1.

Comptes utilisateurs
Un compte utilisateur est un enregistrement dans une base de données qui
définit un utilisateur auprès de Windows 2003.
Cet enregistrement comporte le nom de l'utilisateur sous ses différentes formes,
son mot de passe, les groupes dont il est membre et d'autres informations
comme ses droits et autorisations.
Un compte utilisateur permet d'ouvrir une session dans un domaine ou sur
l'ordinateur sur lequel l'utilisateur travaille.

1.1. Utilisateurs de domaines

Avec un compte d'utilisateur de domaine, l'utilisateur peut ouvrir une session
pour accéder aux ressources autorisées du réseau. L'utilisateur fournit son nom
de compte et son mot de passe, Windows 2003 authentifie l'utilisateur et lui
renvoie un jeton d'accès qui contient les éléments relatifs à l'utilisateur et ses
paramètres de sécurité. Ce jeton d'accès permet à l'utilisateur d'accéder aux
différents ordinateurs sur lesquels se situent les ressources auxquelles il peut
parvenir.
Le compte utilisateur est stocké dans la base de données d'Active Directory,
l'Annuaire, présente sur les contrôleurs de domaine. La duplication des comptes
sur les différents contrôleurs est effectuée automatiquement, mais peut prendre
plusieurs minutes. Une remise à jour de la liste des comptes sur chaque
contrôleur de domaine est effectuée toutes les cinq minutes.

1.2. Utilisateurs locaux

Un compte d'utilisateur local (c'est-à-dire un utilisateur qui travaille
directement sur la machine sans passer par le réseau) permet d'ouvrir une
session uniquement sur l'ordinateur qui contient le compte de l'utilisateur créé.
Le compte est contenu dans une base de données locale et n'est pas dupliquée
sur d'autres ordinateurs.
Pour créer un compte d’utilisateur local sur une station, n'utilisez pas la console
"Utilisateurs et mots de passe" dans le panneau de configuration, mais la
console "Gestion de l’ordinateur", puis "Utilisateurs et groupes locaux".
(Sur une station ou un serveur autonome).
 Gestion de comptes d'utilisateurs locaux et de domaine.

1.3. Utilisateurs prédéfinis

Windows 2003 créé automatiquement des comptes utilisateurs appelés comptes
utilisateurs prédéfinis. Par exemple, Administrateur et Invité sont des
comptes d'utilisateur prédéfinis. Ces comptes ne peuvent être supprimés, par
contre, ils peuvent être renommés.

1.3.1. Administrateur
A des fins de sécurité, il est conseillé de renommer le compte Administrateur. Ce
compte permet de gérer l'ensemble de la configuration des ordinateurs et du
domaine et en particulier la création, modification et suppressions des comptes
d'utilisateurs et de groupes. Ce compte ne peut être désactivé, sauf si vous avez
au préalable créé un utilisateur équivalent.
C’’st donc la personne qui possède le plus de privilèges sur le micro.
Le résumé de ses fonctions est :
 La gestion des comptes d’utilisateurs et des comptes de groupes
 La gestion des stratégies de groupes
 La création de dossiers et l’installation de fichiers ou d’applications sur le
disque dur
 La modification logicielle du système d’exploitation
 L’installation et la configuration de l’imprimante
 La gestion des ressources partagées (création, droits ..)
 La sauvegarde et restauration des données …
Nota : il est vivement conseillé de renommer l’Administrateur car il
sera plus difficile à une personne malveillante de trouver le mot de passe
d’un compte lorsqu’on ne connaît pas le nom du compte.
Il est possible à partir des stratégies de groupe ou du registre de ne pas
afficher le nom du dernier utilisateur ayant ouvert une session.

1.3.2. Invité
Ce compte d'utilisateur prédéfini permet d'autoriser des utilisateurs occasionnels
à ouvrir une session et à accéder aux ressources autorisées. Par défaut, ce
compte est désactivé et doit être doté d'un mot de passe. Par mesure de
sécurité, il est conseillé de laisser ce compte désactivé, s'il n'est pas utilisé.

Le compte Invité est désactivé par défaut.

