A.

CFP-LD

Octobre 2014

Utilisateurs et groupes
L'objectif de ce cours est la dfinition, la cration ainsi que la gestion des objets reprsentant les personnes qui
doivent ouvrir une session sur l'ordinateur ou celles qui accdent travers le rseau aux ressources proposes par
cet ordinateur.

1- Dfinition d'un utilisateur :

La base SAM
Chaque systme Windows XP possde une base des comptes contenant les utilisateurs autoriss accder cet
ordinateur, les groupes contenant certains utilisateurs et l'ordinateur lui-mme.
Cette base de donnes porte le nom de SAM (Scurity Account Manager). Elle se trouve dans le rpertoire
\windows\System32\config qui contient en fait la base de registre dont fait partie la base SAM. La base de
registre est constitue des fichiers contenus dans ce dossier.
Mise en garde : Il est possible de modifier des lments de la base de registre grce l'outil regedit, mais toute
modification est prise en compte immdiatement et cela peut provoquer le plantage de la machine donc il
fortement recommand de ne pas y toucher sans tre certain du rsultat.
Pour ouvrir une session sur cet ordinateur, le compte doit exister dans la base SAM et le mot de passe doit tre
connu de l'utilisateur. Ce dernier est crypt sur le disque dur et se trouve dans le fichier Security , faisant partie
du registre.
Aucune relation n'existe entre les bases SAM des ordinateurs, mme s'ils appartiennent au mme Groupe de
travail. Chaque base SAM n'a qu'une existence locale sur l'ordinateur. Cela signifie que :

Pour qu'une personne puisse ouvrir une session sur un autre ordinateur, il doit tre enregistr dans la base
SAM de ce dernier. Imaginez le travail de l'administrateur d'une grande entreprise !

Chaque changement du mot de passe ncessite le changement sur tous les autres ordinateurs.

L'outil qui permet de grer la base SAM se trouve dans Gestion de l'ordinateur .
La notion d'utilisateur selon Windows
Il ne faut pas confondre la personne en tant qu'utilisateur de la machine et le compte utilisateurs prdfini par
Windows.
On parlera d'utilisateurs en tant que compte prdfini, et d'utilisateur en tant que personne physique (toto par
exemple). Notez la diffrence rside dans le s la fin qui dfinit le groupe utilisateurs.
Pour la suite du cours, pour plus de clart, on utilisera le terme user pour dfinir la personne physique.

A.R

CFP-LD

Octobre 2014

Notion de droits et de permissions selon windows

Il est impratif pour une gestion correcte des utilisateurs, de ne pas confondre droits et permission (ou
autorisation).

Les droits concernes les actions que peut effectuer un user sur le systme (ex : ouvrir une session, arrter
la machine, changer l'heure ...)

Les permissions concernent les autorisations sur les dossiers, les fichiers, imprimantes et applications.

Exemples : Selon Microsoft il faut dire j'ai la permission de lire ce fichier , j'ai la permission d'imprimer ,
j'ai le droit de partager ce rpertoire ou j'ai le droit d'enregistrer un user .
Exercice 1:
1- Dans quel rpertoire et sous quel nom peut-on trouver la base SAM ?
_______________________________________________________________________________________
_________________________________________________________
2- Quel sont les choix proposs pendant la cration d'un compte avec l'outil comptes d'utilisateurs du
panneau de configuration ?
_______________________________________________________________________________________
_________________________________________________________
3- Dans panneau de configuration, outils d'administrations, gestion de l'ordinateur, utilisateurs et groupes locaux,
crer un nouvel utilisateur toto , quelles sont les informations saisir ?
_______________________________________________________________________________________
_______________________________________________________________________________________
__________________________________________
4- Est-il possible de crer directement un quivalent administrateur pendant la cration d'un utilisateur ?
________________________________________________________________________
5- Comment attribuer au compte toto les pouvoirs administrateurs ?
_______________________________________________________________________________________
_________________________________________________________
6- Comment supprimer le user toto de la base SAM ? Faites-le.
________________________________________________________________________

A.R

CFP-LD

Octobre 2014

2- Dfinition des groupes.

Un groupe est un ensemble de comptes dutilisateur. Les groupes permettent de simplifier la gestion de laccs
des utilisateurs et des ordinateurs aux ressources partages. Ils permettent daccorder des autorisations daccs
plusieurs utilisateurs simultanment. Aprs avoir accord lautorisation daccs un groupe, on peut lui ajouter
des membres qui ncessitent cette autorisation.
2.1- Les groupes locaux.
L'appartenance un groupe permet d'hriter de ses pouvoirs . Certains groupes locaux sont prdfinis et ne
peuvent tre supprims mais seulement renomms.
Par convention, les groupes sont au pluriel pour viter la confusion avec un individu.
Groupe ADMINISTRATEURS : contrle total sur l'ordinateur.

