11. Introduction à l'administration NT 11.1 Tâches d administration Administration des comptes : création et gestion des comptes d utilisateurs et de groupes Administration des imprimantes : configuration des imprimantes locales et réseaux Administration de la sécurité : application de la politique de sécurité pour la protection des données Contrôle des événements et des ressources : suivi de la sécurité (audit) et de l utilisation des ressources pour prévoir la montée en puissance du système Sauvegarde et restauration des données : mise en exécution du plan de sauvegarde et vérification de la restauration Année 2001 DESS CCI - Cours Windows NT 1
11. Introduction à l'administration NT 11.2 Outils d administration NT Sur tout NT Serveur : le gestionnaire de serveur (srvmgr.exe) Sur tout contrôleur de domaine : le gestionnaire des utilisateurs pour les domaines (usrmgr.exe) Sur tout NT non contrôleur de domaine : le gestionnaire des utilisateurs (musrmgr.exe) Sur tout NT : le gestionnaire de sauvegarde (ntbackup.exe), l observateur d événements (eventvwr.exe), les Diagnostics Windows NT, des assistants d administration. Ressource Kit Windows NT : divers outils d administration supplémentaires possibilité d installer les outils d administration NT Serveur sur NT Workstation ou Windows 9x Année 2001 DESS CCI - Cours Windows NT 2
11. Introduction à l'administration NT 11.2 Outils d administration NT Administration centralisée : tous les outils d administration disposent d une option Domaine ou Ordinateur, qui permet de sélectionner le domaine ou l ordinateur à administrer (à condition que l utilisateur dispose de droits d administration). Exemples : le Gestionnaire des utilisateurs pour les domaines peut être utilisé depuis n importe quelle machine pour administrer les comptes de n importe quel domaine l observateur d événement peut être utilisé depuis n importe quelle machine pour lire le journal des événements de n importe quelle autre machine Année 2001 DESS CCI - Cours Windows NT 3
11. Introduction à l'administration NT 11.3 Services d annuaire : Enjeux Pour l utilisateur : «un utilisateur, un compte» : l utilisateur dispose d un seul compte et mot de passe pour accéder à toutes les ressources du domaine grâce aux relations d approbations, ce même compte est utilisé pour accéder aux ressources de tous les domaines de l entreprise (accès universel aux ressources) Pour l administrateur : gestion des comptes et des ressources de son domaine à partir d un emplacement centralisé possibilité de prendre en charge la gestion d autres domaines Année 2001 DESS CCI - Cours Windows NT 4
11. Introduction à l'administration NT 11.3 Services d annuaire : Éléments constitutifs Éléments du réseau : stations de travail (NT Wks, Windows 9x, ) serveurs membres (NT Server) contrôleurs de domaines (NT Server) Domaine : regroupement logique d ordinateurs et d utilisateurs dans une même entité administrative caractéristiques : un contrôleur principal de domaine (CPD ou PDC) plusieurs contrôleurs secondaires de domaine (CSD ou BDC) Année 2001 DESS CCI - Cours Windows NT 5
11. Introduction à l'administration NT 11.3 Services d annuaire : Éléments constitutifs Bases d annuaire sur tout contrôleur de domaine : base du domaine La copie principale réside sur le CPD ; elle est répliquée régulièrement sur les CSD. sur tout ordinateur Windows NT (Serveur ou Workstation) : base locale Relation d approbation liaison logique unidirectionnelle, non transitive, qui combine les domaines en une seule unité administrative permet à un domaine (l approuvant) d accepter des comptes d utilisateurs résidant dans un autre domaine (l approuvé), et permet à ces comptes «distants» d utiliser des ressources locales Année 2001 DESS CCI - Cours Windows NT 6
Domaine A (approuvant) Europe Domaine B (approuvé) Etats-Unis CPD Ordinateurs NT (Serveur ou WS) CSD CPD Relation d approbation Base locale répliqua ts de la base du domaine CSD Année 2001 DESS CCI - Cours Windows NT 7
11. Introduction à l'administration NT 11.3 Services d annuaire Illustration des relations d approbation : compte unique Cas d une multinationale avec 2 domaines : Europe et États-Unis. Une personne travaille aux États-Unis. Elle a donc un compte créé dans le domaine américain. Lorsqu elle voyage en Europe et qu elle ouvre une session sur le domaine européen avec son compte, le CPD Europe transmet la demande au CPD américain au travers de la relation d approbation. Le CPD Europe (approuvant) fait confiance en la réponse du CPD américain (approuvé) et valide ainsi la session. Année 2001 DESS CCI - Cours Windows NT 8
11. Introduction à l'administration NT 11.3 Services d annuaire Illustration des relations d approbation : accès universel aux ressources L utilisateur du domaine Américain ouvre une session sur son domaine et accède à une ressource du domaine Européen. L un des contrôleurs du domaine Européen contacte un contrôleur de domaine Américain pour vérifier si l utilisateur dispose d un compte valide. Si le contrôleur du domaine Américain valide l utilisateur, le serveur (Européen) disposant des ressources accédées vérifie que l utilisateur du domaine Américain dispose des permissions nécessaires. Année 2001 DESS CCI - Cours Windows NT 9
11. Introduction à l'administration NT 11.4 Modèle de sécurité Sécurité en 2 temps : 1) Authentification = ouverture de session sur la machine locale sur le domaine sur un domaine approuvé 2) Utilisation de ressources au travers de permissions d accès Année 2001 DESS CCI - Cours Windows NT 10
11. Introduction à l'administration NT 11.4 Modèle de sécurité Ouverture de session sur un domaine : L ordinateur sur lequel la session est ouverte interroge le contrôleur de domaine le plus proche : CPD ou CSD. Il faut positionner les CSD à des endroits stratégiques, en fonction du nombre d utilisateurs ; en général, au moins un par sous-réseau. Les CSD ont un rôle actif dans la gestion du domaine et sont généralement plus sollicités que le CPD. Année 2001 DESS CCI - Cours Windows NT 11
