Gestion comptes
Essentiel 70-290 - part 1 Gestion comptes
Gestion comptes user et ordi
comptes users
- Le nom d’ouverture de session (login) : thoboi_l
- Le nom d’ouverture de session pré-windows : ESI\thoboi_l
- Le nom d’utilisateur principal : thoboi_l@esi-supinfo.lan
- Le nom unique LDAP :
Un login ne peut dépasser les 20 caractères, il est sensible à la casse et ne peut pas contenir de caractères spéciaux comme : " / \ [ ] : ; | = , + * ? < >.
comptes ordi
n’existe que dans un environnement de domaine. utiles pour la sécurité et la gestion centralisée : ainsi on va pouvoir utiliser ces comptes pour configurer des audits, IPSec, le déploiement de logiciels, les stratégies de sécurité,...
Modifs comptes users et ordi
dsmod [user | computer] :
- dsmod user UserDN ... [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [- empid EmployeeID] [-pwd (Password | *)] [-desc Description] [-office Office] [-tel PhoneNumber] [-email E-mailAddress] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [- p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]
- dsmod computer ComputerDN ... [-desc Description] [-loc Location] [-disabled {yes | no}] [-reset] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]
Recherche dans AD
dsquery user ou dsquery computer :
- dsquery user [{StartNode | forestroot | domainroot}] [-o {dn | rdn | upn | samid}] [-scope {subtree |onelevel | base}] [-name Name] [-desc Description] [-upn UPN] [-samid SAMName] [-inactive NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]
- dsquery computer [{StartNode | forestroot | domainroot}] [-o {dn | rdn | samid}] [-scope {subtree |onelevel | base}] [-name Name] [-desc Description] [-samid SAMName] [-inactive NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r][-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]
réaliser des requêtes personnalisées directement en LDAP : sélectionner l’option Recherche personnalisée dans l’option Recherche.
Gestion des groupes
- sur ordi local: Utilisateurs et groupes locaux
- sur controleur de domaine
2 types de groupes dans AD:
- de sécu -> affectation de users et ordi à des ressources
- de distribution -> messagerie
Etendue des groupes
Les deux types de groupes dans Active Directory gèrent chacun 3 niveaux d’étendue. Leur fonctionnement va dépendre du niveau fonctionnel du domaine qui peut varier entre mixte, natif 2000 et natif 2003.
Les groupes globaux
Mode mixte | Mode natif | |
---|---|---|
Membres | comptes users du meme domaine | comptes users et groupes globaux du meme domaine |
Membres de | Groupes locaux du même domaine | Groupes locaux de domaines |
Etendue | Visibles dans leur domaine et dans tous les domaines approuvés | |
Autorisations pour | Tous les domaines de la forêt |
Les groupes de domaine local
Mode mixte | Mode natif | |
---|---|---|
Membres |
Comptes d’utilisateurs et groupes globaux de tout domaine |
Comptes d’utilisateurs, groupes globaux et groupes universels d’un domaine quelconque de la forêt, et groupes de domaine local du même domaine |
Membres de | Membres d’aucun groupe | Groupes de domaine local du même domaine |
Etendue | Visibles dans leur propre domaine | |
Autorisations pour | Le domaine dans lequel le groupe de domaine local existe |
Les groupes universels
Mode mixte | Mode natif | |
---|---|---|
Membres | Non utilisables |
Comptes d’utilisateurs, groupes globaux et autres groupes universels d’un domaine quelconque de la forêt. |
Membres de | Non utilisables | Groupes de domaine local et universels de tout domaine. |
Etendue | Visibles dans tous les domaines de la forêt | |
Autorisations pour | Tous les domaines de la forêt |
Propriétés Géré par
La propriété gestionnaire des groupes utilisateurs permet de connaître le responsable d’un groupe. Cela permet aussi via l’option « Le gestionnaire peut mettre à jour la liste des membres » d’en modifier les membres.
