Gestion des utilisateurs sous Windows NT – Resoudre les problemes d’un serveur MineCraft

La notion d'utilisateur

Windows NT est un système d'exploitation qui gère les sessions, ce qui signifie que lorsque le système est démarré, il est nécessaire de se connecter avec un nom d'utilisateur et un mot de passe.

Lorsque Windows NT est installé, le administrateur compte est créé par défaut, de même qu'un compte nommé client. Il est possible (et recommandé) de modifier les autorisations des utilisateurs (actions qu’ils ont le droit d’exécuter) ainsi que d’ajouter des utilisateurs avec gestionnaire d'utilisateurs. Un compte utilisateur est une identification unique attribuée à l'utilisateur pour lui permettre:

  • se connecter à un domaine pour accéder aux ressources du réseau
  • Pour vous connecter à un ordinateur local afin d'accéder aux ressources locales, chaque utilisateur qui utilise régulièrement le réseau doit avoir un compte.

Gérer les utilisateurs

le gestionnaire d'utilisateurs est l'utilitaire standard fourni avec Windows NT, qui gère les utilisateurs (comme son nom l'indique). Il est disponible dans le Le menu Démarrer (Programmes / Outils d'administration).

Le gestionnaire d'utilisateurs

Pour créer un nouveau compte, cliquez sur Nouvel utilisateur dans le menu des utilisateurs. Ceci ouvre une boîte de dialogue permettant de saisir des informations sur le nouvel utilisateur:

  • Utilisateur: Nom d'utilisateur pour l'utilisateur
  • Nom complet: Informations facultatives sur l'utilisateur
  • La description: Champ facultatif
  • le Mot de passe les champs sont facultatifs, mais il est toujours recommandé de les remplir ainsi que de cocher la case "l'utilisateur doit changer de mot de passe " pour des raisons de sécurité.



Conventions de dénomination des utilisateurs

Les conventions de dénomination des utilisateurs sont la façon dont un administrateur décide d'identifier les utilisateurs. Les éléments suivants doivent être pris en compte:

  • Les noms d'utilisateur doivent être uniques (dans un domaine ou sur un ordinateur local)
  • Les noms d'utilisateur peuvent contenir n'importe quel caractère majuscule ou minuscule, à l'exception des suivants: / [ ] : | =, + *? < >
  • Évitez de créer des noms d'utilisateur similaires.

Comptes d'utilisateurs et sécurité

Il existe deux types de comptes dans NT. Les comptes intégrés sont des comptes que vous créez. Après l’installation, Windows NT est configuré avec les comptes intégrés (les comptes par défaut). administrateur et client), qui n'offre qu'une sécurité minimale.

Les différents comptes sont:

  • Comptes que vous créez: Comptes d'utilisateurs permettant de se connecter à un réseau et d'accéder aux ressources du réseau. Ces comptes contiennent des informations sur l'utilisateur, notamment son nom et son mot de passe.
  • Invité: Cela permet aux utilisateurs de se connecter et d'accéder à l'ordinateur local. Par défaut, il est désactivé.
  • Administrateur: Utilisé pour gérer la configuration globale des ordinateurs et des domaines. Ce compte peut exécuter n'importe quelle tâche. C'est essentiel:
  • d'abord, pour désactiver le client compte qui permettrait à tout utilisateur de se connecter au système.
  • et deuxièmement, changer le nom du administrateur compte afin de réduire le risque d’intrusion de ce compte utilisateur. Comme le administrateur compte dispose d'autorisations complètes, il est une cible de choix pour les intrus potentiels.

Localisation des comptes d'utilisateurs

Les comptes d'utilisateur de domaine sont créés dans le gestionnaire d'utilisateurs. Lorsqu'un compte est créé, il est automatiquement enregistré dans le SAM du contrôleur de domaine principal, qui le synchronise ensuite avec le reste du domaine. Dès qu'un compte est créé dans le SAM du PDC, l'utilisateur peut se connecter à un domaine à partir de n'importe quel poste de travail du domaine.

