorisation, et s’octroyer la propriété des objets

Utilisateurs et groupes autorisés par défaut dans un partage NTFS :

Tout le mondeLecture et exécution à la racine uniquement

Evaluation des autorisations effectives dans le cas d'un dossier partagé

Lorsque des utilisateurs se connectent aux dossiers partagés situés sur des volumes NTFS, les autorisations de partage et les autorisations NTFS se combinent afin de contrôler les actions que l’utilisateur peut effectuer.

L’évaluation des autorisations effectives peut être rendue difficile lorsque les autorisations NTFS et les autorisations de partage sont toutes les deux impliquées.

L’évaluation des autorisations concernant les ressources situées dans un dossier partagé au sein d’une partition NTFS s'effectue en 3 étapes :

1. L’évaluation des autorisations NTFS effectives pour l’utilisateur.2. L’évaluation des autorisations de partage effectives pour l’utilisateur.3. L’analyse des résultats des étapes 1 et 2, puis la sélection du résultat le plus restrictif des deux. Ce

résultat sera l’autorisation effective de l’utilisateur quant au dossier partagé


5 Délégation d'administration

• Il sera possible de donner une délégation d'administration à un utilisateur ou à un groupe d'utilisateur sur une unité organisationnelle pour lui permettre par exemple de gérer les utilisateur de cette UO.

• Voir aussi § 2.2.4

6 Notes sur l'application des stratégies de groupe (GPO)

Les stratégies de groupes (group policy objects ou GPO) sont des autorisations ou des interdictions qui permettent de contrôler l'activité des utilisateurs.

Ces stratégies sont enregistrées dans l'annuaire Active Directory. Elles sont modifiables par l'outil d'administration « éditeur de stratégies de groupes », accessible

• sous Windows 2003 par les propriétés d'un domaine ou d'une UO • sous Windows 2008 par un outil spécifique de gestion des stratégies de groupe

Il existe 2 catégories de stratégies de groupes : • les stratégies d'ordinateur qui s'appliquent au moment du démarrage de la station • les stratégies d'utilisateur qui s'appliquent au moment du démarrage de la session de l'utilisateur

Les stratégies de groupe peuvent être « liées » à des sites, des domaines ou des Unités organisationnelle.

Ordre d'application des stratégies de groupe :1. site (1 seul site : celui dont on fait partie)2. domaine (1 seul domaine, celui dont on fait partie, pas d'héritage entre les domaines

parents-enfants d'une forêt)3. unités d'organisation (il y a héritage des stratégies de groupes si une UO est ioncluse dans

une autre UO)

On peut bloquer l'héritage au niveau UO ou domaine.Si plusieurs stratégies sont appliquées à la même UO, l'ordre est important: les stratégies sont appliquées de bas en haut : c'est donc la stratégies la plus haute qui est appliquée, car appliquée en dernier, dans le cas où le même paramètre serait défini différemment dans ces différentes stratégies

Les changements de stratégies de groupe sont répercutées • toutes les 5 minutes sur les contrôleurs de domaines• toutes les 90 minutes sur les stations• ou immédiatement si on utilise gpupdate /force


7 Bibliographie

sites Internet

• http://astuces.microcoms.net/windows/dossiers/autorisations-NTFS.php#NTFSeffectives

• http://www.malekal.com/gestion_fichiers_windows.php

• http://technet.microsoft.com/fr-fr/bb539981.aspx

• http://fr.wikipedia.org/wiki/Microsoft_Windows_Server_2008


http://fr.wikipedia.org/wiki/Microsoft_Windows_Server_2008

http://technet.microsoft.com/fr-fr/bb539981.aspx

http://www.malekal.com/gestion_fichiers_windows.php

http://astuces.microcoms.net/windows/dossiers/autorisations-NTFS.php#NTFSeffectives