CFP-LD
Octobre 2014
Utilisateurs et groupes
L'objectif de ce cours est la dfinition, la cration ainsi que la gestion des objets reprsentant les personnes qui
doivent ouvrir une session sur l'ordinateur ou celles qui accdent travers le rseau aux ressources proposes par
cet ordinateur.
Pour qu'une personne puisse ouvrir une session sur un autre ordinateur, il doit tre enregistr dans la base
SAM de ce dernier. Imaginez le travail de l'administrateur d'une grande entreprise !
Chaque changement du mot de passe ncessite le changement sur tous les autres ordinateurs.
L'outil qui permet de grer la base SAM se trouve dans Gestion de l'ordinateur .
La notion d'utilisateur selon Windows
Il ne faut pas confondre la personne en tant qu'utilisateur de la machine et le compte utilisateurs prdfini par
Windows.
On parlera d'utilisateurs en tant que compte prdfini, et d'utilisateur en tant que personne physique (toto par
exemple). Notez la diffrence rside dans le s la fin qui dfinit le groupe utilisateurs.
Pour la suite du cours, pour plus de clart, on utilisera le terme user pour dfinir la personne physique.
A.R
CFP-LD
Octobre 2014
Les droits concernes les actions que peut effectuer un user sur le systme (ex : ouvrir une session, arrter
la machine, changer l'heure ...)
Les permissions concernent les autorisations sur les dossiers, les fichiers, imprimantes et applications.
Exemples : Selon Microsoft il faut dire j'ai la permission de lire ce fichier , j'ai la permission d'imprimer ,
j'ai le droit de partager ce rpertoire ou j'ai le droit d'enregistrer un user .
Exercice 1:
1- Dans quel rpertoire et sous quel nom peut-on trouver la base SAM ?
_______________________________________________________________________________________
_________________________________________________________
2- Quel sont les choix proposs pendant la cration d'un compte avec l'outil comptes d'utilisateurs du
panneau de configuration ?
_______________________________________________________________________________________
_________________________________________________________
3- Dans panneau de configuration, outils d'administrations, gestion de l'ordinateur, utilisateurs et groupes locaux,
crer un nouvel utilisateur toto , quelles sont les informations saisir ?
_______________________________________________________________________________________
_______________________________________________________________________________________
__________________________________________
4- Est-il possible de crer directement un quivalent administrateur pendant la cration d'un utilisateur ?
________________________________________________________________________
5- Comment attribuer au compte toto les pouvoirs administrateurs ?
_______________________________________________________________________________________
_________________________________________________________
6- Comment supprimer le user toto de la base SAM ? Faites-le.
________________________________________________________________________
A.R
CFP-LD
Octobre 2014
Groupe Oprateurs de sauvegarde : sauvegarde et restauration du systme entier. Peut ouvrir une
session locale et arrt l'ordinateur. Ne peut pas modifier la stratgie de scurit.
Groupe oprateurs de configuration rseau : paramtrage TCP/IP par exemple. Ne peut pas ajouter
un priphrique.
Groupe utilisateur avec pouvoir : Ils peuvent modifier l'heure, crer un compte, des partages, accder
certaines partie du registre et donc installer certains programmes.
Groupe invits : pas d'ouverture de session sur la machine pour le compte invit prdfini mais
autorise aux membres du groupe. Les tches de gestion sont interdites.
Groupe duplicateurs : rplication des fichiers entre serveurs dans un domaine. Le groupe existe en
prvision de l'adhsion un domaine (gestion par un serveur).
Groupe utilisateur du bureau distance : utilisation de son bureau depuis un autre ordinateur.
Groupe utilisateurs : Ils ont trs peu de pouvoir sur la gestion de la machine. Ils peuvent crer des
imprimantes en tant que clients mais ne peuvent pas partager leurs propres rpertoires.
Groupe helpservicesgroup : associ avec le compte utilisateur support_xxxx permet de lancer des
outils de diagnostic.
2.2- Les groupes spciaux
Ils ne sont pas visibles pendant la gestion des groupes, ils apparaissent lors des affectations de permissions ou de
droits.
Ils qui ne peuvent pas se manipuler. En effet, la qualit de membre de ces groupes ne peut pas tre modifie et fait rfrence l'tat de
votre systme un instant donn.
Les administrateurs ne peuvent leurs affecter des membres mais l'appartenance ces groupes est ralise par
certaines actions de l'utilisateur ou de manire automatique. Ils sont appels entits de scurit intgre .
Groupe tout le monde : Ce groupe englobe toutes personnes connus ou non de la base SAM. Ds qu'un
partage est cr, ce groupe y possde par dfaut la permission Lecture sur le partage (et Contrle total
sous Windows 2000 !). Pour les imprimantes il ne possde que le droit d'imprimer.
Groupe crateur propritaire : Avant qu'un utilisateur ne cre un objet, il n'appartient pas ce groupe.
Juste aprs il en fait partie. Cela permet par exemple de crer un rpertoire o tout le monde peut
dposer un message et seuls les propritaires ont la permission de modifier le leurs, les autres ne peuvent
que les lire. Le propritaire d'une ressource dispose des pleins pouvoirs sur cette dernire.
