Gestion comptes


Essentiel 70-290 - part 1 Gestion comptes

Gestion comptes user et ordi


comptes users

  • Le nom d’ouverture de session (login) : thoboi_l
  • Le nom d’ouverture de session pré-windows : ESI\thoboi_l
  • Le nom d’utilisateur principal : thoboi_l@esi-supinfo.lan
  • Le nom unique LDAP :

Un login ne peut dépasser les 20 caractères, il est sensible à la casse et ne peut pas contenir de caractères spéciaux comme : " / \ [ ] : ; | = , + * ? < >.


 

comptes ordi

n’existe que dans un environnement de domaine. utiles pour la sécurité et la gestion centralisée : ainsi on va pouvoir utiliser ces comptes pour configurer des audits, IPSec, le déploiement de logiciels, les stratégies de sécurité,...


 

Modifs comptes users et ordi

dsmod [user | computer] :

  • dsmod user UserDN ... [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [- empid EmployeeID] [-pwd (Password | *)] [-desc Description] [-office Office] [-tel PhoneNumber] [-email E-mailAddress] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [- p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]
  • dsmod computer ComputerDN ... [-desc Description] [-loc Location] [-disabled {yes | no}] [-reset] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]


Recherche dans AD

dsquery user ou dsquery computer :

  • dsquery user [{StartNode | forestroot | domainroot}] [-o {dn | rdn | upn | samid}] [-scope {subtree |onelevel | base}] [-name Name] [-desc Description] [-upn UPN] [-samid SAMName] [-inactive NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]
  • dsquery computer [{StartNode | forestroot | domainroot}] [-o {dn | rdn | samid}] [-scope {subtree |onelevel | base}] [-name Name] [-desc Description] [-samid SAMName] [-inactive NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r][-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]

réaliser des requêtes personnalisées directement en LDAP : sélectionner l’option Recherche personnalisée dans l’option Recherche.

 

Gestion des groupes

  • sur ordi local: Utilisateurs et groupes locaux
  • sur controleur de domaine

2 types de groupes dans AD:

  • de sécu -> affectation de users et ordi à des ressources
  • de distribution -> messagerie

 

Etendue des groupes

Les deux types de groupes dans Active Directory gèrent chacun 3 niveaux d’étendue. Leur fonctionnement va dépendre du niveau fonctionnel du domaine qui peut varier entre mixte, natif 2000 et natif 2003.


Les groupes globaux
  Mode mixte Mode natif
Membres comptes users du meme domaine comptes users et groupes globaux du meme domaine
Membres de Groupes locaux du même domaine Groupes locaux de domaines
Etendue Visibles dans leur domaine et dans tous les domaines approuvés
Autorisations pour Tous les domaines de la forêt

 

Les groupes de domaine local
  Mode mixte Mode natif
Membres Comptes d’utilisateurs et groupes
globaux de tout domaine
Comptes d’utilisateurs, groupes globaux et groupes universels d’un domaine quelconque de la forêt, et
groupes de domaine local du même domaine
Membres de Membres d’aucun groupe Groupes de domaine local du même domaine
Etendue Visibles dans leur propre domaine
Autorisations pour Le domaine dans lequel le groupe de domaine local existe

 

Les groupes universels
  Mode mixte Mode natif
Membres Non utilisables Comptes d’utilisateurs, groupes
globaux et autres groupes universels d’un domaine quelconque de la forêt.
Membres de Non utilisables Groupes de domaine local et universels de tout domaine.
Etendue Visibles dans tous les domaines de la forêt
Autorisations pour Tous les domaines de la forêt

 

Propriétés Géré par

La propriété gestionnaire des groupes utilisateurs permet de connaître le responsable d’un groupe. Cela permet aussi via l’option « Le gestionnaire peut mettre à jour la liste des membres » d’en modifier les membres.