Comptes d'utilisateurs prédéfinis ou créés par les applications.

1.4. Création d’un compte d’utilisateur sur un

ordinateur local
Se fait en utilisant la console Gestion de l’ordinateur et l’extension
Utilisateurs et groupes locaux

Création d’un compte utilisateur

 Création d’un compte utilisateur

• Nom d’utilisateur (Obligatoire): nom saisi par l’utilisateur pour entrer en

session. (< 20 caractères).
• Nom détaillé : C'est le nom complet de l'utilisateur. (utilisé à des fins
administratives)
• Description: indique la fonction de l’utilisateur, sa situation géographique
• Mot de passe et confirmer le mot de passe : A la création du compte,
l’administrateur peut définir un mot de passe qu’il devra communiquer à
l’utilisateur. Ils n’est jamais visible m^me par un administrateur.
• Options de mot de passe: précisent comment le mot de passe de
l'utilisateur doit être changé.
– L'utilisateur doit changer le mot de passe à la prochaine
ouverture de session
• Concerne la majorité des utilisateurs.
• Lorsque le compte est créé par l'administrateur, ce dernier
force le mot de passe d'ouverture de session.
• Obliger l'utilisateur à le changer immédiatement garantit que
l'administrateur n'en aura plus connaissance et ne pourra pas
utiliser l'identité de l'utilisateur. (règles sur mot de passe)
– L'utilisateur ne peut pas changer le mot de passe (compte
sensible ..)
• Utilisé pour les comptes partagés par plusieurs utilisateurs.
Garantir qu'un utilisateur ne peut pas changer le mot de
passe, c'est s'assurer que les autres auront toujours accès à
ce compte.
– Le mot de passe n'expire jamais
• Option outrepasse les paramètres de la Stratégie de Compte.
(par défaut les mots de passe expirent après 42 jours, option
définie dans la stratégie de sécurité locale ou du domaine).
Utilisé pour certains comptes qui ne sont pas souvent
utilisés. (compte système ou compte de secours pour
l'administrateur). Lorsque le compte a expiré l’utilisateur est
invité à le changer lors de l’ouverture de session.
– Le compte est désactivé
 • Permet d'interdire l'accès aux ressources pour un compte
particulier. Les comptes des utilisateurs momentanément
absents doivent être désactivés. Un compte désactivé est
marqué par une croix rouge sur son icône.

1.5. Modifier un compte sur un ordinateur local

Dés que vous venez de créer un compte local il sera visible dans la liste des
utilisateurs de la console Gestion de l’ordinateur dans la rubrique Utilisateur.
Pour modifier les paramètres d’un utilisateur il vous suffit de le sélectionner puis
à partir du menu Action – Propriétés (menu contextuel).
L’option le compte est verrouillé apparaît en grisé. Cette option sera active avec
la mise en place d’une stratégie de groupe qui indiquera de désactiver le compte
après un trop grand nombre de tentatives infructueuses d’ouverture de session.

Modifier un compte utilisateur

• Général: vous permet de modifier les options de base

• Membre de: permet de connaître de quel(s) groupe(s) l’utilisateur fait
partie.
• Profil: indique le chemin pointant sur le profil de l’utilisateur.
• Environnement, Sessions, Contrôle à distance et Profil de services
Terminal Server: permettent le paramétrage des propriétés de
l’utilisateur lors de l’ouverture de session Terminal Server.
• Contrôle à distance : permet d’indiquer si la session de l’utilisateur est
sous le contrôle du service Terminal à distance.
• Appel entrant : permet de contrôler la façon dont le compte sera gérer
lors des accès réseau à distance ou VPN.
Cette fenêtre ne vous donne pas la possibilité de définir le mot de passe
ou de renommer un compte utilisateur. Pour renommer, supprimer un
compte d’utilisateur ou modifier un mot de passe utilisateur vous devez le
sélectionner puis Action – Renommer – Action – Supprimer – Action
– Définir le mot de passe (ou via le menu contextuel).
 • Renommer un compte ne vous fait pas perdre les informations rattachées
à ce compte (permissions, droits …)
• si vous renommez un compte utilisateur, les informations rattachées à ce
compte ne sont pas perdues (appartenance aux groupes, permissions ..)
• Le numéro d’identification de sécurité (SID) est unique et n’est pas
modifié.
• Modification du nom de Login, mais pas du SID (n° identification de
sécurité)
• S-1-6-56-34634…/……
•

1.6. GESTION ET CONFIGURATION DES COMPTES

UTLISATEURS DANS UN DOMAINE

Tout utilisateur souhaitant se connecter sur le réseau et avoir accès à ses

ressources doit avoir un compte d’utilisateur de domaine.

