A. Utilisation de la console MMC

La console MMC (Microsoft Management Console) fournit une méthode standardisée permettant de créer, sauvegarder et ouvrir des outils administratifs. Il s'agit d'un programme qui héberge des composants logiciels enfichable comme Utilisateurs et ordinateurs Active Directory ou Gestion de disques.

L'environnement MMC permet d'intégrer de manière transparente plusieurs composants logiciels enfichables, mêmes lorsque ces derniers émanent d'éditeurs différents.

Pour créer un console MMC , exécuter la commande MMC dans démarrer puis exécuter.

Ensuite : Fichier  ; Ajouter/Supprimer un logiciel composants enfichables .

Il existe deux type de console  : Personnalisé et préconfiguré.

Les consoles personnalisées permettent d'utiliser un ou plusieurs logiciels composants enfichables, soit partiellement ou en totalité. On peut ensuite la modifier selon ses besoins.

Les consoles préconfiguré ne peuvent faire l'objet ni de modifications, ni ajout de logiciels composants enfichables supplémentaires. Lorsque Windows 2000 est installé il installe également des consoles MMC préconfigurer. Exemple : Poste de travail : Gérer.

Enregistrement des consoles  : Les consoles sont enregistrées sous forme d'un fichier utilisant une extension .msc.

Options de console  : En cliquant sur console puis options, on peut déterminer son nom ainsi que son mode.

Mode de console  : Il existe 2 mode de console : me mode auteur et le mode utilisateur.

Le mode auteur permet :

• D'ajouter ou de supprimer des composants logiciels enfichables.
• De créer de nouvelles fenêtres.
• D'afficher l'arborescence de console en totalité.
• D'enregistrer des consoles MMC.

Le mode utilisateur permet de restreindre les autorisations de manipulation des consoles. Il existe trois type de mode utilisateur qui permettre de restreindre les droits à divers degrés.

B. Administration des comptes d'utilisateurs

Les comptes utilisateurs permettent à des utilisateurs d'ouvrir des sessions sur un domaine afin d'accéder à des ressources réseau, ou d'ouvrir des sessions sur un ordinateur en local.

Il s'agit d'un enregistrement qui définit un utilisateur auprès de Windows 2000 en comprenant de nom d'utilisateur et son mot de passe.

Note : Dans Active Directory, Pour changer le mot de passe d'un utilisateur, on ne vas pas dans ses propriétés mais on fait un clic droit sur lui et : Réinitialiser le mot de passe.

Windows 2000 prend en charge deux types de comptes utilisateurs : les comptes d'utilisateurs de domaine ou local.

Un compte d'utilisateur de domaine permet d'ouvrir une session et d'accéder à des ressources réseau.

Un compte d'utilisateur local permet d'ouvrir une session sur un ordinateur spécifique et d'accéder à des ressources présentes sur ce dernier.

Comptes d'utilisateurs prédéfinis

Windows 2000 crée automatiquement des comptes prédéfinis comme administrateur ou invité. Le système ne permet pas la suppression des comptes prédéfinis mais ces comptes peuvent être renommés.

Astuce : Pour exécuter une action quand on ne possède pas les droits, clic droit ou MAJ + Clic droit puis exécuter en tant que .

Pour la sécurité : Renommer le compte Administrateur et créer un compte nommé Administrateur ne possédant aucun droit.

Par défaut de compte invité est désactivé. Il est recommandé de lui attribuer un mot de passe.

Déverrouillage d'un compte  : Si un compte à été verrouillé par Windows suite à une infraction de sécurité, on peut le déverrouiller en décochant le case Le compte est verrouillé sous l'onglet compte des propriétés de l'utilisateur.

a. Options de compte :

Heures d'ouverture de session : Pour déterminer les horaire d'ouverture de session : Propriétés d'un utilisateur \ Compte \ Horaires d'accès.

Ordinateur à partir desquels les utilisateurs peuvent ouvrir une session : On peut obliger un utilisateur d'ouvrir une session uniquement sur son ordinateur grâce à son numéro d'adresse MAC. Ses données et les données des autres utilisateur en local son alors sécurisé.

Pour ce faire : Propriétés d'un utilisateur \ Compte \ Se connecter à …

Expiration de compte : On peut mentionner une date pour l'expiration d'un compte (pour un départ à la retraite par exemple). Pour ce faire : Propriétés d'un utilisateur \ Compte \ Date d'expiration.

b. Propriétés D'un compte utilisateur :

Onglet compte  : permet de définir un nom d'utilisateur et les options de compte (voir ci-dessus)

Onglet profil  : Les profils d'utilisateur créent et préservent automatiquement les paramètres de bureau de l'environnement de travail de chaque utilisateur sur l'ordinateur local. L'onglet profil permet de définir un chemin réseau sur lequel sera enregistrer les profils.

