3 - Gestion des utilisateurs et des groupes

3 - Gestion des utilisateurs et des groupes 3.1 - L authentification Windows supporte plusieurs modes d authentification. S authentifier auprès d un système d exploitation permet tout d abord de sécuriser les accès aux ressources en autorisant uniquement certains utilisateurs à accéder à certaines données, avec la possibilité de leur octroyer des permissions différentes. Cela permet également d assurer une traçabilité des accès et de pouvoir déterminer à posteriori qui a accédé aux informations, qui les a modifiées ou supprimées. Pour ce faire, chaque utilisateur doit posséder un identifiant unique qu il doit être le seul à pouvoir utiliser. En général, la protection du compte utilisateur se fait à l aide d un mot de passe que la personne est seule à connaître. Il existe néanmoins d autres méthodes d authentification que le mot de passe comme par exemple les cartes à puce ou les lecteurs biométriques (lecteurs d empreintes digitales par exemple). Dès lors que chaque utilisateur possède un compte d accès unique, des permissions d accès peuvent être positionnées sur les différentes ressources pour autoriser ou refuser les accès. Plusieurs méthodes peuvent être utilisées pour s authentifier auprès de bases de données centrales et pour véhiculer ces informations d authentification jusqu aux ressources protégées (imprimantes, répertoires partagés, applications, bases de données, etc.). Microsoft intègre en standard un certain nombre de protocoles d authentification. Les systèmes d exploitation de Microsoft en utilisent principalement trois : Kerberos, NTLM et LAN Manager. Cependant des applications spécifiques intègrent également leurs propres méthodes d authentification. C est le cas par exemple des serveurs Web ou des serveurs SQL qui proposent des méthodes propriétaires pour s authentifier. Il existe deux types de comptes utilisateurs, les comptes locaux et les comptes de domaine. Lorsqu une machine est jointe à un domaine Active Directory, un utilisateur peut ouvrir une session avec un compte utilisateur défini dans un domaine Active Directory qui fait office d annuaire centralisé. Il existe également des comptes locaux qui sont créés sur la machine. Il n est donc possible de se loguer avec ce compte que sur la machine où il a été créé. Les comptes locaux sont stockés dans la base de registre dans un emplacement appelé SAM (Security Account Management), le gestionnaire de comptes de sécurité. Bien que les utilisateurs se loguent en utilisant un nom d utilisateur, le système d exploitation utilise en interne un identifiant unique de sécurité appelé SID (Security Identifier). 1

3.2 - Les utilisateurs Un compte utilisateur local est donc un compte qui ne peut être utilisé que sur l ordinateur où il est défini. Il permet d ouvrir une session localement et d accéder uniquement aux ressources de l ordinateur. En effet ce compte ne permet pas d accéder à des ressources hébergées sur d autres ordinateurs si celles-ci refusent l authentification anonyme. Les comptes locaux utilisateurs de même que les groupes sont stockés dans la SAM locale. La SAM persiste physiquement sur le disque dans le fichier C:\System32\config\SAM Ce fichier est chargé au démarrage de la machine dans la base de registre dans HKEY_LOCAL_MACHINE\SAM qui n est accessible qu au système (compte LOCAL_SYSTEM). 3.2.1 - Comptes prédéfinis Lors de l installation de Windows 7, deux comptes sont tout d abord créés automatiquement. Il s agit du compte Administrateur et du compte invité. Tous deux sont désactivés par défaut. Cependant lors du démarrage en mode sans échec, le compte administrateur peut tout de même être utilisé pour se loguer. Bien que le compte administrateur soit désactivé, le premier compte que vous créez à la fin de l installation est automatiquement ajouté dans le groupe administrateurs local du poste et dispose de ce fait de toutes les permissions et privilèges pour administrer l ordinateur. Le compte invité est également désactivé et ne devrait jamais être activé. Il dispose de permissions très restreintes sur le système. Pour des raisons de sécurité, si les comptes administrateur ou invité doivent être activés, il est sage de les renommer pour rendre plus difficile les tentatives de piratage de l ordinateur. En effet, bon nombre d outils et scripts utilisés par les pirates occasionnels tentent de découvrir le mot de passe du compte administrateur. S il est renommé en un autre nom, leurs scripts ne pourront pas fonctionner. Le renommage devra s effectuer de préférence par stratégie de groupe. 1. Pour renommer le compte administrateur ou invité, lancez gpedit.msc. 2. Dans la rubrique Configuration ordinateur - Paramètres Windows - Paramètres de sécurité - Stratégies locales - Options de sécurité, activez les stratégies Comptes : renommer le compte administrateur et/ou Invité. Au même emplacement, vous pouvez également activer Ouverture de session Interactive : Ne pas afficher le dernier nom d utilisateur pour masquer le nom de la dernière personne qui s est loguée sur le poste. 2