Nommage des groupes
G_nom : Groupe global
U_nom : Groupe Universel
DL_nom : Groupe de domaine local
Gestion des groupes
Stratégie d’utilisation des groupes dans un domaine unique : A G DL P
- Ajoutez les comptes d’utilisateur aux groupes globaux.
- Ajoutez les groupes globaux à un autre groupe global (dans le cas d’un environnement natif).
- Ajoutez les groupes globaux à un groupe de domaine local.
- Affectez les autorisations sur les ressources au groupe de domaine local.
Stratégie d’utilisation des groupes - domaines multiples: A G U DL P
- Dans chaque domaine, ajoutez aux groupes globaux des comptes d’utilisateurs ayant la même fonction.
- Imbriquez des groupes globaux dans un seul groupe global pour intégrer les utilisateurs. (utile si gd nb d’utilisateurs).
- Imbriquez des groupes globaux dans un groupe universel.
- Ajoutez les groupes universels aux groupes de domaine local pour gérer l’accès aux ressources.
- Affectez aux groupes de domaine local des autorisations appropriés sur les ressources.
Modif étendue de groupe
- Groupe global vers universel : eci n’est possible que si le groupe n’est pas lui-même membre d’un groupe global.
-
Groupe global vers domaine local : pas possible e modifier directement.
Modifier le groupe global en groupe universel, puis en groupe de domaine local. - Groupe de domaine local vers universel : possible que si le groupe n’est pas lui-même membre d’un groupe de domaine local.
- Groupe universel vers global : possible que si le groupe n’est pas lui-même membre d’un groupe universel.
- Groupe universel vers domaine local : Aucune limitation n’existe dans ce cas.
Groupes par défaut
Les groupes par défaut possèdent des droits et des autorisations prédéfinis qui permettent de faciliter la mise en place d’un environnement sécurisé.
Groupes par défaut sur un serveur membre
Par ex:
- Administrateurs: pleins pouvoirs sur le serveur. Lorsqu’un serveur est ajouté au domaine, le groupe Admins. du domaine est ajouté à ce groupe.
- Invités Un profil temporaire est créé pour l’utilisateur que l’on place dans ce groupe.
- Utilisateurs avec pouvoir Peut créer des comptes utilisateurs et les gérer. Peut créer des groupes locaux et les gérer. Peut créer des ressources partagées.
- Utilisateurs Peut lancer des applications, utiliser les imprimantes.
- Opérateurs d’impression Peut gérer les imprimantes et les files d’attentes
- Administrateurs DHCP, Utilisateurs DHCP... selon services installé
Groupes par défaut dans AD
dans les conteneurs Builtin et Users. Par ex:
- Opérateurs de compte Les membres de ce groupe peuvent gérer les comptes utilisateurs.
- Opérateurs de serveur Les membres de ce groupe peuvent administrer les serveurs du domaine.
- Contrôleurs de domaine contient tous les comptes d’ordinateurs des contrôleurs de domaine.
- Invités du domaine Les membres de ce groupe vont bénéficier d’un profil temporaire.
- Utilisateurs du domaine contient tous les utilisateurs créés du domaine.
- Ordinateurs du domaine tous les ordinateurs du domaine
- Administrateurs du domaine les utilisateurs administrateurs du domaine.
- Administrateurs de l’entreprise Permet de créer les relations d’approbations entre domaines.
- Administrateurs du schéma Ce groupe contient les utilisateurs capables de faire des
- modifications sur le schéma Active Directory.
Groupes systèmes
membres sont auto-gérés par le système. utiles dans le cas d’affectations d’autorisations
- Anonymous Logon Représente les utilisateurs qui ne ce sont pas authentifiés.
- Tout le monde Tous les utilisateurs se retrouvent automatiquement dans ce groupe.
- Réseau Regroupe les utilisateurs connectés via le réseau.
- Utilisateurs authentifiés Regroupe les utilisateurs authentifiés.
- Créateur propriétaire Représente l’utilisateur qui est propriétaire de l’objet.