A.R
CFP-LD
Octobre 2014
Groupe interactif : Ce groupe intgre toutes personnes logues physiquement sur l'ordinateur. Tous
les utilisateurs qui ont ouvert une session localement (dans le cas o vous utilisez Terminal Server, ce
groupe comporte tous les utilisateurs ayant ouvert une session sur le serveur de terminal).
Groupe utilisateurs authentifis : contient toute personne authentifis en local ou distance possdant
un compte d'utilisateur et un mot de passe pour la machine locale ou Active Directory. Affectez des
permissions ce groupe plutt qu'au groupe Tout le monde.
Il existe de nombreux autres groupes qui seront tudis en fonction des besoins.
A.R
CFP-LD
Octobre 2014
Exercice 2:
1- Crer quatre groupes maintenances , outillages , electros , sens
2- Crer deux personnes par groupe (sen1 sen2 par exemple)
3- Quelles sont les deux mthodes pour ajouter une personne un groupe ?
Ajouter l`utilisateur ou groupe dans le proprit du groupe
_______________________________________________________________________________________
___________________________________________________________________
Dfinir le groupe qui l`utilisateur fait partir dans la proprit d`utilisateur
4- Est-il possible d'ajouter un groupe local dans un autre groupe local ?
_____________________________________________________________________________
Non
5- Est-il possible d'ajouter un groupe spcial dans un groupe local ?
_____________________________________________________________________________
Oui
6- Est-il possible d'ajouter un groupe spcial dans un autre groupe spcial ?
_____________________________________________________________________________
Non
7- Est-il possible d'ajouter un groupe local dans un groupe spcial ?
________________________________________________________________________
_____
Non
8- Complter le tableau suivant par oui ou par non
Ligne membre de colonne
Groupe local peut-il tre membre de ?
Groupe spcial peut-il tre membre de ?
Groupe local
Groupe spcial
Non
Non
Oui
Non
9- Ajouter une personne cr la question deux dans le groupe utilisateurs avec pouvoir .
10- Loguez-vous avec ce compte puis testez les actions suivantes :
Crer un nouveau compte : ______________________________________________
Oui
Non
Ajouter ce compte dans le groupe administrateurs : ___________________________
Modifier le mot de passe de l'administrateur :_______________________________
Non
Partager un dossier : _________________________________________________
Oui
Oui
Crer une imprimante : ________________________________________________
11- Crer un nouveau compte admin appartenant au groupe administrateurs puis reloguez vous. Admin peut-il
modifier le mot de passe de l'administrateur (bouton droit dfinir le mot de passe) ? Qu'en pensez-vous ?
Oui parce il est un utilisateur administrateur
_______________________________________________________________________________________
_________________________________________________________
12- Dans l'outil gestion de l'ordinateur pouvez-vous voir les groupes spciaux ?
Non, seulement quand on cherche un nouveau utilisateur pour ajout dans un groupe mais
_____________________________________________________________________________
ils ne sont pas des groupes locaux
A.R
CFP-LD
Octobre 2014
13- Partager un dossier, dans l'onglet scurit, cliquez sur ajouter puis sur avanc puis sur rechercher, noter tous
les groupes locaux puis spciaux prsents sur votre machine. Annuler le partage.
Groupe locaux :
Administrators, Backup Operators, Electros, Guests, HelpAssistant, HelpServicesGroup, Maintenances
Network Configuration Operators, Outillages, Power Users, Remote Desktop Users, Replicadors, Sens
Users
Groupes spciaux:
Terminal Server User, Network, Interactive, Everyone, Dialup, Batch, Authenticated Users, Anonymous
Logon
14- Supprimer le groupe sens, vrifier si les membres de ce groupe sont toujours prsents.
Oui, ils sont presents
_____________________________________________________________________________
15- Recrer le groupe sens, les utilisateurs qui y taient l'origine se trouvent-ils nouveau dans ce groupe ?
Non
_____________________________________________________________________________
16- Que faut-il faire pour supprimer un groupe ainsi que tous ses membres ?
Supprimer les groupes e les membres un par un
_____________________________________________________________________________
17- Supprimer tous les groupes et tous les comptes crs lors de cet exercice.
A.R
CFP-LD
Octobre 2014
Domaine :
Un DOMAINE est un espace logique dans
lequel on regroupe des ordinateurs, des
utilisateurs et des ressources. Il permet la
centralisation de ladministration des ressources,
centralisation des comptes utilisateurs : comptes
uniques et universels, et de la centralisation de la
scurit des ressources.
Un domaine exige au minimum 1 contrleur de domaine (CDD).
On cr tous les utilisateurs (comptes) du domaine dans lannuaire du CDD. Lutilisateur pourra ouvrir une
session sur nimporte quel client ou serveur adhr au domaine avec son propre login.
A partir du CDD on peut administrer tout le domaine. On peut administrer le CDD partir dun client adhr au
domaine, condition dinstaller les outils dadministration dActive Directory.
Cest donc un outil qui permet de segmenter les ressources dune entreprise et de centraliser ladministration et la
scurit de ces ressources locales.
Facilit dadministration, scurit plus fiable.
7