Activer les comptes cachés Par mesure de sécurité le compte «administrateur» est présent mais désactivé sur Windows Seven. Alors qu il était possible de l utiliser sous Windows XP (avec un double ctrl+alt+supp sur la mire de login). Ce compte «administrateur» n apparaît pas non plus dans le panneau de configuration, il est masqué et donc non activable via ce biais. Bien qu il soit possible de créer d autres comptes administrateurs, ils n ont pas les mêmes droits que le compte «administrateur» qui est un super-utilisateur. Quelques précisions Si vous avez besoin d utiliser ce compte pour effectuer une manipulation particulière sachez qu il est dépourvu du système de contrôle utilisateur (UAC). A manipuler avec des pincettes, au même titre que le compte root sous Linux/GNU. Ce compte est indestructible. Le fait de désactiver ce compte est une mesure de sécurité indispensable pour protéger votre ordinateur d actions dangereuses mais également des programmes nuisibles (virus, spyware et malware de façon générale). On déconseille fortement de laisser ce compte activé en entreprise mais également à titre particulier, qui plus est si votre PC n est pas «clean» (mises à jour, antivirus, exécutables douteux, etc.). En ligne de commande Il est possible d activer le compte administrateur depuis l invite de commande Menu démarrer, entrer «cmd» puis clic droit > Exécuter en tant qu administrateur : 3

Entrer : net user administrateur /active:yes ou net user invité /active:yes Vous devriez obtenir le résultat suivant : Déconnectez-vous et vous pourrez utiliser le compte administrateur (aucun mot de passe). Pour désactiver le compte administrateur utilisez la commande inverse : net user administrateur /active:no Par la Console Gestion de l ordinateur Dans le menu démarrer, sur le bureau ou dans l explorateur de fichiers, effectuez un clic droit sur l icône Ordinateur et cliquez sur Gérer. 4

Cliquer sur le compte Administrateur, et désélectionner "Le compte est désactivé". Valider. Vérifier que ce compte est maintenant activé en ouvrant une session Administrateur. Activer le compte Invité par le Gestionnaire de comptes utilisateurs Sélectionner Panneau de Configuration - Ajouter ou Supprimer des Comptes d'utilisateurs - Gérer les Comptes, faire clic droit sur Invité, puis activer 5

Vérifier l'activation en vous démarrant une session pour le compte invité. 3.2.2 - Création d un compte utilisateur Il existe plusieurs méthodes pour créer un utilisateur : a - Ligne de commande Dans une invite de commande élevée (effectuez un clic droit sur cmd.exe puis cliquez sur Exécuter en tant qu administrateur), lancez la commande : net user NOM_UTILISATEUR PASSWORD /add en remplaçant NOM_UTILISATEUR et PASSWORD par le nom du compte que vous voulez créer et le mot de passe que vous désirez associer. Exemple : net user testuser password /add crée le compte testuser avec comme mot de passe password. 6

b - Console Gestion de l ordinateur Cette console est accessible depuis plusieurs endroits : Dans le menu démarrer, sur le bureau ou dans l explorateur de fichiers, effectuez un clic droit sur l icône Ordinateur et cliquez sur Gérer. Déroulez les nœuds Outils Système - Utilisateurs et groupes locaux. Vous pouvez également lancer directement compmgmt.msc ou mmc.exe et choisir la console Gestion de l ordinateur. Pour créer un nouvel utilisateur, depuis le panneau Actions, le menu Actions ou par un clic droit sur Utilisateurs, cliquez sur Nouvel utilisateur Pour modifier le mot de passe d un utilisateur, faites un clic droit sur le compte en question et cliquez sur Définir le mot de passe. 7