 

Nommage des groupes

G_nom : Groupe global
U_nom : Groupe Universel
DL_nom : Groupe de domaine local

 

Gestion des groupes

Stratégie d’utilisation des groupes dans un domaine unique : A G DL P

  1. Ajoutez les comptes d’utilisateur aux groupes globaux.
  2. Ajoutez les groupes globaux à un autre groupe global (dans le cas d’un environnement natif).
  3. Ajoutez les groupes globaux à un groupe de domaine local.
  4. Affectez les autorisations sur les ressources au groupe de domaine local.

Stratégie d’utilisation des groupes - domaines multiples: A G U DL P

  1. Dans chaque domaine, ajoutez aux groupes globaux des comptes d’utilisateurs ayant la même fonction.
  2. Imbriquez des groupes globaux dans un seul groupe global pour intégrer les utilisateurs. (utile si gd nb d’utilisateurs).
  3. Imbriquez des groupes globaux dans un groupe universel.
  4. Ajoutez les groupes universels aux groupes de domaine local pour gérer l’accès aux ressources.
  5. Affectez aux groupes de domaine local des autorisations appropriés sur les ressources.

Modif étendue de groupe

  • Groupe global vers universel : eci n’est possible que si le groupe n’est pas lui-même membre d’un groupe global.
  • Groupe global vers domaine local : pas possible e modifier directement.
    Modifier le groupe global en groupe universel, puis en groupe de domaine local.
  • Groupe de domaine local vers universel : possible que si le groupe n’est pas lui-même membre d’un groupe de domaine local.
  • Groupe universel vers global : possible que si le groupe n’est pas lui-même membre d’un groupe universel.
  • Groupe universel vers domaine local : Aucune limitation n’existe dans ce cas.

 

Groupes par défaut

Les groupes par défaut possèdent des droits et des autorisations prédéfinis qui permettent de faciliter la mise en place d’un environnement sécurisé.

Groupes par défaut sur un serveur membre

Par ex:

  • Administrateurs: pleins pouvoirs sur le serveur. Lorsqu’un serveur est ajouté au domaine, le groupe Admins. du domaine est ajouté à ce groupe.
  • Invités Un profil temporaire est créé pour l’utilisateur que l’on place dans ce groupe.
  • Utilisateurs avec pouvoir Peut créer des comptes utilisateurs et les gérer. Peut créer des groupes locaux et les gérer. Peut créer des ressources partagées.
  • Utilisateurs Peut lancer des applications, utiliser les imprimantes.
  • Opérateurs d’impression Peut gérer les imprimantes et les files d’attentes
  • Administrateurs DHCP, Utilisateurs DHCP... selon services installé

Groupes par défaut dans AD

dans les conteneurs Builtin et Users. Par ex:

 

  • Opérateurs de compte Les membres de ce groupe peuvent gérer les comptes utilisateurs.
  • Opérateurs de serveur Les membres de ce groupe peuvent administrer les serveurs du domaine.
  • Contrôleurs de domaine contient tous les comptes d’ordinateurs des contrôleurs de domaine.
  • Invités du domaine Les membres de ce groupe vont bénéficier d’un profil temporaire.
  • Utilisateurs du domaine contient tous les utilisateurs créés du domaine.
  • Ordinateurs du domaine tous les ordinateurs du domaine
  • Administrateurs du domaine les utilisateurs administrateurs du domaine.
  • Administrateurs de l’entreprise Permet de créer les relations d’approbations entre domaines.
  • Administrateurs du schéma Ce groupe contient les utilisateurs capables de faire des
  • modifications sur le schéma Active Directory.

 

Groupes systèmes

membres sont auto-gérés par le système. utiles dans le cas d’affectations d’autorisations

  • Anonymous Logon Représente les utilisateurs qui ne ce sont pas authentifiés.
  • Tout le monde Tous les utilisateurs se retrouvent automatiquement dans ce groupe.
  • Réseau Regroupe les utilisateurs connectés via le réseau.
  • Utilisateurs authentifiés Regroupe les utilisateurs authentifiés.
  • Créateur propriétaire Représente l’utilisateur qui est propriétaire de l’objet.