Groupe Oprateurs de sauvegarde : sauvegarde et restauration du systme entier. Peut ouvrir une
session locale et arrt l'ordinateur. Ne peut pas modifier la stratgie de scurit.

Groupe oprateurs de configuration rseau : paramtrage TCP/IP par exemple. Ne peut pas ajouter
un priphrique.

Groupe utilisateur avec pouvoir : Ils peuvent modifier l'heure, crer un compte, des partages, accder
certaines partie du registre et donc installer certains programmes.

Groupe invits : pas d'ouverture de session sur la machine pour le compte invit prdfini mais
autorise aux membres du groupe. Les tches de gestion sont interdites.

Groupe duplicateurs : rplication des fichiers entre serveurs dans un domaine. Le groupe existe en
prvision de l'adhsion un domaine (gestion par un serveur).

Groupe utilisateur du bureau distance : utilisation de son bureau depuis un autre ordinateur.

Groupe utilisateurs : Ils ont trs peu de pouvoir sur la gestion de la machine. Ils peuvent crer des
imprimantes en tant que clients mais ne peuvent pas partager leurs propres rpertoires.

Groupe helpservicesgroup : associ avec le compte utilisateur support_xxxx permet de lancer des
outils de diagnostic.
2.2- Les groupes spciaux
Ils ne sont pas visibles pendant la gestion des groupes, ils apparaissent lors des affectations de permissions ou de
droits.
Ils qui ne peuvent pas se manipuler. En effet, la qualit de membre de ces groupes ne peut pas tre modifie et fait rfrence l'tat de
votre systme un instant donn.
Les administrateurs ne peuvent leurs affecter des membres mais l'appartenance ces groupes est ralise par
certaines actions de l'utilisateur ou de manire automatique. Ils sont appels entits de scurit intgre .
Groupe tout le monde : Ce groupe englobe toutes personnes connus ou non de la base SAM. Ds qu'un
partage est cr, ce groupe y possde par dfaut la permission Lecture sur le partage (et Contrle total
sous Windows 2000 !). Pour les imprimantes il ne possde que le droit d'imprimer.

Groupe crateur propritaire : Avant qu'un utilisateur ne cre un objet, il n'appartient pas ce groupe.
Juste aprs il en fait partie. Cela permet par exemple de crer un rpertoire o tout le monde peut
dposer un message et seuls les propritaires ont la permission de modifier le leurs, les autres ne peuvent
que les lire. Le propritaire d'une ressource dispose des pleins pouvoirs sur cette dernire.

A.R

CFP-LD

Octobre 2014

Groupe interactif : Ce groupe intgre toutes personnes logues physiquement sur l'ordinateur. Tous
les utilisateurs qui ont ouvert une session localement (dans le cas o vous utilisez Terminal Server, ce
groupe comporte tous les utilisateurs ayant ouvert une session sur le serveur de terminal).

Groupe utilisateurs authentifis : contient toute personne authentifis en local ou distance possdant
un compte d'utilisateur et un mot de passe pour la machine locale ou Active Directory. Affectez des
permissions ce groupe plutt qu'au groupe Tout le monde.

Groupe rseau : contient les personnes authentifies depuis le rseau.

Il existe de nombreux autres groupes qui seront tudis en fonction des besoins.

A.R

CFP-LD

Octobre 2014

Exercice 2:
1- Crer quatre groupes maintenances , outillages , electros , sens
2- Crer deux personnes par groupe (sen1 sen2 par exemple)
3- Quelles sont les deux mthodes pour ajouter une personne un groupe ?
Ajouter l`utilisateur ou groupe dans le proprit du groupe
_______________________________________________________________________________________
___________________________________________________________________
Dfinir le groupe qui l`utilisateur fait partir dans la proprit d`utilisateur
4- Est-il possible d'ajouter un groupe local dans un autre groupe local ?
_____________________________________________________________________________
Non
5- Est-il possible d'ajouter un groupe spcial dans un groupe local ?
_____________________________________________________________________________
Oui
6- Est-il possible d'ajouter un groupe spcial dans un autre groupe spcial ?
_____________________________________________________________________________
Non
7- Est-il possible d'ajouter un groupe local dans un groupe spcial ?
________________________________________________________________________
_____
Non
8- Complter le tableau suivant par oui ou par non
Ligne membre de colonne
Groupe local peut-il tre membre de ?
Groupe spcial peut-il tre membre de ?