11. Introduction à l'administration NT 11.4 Modèle de sécurité Protection des ressources : Ressource = tout objet mis à disposition par un serveur sur le réseau (serveur membre) : fichier, répertoire, imprimante, application, Basée sur les ACL (Access Control List) : Toute ressource dispose d une liste d ACE : { utilisateurs / groupes Permission } Différent du modèle Unix Année 2001 DESS CCI - Cours Windows NT 12
11. Introduction à l'administration NT 11.4 Modèle de sécurité Un contrôleur de domaine : contient la base des comptes (annuaire) authentifie les utilisateurs à l ouverture de session Un serveur membre : stocke une liste d accès pour chaque ressource utilise l annuaire du domaine pour constituer ces listes vérifie qu un utilisateur qui demande l accès à une ressource : est bien authentifié (en interrogeant le contrôleur de domaine) dispose des permissions nécessaires (en consultant la liste d accès de la ressource) Année 2001 DESS CCI - Cours Windows NT 13
11. Introduction à l'administration NT 11.4 Modèle de sécurité Cas d une ouverture de session locale : Utilisation de la base locale l utilisateur peut utiliser des ressources locales La session n est pas authentifiée sur le domaine l utilisateur ne peut pas accéder aux ressources du réseau Année 2001 DESS CCI - Cours Windows NT 14
12. Comptes d utilisateurs 12.1 Présentation Comptes créés : requis pour chaque utilisateur permet l accès aux ressources autorisées Compte Invité : compte prédéfini, désactivé par défaut permet un accès anonyme et limité aux ressources Compte Administrateur : compte prédéfini permet la gestion du domaine et des ordinateurs Année 2001 DESS CCI - Cours Windows NT 15
12. Comptes d utilisateurs 12.2 Emplacement des comptes Compte d utilisateur de domaine Localisé dans la base d annuaire du domaine, qui se situe sur le contrôleur principal de domaine. Elle est dupliquée sur les contrôleurs secondaires. Créé avec le gestionnaire des utilisateurs pour les domaines Compte d utilisateur local Localisé sur la base d annuaire locale d un ordinateur Windows NT (Server ou Workstation) Créé avec le gestionnaire des utilisateurs Année 2001 DESS CCI - Cours Windows NT 16
12. Comptes d utilisateurs 12.3 Attributs des comptes Convention de nomenclature : Établit la méthode d identification des utilisateurs. Elle doit être homogène pour faciliter la mémorisation et la recherche. Elle doit tenir compte des cas d homonymie. Les noms de comptes doivent être uniques. Les comptes de domaines doivent être uniques sur le domaine Les comptes locaux doivent être uniques sur l ordinateur local Jusqu à 20 caractères, à l exception de : / \ [ ] :. =, + *? < > A l usage, pas de différence minuscule/majuscule Année 2001 DESS CCI - Cours Windows NT 17
12. Comptes d utilisateurs 12.3 Attributs des comptes Mots de passe : Affecter un mot de passe à tous les comptes, en particulier au compte Administrateur Déterminer qui contrôle le mot de passe : l utilisateur contrôle son propre mot de passe : dans ce cas, on peut le forcer à changer son mot de passe à la prochaine ouverture de session l administrateur contrôle les mots de passe des utilisateurs : dans ce cas, on peut interdire la modification du mot de passe par l utilisateur L administrateur doit apprendre aux utilisateurs à constituer un mot de passe sûr : pas de termes personnels (nom, date de naissance), pas de mots provenant d un dictionnaire Année 2001 DESS CCI - Cours Windows NT 18
12. Comptes d utilisateurs 12.3 Attributs des comptes Restrictions d accès : Restriction horaire : on peut restreindre les heures et les jours d accès Restriction de station de travail : on peut définir sur quelles stations de travail (jusqu à 8), un utilisateur peut ouvrir une session Expiration Il est possible de donner une date d expiration pour un compte : le compte n est plus valide à partir de cette date (utile pour les comptes temporaires). Année 2001 DESS CCI - Cours Windows NT 19
12. Comptes d utilisateurs 12.4 Création d un compte Avec le Gestionnaire des utilisateurs (pour le domaine) : Informations de compte : Utilisateur : nom du compte Nom détaillé et description (facultatif) Mot de passe + confirmation : apparaissent sous forme de 14 astérisques Options de mot de passe : L utilisateur doit changer son mot de passe à la prochaine ouverture de session L utilisateur ne peut pas changer de mot de passe Le mot de passe n expire jamais : cette option a priorité sur «l utilisateur doit changer son mot de passe» et sur la date d expiration du mot de passe (voir le chapitre Stratégie de comptes) Compte désactivé : empêche temporairement l utilisation d un compte Année 2001 DESS CCI - Cours Windows NT 20
12. Comptes d utilisateurs 12.4 Création d un compte Année 2001 DESS CCI - Cours Windows NT 21
12. Comptes d utilisateurs 12.5 Environnement de travail Dossier de base Dossier privé où un utilisateur peut stocker ses fichiers. Il sera utilisé comme dossier par défaut dans les applications. Peut être stocké : sur un serveur fichiers centralisés pour un accès universel et pour la sauvegarde augmente le trafic réseau sur l ordinateur de l utilisateur difficultés d accès depuis d autres postes sauvegarde à la charge de l utilisateur n augmente pas le trafic réseau Année 2001 DESS CCI - Cours Windows NT 22
12. Comptes d utilisateurs 12.5 Environnement de travail Script d ouverture de session exécution d un script à l ouverture de la session : fichier de commande (.bat ou.cmd) ou fichier exécutable (.exe) Profils d utilisateur définit les éléments de l environnement de travail : connexions réseau et imprimantes, configuration de l affichage, configuration du bureau et du menu démarrer, un profil est automatiquement créé pour chaque utilisateur, dans le répertoire : racine_nt\profiles\nom_utilisateur Année 2001 DESS CCI - Cours Windows NT 23
