WINDOWS NT (New Technology)
PREPARATION
- Créez des disquettes de démarrage
PARAMETRAGE/CONFIGURATION
- Personnalisez l'installation
- Récupérer les E/S et IRQ connues
- Régler les priorités
- Placer votre système sous surveillance
INCIDENT
- Réinstaller complètement NT
- Consulter l'Observateur d'événements
SECURITE/ADMINISTRATION
- Prévoyer un onduleur
- Changer votre mot de passe
- Associer l'utilisateur à un ou plusieurs groupes
- Paramétrer les horaires d'accès
- Exploiter le gestionnaire de serveur
ACCESSOIRES
- Installez Wordpad ou le Bloc-notes
PILOTES/SERVICES
- Vérifiez votre matériel
- Ouvrer un service sur le compte du système
PARTITIONS
- Convertissez le HPFS en NTFS avant installation
- Passez de FAT en NTFS
- Réactualiser votre système
DEMARRAGE/ARRET
- Accélérer le démarrage
- Réinstaller dans le même répertoire
- Conservez Windows 95
- Choisisser la méthode d'arrêt
RESEAU/DOMAINES
- Choisissez TCP/IP
- Exploiter la souplesse des domaines
SAUVEGARDES
- Faire un backup de vos données
APPLICATIONS
- Ouvrir avec Windows 3.X des fichiers créés sous NT4
- Réinstaller les applications Win32S
- Faites appel au serveur
Windows NT est un système d'exploitation développé par
Microsoft sur lequel peuvent fonctionner des applications spécifiques
à Windows NT (applications 32 bits) ainsi que certaines applications DOS et
Windows (Windows 3.1, Windows Workgroup 3.11 et Windows 95).
L'apparence de Windows NT est vraisemblablement la même que celle
de Windows 95/98, mais Windows NT possède de gros avantages sur Windows 9x (Microsoft
Windows 95 et 98):
- WindowsNT est un système multitâche préemptif
- WindowsNT est un système multiutilisateur, cela signifie que selon l'utilisateur
qui se connecte au système l'interface pourra être différentes, ainsi que
ses droits sur le système
- WindowsNT intègre de façon native de nombreuses fonctionnalités réseau
- WindowsNT a une sécurité accrue, notamment au niveau du système de fichiers
(NTFS) ainsi qu'au niveau de la robustesse du
système
Etant donné que WindowsNT gère les utilisateurs, l'administrateur
du réseau (qui possède des droits particuliers sur le système) est capable de
contrôler les actions de chaque utilisateur connecté sur le système. De plus,
grâce au système de fichiers NTFS (intègrant les notions de propriétaire de
fichier et de droits), l'accès à chaque fichier du système peut être contrôlé,
pour le bien être de l'administrateur ainsi que celui de chaque propriétaire
de fichier...
Pour accèder à un système fonctionnant avec WindowsNT, il est
essentiel de s'identifier à l'aide d'un nom d'utilisateur et d'un mot de passe
(on parle d'ouverture de session, les personnes branchées diront "se logger").
Pour ouvrir une session sur un ordinateur NT, il faut utiliser la séquence de
touche CTRL+ALT+SUPPR. La boîte de dialogue Informations de session sert à ouvrir
une session sur un ordinateur ou sur un domaine.
Plusieurs options sont alors offertes :
- Utilisateur : tapez le compte d’utilisateur (celui-ci doit figurer dans
la SAM du PDC pour que cette ouverture soit validée)
- Mot de passe : sécurité supplémentaire. Attention, le mot de passe respecte
la casse
- Domaine : sert à ouvrir une session sur un domaine. Il est possible d’ouvrir
une session sur un ordinateur ou d’ouvrir une session localement. Dans ce
dernier cas, c’est la SAM locale qui est consultée
- Ouvrir une session avec le RAS : la sélection de cette option permet à un
utilisateur d’ouvrir une session à distance, si le service RAS est installé
- Arrêter le système : ferme tous les fichiers, sauvegarde les données système
et prépare l’ordinateur à s’éteindre en toute sécurité. Sous NT Server, ce
bouton est désactivé afin d’empêcher un utilisateur non autorisé d’arrêter
le système
Lorsqu’un utilisateur a ouvert une session, la séquence de touche
CTRL+ALT+SUPPR ouvre une autre boîte de dialogue appelée Sécurité de Windows
NT. Voici les différentes options proposées :
- Verrouiller la station de travail : assure la sécurité de l’ordinateur sans
fermeture de la session. Toutes les applications continuent à fonctionner.
Une station ne peut être déverrouillée que par l’utilisateur actuel ou par
un administrateur
- Changer de mot de passe : permet a l’utilisateur de changer de mot de passe.