Rappels : Comme nous l’avons vu précédemment lorsqu’un utilisateur se

connecte au domaine, les informations d’ouverture de session sont envoyées à
un contrôleur de domaine pour qu’elles soient comparées avec celles contenues
dans la base d’annuaire Active Directory. Dés l’identification validée l’utilisateur
pourra accéder à toutes les ressources correspondantes à ses permissions.

1.6.1. Compte d’utilisateur de domaine

Dans le but de créer de nouveaux utilisateurs, vous devez prendre en compte les
trois points suivants :
 Respecter les conventions de dénominations de comptes utilisateurs
 Planifier la configuration des mots de passe
 Définir les options de comptes
Comme pour la base locale il existe plusieurs comptes et groupes prédéfinis
dans la base Active Directory. Parmi ces utilisateurs on retrouve bien
évidemment Administrateur et Invité.

Conventions de noms
 Noms d'utilisateurs uniques : Il peut exister 2 noms relatifs dans un même
domaine, mais pas dans une même UO. Par contre, il ne peut pas y avoir 2
noms uniques dans un même annuaire.

Noms uniques et noms uniques relatifs.

 La longueur maximale du nom est de 20 caractères en majuscules ou

minuscules. La casse n'est pas prise en compte.
 Certains caractères sont interdits / \ [ ] : ; , + * , < >
Mot de passe
 Il faut systématiquement attribuer un mot de passe à l'administrateur.
 Il faut déterminer si ce sont les administrateurs ou les utilisateurs qui gèrent
les mots de passe. En général, ce sont ces derniers qui gèrent leur mot de
passe, mais l'administrateur peut les obliger à en changer de manière
régulière.
 Les mots de passe doivent être difficiles à deviner pour un intrus éventuel.
 La longueur des mots de passe peut atteindre 128 caractères, une longueur
de 5 caractères minimum est recommandée.
Désormais W2003 comprend des options pour créer des contrôles de
mots de passes supplémentaires. Ces options sont accessibles dans des
filtres de mots de passe pouvant être installés sur un contrôleur de
domaine.

Exemple de paramètres possibles :

 Les mots de passe doivent comporter au moins 6 caractères
 Le nom de l’utilisateur ou même une partie de ce nom, ne doit pas
apparaître dans le mot de passe.
 Les mots de passe doivent employer trois des quatre types de caractères
disponibles : minuscules, majuscules, chiffres et symboles.
Pour appliquer ces règles il faut activer la stratégie Le mot de passe doit
respecter des exigences de complexité.

1.6.2. Création d’un compte utilisateur de domaine

La création de compte d’un domaine se réalise à partir de la console
Utilisateurs et Ordinateurs Active Directory. Un utilisateur peut être créé
 dans n’importe quel conteneur. Il suffit de sélectionner l’OU ou le
conteneur système cible et à partir du menu contextuel valider Action –
Nouveau – Utilisateur.

Création compte utilisateur de domaine

Nota : On peut remarquer la création de l’User krbtg qui est un compte

ne pouvant être activé. Il est utilisé par le protocole d’authentification
Kerberos qui utilise sont mot de passe pour des fonctions de cryptage.
(Nécessite d’activer Fonctionnalités avancées du menu Affichage)