A noter que l option Définir le mot de passe correspond à une réinitialisation du mot de passe. Cette option est à utiliser lorsqu un mot de passe a été oublié. Cette façon de réinitialiser le mot de passe a pour conséquence de faire perdre l accès à tous les fichiers chiffrés en utilisant la technologie EFS. En effet le certificat EFS utilisé pour chiffrer les documents ne sera plus accessible après réinitialisation du mot de passe sauf si celui-ci a été exporté et sauvegardé d une manière ou d une autre. Si on souhaite simplement changer votre mot de passe, appuyez simultanément sur les touches [Ctrl] [Alt] [Suppr] et choisissez l option Modifier un mot de passe. 8

Depuis l affichage des propriétés du compte utilisateur, il est possible de réaliser les opérations suivantes : Modifier sa description et son nom complet. Activer et désactiver le compte. Déverrouiller le compte si celui-ci a été verrouillé suite à un nombre de tentatives trop important d ouvertures de session avec un mot de passe incorrect. Forcer l utilisateur à changer de mot de passe lors de la prochaine ouverture de session. Interdire à l utilisateur de changer de mot de passe et lui donner une durée de vie illimitée. Ces deux options sont pratiques lorsque vous créez un compte de service pour qu il ne soit pas impacté par les stratégies de changement de mot de passe. 9

Pour afficher les propriétés d un compte, double cliquer dessus. Il est également possible de gérer l appartenance aux groupes de ce compte depuis l onglet Membre de et également de gérer son profil. La notion de profil sera abordée aux paragraphes suivants. Pour ajouter un utilisateur dans un groupe : Placez-vous sur l onglet Membre de. Cliquez sur Ajouter. Sélectionnez le groupe à ajouter puis cliquez sur OK. Il est possible de réaliser la même opération à partir des propriétés d un groupe, en y ajoutant des utilisateurs. c - Panneau de configuration Les comptes utilisateurs peuvent également se gérer depuis le panneau de configuration dans la section Ajouter ou Supprimer des Comptes d utilisateurs. Vous pouvez modifier un compte existant ou en créer un nouveau. Plus d options sont disponibles depuis cette interface. Par exemple, elle permet de configurer le contrôle 10

parental pour l utilisateur sélectionné et également de définir l image qui lui sera associée dans la fenêtre de login. Pour modifier un compte existant, double cliquez sur ce compte. La plupart de ces options parlent d elles-mêmes : elles permettent de changer le nom du compte, changer de mot de passe ou le supprimer, supprimer le compte, etc. 11

L option Modifier le type de compte permet de transformer un compte standard en compte administrateur et vice versa. Dans les faits, elle ne fait rien d autre que l ajouter ou le supprimer du groupe Administrateurs. La section Comptes et protection utilisateurs du panneau de configuration permet également de gérer des paramètres avancés du compte utilisateur courant. Gérer vos informations d identification Cette option permet de gérer les mots de passe stockés localement pour accéder à des ressources diverses, partages réseau, mots de passe de sites Web, etc. Grâce à ce mécanisme sécurisé, vous n avez pas à saisir à chaque fois vos mots de passe pour accéder 12

aux ressources. Après la première saisie, le mot de passe est stocké pour y accéder ultérieurement de manière transparente. Cette fenêtre permet de gérer les informations d identification stockées localement. C'est pratique pour supprimer des données. Pour sauvegarder les mots de passe, le mieux est de le faire au moment de la saisie dans l interface graphique en cochant la case qui permet de sauvegarder le mot de passe, comme par exemple lors de la connexionn à un lecteur réseau, il faudra cocher la case "Se reconnecter à l'ouverture de session" pour que le mot de passe soit conserver ici. 13

Créer un disque de réinitialisation de mot de passe Dans le panneau Comptes d'utilisateurs, on a cette option. Celle-ci permet de créer une disquette ou une clé USB qui pourra être utilisée par l utilisateur pour réinitialiser son propre mot de passe au cas où celui-ci serait oublié. Lors du login, lorsque l utilisateur entre un mot de passe erroné, il a la possibilité de démarrer un assistant en cliquant sur le lien Réinitialiser le mot de passe. Il lui est alors demandé d insérer le média de récupération qui lui offre la possibilité d entrer un nouveau mot de passe. Quiconque possède ce média peut changer le mot de passe de l utilisateur en question. Cette disquette ou clé USB devra donc être stockée dans un endroit sécurisé. 14