12. Comptes d utilisateurs 12.5 Environnement de travail Contenu d un profil : Bureau : dossier contenant les éléments présents sur le bureau Menu Démarrer : dossier contenant les éléments du menu Démarrer Personnel : dossier personnel à l utilisateur, quand pas de dossier de base Recent : dossier contenant la rubrique «Documents» du menu Démarrer SendTo : dossier contenant le menu «Envoyer vers» Voisinage d impression : dossier contenant les imprimantes installées Voisinage réseau : dossier contenant les connexions de lecteurs réseau Ntuser.dat : fichier (ruche) contenant les paramètres de configuration du registre propres à l utilisateur. Il sera appliqué à la clé HKEY_CURRENT_USER à l ouverture de session. Année 2001 DESS CCI - Cours Windows NT 24
12. Comptes d utilisateurs 12.5 Environnement de travail Profils errants : Un profil est stocké sur la machine locale où l utilisateur se connecte. Il aura donc un profil différent sur chaque ordinateur. Pour permettre à un utilisateur d avoir le même profil quel que soit l endroit où il se connecte, il faut utiliser un profil errant : le profil est stocké non plus sur l ordinateur local, mais sur un serveur il est recopié du serveur sur l ordinateur local à chaque ouverture de session Année 2001 DESS CCI - Cours Windows NT 25
12. Comptes d utilisateurs 12.5 Environnement de travail Profils errants : Il y a deux types de profils errants : profil errant personnel : l utilisateur peut modifier son profil le profil est sauvegardé depuis l ordinateur local vers le serveur à la déconnexion. profil errant obligatoire : il a été pré-configuré par l administrateur et ne peut pas être modifié par l utilisateur il n est pas recopié sur le serveur à la déconnexion le même profil peut être utilisé pour plusieurs utilisateurs Année 2001 DESS CCI - Cours Windows NT 26
12. Comptes d utilisateurs 12.5 Environnement de travail Création d un profil errant : Création d un compte qui sert de modèle : créer un compte modèle et ouvrir une session avec ce compte un profil est automatiquement créé dans : racine_nt\profiles configurer l environnement fermer la session et ouvrir une session en administrateur Copier le profil ainsi créé dans un dossier réseau : Utiliser le programme Système du panneau de config, onglet Profils utilisateurs Utiliser la fonction Copier vers pour recopier le profil modèle vers l emplacement réseau ; rajouter le droit d utilisation aux utilisateurs Pour rendre le profil errant obligatoire, renommer sur le serveur le fichier Ntuser.dat en Ntuser.man Année 2001 DESS CCI - Cours Windows NT 27
Remarques : il n est pas possible de copier un profil sans utiliser la fonction Copier vers, en recopiant simplement le répertoire du profil avec l explorateur ne pas oublier d affecter les permissions aux utilisateurs du profils Année 2001 DESS CCI - Cours Windows NT 28
12. Comptes d utilisateurs 12.5 Environnement de travail Définition d un environnement utilisateur : Remarque : dans le profil ou le répertoire de base, la variable %username% sera substituée par le nom de l utilisateur Année 2001 DESS CCI - Cours Windows NT 29
12. Comptes d utilisateurs 12.6 Conseils pour la gestion des comptes Pour une sécurité maximale : renommer le compte Administrateur n utiliser le compte d administration que pour des tâches administratives ne pas activer le compte Invité affecter des mots de passe initiaux aléatoires forcer les utilisateurs à modifier leur mot de passe à la première ouverture de session apprendre aux utilisateurs à utiliser des mots de passe sûrs Pour le confort d utilisation : utiliser les profils errants et les répertoires de base sur serveur Année 2001 DESS CCI - Cours Windows NT 30
13. Comptes de groupes 13.1 Intérêt des groupes Un groupe est une collection de comptes d utilisateurs Les membres d un groupe disposent de toutes les permissions du groupe Les groupes simplifient l administration en donnant un moyen simple d attribuer simultanément les mêmes propriétés à plusieurs utilisateurs Par exemple, si plusieurs utilisateurs doivent pouvoir lire un fichier, on les affecte à un même groupe. La permission de lecture n est affectée qu une seule fois au groupe, et non à chaque utilisateur. Année 2001 DESS CCI - Cours Windows NT 31
13. Comptes de groupes 13.2 Types de groupes Groupes locaux : servent à donner aux utilisateurs des permissions à une ressource locale, ou des droits d administration sont créés dans la base d annuaire locale de la machine contenant la ressource Groupes globaux : servent à organiser les comptes d utilisateurs de domaine, selon leur fonction ou leur localisation géographique sont créés dans la base d annuaire du domaine (sur le CPD) Année 2001 DESS CCI - Cours Windows NT 32
13. Comptes de groupes 13.2 Types de groupes Exception concernant les groupes locaux Un groupe local est créé dans la base d annuaire de la machine contenant la ressource Toutefois, si cet ordinateur est un CSD, le groupe doit être créé sur le CPD, puisque la base d annuaire du CSD est une réplique de celle du CPD. Illustration : cas d un domaine avec un CPD, un CSD et un serveur membre. Le CSD héberge une base de donnée, le serveur membre héberge des fichiers. Un groupe global organisant les comptes d utilisateur est créé sur le CPD Un groupe local permettant l accès aux fichiers est créé sur le serveur membre Un groupe local permettant l accès à la base de données est créé sur le CPD, il sera ensuite répliqué sur le CSD contenant la ressource Année 2001 DESS CCI - Cours Windows NT 33
13. Comptes de groupes 13.2 Types de groupes Attributs des groupes : Groupe local : Donne des permissions aux utilisateurs Peut comporter des comptes d utilisateurs et des groupes globaux de n importe quel domaine Ne peut pas contenir d autres groupes locaux Doit être utilisé pour affecter des permissions Groupe global : Organise les comptes d utilisateurs d un domaine Ne peut comporter que des comptes d utilisateur du même domaine Ne peut contenir aucun groupe Peut également être utilisé pour affecter des permissions Année 2001 DESS CCI - Cours Windows NT 34