Groupe local

Groupe spcial

Non

Non

Oui

Non

9- Ajouter une personne cr la question deux dans le groupe utilisateurs avec pouvoir .
10- Loguez-vous avec ce compte puis testez les actions suivantes :
Crer un nouveau compte : ______________________________________________
Oui
Non
Ajouter ce compte dans le groupe administrateurs : ___________________________
Modifier le mot de passe de l'administrateur :_______________________________
Non
Partager un dossier : _________________________________________________
Oui
Oui
Crer une imprimante : ________________________________________________
11- Crer un nouveau compte admin appartenant au groupe administrateurs puis reloguez vous. Admin peut-il
modifier le mot de passe de l'administrateur (bouton droit dfinir le mot de passe) ? Qu'en pensez-vous ?
Oui parce il est un utilisateur administrateur
_______________________________________________________________________________________
_________________________________________________________
12- Dans l'outil gestion de l'ordinateur pouvez-vous voir les groupes spciaux ?
Non, seulement quand on cherche un nouveau utilisateur pour ajout dans un groupe mais
_____________________________________________________________________________
ils ne sont pas des groupes locaux

A.R

CFP-LD

Octobre 2014

13- Partager un dossier, dans l'onglet scurit, cliquez sur ajouter puis sur avanc puis sur rechercher, noter tous
les groupes locaux puis spciaux prsents sur votre machine. Annuler le partage.
Groupe locaux :
Administrators, Backup Operators, Electros, Guests, HelpAssistant, HelpServicesGroup, Maintenances

Network Configuration Operators, Outillages, Power Users, Remote Desktop Users, Replicadors, Sens

Users
Groupes spciaux:
Terminal Server User, Network, Interactive, Everyone, Dialup, Batch, Authenticated Users, Anonymous

Logon

14- Supprimer le groupe sens, vrifier si les membres de ce groupe sont toujours prsents.
Oui, ils sont presents
_____________________________________________________________________________
15- Recrer le groupe sens, les utilisateurs qui y taient l'origine se trouvent-ils nouveau dans ce groupe ?
Non
_____________________________________________________________________________
16- Que faut-il faire pour supprimer un groupe ainsi que tous ses membres ?
Supprimer les groupes e les membres un par un
_____________________________________________________________________________
17- Supprimer tous les groupes et tous les comptes crs lors de cet exercice.

A.R

CFP-LD

Octobre 2014

WORKGROUP Groupe de travail

Un WORKGROUP est un espace logique dans lequel on regroupe des ordinateurs, des utilisateurs et des
ressources.
Cest galement un poste poste (ou gal gal ou encore peer to peer)
Aucun PC ne gre les autres, pas de PC dominant : gal gal
Un serveur peut tre prsent en tant qu autonome : il se comporte comme un client.
Le Workgroup permet aux utilisateurs de nutiliser que les ressources de ce groupe de travail Workgroup .
On y trouve des clients (Windows XP, VISTA, 7) et des serveurs (Windows Server).
Pour ouvrir une session sur un poste dans un Workgroup, il faut avoir un login (compte / mdp=mot de passe)
Les comptes sont stocks en local sur chaque machine : SAM (Security Account Manager)
Les comptes sont donc dcentraliss. Un compte local ne permet que laccs aux ressources de la machine sur
laquelle il a t cr. On ne peut pas administrer une machine distance avec un Workgroup sauf si les mdp
administrateurs sont les mmes ; administration locale : permissions et autorisations.
Gestion difficile, peu automatique et dcentralise.
Groupe de travail / Domaine

Domaine :
Un DOMAINE est un espace logique dans
lequel on regroupe des ordinateurs, des
utilisateurs et des ressources. Il permet la
centralisation de ladministration des ressources,
centralisation des comptes utilisateurs : comptes
uniques et universels, et de la centralisation de la
scurit des ressources.
Un domaine exige au minimum 1 contrleur de domaine (CDD).
On cr tous les utilisateurs (comptes) du domaine dans lannuaire du CDD. Lutilisateur pourra ouvrir une
session sur nimporte quel client ou serveur adhr au domaine avec son propre login.
A partir du CDD on peut administrer tout le domaine. On peut administrer le CDD partir dun client adhr au
domaine, condition dinstaller les outils dadministration dActive Directory.
Cest donc un outil qui permet de segmenter les ressources dune entreprise et de centraliser ladministration et la
scurit de ces ressources locales.
Facilit dadministration, scurit plus fiable.
7