Onglet Certificats publiés ou distribués :

Permet de sécuriser l'échange de données par des clés pour des réseaux non sécurisés tels qu'internet.

Onglet Membre de :

Permet de stipuler les groupes auxquels appartient l'utilisateur sélectionné.

Onglet Appel entrant :

Permet de contrôler la manière dont un utilisateur peut établir une connexion au réseau par numérotation, à partir d'un emplacement distant.

Onglet objet :

Fournit diverse information sur l'objet en question et son nom de domaine complet.

Onglet Sécurité :

Permet de définir les autorisations sur l'objet utilisateur dans le magasin Active Directory. On peut également y rompre l'héritage des autorisations.

Onglets relatifs aux services terminal server :

Permet à un utilisateur d'ouvrir une session à partir d'un terminal informatique. Prise de contrôle à distance.

Onglet environnement :

Permet de lancer automatiquement des programmes à l'ouvertures de session et de définir les options de périphérique client comme : la connexion des lecteurs réseaux et d'imprimantes.

Onglet sessions :

Permet de gérer les sessions des services terminal server.

Onglet Contrôle distant :

Paramétrage et activation de contrôle à distance des service terminal server.

Onglet profil de services terminal server :

Permet d'appliquer à un utilisateur un profil qui sera appliqué aux sessions Terminel Server.

c. Gestion des profils utilisateurs :

Un profil administrateur est un ensemble de dossiers et de données qui consigne votre environnement de bureau et vos paramètres d'applications courants, ainsi que vos données personnelles (Mes documents).

Un profil renferme également toutes les connexions réseau établies lorsque vous ouvrez une session sur un ordinateur, les articles figurant dans le menu démarrer et les lecteurs mappés sur des serveurs réseau.

Lors de la première ouverture de session, Windows 2000 crée un profil d'utilisateur local puis enregistre le profil d'utilisateur sur ce même ordinateur.

Il est nommé Default User dans le dossier %systemdrive%\Documents and settings\<nom utilisateur ouverture session>.

Lors d'une migration à partir de Windows 98, NT, le dossier profil reste à l'emplacement : %systemroot%\profiles.

Note : Vous pouvez modifier le répertoire de destination de Mes documents en accédant aux propriétés de l'icône mes documents placée sur le bureau.

Pour enregistrer des modifications du profil d'utilisateur, on redémarre l'ordinateur.

d. Profils d'utilisateur itinérants (RUP)

Configurer des profils d'utilisateurs itinérants pour prendre en charge les utilisateurs qui sont amenés à travailler sur plusieurs postes différents.

Les profils d'utilisateurs itinérants se configure sur un serveur réseau afin d'être toujours disponible quel que soit l'ordinateur sur lequel l'utilisateur correspondant ouvre une session.

Les profils d'utilisateurs itinérants diffère du profil d'utilisateur local qui, lui, est enregistré en local.

Lorsqu'un utilisateur ferme une session, Windows 2000 reporte les modifications apportées à la copie locale RUP sur le serveur sur lequel le profil est enregistré.

Création de profils d'utilisateurs itinérants personnalisés

Vous pouvez également personnaliser un RUP préconfiguré que vous attribuerez à tous les comptes d'utilisateurs, ou encore rendre des profils d'utilisateur itinérants en lecture seule.

Lorsque l'utilisateur ferme une session, Windows 2000 n'enregistre pas les modifications.

Un fichier caché dans le profil, nommé Ntuser.dat, contient les paramètres d'environnement d'utilisateur tels que l'aspect de son bureau. Vous pouvez restreindre l'accès de ce fichier en lecture seule en changeant son nom en Ntuser.mam.

Pour configurer un RUP, vous devez créer un dossier partagé sur un serveur, puis utiliser un chemin exprimé selon le format suivant : \\<serveur\<partage>.

Utiliser un nom intuitif pour le dossier de partage, tel que profils. Dans l'onglet profil de la boite de dialogue propriétés du compte d'utilisateur, tapez le chemin vers le dossier partagé dans la zone de texte chemin du profil (\\<serveur\partage\<nom d'ouverture session utilisateur>).

Vous pouvez taper la variable %username% en lieu et place du nom d'utilisateur servant à l'ouverture de session. Lorsque vous utilisez cette variable, Windows 2000 la remplace automatiquement par le nom de compte d'utilisateur stipulé par le RUP.

Attribution d'un profil d'utilisateur itinérant personnalisé

Vous pouvez personnaliser un RUP et l'attribuer à plusieurs utilisateurs qui disposeront alors des mêmes paramètres et connexions à l'ouverture de session.