13. Comptes de groupes 13.3 Stratégie de groupes AGLP : Account - Global - Local - Permission Les comptes (A) sont organisés en groupes globaux (G) Les groupes globaux sont ajoutés aux groupes locaux (L) qui servent à organiser les permissions (P) Compte CPD Groupe global Groupe local Permission Serveur membre Année 2001 DESS CCI - Cours Windows NT 35
13. Comptes de groupes 13.3 Stratégie de groupes : Exemple Situation : Une entreprise dispose d un domaine, avec les groupes globaux suivants : Compta : utilisateurs du service de la comptabilité Employés : autres utilisateurs de l entreprise, y compris les chefs Il y a deux serveurs : serveur de compta (SC) sur lequel on trouve : des données de paie, uniquement accessibles au groupe global Compta d autres données accessibles au groupe global Employés serveur de données (SD) sur lequel on trouve des données accessibles au groupe global Employés Année 2001 DESS CCI - Cours Windows NT 36
AVANT CPD Compta Employés Groupes globaux sur le domaine (PDC) SC SD Groupes locaux Accès P Accès D Accès D Ressources P 1... P 100 D 1... D 10 D 11... D 100 Année 2001 DESS CCI - Cours Windows NT 37
13. Comptes de groupes 13.3 Stratégie de groupes : Exemple Objectif : On souhaite maintenant faire la distinction entre les chefs et les employés. Les chefs doivent avoir : un accès à la paie (P 1..P 100 ) un accès complet aux données (D 1..D 100 ) Les employés doivent avoir : un accès complet aux données du serveur de compta (D 1..D 10 ) un accès en consultation aux données du serveur de données (D 11..D 100 ) Année 2001 DESS CCI - Cours Windows NT 38
APRES CPD Compta Chefs Employés Groupes globaux sur le domaine (PDC) SC SD Groupes locaux Accès P Accès D Accès complet D Accès consult D Ressources P 1... P 100 D 1... D 10 D 11... D 100 Année 2001 DESS CCI - Cours Windows NT 39
Comparaison entre la solution AGLP et la solution avec un seul niveau de groupes Solution AGLP Nombre opérations Solution non AGLP Nombre opérations Créer un groupe global Chefs 1 Créer un groupe global Chefs 1 Transférer les comptes des chefs du groupe Employés vers le groupe Chefs Créer un groupe local sur SD : accès en consultation et ajouter le groupe Employés Sur D 11..D 100, affecter les permissions de consultation au groupe local de consultation Enlever le groupe Employés du groupe d'accès complet existant et y ajouter le groupe Chefs Sur SC, ajouter le groupe Chefs aux 2 groupes locaux 10 Transférer les comptes des chefs du groupe Employés vers le groupe Chefs 2 90 Sur D 11..D 100, affecter les permissions de consultation au groupe Employés 2 Sur D 1..D 100, affecter les permissions d'accès au groupe Chef 2 Sur P 1..P 100, affecter les permissions d'accès au groupe Chef TOTAL : 107 301 10 90 100 100 Année 2001 DESS CCI - Cours Windows NT 40
13. Comptes de groupes 13.4 Groupes prédéfinis Groupes locaux prédéfinis sur tout ordinateur Windows NT Groupes globaux prédéfinis uniquement sur les contrôleurs de domaine Groupes systèmes prédéfinis : groupes constitués dynamiquement par le système au cours de son activité n existent dans aucune base d annuaire Les groupes prédéfinis sont utilisés par le système pour mettre en œuvre la sécurité Ils ne peuvent pas être supprimés ou renommés Année 2001 DESS CCI - Cours Windows NT 41
13. Comptes de groupes 13.4 Groupes prédéfinis Groupes locaux prédéfinis : Utilisateurs : groupe générique pour l affectation de permissions aux utilisateurs membres par défaut : tous les nouveaux utilisateurs Administrateurs : groupe qui peut exécuter toutes les tâches administratives membre par défaut : le compte Administrateur Invités : groupe permettant l affection de permissions aux utilisateurs invités (droits restreints) membre par défaut : le compte Invité Année 2001 DESS CCI - Cours Windows NT 42
13. Comptes de groupes 13.4 Groupes prédéfinis Groupes locaux prédéfinis : Opérateurs de sauvegarde : peuvent utiliser le programme de sauvegarde / restauration pas de membre par défaut Sur NT Workstation : Utilisateurs avec pouvoirs Sur NT Server : Opérateur de compte, Opérateur de serveur, Opérateur d impression peuvent respectivement administrer les comptes (sauf les groupes Administrateurs et Opérateurs de serveur), partager des ressources et gérer les imprimantes réseau pas de membre par défaut Année 2001 DESS CCI - Cours Windows NT 43
13. Comptes de groupes 13.4 Groupes prédéfinis Groupes globaux prédéfinis : Par défaut, les groupes globaux prédéfinis n ont pas de droits inhérents. Ils acquièrent ces droits lorsqu ils sont ajoutés aux groupes locaux ou lorsque des permissions leurs sont attribués. Utilisateurs du domaine : Est automatiquement ajouté au groupe local Utilisateurs de chaque ordinateur qui rejoint un domaine Un nouveau compte d utilisateur du domaine est automatiquement membre de ce groupe Ceci permet aux utilisateurs du domaine de bénéficier des permissions Utilisateurs sur chaque ordinateur du domaine Invités du domaine : idem, mais permet un accès plus restrictif Année 2001 DESS CCI - Cours Windows NT 44
13. Comptes de groupes 13.4 Groupes prédéfinis Groupes globaux prédéfinis : Administrateurs du domaine : Est automatiquement ajouté au groupe local Administrateurs de chaque ordinateur qui rejoint un domaine Le compte Administrateur du contrôleur de domaine est par défaut membre de ce groupe Ceci permet aux membres du groupe Administrateurs du domaine de bénéficier des permissions d administration sur chaque ordinateur du domaine Pour un serveur particulier, il est donc possible de supprimer le droit d administration aux administrateurs du domaine, en retirant le groupe global du groupe local Année 2001 DESS CCI - Cours Windows NT 45
