Chapitre2

GESTION DES COMPTES

(UTILISATEUR, ORDINATEUR)
et GESTION DES GROUPES
 Comptes utilisateurs
• Comptes locaux
– (stockés sur les machines locales)

• Comptes sur le domaine

– (stockés sur Active Directory)
– Non modifiable en local
(Eg : changement du mot de passe) Windows Server 2003 Domain
 Convention de nom des comptes
utilisateurs
Nom Exemples
Le nom d’ouverture de etudiant
session (login)
Le nom d’ouverture de Usthb.dz/etudiant
session pré-windows
Le nom d’utilisateur etudiant@usthb.dz
principal
Le nom unique LDAP CN= etudiant, OU = users,
DC= usthb, DC= dz
Un login < 20 caractères, il est sensible à la casse et ne peut pas
contenir de caractères spéciaux comme : " / \ [ ] : ; | = , + * ? < >.
Nomenclature de création de compte
utilisateur
• Un login doit obligatoirement être unique
dans son domaine.
• Définir une nomenclature de création de login
prenant en compte :
– Les noms similaires (membres de la même famille)
– Les employés temporaires ou a contrat limité.
 Options des mots de passe
• L’utilisateur doit changer de mot de passe à la
prochaine ouverture de session : cette option
permet de définir un mot de passe temporaire
lors de la création d’un compte.

• L’utilisateur ne peut pas changer de mot de

passe
• Le mot de passe n’expire jamais
• Le compte est désactivé: désactiver un compte
sans le supprimer
 Création de compte d’utilisateurs
• via l’outil graphique d’administration
Utilisateurs et ordinateurs Active Directory
• démos\Creation_et_suppression_utilisateur_
AD.wmv
• Commande en ligne dsadd user (dsadd user
UserDomainName [-samid SAMName] [-upn
UPN] [-fn FirstName] [-ln LastName] [-display
DisplayName] [-pwd {Password|*}).
 Comptes d’ordinateurs
• Identifie un ordinateur dans un domaine.

• Les comptes d’ordinateur sont

particulièrement utiles pour la sécurité et la
gestion centralisée.
 Comptes d’ordinateurs
• Sécurité :
• Audits, IPSec, le déploiement de logiciels, les stratégies
de sécurité,….
• Management:
• Déploiement de logiciels
• Accès aux ressources
• Inventaire du hardware et du software.
Ou est ce que les comptes d’ordinateur
sont ils crées ?

Computers that join a domain are

created in the Computers container

Computer accounts can be moved to

or created in other organizational
units
Création de comptes d’ordinateurs
• via l’outil graphique d’administration Utilisateurs
et ordinateurs Active Directory
démos\Creation_et_suppression_compte_ordinateur_AD.wmv

• Dsadd computer ComputerDomainName …

• créer un compte d’ordinateur à partir du client
lorsque celui-ci se joint au domaine. Dans ce cas,
le compte d’ordinateur est créé dans le conteneur
Computer.
• Dsadd user ‘’cn=user1, ou=ou1, dc=usthb,
dc=dz’’ -pwd P@ssword123 –disabled no
 Modification des propriétés des
comptes d’utilisateur et d’ordinateur
• Modifier les propriétés d’un compte
utilisateur:
• Faciliter la recherche
• Permettre de centraliser des informations liées au
compte : téléphone, e-mail,……
• Modifier les propriétés d’un compte
ordinateur:
• Localisation
• Gérer par
Comment Modifier les propriétés des
comptes d’utilisateur et d’ordinateur
• via l’outil graphique d’administration
Utilisateurs et ordinateurs Active Directory
en double cliquant sur l’objet
• Commande en ligne dsmod [user | computer]
• Dsmod user ‘’cn=user1, ou=ou1, dc=usthb,
dc=dz ’’ –pwd nvpw
Les modèles des comptes utilisateurs
• Un modèle de compte est un compte
utilisateur générique contenant les
informations communes à tous les comptes
ayant le même rôle dans l’entreprise
• Une fois ce modèle de compte créé, il suffira
de le dupliquer à chaque création d’un
nouveau compte correspondant au rôle
• Ainsi le nouveau compte créé, héritera des
propriétés du modèle.
Les propriétés du modèles qui ne sont
pas copiées
Tab Propriétés copiées

Adresse Toutes sauf : rue

Comptes Toutes sauf : Nom d’ouverture

de session de l’utilisateur

Profil Toutes sauf : Chemin du profil et

Dossier de base

Organisation Toutes sauf : Titre

Membre de Toutes
 Activation et désactivation d’ un
compte utilisateur/ ordinateur
• Départ pour un certain temps
• Ajout de comptes pour un futur proche

• Lorsque l’on supprime un compte et que l’on

recrée ce compte, même avec des
informations strictement identiques, celui-ci
se voit affecter un nouveau SID. Il perd ainsi
l’ensemble de son contexte de sécurité.
Recherche dans Active Directory
 Critères de Recherche dans Active
Directory
•Type d’objet

•Location

•Propriétés
générales associées
a l’objet telle que :
nom, description

.
Requêtes sauvegardées
Importer et Exporter des Requêtes
Sauvegardées au format XML
 Gestion des groupes
•Les groupes permettent de simplifier la gestion de
l’accès des utilisateurs aux ressources du réseau.