3.3 - Les groupes Les groupes sont utilisés pour simplifier l administration. Ils contiennent un ensemble de comptes utilisateurs possédant des besoins identiques en termes d administration. Les membres d un groupe reçoivent tous les mêmes permissions ce qui simplifie grandement l administration. En effet, une fois le groupe positionné sur un ensemble de ressources, il suffit alors de placer un nouvel utilisateur dans ce groupe pour lui donner l accès à toutes les ressources en question plutôt que d avoir à ajouter l utilisateur dans les ACL une par une. Un utilisateur peut faire partie de plusieurs groupes, un groupe pouvant lui-même être imbriqué dans d autres groupes. Dans un domaine, un utilisateur pourra faire partie de plusieurs types de groupes, des groupes ayant une portée sur un domaine comme les groupes locaux ou globaux, des groupes ayant une portée sur toute la forêt (groupes universels) et des groupes locaux à un ordinateur donné. Le groupe local ne peut donner accès qu à des ressources locales à la machine (portée locale). Pour créer un nouveau groupe local : Démarrez la console Gestion de l ordinateur. Effectuez un clic droit à l aide de la souris sur le nœud groupe et choisissez l option Nouveau groupe. 15

Donnez un nom au groupe, les espaces étant autorisés, ainsi qu une description. Vous pouvez dès à présent ajouter des utilisateurs à ce groupe. Pour ajouter ultérieurement des utilisateurs à ce groupe, cela peut être fait soit depuis l onglet Membre de des propriétés d un compte utilisateur, comme vu précédemment, soit depuis les propriétés du groupe en cliquant sur Ajouter. Depuis ces mêmes emplacements, il est également possible de retirer un utilisateur d un groupe. Ligne de commande Dans une invite de commande élevée (effectuez un clic droit sur cmd.exe puis cliquez sur Exécuter en tant qu administrateur), lancez la commande : net localgroup NOM_GROUPE /add Exemple : net localgroup groupe1 /add 16

3.4 - Les profils Un profil utilisateur est un emplacement particulier qui permet de stocker tout un ensemble de paramètres et de données. Il stocke par exemple de manière non exhaustive : Le bureau de l utilisateur : les raccourcis et fichiers qui s y trouvent. Les paramètres d affichage, choix d écran de veille et image de fond. Les raccourcis placés dans le menu démarrer. Le paramétrage d Internet Explorer. Les fichiers temporaires. Les répertoires utilisateurs comme Mes documents, Mes Images, Ma musique, etc. Les variables d environnement et autres paramétrages. Lorsque l utilisateur se logue, son profil est chargé afin qu il retrouve son environnement identique à celui laissé lorsqu il s est logué pour la dernière fois. Il existe trois types de profils : profils locaux profils itinérants profils obligatoires 17

3.4.1 - Les profils locaux Ces profils sont créés et stockés sur chaque ordinateur sur lequel se logue l utilisateur. Ainsi si un utilisateur se logue sur plusieurs stations de travail différentes, un profil différent sera créé sur chaque station. Les profils locaux sont dans le répertoire c:\utilisateurs. À noter qu en interne, le système d exploitation utilise le terme anglais, à savoir Users. Par contre, l explorateur de fichier Explorer.exe fait la traduction et affiche c:\utilisateurs lorsque vous listez les répertoires. Pour voir et gérer les fichiers de profil, il faut les dé-cacher. En effet ils font partie des fichiers système que Windows cache par défaut. Afficher les fichiers cachés et fichiers système de Windows 7 Certains fichiers de Windows sont cachés, afin que l utilisateur ne les supprime ou les modifie par erreur. Mais il peut être utile souvent de les afficher. Cliquer sur l icône de l Explorateur L Explorateur s ouvre. Cliquer sur Organiser, puis sur Options des dossiers et de recherche 18

Dans l onglet Affichage cocher la case Afficher les fichiers, dossiers et lecteurs cachés, pour rendre visible les fichiers et dossiers cachés décocher la case Masquer les extensions des fichiers dont le type est connu, pour rendre visible toutes les extensions décocher la case Masquer les fichiers protégés du système d exploitation, pour rendre visible les fichiers système protégés Cliquer sur Appliquer. Gérer les profils utilisateurs Les profils utilisateurs sont dans les répertoires des utilisateurs. Si on y accède par l'invite de commande, on les trouve dans c:\users. 19