Vous devez tout d'abord créer un modèle de profil utilisateur en local qui contiendra les paramètres du bureau personnalisés dont vous souhaitez que les utilisateurs disposent.

Après avoir créé votre modèle de profil utilisateur, ouvrez une session en tant qu'Administrateur, puis copiez le modèle de profil utilisateur dans un dossier RUP sur le serveur. Tous les utilisateurs qui se verront attribuer le profil doivent pouvoir accéder à ce dossier. Vous pouvez utiliser l'application Système du Panneau de configuration pour copier le modèle de profil dans un emplacement partagé du réseau.

Pour achever le processus, attribuer aux utilisateurs appropriés en utilisant le composant logiciel enfichable Utilisateurs et ordinateur Active Directory . Ouvrez le composant, puis la boîte de dialogue propriété d'un compte d'utilisateur. Activez l'onglet profil, puis dans la zone de texte Chemin du profil , tapez le chemin vers le profil.

e. Création de dossiers de base

Les dossiers de base sont des espaces de stockage pour l'utilisateur situé en local ou sur serveur.

Vous pouvez placer les dossiers de base de tous les utilisateurs dans un emplacement central sur le réseau.

Avantages :

• Les utilisateurs peuvent accéder à leurs dossiers de base à partir de n'importe qu'el ordinateur du réseau.
• La sauvegarde et l'administration des documents des utilisateurs sont centralisées.

Pour créer un dossier de base sur un serveur de fichiers du réseau :

• Créer et partager un dossier dans lequel vous enregistrerez tous les dossiers de base sur un serveur du réseau. Chaque utilisateur verra ainsi son dossier de base subordonné au dossier partagé.
• Modifier l'autorisation Contrôle Total : Retirez au groupe Tout le monde l'autorisation Contrôle total sur le dossiers partagé, Puis attribuez-là au groupe users. Ainsi, seuls les utilisateurs dotés de comptes d'utilisateurs de domaine peuvent accéder au dossier partagé.
• Fournir le chemin du dossier de base : Dans la section Dossier de base de l'onglet Propriétés du comptes d'utilisateur sélectionné, taper le chemin vers le dossiers de base de l'utilisateur. Le dossier de base est enregistré sur le serveur d'un réseau. Aussi vous devez activer le bouton d'option Connecter , puis spécifier une lettre de lecteur qui sera utilisé pour la connexion. Lorsque l'utilisateur ouvre une session sur le réseau, la lettre de lecteur que vous avez fournie s'affiche dans Mes documents. Dans la zone de texte, un nom UNC s'affiche sous la forme : \\<serveur>\<partage>\<nom utilisateur ouverture session>. Vous pouvez utilisez la variable %username% en tant que nom d'utilisateur.

Note : Vous pouvez améliorer la fonction de dossier de base en redirigeant le pointeur de l'utilisateur sur Mes documents vers l'emplacement de son répertoire de base.

F. Création d'un script d'ouverture de session

Ce script à pour but de raccorder des lecteurs réseaux au démarrage d'une session d'un utilisateur du domaine :

• Créer un script du type lecteur.bat avec comme ligne de commande : net use [lecteur] \\[serveur]\[dossier partagé].
• Le placer dans %systemroot%/nom de domaine/script.
• Ouvrir Utilisateurs et ordinateur Active Directory , dans les propriétés de l'utilisateur, sélectionner l'onglet profil et entrer le nom du script (ici lecteur.bat) dans la fenêtre Script .

C. Administration des comptes de groupes

Un groupe est un ensemble de comptes d'utilisateurs. Les groupes simplifie l'administration en permettant d'attribuer des autorisations et des droits collectivement à un ensemble d'utilisateur. Les utilisateurs peuvent être membres de plusieurs groupes.

En plus de comptes d'utilisateurs, les groupes peuvent se voir ajouter des contacts, des ordinateurs ainsi que d'autres groupes.

a. Implémentation de groupes au sein d'un domaine

Type de groupe :

• Groupe de sécurité : Le système Windows 2000 utilise uniquement des groupe de sécurité
• Groupe de distribution : On utilise ces groupe pour des applications tiers comme l'envoie de courrier électroniques à un groupe d'utilisateur. Vous ne pouvez pas utiliser ces groupe pour attribuer des autorisations.

Etendue de groupe :

Lorsque vous créez un groupe, vous devez sélectionner un type et une étendue de groupe.

Les étendues de groupe vous permettent d'utiliser des groupes de différentes manières afin d'attribuer des autorisations.

L'étendue de groupe détermine la portion du réseau au sein de laquelle vous êtes en mesure d'utiliser ce groupe . Les trois étendues de groupe sont : Domaine local, Globale et Universelle .