13. Comptes de groupes 13.4 Groupes prédéfinis : Exemple Situation : Une société dispose d un domaine, de serveurs de production et d un serveur de compta : les serveurs de production sont administrés par les administrateurs du domaine. Tous les utilisateurs doivent y avoir accès. pour des raisons de sécurité, le serveur de compta est administré par une personne autonome. Seuls les utilisateurs du service comptable doivent y avoir accès. Année 2001 DESS CCI - Cours Windows NT 46
13. Comptes de groupes 13.4 Groupes prédéfinis : Exemple Solution : Tous les utilisateurs sont créés sur le domaine, y compris les utilisateurs de la compta, de façon à ce qu ils puissent également utiliser les serveurs de production. Sur les serveurs de production, le groupe local prédéfini Utilisateurs contient automatiquement le groupe global prédéfini Utilisateurs du domaine : comme ce dernier comprend tous les utilisateurs du domaine, ceux-ci ont accès aux serveurs de production. Sur le serveur de compta : on a retiré le groupe global prédéfini Administrateurs du domaine du groupe local Administrateurs : les administrateurs du domaine ne peuvent plus administrer cette machine. Seul l administrateur local peut encore le faire. on a retiré le groupe global préféfini Utilisateurs du domaine du groupe local Utilisateurs : les utilisateurs du domaine n ont plus accès au serveur de compta. on a rajouté les utilisateurs de la compta dans le groupe local Utilisateurs. Année 2001 DESS CCI - Cours Windows NT 47
CPD Serveur de compta Comptes : AdminCompta Groupes locaux : Administrateurs AdminCompta Admin. du domaine Utilisateurs Utilis. du domaine UserCompta1..M Comptes : AdminDom UserDom1..N UserCompta1..M Groupes globaux : Admin. du domaine AdminDom Utilis. du domaine UserDom1..N UserCompta1..N Serveurs de prod Comptes : AdminProd Groupes locaux : Administrateurs AdminProd Admin. du domaine Utilisateurs Utilis. du domaine Année 2001 DESS CCI - Cours Windows NT 48
13. Comptes de groupes 13.4 Groupes prédéfinis Groupes système prédéfinis : Sur tous les ordinateurs Windows NT, constitués dynamiquement par le système. Ils peuvent être utilisés pour l affectation de permissions. Tout le monde : contient n importe quel compte d utilisateur, y compris les compte hors du domaine. Créateur / Propriétaire : désigne l utilisateur qui a créé ou pris possession d une ressource Réseau : comprend tous les utilisateurs connecté à une ressource de l ordinateur à partir du réseau Interactif : comprend tous les utilisateurs qui ouvrent une session localement Année 2001 DESS CCI - Cours Windows NT 49
14. Administration des comptes 14.1 Tâches d administration réparties Pour répartir les tâches d administration, on peut créer des administrateurs ou des opérateurs de comptes supplémentaires : les membres du groupe Administrateurs ont les pleins pouvoir administratifs. Pour faire d un utilisateur un administrateur, il suffit de le rajouter dans le groupe Administrateurs les membres du groupe Opérateurs de comptes peuvent créer, supprimer et modifier des comptes d utilisateur et de groupes. Ils peuvent définir des stratégies de comptes. Année 2001 DESS CCI - Cours Windows NT 50
14. Administration des comptes 14.2 Modèles de compte Modèle de compte : compte d utilisateur standard, utilisé pour créer de nouveaux utilisateurs qui doivent avoir les mêmes propriétés. Création d un utilisateur à partir du modèle : copier le modèle affecter un nouveau nom et mot de passe à l utilisateur Les attributs suivants sont hérités du modèle : description, groupes, profil, restriction d accès, expiration options de mot de passe, sauf : Compte désactivé la variable %username% est substituée par le nom de l utilisateur Année 2001 DESS CCI - Cours Windows NT 51
14. Administration des comptes 14.2 Modèles de compte Conseils : désactiver les modèles afin qu ils ne soient pas utilisés pour ouvrir une session. faire précéder les comptes modèles du caractère _ afin qu ils apparaissent en premier dans la liste des comptes. utiliser les noms de comptes pour constituer les arborescences des dossiers de base et des profils. _Modèle des commerciaux Description = Personnel commercial Le mot de passe n expire jamais Répertoire = \\serveur\users\%username% Membre du groupe : Commercial Compte désactivé COPIER georges Description = Personnel commercial Le mot de passe n expire jamais Répertoire = \\serveur\users\georges Membre du groupe : Commercial Compte activé Année 2001 DESS CCI - Cours Windows NT 52
14. Administration des comptes 14.3 Stratégie de compte Détermine pour tous les comptes : règles sur les mots de passe durée de vie longueur minimale règles d unicité règles sur le verrouillage de compte Est mise en place avec : le Gestionnaire des utilisateurs pour le domaine, menu Stratégies, option Comptes ou avec la commande net accounts Année 2001 DESS CCI - Cours Windows NT 53
14. Administration des comptes Année 2001 DESS CCI - Cours Windows NT 54
14. Administration des comptes 14.3 Stratégie de compte Durée maximale : durée avant laquelle le mot de passe expire (1-999 jours) : lorsqu on est proche de la date limite, le système l indique à l utilisateur à chaque ouverture de session ; lorsqu on atteint la date limite, le système oblige l utilisateur a changer son mot de passe. Durée minimale (1-999 jours) : durée pendant laquelle le mot de passe ne peut pas être changé Longueur minimale (1-14) : nombre minimal de caractères Unicité (1-24) : on ne peut pas utiliser le même mot de passe que l un des N derniers. Pour que l unicité soit efficace, il faut paramétrer une durée minimale pour les mots de passe Année 2001 DESS CCI - Cours Windows NT 55