•Les groupes permettent d’affecter en une seule

action une ressource à un ensemble d’utilisateurs au
lieu de répéter l’action pour chaque utilisateur.

•Un utilisateur peut être membre de plusieurs

.

groupes
 Emplacement des groupes
Il y a deux emplacements où l’on peut trouver les groupes :

• Groupes sur un ordinateur local

• Ils permettent d’accorder des permissions uniquement au niveau de la machine.

• Les groupes locaux sont créés à l’aide de l’outil Gestion de l’ordinateur, puis dans
le composant
enfichable Utilisateurs et groupes locaux.

• Groupes sur un contrôleur de domaine

• Ils sont utilisables sur l’ensemble des machines du domaine. Ils peuvent contenir
des utilisateurs du domaine et même d’autres domaines.

• Les groupes de domaine sont créés à l’aide de l’outil d’administration Utilisateurs

et ordinateurs Active Directory et cela dans n’importe quelle unité d’organisation
 Création de Groupe
• Nom : unique
• Etendue : sur le domaine local ou
globalement

• Type : groupe de sécurité ou de

distribution
 Type de Groupe
Il existe deux types de groupes dans Active Directory :

• Les groupes de sécurité : permettent d’affecter des

utilisateurs et des ordinateurs à des ressources. Se sont
des groupes pour lesquelles on accorde des
permissions;

• Les groupes de distribution : exploitables entre autres

via un logiciel de messagerie. Ils ne permettent pas
d’affecter des permissions sur des ressources aux
utilisateurs.
 Propriétés d’un groupe
• Paramètres généraux,Membres,Groupes du domaine dont il
est membre,Utilisateur gestionnaire
Groupes par défaut
Groupes par défaut
 Les étendues de groupe
L’étendue d’un groupe va permettre de limiter
l’accès à des ressources de la forêt.
Il existe trois types d’étendue de groupe :
• Domaine Local
• Globale
• Universelle
• Exemple : On pourra par exemple décider qu’un certain
nombre d’administrateurs pourront avoir accès à toutes les
ressources de la forêt (Groupe Universel) et que d’autres
administrateurs aient un accès à un domaine bien spécifique
(Domaine Local).
Groupes avec étendue de domaine
local.

Etendue : Visibles dans leur propre

domaine
 Groupes avec étendue globale

Etendue : Visibles dans leur domaine et

dans tous les domaines approuvés
Groupes avec étendue universelle

Etendue : Visibles dans tous les

domaines de la forêt
Convention de nommage des groupes

• Il est conseillé de toujours identifier l’étendue

voir le type de groupe en ajoutant une lettre
au début du nom du groupe.
• Exemple :
• G_nom : Groupe global
• U_nom : Groupe Universel
• DL_nom : Groupe de domaine local
Propriété Membre et Membre de
Group or Team Global Group Domain Local Group

Tom, Jo, and Kim G

Denver
Denver
Admins
Admins DL OU Admins

Member Of Members Member Of Members Member Of

G Denver Admins Tom, Jo, DL OU Admins
Denver OU G Denver Admins N/A
Kim Admins G Vancouver
Admins

Sam, Scott, and Amy G Vancouver Admins

Member Of Members Member Of

G Vancouver Admins Sam, DL OU Admins
Scott,
Amy
 Group Nesting
• Le Group nesting est l’ajout d’un groupe
comme membre d’un autre groupe.
Group Group
Group Group
Group

Groupes Universels: users, ordinateurs, groupes

universels et des groupes globaux de n’importe quel
domaine.
Groupes Globaux : users du même domaine et des
groupes globaux du même domaine.
Groupes de domaine local : users, groupes universels
et des groupes globaux de n’importe quel domaine et
même un groupe du domaine local du même
domaine.
 Group Strategies
DLLP
AG UPPDL
DL PP
User Accounts Global Groups Universal Groups Domain Local
User Global Universal Domain Local
Permissions
Groups
Accounts Groups Groups Groups
User
User
User Global Domain Local
Global Global Domain Local
Local Groups Permissions
Permissions
Permissions
Accounts
Accounts
Accounts Groups
Groups Groups Groups