Si on y accède par Explorer, celui-ci affiche le nom Utilisateurs. Il s agit pourtant du même répertoire. Lorsqu un utilisateur se logue pour la première fois sur un ordinateur, un profil est créé à partir du profil Utilisateur par défaut. Le profil se décompose en plusieurs parties. Les répertoires correspondant aux dossiers spéciaux de type Téléchargement, Ma Musique, Ma Vidéo, etc. chacun possédant un nom interne en anglais mais traduits dans la langue de l utilisateur par l Explorer. Des points de jonction qui sont des liens vers des répertoires placés à un autre endroit. NTUSER.DAT qui est le fichier qui correspond à la portion de base de registre propre à chaque utilisateur. Lorsque l utilisateur se logue, le contenu de NTUSER.DAT est chargé dans la ruche HKEY_CURRENT_USER et le contenu de celui-ci est sauvegardé à nouveau dans NTUSER.DAT lorsque l utilisateur se délogue. 20

3.4.2 - Les profils itinérants Les profils itinérants (Roaming profiles en anglais) sont des profils stockés sur un partage réseau. L utilisation de profils itinérants est défini au niveau du domaine Active Directory. Quand un utilisateur se logue, son profil est téléchargé depuis l emplacement réseau et quand il se délogue, il est fusionné avec celui stocké sur le réseau. 3.4.3 - Les profils obligatoires Appelés Mandatory profiles en anglais, les profils obligatoires sont des profils en lecture seule. Pendant sa session, l'utilisateur pourra modifier son environnement mais ses changements ne seront pas sauvegardés. Pour créer un profil utilisateur obligatoire Par exemple pour le compte utilisateur Test1 1. Renommez le dossier de l'utilisateur (situé dans le répertoire Utilisateurs), qui s'appelle "Test1", en "Test1.v2". 2. Renommer le fichier Ntuser.dat en Ntuser.man. 21

Tester le profil de Test1, il est maintenant obligatoire. Gérer et visualiser la configuration des profils utilisateur Le type de profil pour chaque utilisateur est gérable depuis le menu Profil des utilisateurs accessible depuis les propriétés du système Démarrer, clic droit sur Ordinateur, Propriétés Sélectionner Protection du système Dans l'onglet Paramètres système avancés, sélectionner l'option Paramètres dans l'encadré intitulé Profil des utilisateurs Sélectionner un utilisateur 22

Faire Modifier le type, et sélectionner le type de profil souhaité. 23

3.5 - Contrôle parental La fonctionnalité de contrôle parental offre la possibilité de fixer des plages horaires d utilisation de l ordinateur, la possibilité d interdire l accès à certains sites sensibles ou de limiter ou bloquer l accès à certains jeux. De plus, des rapports complets de l activité de l utilisateur restreint peuvent être générés afin de reporter l usage des jeux et les sites Web accédés. Par défaut, dans Windows 7, le contrôle parental ne possède pas de module de filtrage des accès web ni de module de gestion des rapports. En effet Microsoft considère qu Internet évolue trop vite pour livrer ce type de contrôles avec son système d exploitation. Il a donc conçu son module de filtrage de façon modulaire et extensible et les composants de filtrage de sites sensibles et de génération de rapport sont fournis de manière optionnelle et sont à télécharger séparément depuis la page d accueil du site Web de contrôle parental de Microsoft à l adresse suivante : http://download.live.com/familysafety 3.5.1 - Configuration du contrôle parental Avant de mettre en place le contrôle parental, il faut vous assurer que tous vos comptes administrateurs possèdent un mot de passe, et si possible complexe, sinon on les utiliser pour passer à travers. De même, le compte sur lequel doit être activé le contrôle parental ne peut pas, pour la même raison, être un compte disposant de privilèges d administration. Au moment de mettre en place le contrôle parental, le système d exploitation fait une vérification préalable et vous alerte si la configuration de vos comptes ne répond pas aux critères minimum à respecter. 24