14. Administration des comptes 14.3 Stratégie de compte Verrouillage après (1-999) : nombre de tentatives infructueuses d ouverture de session avant verrouillage du compte Réinitialiser le compteur après (1-99999 minutes) : temps après lequel le comptage des tentatives infructueuse est repris à zéro. Durée du verrouillage : durée pendant laquelle le compte reste verrouillé permanent : le compte ne peut être déverrouillé que par un administrateur durée (1-99999 minutes) : le compte est verrouillé pendant un temps défini Remarques : le compte Administrateur défini à l installation ne peut pas être verrouillé pour modifier un mot de passe / déverrouiller un compte, l administrateur utilise l écran de détail de compte du Gestionnaire des utilisateurs Année 2001 DESS CCI - Cours Windows NT 56
14. Administration des comptes 14.3 Stratégie de compte Déconnecter de force les utilisateurs distants : si l option est activée, l utilisateur est déconnecté de force des ressources qu il utilise lorsque sa plage horaire est dépassée. si l option est désactivée, l utilisateur n est pas déconnecté mais il ne peut plus utiliser de nouvelles ressources. Remarques : l utilisateur n est pas déconnecté de sa session, seulement des ressources utilisées la déconnexion ne fonctionne que pour les ressources accédées sur NT Server (pas sur NT Workstation) Les utilisateurs doivent ouvrir une session pour changer de mot de passe : si cette option est active, les utilisateurs ne peuvent pas changer leur mot de passe expiré Année 2001 DESS CCI - Cours Windows NT 57
14. Administration des comptes 14.4 Stratégie de droits des utilisateurs Détermine les droits sur les fonctions d administration (les administrateurs ont les droits sur toutes les fonctions) Est mise en place avec le Gestionnaire des utilisateurs pour le domaine, menu Stratégies, option Droits des utilisateurs Liste (non exhaustive) des droits d administration sur NT Server : Accéder à cet ordinateur depuis le réseau Tout le monde Ajouter des stations de travail au domaine Arrêter le système Opérateurs (de compte/sauvegarde/serveur/impression) Forcer l arrêt à distance Opérateurs de serveur Année 2001 DESS CCI - Cours Windows NT 58
14. Administration des comptes 14.4 Stratégie de droits des utilisateurs Gérer le journal d audit et de sécurité Modifier l heure système Opérateurs de serveur Ouvrir une session en tant que service Ouvrir une session localement Opérateurs (de compte/sauvegarde/serveur/impression) Prendre possession des fichiers Restaurer des fichiers et répertoires Opérateurs de sauvegarde Opérateurs de serveur Sauvegarder des fichiers et répertoires Opérateurs de sauvegarde Opérateurs de serveur Année 2001 DESS CCI - Cours Windows NT 59
14. Administration des comptes 14.4 Stratégie de droits des utilisateurs Remarques : Sur NT Server, les utilisateurs de base (autres qu administrateurs ou opérateurs) ne peuvent pas effectuer par défaut des opérations simples, comme ouvrir une session sur le serveur ou arrêter le système. Sur NT Workstation, ces droits sont moins restrictifs ; les utilisateurs du domaine peuvent effectuer ces opérations. Année 2001 DESS CCI - Cours Windows NT 60
14. Administration des comptes 14.5 Facilités de gestion Il est possible de modifier plusieurs comptes de la même manière en une seule opération (par ex. modifier l appartenance à un groupe pour N utilisateurs) : il suffit de sélectionner tous les comptes avec les touches CTRL ou MAJ. Les commandes net user, net group (groupes globaux) et net localgroup (groupes locaux) permettent d effectuer la plupart des opérations du gestionnaire des utilisateurs (ajout, modification, suppression de comptes) Remarque sur la suppression de comptes : en plus du nom du compte, chaque compte dispose d un identificateur interne unique. C est cet identificateur qui figure dans les ACL, pour représenter les permissions sur les ressources. Recréer un compte avec le même nom ne permet donc pas d utiliser les mêmes permissions que le compte supprimé. Année 2001 DESS CCI - Cours Windows NT 61
14. Administration des comptes 14.6 Maintenance des contrôleurs de domaine Consiste à s assurer que : un CPD est toujours en ligne : si le CPD n est plus en ligne, les utilisateurs pourront toujours se connecter (grâce aux CSD), mais l administrateur n est plus en mesure d administrer les comptes les bases d annuaire de tous les CSD sont à jour S effectue grâce au Gestionnaire de serveur. Le gestionnaire de serveur affiche la liste des serveurs trouvés sur le domaine, en particulier le CPD et les CSD. Il permet de : promouvoir un CSD en CPD, ce qui rétrograde automatiquement le CPD en CSD. Cette opération effectue également une synchronisation de l annuaire de façon à ne pas perdre de données. rétrograder un CPD en CSD, lorsqu il existe déjà un CPD dans le domaine synchroniser manuellement la base d annuaire d un CSD Année 2001 DESS CCI - Cours Windows NT 62
14. Administration des comptes 14.6 Maintenance des contrôleurs de domaine Lorsque le CPD doit être déconnecté : Transformer un CSD en CPD, pendant que le CPD est en ligne. Cela force le CPD à devenir un CSD. Lorsque le CPD d origine est reconnecté (il est alors CSD), refaites-en un CPD, ce qui force le CPD temporaire à se rétrograder en CSD. Lorsque le CPD se déconnecte inopinément : Sélectionnez un CSD pour être promu CPD. Si la base d annuaire n était pas synchronisée, les dernières modifications sont perdues. Lorsque le CPD d origine est reconnecté, il est toujours CPD. Il y a donc deux CPD pour le même domaine. Le second détecte cette anomalie et offre la possibilité de se rétrograder en CSD. Rétrogradez le CPD reconnecté à l état de CSD. Refaites en le CPD. Année 2001 DESS CCI - Cours Windows NT 63
14. Administration des comptes 14.6 Maintenance des contrôleurs de domaine Synchronisation manuelle lorsque l administrateur modifie la base d annuaire ou que l utilisateur change son mot de passe, la modification n est pas répercutée immédiatement sur tous les CSD la synchronisation manuelle permet la synchro immédiate : d un CSD particulier : dans le gestionnaire de serveur, sélectionnez le CSD à synchroniser, puis dans le menu Ordinateur : Synchroniser avec le contrôleur principal de tous les CSD du domaine : sélectionnez le CPD, puis dans le menu Ordinateur : Synchroniser tout le domaine ou utiliser la commande : net accounts /sync Année 2001 DESS CCI - Cours Windows NT 64