A G U DL
A G U DL P
Permissions
User Local Groups
Global Group strategies:
Accounts Groups
AGP
A DL
G A GPU DL P
ADLP
AA GG LDL A G L PPP
A G DL P
AP G L
 AGP (Account, Global group,
Permission)
• Une forêt avec un seul domaine et peu
d’utilisateurs. Aucune extension n’est prévue
pour cette forêt.
• Avantages :
– Simple, les groupes ne sont pas « nester »
• Inconvénients :
– Test d’appartenance au groupe global avec la base
Active Directory doit se faire pour chaque membre
lors de l’utilisation d’une ressource.
 ADLP(Account, Domain Local group,
Permission
• Une forêt avec un seul domaine et peu
d’utilisateurs.
• Aucune extension n’est prévue pour cette forêt.
• Aucune machine du domaine est sous
WindowsNT.
• Avantages :
– Simple, les groupes ne sont pas « nester »
• Inconvénients :
– Elle ne permet pas de déléguer des permissions sur
des ressources en dehors du domaine.
– Réduit la flexibilité si le réseau s’agrandit.
 A G DL P (Account, Global group,
Domain Local group, Permission)
• Une forêt avec un ou plusieurs domaines.
• Des extensions peuvent être prévues pour
cette forêt.
• Avantages :
– Domaines sont flexibles.
• Inconvénients :
– La construction des groupes semble complexe au
départ, mais simple a administrer avec le temps.
A G DL P (Account, Global group,
Domain Local group, Permission)
 A G U DL P (Account, Global group,
Universel, Domain Local group,
Permission)
• Une forêt avec un ou plusieurs domaines.
• administration centralisée pour plusieurs
groupes globaux.
• Avantages :
– Foret est flexible.
– Administration centralisée.
• Inconvénients :
– Stockage et réplication.
A G U DL P (Account, Global group,
Universel, Domain Local group,
Permission)
 Exemple 1 :

• Contoso, Ltd., est une compagnie ayant un

domaine (Contoso) située à Paris, France. Les
managers de la compagnie Contoso ont
besoin d’avoir accès à l’inventaire de la base
de données pour leur travail. Que faut-il faire
pour s’assurer que les managers aient accès à
cet inventaire ?
 Exemple 2 :

• Contoso, Ltd à besoin de réagir rapidement à

la demande du marché. Les données de la
comptabilité doivent être disponibles pour
tout le personnel comptable. Contoso désire
créer une structure de groupe pour toute la
division comptabilité qui comporte deux
départements : relevés payables et relevés
imposables. Que faut-il faire pour assurer au
personnel comptable un accès à la donnée
avec un minimum d’administration.
 Exemple 3 :

• Contoso, Ltd., a connue une expansion vers le

sud des Etats unis et l’Asie. Elle comporte
désormais trois domaines. Vous devez garantir
l’accès à tous les IT managers depuis tous les
domaines de Contoso à un dossier partagé
nommé : IT_Admin tools se trouvant dans le
domaine Contoso de paris.
 Stratégie d’utilisation des groupes
dans un domaine unique A G DL P
• La stratégie recommandée pour les groupes
globaux et locaux dans un domaine unique est
la suivante :
• Ajoutez les comptes d’utilisateur aux groupes globaux.
• Ajoutez les groupes globaux à un autre groupe global
(dans le cas d’un environnement natif).
• Ajoutez les groupes globaux à un groupe de domaine
local.
• Affectez les autorisations sur les ressources au groupe
de domaine local.
Stratégie A G DL P (Account, Global
group, Domain Local group,
Permission)
Stratégie A G DL P (Account, Global
group, Domain Local group,
Permission)
 Stratégie d’utilisation des groupes
dans des domaines multiples
•
A G U DL P
Dans chaque domaine, ajoutez aux groupes globaux
des comptes d’utilisateurs ayant la même fonction.
• Imbriquez des groupes globaux dans un seul groupe
global pour intégrer les utilisateurs. Cette étape n’est
utile que si vous gérez un grand nombre d’utilisateurs.
• Imbriquez des groupes globaux dans un groupe
universel.
• Ajoutez les groupes universels aux groupes de domaine
local pour gérer l’accès aux ressources.
• Affectez aux groupes de domaine local des
autorisations appropriés sur les ressources.
 Stratégie A G U DL P (Account,
Global group, Universal group,
Domain Local group, Permission)
 Stratégie A G U DL P (Account,
Global group, Universal group,
Domain Local group, Permission)