La synchronisation du domaine peut parfois prendre plusieurs minutes.

Il y a deux méthodes: taper

comptes nets / synchronisation

à l'invite de commande ou, dans le Gestionnaire de serveur, dans le menu Ordinateur, choisissez Synchroniser tout le domaine.

Les comptes d'utilisateurs locaux sont créés sur un serveur membre ou un ordinateur Windows NT Workstation, avec le Gestionnaire des utilisateurs. Le compte est créé uniquement dans le SAM de l'ordinateur local. Pour cette raison, l'utilisateur ne peut se connecter qu'à cet ordinateur.

Planification de nouveaux comptes d'utilisateurs

Le processus de création de compte peut être simplifié en planifiant et en organisant des informations sur les personnes ayant besoin d'un compte utilisateur.

Le dossier de départ est le dossier privé dans lequel un utilisateur peut stocker ses fichiers. Il est utilisé comme fichier par défaut pour l'exécution de commandes telles que "Enregistrer". Il peut être stocké sur l'ordinateur de l'utilisateur local ou sur un serveur de réseau. Les points suivants doivent être pris en compte pour les créer:

Définition des options de poste de travail et de compte

Les postes de travail à partir desquels un utilisateur se connecte au réseau peuvent également être configurés. Vous pouvez lui permettre de se connecter depuis n'importe quel poste de travail ou spécifier un ou plusieurs postes de travail. L'utilisation d'une station unique pour un utilisateur est une option pour un réseau haute sécurité. En effet, un utilisateur qui se connecte à un poste de travail qui n'est pas le sien se connectera localement et aura donc accès à toutes les ressources locales de la machine. De plus, spécifier un ou plusieurs postes de travail à partir desquels l'utilisateur peut se connecter permet à l'administrateur réseau de surveiller l'utilisateur.

En outre, il est possible de définir une date d'expiration pour un compte d'utilisateur. Cette option peut être utile pour donner un compte à un employé temporaire. La date d'expiration du compte serait fixée à la fin du contrat.

Autorisations d'accès à distance

Si le service d'accès à distance (RAS) est installé, des autorisations d'accès à distance peuvent être configurées. Ce service permet à un utilisateur disposant des autorisations appropriées d'accéder à distance aux ressources du réseau en composant le numéro sur une ligne téléphonique (ou X.25). Il aide les utilisateurs qui ont besoin d’accéder au réseau depuis leur domicile ou ailleurs. Il existe plusieurs autorisations d'appel configurables:

  • Pas de rappel: l'utilisateur paie les frais de communication. Le serveur ne rappellera pas l'utilisateur.
  • Définir par appelant: cette option permet à un utilisateur d'être rappelé par le serveur à un numéro qu'il a spécifié. Dans ce cas, l’entreprise prend en charge les frais de communication.
  • Prédéfini sur: Permet à l'administrateur de contrôler les rappels. Il ou elle décide du numéro à partir duquel un utilisateur donné doit appeler le serveur. Cette option peut être utilisée non seulement pour réduire les coûts, mais également pour accroître la sécurité, car l'utilisateur doit se trouver sur un numéro de téléphone spécifique. Remarque: dans les deux derniers cas, l'utilisateur doit d'abord se connecter au serveur pour pouvoir le rappeler.

Suppression et modification des noms de compte d'utilisateur

Lorsqu'un compte n'est plus nécessaire, il peut être supprimé ou renommé afin qu'un autre utilisateur puisse l'utiliser. Notez que la suppression d'un compte supprime également le SID (Security IDentification). Même si NT fournit 15 000 SID différents, il est inutile de supprimer un compte s'il peut être renommé pour un autre employé.