Création compte utilisateur de domaine – 2

• Prénom, Initiales, Nom : champs permettant de renseigner les

prénoms, initiales et nom de famille de l’utilisateur.
• Nom complet : nom complet de l'utilisateur, Il est obligatoire et Unique
dans le conteneur (U.O) ou l'on crée le compte. Ne doit pas dépasser 64
caractères. Si les champs précédents ont été renseignés, il contient par
défaut les champs PRENOM + INITIALES + NOM. Il peut être modifié de
façon indépendante des noms précédents.
• Nom d'ouverture de session de l'utilisateur : UPN (User Principal
Name) : Zone de gauche dans laquelle on renseigne le nom d'ouverture de
session de l'utilisateur et une zone indiquant le nom de domaine dans
lequel on crée l'utilisateur. Les deux réunis constituent le nom principal
d'utilisateur, permettant d'ouvrir une session avec ce nom
(ex :maurice@afpa.fr). Obligatoire et unique dans la forêt.
• Nom d'ouverture de session de l'utilisateur (avant l'installation de
Windows 2000) : nom que devra saisir un utilisateur voulant ouvrir une
session d'une station NT4 par exemple. Il doit être unique dans le
domaine.

Création d'un utilisateur de domaine - 3

• Mot de passe et Confirmer le mot de passe : L’administrateur peut

donner un mot de passe à l’utilisateur
• L'utilisateur doit changer le mot de passe à la prochaine ouverture
de session: Concerne la majorité des utilisateurs. Lorsque le compte est
créé par l'administrateur, ce dernier force le mot de passe d'ouverture de
session. Cela oblige l'utilisateur à le changer immédiatement. Cela garantit
que l'administrateur n'en aura plus connaissance et ne pourra pas utiliser
l'identité de l'utilisateur.
• L'utilisateur ne peut pas changer le mot de passe (compte sensible
..) : Utilisé pour les comptes partagés par plusieurs utilisateurs. Cela
garanti qu'un utilisateur ne peut pas changer le mot de passe, et c'est
s'assurer que les autres auront toujours accès à ce compte.
• Le mot de passe n'expire jamais : Option qui outrepasse les
paramètres de la Stratégie de Compte. Utilisé pour certains comptes qui
ne sont pas souvent utilisés. (compte système ou compte de secours pour
l'administrateur).
• Le compte est désactivé : Permet d'interdire l'accès aux ressources pour
un compte particulier. Les comptes des utilisateurs momentanément
absents doivent être désactivés

Il est possible d’utiliser la création en ligne de commande d’un compte

utilisateur. Pour cela entrez la commande :
User cn=utilisateur, ou=unité_organisationelle, dc=domaine.

1.6.3. Propriétés d’un compte utilisateur

Sélectionnez l’utilisateur puis Action – Propriétés (menu contextuel)
 Propriétés compte de domaine

• Propriétés personnelles sont les attributs des utilisateurs. (@dresse,

n° téléphone, e_mail …). Ces Informations sont stockées dans la Base
d’annuaire. Elles permettent de localiser un utilisateur dans AD.
• Environnement, Sessions, Contrôles à Distance, profiles de
services Terminal Server sont utilisées pour le service Terminal Server.
• Certificats publiés: gère les certificats de l’utilisateur
• Membre de: Groupe auquel appartient l’utilisateur.
• Appel entrant: Paramétrage de l’utilisateur d’accès distant.
• Objet: Informations sur les dates de création, modification de l’objet et
affichage du N° USN.
• Sécurité: droits d’accès sur l’objet utilisateur.
• Général: infos générales de type nom, prénom….
• Adresse, Téléphone, Organisations: Infos de types générales sur
l’utilisateur
 Enregistrer le mot de passe en utilisant un cryptage réversible:
permet à un utilisateur de MAC d’ouvrir une session.
 Une carte à puce est nécessaire pour ouvrir une session
interactive.
 Le compte est approuvé pour la délégation: Permet à un service
exécuté au moyen de ce compte d'effectuer des opérations au nom
d'autres comptes d'utilisateurs du réseau.
 Le compte est sensible et ne peut être délégué: s’il n’est pas
souhaitable d’utiliser la délégation pour ce compte pour des raisons de
sécurité.
 Utiliser les types de cryptage DES pour ce compte.
 La pré authentification Kerberos n’est pas nécessaire: dans le cas
de certaines implémentations différentes de Kerberos.