Un ou plusieurs comptes d administration n ayant pas de mot de passe, l interface de configuration du contrôle parental vous invite à définir un mot de passe sur les comptes en question avant de continuer. Le contrôle parental s appliquant à un utilisateur en particulier, vous devez au préalable créer des comptes et les distribuer aux utilisateurs que vous voulez contrôler. Vous pouvez ensuite leur assigner des règles de contrôle parental. Pour configurer le contrôle parental, ouvrez le Panneau de configuration. Placez-vous dans la rubrique Comptes et protection utilisateurs. Puis cliquez sur Contrôle parental. Sélectionnez ensuite sur le compte sur lequel vous désirez activer le contrôle parental. Puis cliquez sur Activé, les paramètres actuels sont appliqués. 3.5.2 - Limites horaires Vous pouvez configurer les limites des horaires, le blocage de programmes ainsi que la classification des jeux pour ce compte. Pour configurer les limites horaires, cliquez sur le lien Limites horaires et dans la fenêtre suivante, sélectionnez les plages horaires interdites d utilisation. Sélectionnez les plages horaires pendant lesquelles l utilisation de l ordinateur est autorisée pour l utilisateur puis cliquez sur OK. 25

3.5.3 - Contrôle des jeux 1. Pour contrôler les jeux par classifications, contenu ou titre, cliquez sur le lien Jeux. Il est possible de définir trois grands ensembles de paramètres : L utilisateur est-il autorisé à jouer? 26

À quel type de jeux l utilisateur est-il autorisé à jouer en fonction de sa classe d âge et du type de contenu? À quelle liste précise de jeux l utilisateur est-il autorisé ou interdit de joueur? Pour définir les paramètres de classification des jeux, cliquez sur le lien Définir la classification des jeux. La fenêtre qui apparaît permet de déterminer l action par défaut qui sera effectuée si le jeu lancé par l utilisateur ne possède pas de classification. Il y a deux options possibles : Autoriser les jeux sans classification. Bloquer les jeux sans classification. Elle définit ensuite à quelle classe d âge appartient l utilisateur : 3 ans et plus 7 ans et plus 12 ans et plus 16 ans et plus 18 ans et plus. En plus de la classe d âge définie pour l utilisateur, un certain type de contenu peut être bloqué. Il s agit de contenu : à caractère discriminant. Faisant référence à des drogues. Effrayant (Épouvante). Vulgaire. Contenant des références sexuelles. Violent. 3.5.4 - Blocage de jeux spécifiques Le contrôle parental offre également la possibilité de bloquer spécifiquement une liste de jeux. Pour définir précisément la liste des jeux autorisés ou interdits, cliquez sur le lien Bloquer ou autoriser des jeux spécifiques. La fenêtre qui se présente permet de spécifier des exceptions, c est-à-dire spécifier des jeux autorisés ou interdits malgré la classe d âge dans laquelle se trouve l utilisateur. Par défaut les permissions d utilisation d un jeu dépendent de la classe d âge de l utilisateur qui peut être vue comme une règle par défaut qui peut être écrasée par une restriction (Toujours bloquer) ou une ouverture (Toujours autoriser). 27

Il est également possible de restreindre l utilisation à une liste spécifique de programmes : Cliquez sur Autoriser et bloquer des programmes spécifiques. Puis cliquez sur les programmes que vous voulez autoriser. Il peut s agir de jeux mais également de n importe quel type de programme. 28

Annexe Changer la couleur de l'invite de commandes Il est possible de manière très simple de modifier la couleur de fond et du texte de la console Windows : l'invite de commandes, au moyen de la commande color xy où x est la couleur du fond et y la couleur du texte, les couleurs répondent selon les codes suivants : 0 = Noir ; 8 = Gris ; 1 = Bleu ; 9 = Bleu clair ; 2 =Vert ; A = Vert clair ; 3 = Bleu ciel ; B = Bleu vif ; 4 = Rouge ; C =Rouge vif ; 5 = Violet ; D = Violet clair ; 6 = Jaune ; E = Jaune vif ; 7 = Blanc ; F = blanc vif. Pour avoir des caractères noirs sur fond blanc, on utilisera donc la commande suivante: color F0 Il est possible, par les propriétés du raccourci de l'invite de commandes (menu Démarrer, Accessoires, clic droit sur Invite de commande) de rendre ces réglages définitifs. Attention cela ne prend effet que si vous lancez l'invite de commandes par le raccourci cmd: 29