Gérer l'environnement de travail de l'utilisateur

Lorsqu'un utilisateur se connecte pour la première fois à partir d'un client Windows NT, un profil de l'utilisateur est créé pour cet utilisateur. Ce profil définit des éléments tels que son environnement de travail et ses connexions réseau et imprimante. Ce profil peut être personnalisé afin de limiter certains éléments de bureau ou outils affichés sur la station.

Ces profils contiennent des paramètres définis par l'utilisateur pour un environnement de travail sur un ordinateur exécutant Windows NT. Ces paramètres sont automatiquement enregistrés dans le dossier Profils (C: Winnt Profiles).

Pour les utilisateurs qui se connectent à partir de clients n’exécutant pas Windows NT, une script d'ouverture de session peut être utilisé pour configurer les connexions utilisateur au réseau et à l’imprimante ou pour définir l’environnement de travail ou les paramètres matériels. Il s'agit en fait d'un fichier de commande (.bat ou .cmd) ou d'un fichier exécutable qui s'exécute automatiquement lorsque l'utilisateur se connecte au réseau.

Il est également possible d’utiliser des profils d’utilisateur itinérant, c’est-à-dire un profil qui confère à un utilisateur le même environnement de travail, quel que soit le poste de travail avec lequel il se connecte au réseau. Ces profils sont enregistrés sur le serveur. Il existe deux options pour les profils itinérants:

  • Profil itinérant obligatoire: Peut être appliqué à un ou plusieurs utilisateurs et ne peut pas être modifié par ces utilisateurs. Seul l'administrateur décide des fonctionnalités attribuées aux utilisateurs (outils, configuration, etc.). Même si l'utilisateur modifie la configuration, ces modifications ne seront pas enregistrées après la déconnexion de l'utilisateur.
  • Profil d'itinérance personnel: ne peut être appliqué qu'à un seul utilisateur et peut être modifié par cet utilisateur. Chaque fois que l'utilisateur se déconnecte, les modifications apportées aux paramètres sont conservées. Remarque: ces options de profil itinérant fonctionnent correctement sur les ordinateurs Windows NT. Pour les ordinateurs qui utilisent Windows 95 ou un autre système d'exploitation, certains problèmes peuvent survenir. L'éditeur de stratégie (POLEDIT) doit ensuite être utilisé pour créer des profils d'utilisateurs itinérants.

Une fois que le compte d'utilisateur a été créé et que l'utilisateur s'est connecté pour la première fois, un profil d'utilisateur est automatiquement créé dans le dossier Profils.

L'utilisateur ou l'administrateur peut modifier les paramètres nécessaires pour s'assurer que les modifications restent après la déconnexion et restent enregistrées dans ce dossier.

L'administrateur doit ensuite créer un dossier, tel que servernt Profiles nom_utilisateur.

Dans le Panneau de configuration, double-cliquez sur l'icône Système, puis cliquez sur l'onglet Profils utilisateur. Cliquez sur le profil souhaité et appuyez sur le bouton Copier bouton.

Dans le champ approprié, entrez le chemin UNC qui mène au dossier. Sous Permis d'utiliser, cliquer sur Changement. Choisissez un utilisateur.

Remarque: dans le dossier où sont stockés les différents profils, renommez le ntuser.dat fichier utilisateur à ntuser.man rendre ce profil obligatoire.

Dans Domain User Manager, double-cliquez sur le compte de l'utilisateur en question, puis cliquez sur Profils. dans le Chemin du profil utilisateur zone, tapez le chemin UNC qui mène au dossier de profil de réseau.

Définir un environnement utilisateur

le Profil d'environnement utilisateur La boîte de dialogue peut être utilisée pour entrer des chemins de profil d’utilisateur, un script de connexion et le répertoire de base.