Groupe Domaine local  :

Le plus utilisé, avec cette étendue, on peut rattacher des utilisateurs de m'importe quel domaine mais ayant accès à des ressources uniquement présentes au sein du domaine où on créé le groupe domaine local.

Groupe Globaux  :

Avec ce type de groupe on ne peut rattacher que des utilisateurs du domaine où est créé le groupe global. Par contre les utilisateurs auront accès aux ressources présentes dans tous les domaines.

Groupe universels  :

On peut rattacher des membres de tous les domaines qui auront accès auront accès aux ressources présentes dans tous les domaines.

Les groupes universels ne sont pas disponibles en mode mixte.

Appartenance à un groupe :

L'étendue du groupe détermine les caractéristiques d'appartenance du groupe. Les règles d'appartenance à un groupe définissent les membres qu'un groupe peut inclure.

Les groupes de domaine local et global peuvent être convertis en groupes universels. Pour la réussite de cette opération, Windows 2000 doit être en mode natif et que le groupe ne contient aucun autre membre de groupe de la même étendue. Par exemple un groupe global contenant un autre groupe global ne peut devenir un groupe universel.

Stratégie de groupe :

Pour utiliser efficacement les groupes, vous devez déterminer les types de groupe que vous utiliserez.

Utilisation de Groupe Globaux et de Domaine local :

Tenir compte des points suivant :

• Identifier des utilisateurs affichant des responsabilités professionnelles communes et ajouter leurs comptes d'utilisateurs à un groupe global.
• Identifier les ressources ou les groupes de ressources, notamment des fichiers liés auxquels les utilisateurs ont besoin d'accéder, puis créer un groupe de domaine local.
• Identifier tous les groupes globaux qui partagent les mêmes besoins en matière d'accès aux ressources, puis faîtes en des membres de groupe de domaine local adéquat.
• Attribuer les autorisations requises au groupe de domaine local.

b. Implémentation de groupes

Pour implémenter les groupes, tenir comptes des directives suivantes :

• Déterminez l'étendue de groupe requise en fonction de la manière dont vous souhaitez utiliser les groupes.
• Evitez d'ajouter des utilisateurs à des groupes universels
• Assurez-vous que vous disposez bien des autorisations nécessaires pour créer un groupe au sein du domaine approprié.
• Déterminez les nom des groupes

c. Groupes prédéfinis

Windows 2000 dispose de quatre catégories de groupes prédéfinis : Global, Domaine local, Local et Système.

Groupe Globaux prédéfinis

Windows 2000 crée des groupes globaux prédéfinis afin de regrouper des types de comptes d'utilisateurs communs. Par défaut Windows 2000 ajoute automatiquement des membres à certains groupes globaux prédéfinis.

Groupes globaux prédéfinis les plus utilisés :

• Utilisateur du domaine : Le compte Administrateur en est membre dès le départ et Windows 2000 y ajoute automatiquement chaque nouveau compte utilisateur.
• Administrateur du domaine : compte Administrateur en est membre.
• Invités du domaine : Windows 2000 ajoute automatiquement ce groupe au groupe local de domaine Invités. Il est désactivé par défaut.
• Administrateur de l'entreprise : compte Administrateur en est membre.

Note : pour les groupes prédéfinis, on trouve :

Administrateur : Administrateur du domaine.

Utilisateurs : Utilisateurs du domaine.

Etc.…

Groupes de domaine local prédéfinis.

Windows 2000 crée des groupes locaux prédéfinis au sein du domaine afin de fournir aux utilisateurs des droits et des autorisations nécessaires à l'exécution de certaines tâches sur des contrôleurs de domaine et dans le magasin Active Directory. Ils ne peuvent être supprimés.

On trouve comme groupe :

• Opérateurs de comptes
• Opérateurs de serveur
• Opérateur d'impression
• Administrateurs
• Invités
• Opérateurs de sauvegarde
• Utilisateurs

Groupes locaux prédéfinis :

Ces groupes locaux (dont pas sur les contrôleurs de domaines) permettent d'accorder les droits nécessaires à l'exécution de tâches système sur un seul est unique ordinateur.

On trouve comme groupe :

• Utilisateurs
• Administrateurs
• Invités
• Opérateurs de sauvegarde
• Utilisateurs avec pouvoir
• Duplicateurs

Groupe système prédéfinis

Ces groupes sont présents sur tous les ordinateurs Windows 2000. Lorsque vous administrer ces groupes, les groupes système ne s'affiche pas, mais ils sont disponible dès lors que vous attribuez des droits et des autorisations.

On trouve comme groupe :

• Tout le monde
• Utilisateurs authentifiés
• Créateur propriétaire
• Réseau
• Interactif
• Anonymous logon
• Ligne