Travaux pratiques 1. Gestion des comptes utilisateurs But : dans cet exercice, vous allez créer trois utilisateurs, et en désactiver un. 1 - Lancez compmgmt.msc. 2 - Développez Outils Systèmes puis Utilisateurs et groupes. 3 - Cliquez sur Utilisateurs. 4 - Faites un clic droit puis cliquez sur Nouvel Utilisateur. 5 - Dans le champ Nom d utilisateur, entrez Fritz. 6 - Dans le champ Nom complet, entrez Fritz the cat. 7 - Dans le champ Description, entrez "Chat malicieux". 8 - Entrez un mot de passe et confirmez-le. 9 - Conservez les options par défaut. 10 - Cliquez sur Créer. 11 - Créez un second utilisateur (Tom / Tom Le Chat). 12 - Pour cet utilisateur, décochez l option "L utilisateur doit changer le mot de passe à la prochaine ouverture de session". 13 - Créez un troisième utilisateur (Felix / Felix le chat) et conservez les options par défaut. 14 - Après sa création, désactivez-le en cliquant sur la case "Le compte est désactivé" dans les propriétés de l utilisateur. 15 - Essayez ensuite d ouvrir une session avec chacun de ces trois comptes. 2. Création et gestion de groupes But : dans cet exercice, vous allez créer un groupe d utilisateurs et y ajouter les trois comptes créés dans l exercice précédent. 1 - Lancez compmgmt.msc. 2 - Développez Outils Systèmes puis Utilisateurs et groupes. 30

3 - Cliquez sur Groupes. 4 - Faites un clic droit puis cliquez sur Nouveau groupe. 5 - Dans le champ Nom du groupe, saisissez "Les Chats". 6 - Dans le champ Description, saisissez "Les utilisateurs Chats". 7 - Cliquez sur Ajouter. 8 - Cliquez sur Avancé. 9 - Cliquez sur Rechercher. 10 - Sélectionnez les trois comptes créés dans l exercice précédent et cliquez sur OK. 11 - Cliquez sur OK. 12 - Cliquez sur Créer. 3. Activation du contrôle parental But : dans cet exercice, vous allez activer le contrôle parental pour l utilisateur Fritz. 1 - Lancez le Panneau de configuration (Menu Démarrer, puis Panneau de configuration). 2 - Cliquez sur "Configurer le contrôle parental pour un utilisateur". 3 - Cliquez sur Fritz. 4 - Cliquez sur Limites horaires. 5 - Sélectionnez les plages horaires où l utilisation est interdite. 6 - Cliquez sur OK. 7 - Dans la plage horaire que vous avez interdit, essayez de vous loguer avec l utilisateur en question. 31

Travaux pratiques Copier un profil / Créer un profil par défaut (default user) L'objectif est de créer un default user (Utilisateur par Défaut) sous Windows 7, pour lequel on va configurer un profil particulier, qui deviendra le profil par défaut. Ainsi, chaque nouvel utilisateur ouvrant une session pour la première fois verra son espace de travail créé à partir du profil par défaut. Procédé : - Créer un nouvel utilisateur (par exemple Toto) de référence, se loguer sous cet utilisateur. - Paramétrer le profil de Toto comme souhaité, bureau, barre de menu, icône, options Windows etc. - Redémarrer le PC, puis ouvrir une session avec un compte ayant les droits Administrateur. - Dans les options de dossiers et fichiers du panneau de configuration, afficher les fichiers et répertoire cachés ainsi que les fichiers systèmes Dans C:\utilisateurs\ renommer le répertoire Default en Default.Old Dans C:\utilisateurs\ copier le dossier Toto et le renommer en Default Vérifier les droits sur le dossier Default. "Tout le monde" et "Utilisateurs" doivent avoir les permissions NTFS "Lecture et Exécution", "Afficher le contenu du dossier", "Lecture" Dans paramètres systèmes avancés (clic doit sur ordinateur, propriétés), profils des utilisateurs, supprimer Toto. Créer un nouveau compte, "test" par exemple, et se loguer avec ce compte pour vérifier que les préférences du profil Toto ont bien été appliquées. Créer un profil obligatoire Créer un profil obligatoire pour l'utilisateur "Fritz Le Chat", et vérifier que toute modification de profil effectué avec cette session n'est pas enregistrée. 32

Validation des acquis Utilisateurs et groupes 1 - Où sont stockés les utilisateurs et groupes locaux? 2 - Quel outil permet de gérer les comptes locaux? 3 - Quels comptes utilisateurs par défaut existent dans Windows 7? 4 - Pourquoi est-il conseillé de renommer le compte administrateur? 5 - Le compte administrateur par défaut est désactivé. Quelle utilisation pouvez-vous en faire? 6 - Quelle option permet de forcer le changement de mot de passe? 7 - Dans quel cas utilisez-vous l option "Le mot de passe n expire jamais"? 8 -Quelles sont les conséquences d une réinitialisation de mot de passe? 33