Plusieurs options peuvent être configurées, notamment pour indiquer quels chemins mènent à quels éléments:

  • Chemin du profil utilisateur: Indique le chemin du dossier du profil utilisateur. Pour les profils utilisateur personnels, tapez nom_ordinateur partage % nomutilisateur%. Pour le profil obligatoire, remplacez% nomutilisateur% par nom_profil
  • Nom du script de connexion: Il est possible d’utiliser un chemin menant à l’ordinateur local de l’utilisateur ou un chemin UNC menant à un dossier partagé sur un serveur réseau.
  • Répertoire de base: pour spécifier un chemin réseau, sélectionnez Connecter et la lettre du lecteur. Puis entrez le chemin UNC. Avant de spécifier un emplacement réseau, un dossier doit être créé sur le serveur et partagé sur le réseau. Remarque: Utilisez la variable% username% lorsqu'un dossier personnel ou un profil d'utilisateur personnel est créé. Il sera automatiquement remplacé par le compte utilisateur

Gestion de groupe

Windows NT permet également aux utilisateurs d'être gérés par groupeCela signifie qu’il peut définir des ensembles d’utilisateurs dotés du même type d’autorisations en les triant par catégories.

Un groupe est un ensemble de comptes d'utilisateurs. Un utilisateur ajouté à un groupe se voit accorder toutes les autorisations et les droits de ce groupe. Les groupes d'utilisateurs simplifient l'administration, car ils permettent d'accorder des autorisations à plusieurs utilisateurs à la fois. Il existe deux types de groupes différents:

  • Groupes locaux: autorisez les utilisateurs à accéder à une ressource réseau. Ils servent également à donner aux utilisateurs le droit d'exécuter des tâches système (telles que la modification de l'heure, la sauvegarde et la récupération de fichiers, etc.). Il existe des groupes locaux prédéfinis.
  • Groupes globaux: sont utilisés pour organiser les comptes d'utilisateur de domaine. Ils sont également utilisés dans les réseaux multi-domaines, lorsque les utilisateurs d'un domaine doivent pouvoir accéder aux ressources d'un autre domaine.

Lorsque Windows NT est démarré pour la première fois, six groupes sont créés par défaut:

  • Administrateurs
  • Opérateurs de sauvegarde
  • Réplicateurs
  • Utilisateurs avec pouvoir
  • Utilisateurs
  • Invités

Ces groupes par défaut peuvent être supprimés et des groupes d'utilisateurs personnalisés peuvent être ajoutés, avec des autorisations spéciales en fonction des opérations à exécuter sur le système. Pour ajouter un groupe, cliquez sur Nouveau groupe local dans le menu utilisateur.

Gestion de groupe dans Windows NT

Ensuite, ajoutez des utilisateurs à des groupes en cliquant sur un utilisateur, puis sur Ajouter. Cela ouvre la boîte de dialogue suivante:

Ajouter des utilisateurs et des groupes dans Windows NT

Cela vous permet de sélectionner simplement les groupes auxquels un utilisateur devrait appartenir.

Implémentation de groupes intégrés

Les groupes intégrés sont des groupes qui ont des droits d'utilisateur déterminés par défaut. Les droits d'utilisateur déterminent les tâches système qu'un utilisateur ou un membre d'un groupe intégré peut exécuter. Voici les trois groupes intégrés à Windows NT:

  • Groupes locaux intégrés: accordez aux utilisateurs des droits leur permettant d'exécuter des tâches système telles que la sauvegarde et la restauration de données, la modification de l'heure et l'administration des ressources système. Ils se trouvent sur tous les ordinateurs exécutant Windows NT
  • Groupes globaux intégrés: fournissent aux administrateurs un moyen simple de contrôler tous les utilisateurs du domaine. Les groupes globaux intégrés se trouvent uniquement sur les contrôleurs de domaine.
  • Les groupes de systèmes organisent automatiquement les utilisateurs en fonction de l'utilisation du système. Les administrateurs n’ajoutent pas d’utilisateurs. Les utilisateurs peuvent en être membres par défaut ou devenir membres par le biais de leur activité réseau. Ils se trouvent sur tous les ordinateurs exécutant Windows NT. Aucun de ces groupes intégrés ne peut être renommé ou supprimé.