15. Dossiers partagés 15.1 Introduction Point d entrée vers un répertoire pour les utilisateurs du réseau Un dossier doit être partagé pour que les utilisateurs puissent avoir accès à son contenu Une fois un dossier partagé, les utilisateurs ont accès : à tout son contenu sur une partition FAT aux données pour lesquelles ils ont une permission sur une partition NTFS Les utilisateurs n ont pas accès aux dossiers se situant au même niveau ou à un niveau plus élevé que le dossier partagé Les permissions de dossier s appliquent sur tout fichier ou répertoire présent dans le partage Année 2001 DESS CCI - Cours Windows NT 65
Organisation du Serveur : D: \Données \Applications \Privé \Documents E: \Backup P P Vision du serveur par les utilisateurs du réseau : Application Documents Utilisateurs \Données \Utilisateurs P P Dossier partagé Année 2001 DESS CCI - Cours Windows NT 66
15. Dossiers partagés 15.2 Permissions La permission Contrôle total Modifier Lire Aucun accès Permet de Modifier les permissions du partage Devenir propriétaire de fichiers (NTFS uniquement) + permission Modifier Créer / supprimer des répertoires et des fichiers Modifier les données et les attributs des fichiers + permission Lire Afficher le contenu du partage Afficher les données et les attributs des fichiers Exécuter les programmes Aucun accès au partage. Son contenu n est pas affiché Année 2001 DESS CCI - Cours Windows NT 67
15. Dossiers partagés 15.2 Permissions Une permission est accordée à un utilisateur ou à un groupe Un utilisateur ne disposant pas de permission pour une ressource n a aucun accès à cette ressource Si un utilisateur appartient à plusieurs groupes avec des permissions différentes : Les permissions de l utilisateur sont la combinaison la moins restrictive des permissions de tous les groupes Exemple : un utilisateur fait partie d un groupe qui dispose de Lire pour une ressource, et d un autre groupe qui dispose de Contrôle total pour la même ressource. Il dispose effectivement de Contrôle total Exception : la permission Aucun Accès a priorité sur toute autre permission Exemple : si l utilisateur fait de plus partie d un groupe qui dispose de Aucun accès, celui-ci n a alors aucun accès, même s il fait partie d un autre groupe qui a Contrôle total. Année 2001 DESS CCI - Cours Windows NT 68
15. Dossiers partagés 15.3 Partage de répertoires Droit de partager : Sur tout ordinateur NT : membres du groupe Administrateurs Sur un NT Serveur : Opérateurs de serveur Sur un NT Workstation : Utilisateurs avec pouvoir Partage administratif : Accessible uniquement par les Administrateurs, non visibles aux utilisateurs. Le nom du partage se termine par le caractère $ Par défaut : partage administratif de chaque volume : C$, D$, E$, partage administratif de la racine NT : Admin$ Année 2001 DESS CCI - Cours Windows NT 69
15. Dossiers partagés 15.3 Partage de répertoires Dans l explorateur, pour un fichier / répertoire : Propriétés, onglet Partage Le nom de partage peut être différent du nom du répertoire Possibilité de limiter le nombre d utilisateurs simultanés connectés au partage Année 2001 DESS CCI - Cours Windows NT 70
15. Dossiers partagés 15.4 Attribution de permissions DOMAINES Année 2001 DESS CCI - Cours Windows NT 71
15. Dossiers partagés 15.5 Accès à un partage Chemin UNC (Unified Naming Convention) \\Nom de serveur\nom de partage\ressource Peut être utilisée partout : depuis la ligne de commande (dir, copy, subst, pushd, ) ex. dir \\serv_prod\projets copy \\serv_prod\projets\calc.xls c:\temp dans les boites de dialogue de fichiers (explorateur, application quelconque) Démarrer/Exécuter : taper un chemin UNC pour voir s afficher son contenu et pouvoir y naviguer avec l explorateur ex. \\serv_prod affiche tous les partages du serveur Année 2001 DESS CCI - Cours Windows NT 72
15. Dossiers partagés 15.5 Accès à un partage Connexion d une lettre de lecteur affecte une lettre à un partage peut éventuellement conserver cette affectation pour les prochaines sessions A partir de l explorateur, menu Outils / Connecter un lecteur réseau Année 2001 DESS CCI - Cours Windows NT 73
15. Dossiers partagés 15.6 Remarques La protection des dossiers partagés ne s appliquent que pour les utilisateurs provenant du réseau, pas pour les utilisateurs connectés localement. Par défaut, lorsqu on créé un partage, NT attribue la permission Contrôle total au groupe Tout le monde. Il convient de la modifier systématiquement. Utiliser la stratégie AGLP pour l attribution de permissions. Année 2001 DESS CCI - Cours Windows NT 74
16. Permissions NTFS 16.1 Introduction Permissions disponibles sur chaque fichier ou répertoire Uniquement sur les partitions formatées NTFS (pas de permissions sur les partitions FAT) Permet la protection des ressources par rapport : aux utilisateurs qui se connecte via le réseau, par un partage aux utilisateurs qui se connecte localement Lorsqu un volume est formaté NTFS, NT attribue par défaut : Contrôle total au groupe Tout le monde Année 2001 DESS CCI - Cours Windows NT 75
16. Permissions NTFS 16.2 Permissions Permissions individuelles Permission NTFS Sur un répertoire Sur un fichier Lire (R) Ecrire (W) Afficher les noms de répertoires, attributs, propriétaire, permissions Créer des fichiers et des répertoires, modifier les attributs, afficher propriétaire et permissions Afficher les données du fichier, attributs, propriétaire et permissions Modifier les données du fichier, modifier les attributs, afficher propriétaire et permissions Supprimer (D) Supprimer un répertoire Supprimer un fichier Année 2001 DESS CCI - Cours Windows NT 76