9 - Quelles fonctionnalités permettent de se protéger contre les pertes de mots de passe dans Windows 7? 10 - Qu est-ce qu un groupe? Les profils 11 - Où sont stockés les profils? 12 - Que contient le fichier ntuser.dat? 13 - Combien y a-t-il de types de profils? 14 - Quel profil est utilisé lorsqu un nouvel utilisateur ouvre une session? 15 - Que faut-il faire pour interdire la modification d un profil? Le contrôle parental 16 - Que faut-il vérifier avant de mettre en place le contrôle parental? 17 - Quels sont les paramètres que le contrôle parental vous permet de gérer? 34

Validation des acquis - Corrigé Utilisateurs et groupes 1 - Où sont stockés les utilisateurs et groupes locaux? Ils sont stockés dans la base SAM. 2 - Quel outil permet de gérer les comptes locaux? Vous pouvez créer des comptes avec la console de Gestion d ordinateur (compmgmt.msc). 3 - Quels comptes utilisateurs par défaut existent dans Windows 7? Il s agit du compte Administrateur et du compte Invité. 4 - Pourquoi est-il conseillé de renommer le compte administrateur? Pour des raisons de sécurité, pour éviter que des scripts automatiques ou autres logiciels malveillants essaient de découvrir le mot de passe du compte administrateur. Si celui-ci est renommé, cela rend inopérant un certain nombre de codes malveillants. 5 - Le compte administrateur par défaut est désactivé. Quelle utilisation pouvez-vous en faire? Il est utilisable tel quel en mode de récupération (Safe Boot en pressant [F8] après le démarrage). Vous pouvez également activer ce compte pour qu il soit utilisable dans un fonctionnement normal. 6 - Quelle option permet de forcer le changement de mot de passe? Dans la console de Gestion de l ordinateur, dans les propriétés du compte utilisateur, vous pouvez cliquer sur la case L utilisateur doit changer de mot de passe à la prochaine ouverture de session. 7 - Dans quel cas utilisez-vous l option "Le mot de passe n expire jamais"? Lorsque vous créez un compte de service, c est-à-dire un compte qui va être utilisé pour exécuter un service, vous pouvez positionner l option Le mot de passe n expire jamais. 8 -Quelles sont les conséquences d une réinitialisation de mot de passe? L utilisateur dont le mot de passe est réinitialisé perd ses certificats et fichiers chiffrés. Ils sont cependant récupérables si des agents de récupération de clé et de données ont été mis en place. Sinon, pour ne pas les perdre, l utilisateur doit faire un changement de mot de passe et non pas une réinitialisation. 35

9 - Quelles fonctionnalités permettent de se protéger contre les pertes de mots de passe dans Windows 7? Vous pouvez créer une disquette de récupération de mot de passe, également entrer une phrase qui en cas de besoin vous permettra de vous souvenir de votre mot de passe. 10 - Qu est-ce qu un groupe? Un groupe contient un ensemble d utilisateurs ayant des besoins identiques en termes d administration. Les profils 11 - Où sont stockés les profils? Ils sont stockés dans le répertoire Utilisateurs. 12 - Que contient le fichier ntuser.dat? Ntuser.dat contient la portion de base de registre chargée dans HKEY_CURRENT_USER. 13 - Combien y a-t-il de types de profils? Il y a trois types de profils : les profils locaux, les profils itinérants et les profils obligatoires. 14 - Quel profil est utilisé lorsqu un nouvel utilisateur ouvre une session? Un nouveau profil est créé à partir du profil Default User. 15 - Que faut-il faire pour interdire la modification d un profil? Il faut renommer le fichier ntuser.dat en ntuser.man pour le passer en profil obligatoire (mandatory). Le contrôle parental 16 - Que faut-il vérifier avant de mettre en place le contrôle parental? Il faut s assurer que tous les comptes ont un mot de passe, et en particulier que les mots de passe des comptes administrateurs ne sont pas connus. Il faut également s assurer que le compte sur lequel vous voulez activer le contrôle parental n est pas administrateur. 17 - Quels sont les paramètres que le contrôle parental vous permet de gérer? Il permet de définir des limites horaires, restreindre l utilisation de jeux et d applications. 36