Ce sont les groupes locaux intégrés:

  • Utilisateurs: peuvent exécuter des tâches pour lesquelles ils disposent de droits d'accès et accéder aux ressources pour lesquelles ils ont obtenu une autorisation.

Le groupe local Utilisateurs avec pouvoir réside uniquement sur les serveurs membres et les ordinateurs exécutant NT Workstation. Les membres de ce groupe peuvent créer et modifier des comptes, ainsi que partager des ressources.

  • Administrateurs: peuvent exécuter toutes les tâches administratives sur l'ordinateur local. Si l'ordinateur est un contrôleur de domaine, les membres peuvent également administrer l'intégralité du domaine.
  • Invités: peuvent exécuter toutes les tâches pour lesquelles ils disposent de droits d'accès et accéder aux ressources pour lesquelles ils ont obtenu une autorisation. Ses membres ne peuvent pas modifier de manière permanente leur environnement local.
  • Opérateurs de sauvegarde: peuvent utiliser le programme de sauvegarde Windows NT pour sauvegarder et restaurer des ordinateurs exécutant Windows NT²
  • Réplicateurs: utilisés par le service Réplicateur de répertoires. Ce groupe n'est pas utilisé pour l'administration.

Les groupes suivants ne sont définis que sur les contrôleurs de domaine:

  • Opérateurs de compte: Peut créer, supprimer et modifier des utilisateurs, des groupes locaux et des groupes globaux. Ils ne peuvent pas modifier les administrateurs et les opérateurs de serveur
  • Opérateurs de serveur: Peut partager des ressources de disque, sauvegarder et restaurer des données sur des serveurs
  • Opérateurs d'impression: Peut configurer et gérer des imprimantes réseau

Lorsque Windows NT Server est installé en tant que contrôleur de domaine, trois groupes globaux sont créés dans le SAM. Par défaut, ces groupes ne possèdent aucun droit inhérent. Ils acquièrent des droits lorsqu'ils sont ajoutés à des groupes locaux ou lorsque des droits ou autorisations d'utilisateur leur sont accordés.

  • Utilisateurs du domaine est automatiquement ajouté au groupe d'utilisateurs local. Par défaut, un compte administrateur est membre de ce groupe.
  • Administrateur de domaine est automatiquement ajouté au groupe d'utilisateurs local. Ces membres peuvent exécuter des tâches administratives sur l'ordinateur local. Par défaut, un compte administrateur est membre de ce groupe.
  • Invités du domaine est automatiquement ajouté au groupe d'utilisateurs local. Par défaut, un compte Invité est membre de ce groupe.

Enfin, les groupes de systèmes intégrés résident sur tous les ordinateurs exécutant Windows NT. Les utilisateurs en deviennent membres par défaut lorsque le réseau fonctionne. Le statut de membre ne peut être modifié.

  • Toutes les personnes inclut tous les utilisateurs locaux et distants ayant accès à l'ordinateur. Il contient également tous les comptes autres que ceux créés par l'administrateur de domaine.
  • Créateur / Propriétaire inclut l'utilisateur qui a créé ou qui a pris possession d'une ressource. Ce groupe peut être utilisé pour gérer l'accès aux fichiers et aux dossiers uniquement sur des volumes NTFS.
  • Réseau inclut tout utilisateur connecté à une ressource partagée sur votre ordinateur à partir d'un autre ordinateur du réseau
  • Interactif inclut automatiquement tout utilisateur connecté localement à l'ordinateur. Les membres interactifs peuvent accéder aux ressources de l'ordinateur auquel ils sont connectés.
Jean-François Pillou

CCM est un site Web technologique international de premier plan. Notre contenu est écrit en collaboration avec des experts en informatique, sous la direction de Jeff Pillou, fondateur de CCM.net. CCM atteint plus de 50 millions de visiteurs uniques par mois et est disponible en 11 langues.

En savoir plus sur l'équipe CCM

Laisser un commentaire