16. Permissions NTFS 16.2 Permissions Permissions individuelles Permission NTFS Sur un répertoire Sur un fichier Exécuter (X) Changer les permissions (P) Prendre possession (O) Traverser un répertoire (accéder à ses sousrépertoires), afficher les attributs, le propriétaire et les permissions Modifier les permissions sur un répertoire Devenir le propriétaire d un répertoire Exécuter un fichier (s il s agit d un exécutable), afficher les attributs, le propriétaire et les permissions Modifier les permissions sur un fichier Devenir le propriétaire d un fichier Année 2001 DESS CCI - Cours Windows NT 77
16. Permissions NTFS 16.2 Permissions Permissions standards : combinaison de permissions individuelles Sur les fichiers : Permission standard Aucun accès Lire Modifier Contrôle total Permissions individuelles Aucune RX RWXD Toutes Année 2001 DESS CCI - Cours Windows NT 78
16. Permissions NTFS 16.2 Permissions Sur les répertoires : Permission standard Permissions individuelles sur les répertoires Aucun accès Aucune Aucune Permissions individuelles sur les fichiers du répertoire Lister RX Non spécifié (aucune) Lire RX RX Ajouter WX Non spécifié (aucune) Ajouter & lire RWX RX Modifier RWXD RWXD Contrôle total Toutes Toutes Année 2001 DESS CCI - Cours Windows NT 79
16. Permissions NTFS 16.3 Propriété L utilisateur qui créé un fichier en est le propriétaire Le propriétaire peut toujours attribuer ou modifier des permissions La seule possibilité de changer le propriétaire est la prise de possession Il faut disposer du droit Contrôle total, Prendre possession ou Changer les permissions ; les membres du groupe Administrateurs peuvent toujours prendre possession ; ce droit peut être attribué à d autres utilisateurs Les permissions sont applicables à tous les utilisateurs, y compris aux administrateurs ; si un Administrateur n a qu un droit Lire sur un fichier, il ne peut pas le modifier Le seul moyen pour un administrateur d outrepasser ses droits est la prise de possession Année 2001 DESS CCI - Cours Windows NT 80
16. Permissions NTFS 16.3 Propriété Dans l explorateur, pour un fichier / répertoire : Propriétés, onglet Sécurité, option Appartenance Année 2001 DESS CCI - Cours Windows NT 81
16. Permissions NTFS 16.4 Combinaison Partage de dossiers / NTFS Le partage est nécessaire pour un accès aux ressources depuis le réseau, mais : donne le même niveau d accès à tous les fichiers du dossiers ne joue aucun rôle lorsqu un utilisateur accède aux ressources localement Lorsqu on accède à une partition NTFS via un partage, les permissions NTFS et les permissions du partage sont combinées : la permission effective est la plus restrictive Exemples : Un utilisateur dispose de Contrôle total sur un fichier, mais seulement de Lire sur le partage. Depuis le réseau, il ne peut donc que lire le fichier. Par contre, s il se connecte localement, il dispose bien de Contrôle total A l inverse, si le partage est Contrôle total et le fichier Lire, il ne pourra que lire Année 2001 DESS CCI - Cours Windows NT 82
16. Permissions NTFS 16.5 Attribution de permissions Dans l explorateur, pour un fichier / répertoire : Propriétés, onglet Sécurité, option Permissions Possibilité de remplacer les permissions des fichiers dans le répertoire : dans ce cas, utilisation de la partie Fichier de la permission du répertoire Possibilité de remplacer les permissions des sousrépertoires : mode récursif Année 2001 DESS CCI - Cours Windows NT 83
16. Permissions NTFS 16.5 Attribution de permissions Accès spécial : possibilité de définir une combinaison de permissions individuelles qui n est pas déjà représentée par une permission standard pour les répertoires, possibilité de définir indépendamment l accès spécial aux répertoires et aux fichiers Année 2001 DESS CCI - Cours Windows NT 84
16. Permissions NTFS 16.5 Attribution de permissions Ajouts de groupes ou d utilisateurs : idem dossiers partagés Possibilité d utiliser la base d annuaire d un autre domaine Année 2001 DESS CCI - Cours Windows NT 85
16. Permissions NTFS 16.6 Héritage des permissions Création d un fichier : il hérite des permissions Fichier du répertoire parent Exemple : un dossier partagé entre plusieurs utilisateurs. On affecte Ajouter & Lire au groupe Utilisateurs, et Contrôle total au groupe système Créateur/Propriétaire. Lorsqu un utilisateur crée un fichier, il hérite des permissions : Lire (RX) pour le groupe Utilisateurs Contrôle total pour le créateur Année 2001 DESS CCI - Cours Windows NT 86
16. Permissions NTFS 16.6 Héritage des permissions Copie / déplacement de fichiers : Opération Copier Déplacer Sur une même partition NTFS Hérite des permissions du répertoire destinataire ; l utilisateur qui copie devient le propriétaire Conserve les permissions d origine ; le propriétaire ne change pas Entre deux partitions NTFS idem Hérite des permissions du répertoire destinataire ; l utilisateur qui déplace devient le propriétaire Année 2001 DESS CCI - Cours Windows NT 87
16. Permissions NTFS 16.7 Répertoire de base Les répertoires de base pour les utilisateurs peuvent être créés automatiquement : créer et partager un répertoire sur un serveur, qui servira de point central pour les dossiers de base supprimer la permission Contrôle total du groupe Tout le monde, et l attribuer au groupe Utilisateurs dans le Gestionnaire des utilisateurs, au moment de l affectation du répertoire de base, utiliser la variable %username%. Ceci créera automatiquement le répertoire de l utilisateur, et affectera la permission Contrôle total à cet utilisateur Année 2001 DESS CCI - Cours Windows NT 88
16. Permissions NTFS 16.8 Concernant le système FAT Pour protéger une partition FAT : créer un partage et utiliser les permissions sur les dossiers partagés ne pas permettre l accès localement Lorsqu un fichier est copié ou déplacé sur une partition FAT, ses permissions sont perdues Pour les répertoires de base, l utilisation de la variable %username% ne permet pas la création automatique du répertoire sur une partition FAT Année 2001 DESS CCI - Cours Windows NT 89