Il doit connaître le mot de passe en vigueur pour pouvoir le changer
- Fermer la session : ferme la session actuelle mais les services d’NT continuent
d’être actifs. Par mesure de sécurité, il faut toujours fermer une session
si l’on a plus besoin d’utiliser l’ordinateur
- Gestionnaire des tâches : indique quelles applications sont en cours d’exécution.
Cette option permet également de basculer entre applications et à arrêter
une application qui ne répond plus
- Arrêter le système : ferme tous les fichiers, sauvegarde toutes les données
système et prépare le serveur à être éteint en toute sécurité
- Annuler : referme la boîte de dialogue
WindowsNT est un système d'exploitation permettant de gérer des
sessions, c'est-à-dire qu'au démarrage du système il est nécessaire de se connecter
au système (le terme se logger provenant de l'anglais est généralement
utilisé) grâce à un nom d'utilisateur et d'un mot de passe.
Par défaut lors de l'installation de Windows NT, le compte administrateur
est créé, ainsi qu'un compte appelé invité. Il est possible (et même
conseillé) de modifier les permissions des utilisateurs (ce qu'ils ont le droit
de faire) ainsi que d'en ajouter via le gestionnaire d'utilisateurs.
Un compte d’utilisateur est l’identification d’un utilisateur de façon unique
de manière à lui permettre
- d’ouvrir une session sur le domaine afin d'avoir accès aux ressources du
réseau
- d’ouvrir une session sur un ordinateur local afin d’accéder aux ressources
locales
Chaque utilisateur utilisant le réseau de façon régulière doit ainsi avoir un
compte.
Le gestionnaire d'utilisateur est l'utilitaire fourni
en standard avec Windows NT, permettant de gérer les utilisateurs (comme son
nom le laisse présager). Il est disponible dans le Menu Démarrer (Programmes/outils
d'administration).
Pour créer un nouveau compte, il suffit de cliquer sur Nouvel
utilisateur dans le menu utilisateurs. Cela fait apparaître un boîte de
dialogue permettant de saisir des informations sur le nouvel utilisateur:
- Utilisateur: représente le nom (login) de l'utilisateur
- Nom détaillé: renseignement optionnel sur l'utilisateur
- Description: champ optionnel
- Les champs Mot de passe sont optionnels, mais il est tout de même
conseillé de les remplir, ainsi que de cocher éventuellement la case l'utilisateur
doit changer de mot de passe pour des raisons de sécurité
La convention de nommage des utilisateurs est la manière de laquelle
l'administrateur décide d'identifier les utilisateurs. Il faut tenir compte
des éléments suivants :
- Les noms d’utilisateur doivent être uniques (dans un domaine, sur un ordinateur
local)
- Les noms d’utilisateur peuvent contenir tout caractère majuscule ou minuscule
à l’exception des caractères suivants : / \ [ ] : . | = , + * ? < >
- Il faut prévoir le cas d’utilisateurs homonymes et donc une nomenclature
adéquate.
Il existe deux types de comptes sous NT. Les comptes prédéfinis
et les comptes que vous créez. Après installation, Windows NT est définit avec
des utilisateurs prédéfinis (comptes par défaut) (le compte administrateur
et invité) rendant la sécurité du système minimale.
Les différents comptes sont:
- Comptes que vous créez : les comptes d’utilisateur permettent d’ouvrir une
session sur le réseau et d’accéder aux ressources du réseau. Ces comptes contiennent
des informations sur l’utilisateur, notamment son nom et son mot de passe
- Invité : il permet aux utilisateurs occasionnels d’ouvrir une session et
d’accéder à l’ordinateur local. Par défaut, il est désactivé.
- Administrateur : il sert à gérer la configuration globale des ordinateurs
et des domaines. Il peut effectuer toutes les tâches
Il est alors essentiel
- dans un premier temps de désactiver le compte invité permettant à
n'importe quel utilisateur de se connecter au système
- dans un second temps de modifier le nom du compte administrateur
afin de réduire le risque d'une intrusion par ce compte utilisateur. En effet
le compte administrateur possède toutes les permissions, c'est donc
la proie visée par les intrus
Les comptes d’utilisateur de domaine sont créés à partir du Gestionnaire
des utilisateurs pour les domaines. Lorsqu’un compte est créé, il est automatiquement
enregistré dans la SAM du Contrôleur Principal de Domaine (PDC), qui la synchronise
ensuite avec le reste du domaine. Dès qu’un compte est créé dans la SAM du PDC,
l’utilisateur peut ouvrir une session sur le domaine à partir de n’importe quel
poste du domaine.
Plusieurs minutes peuvent parfois être nécessaires à la synchronisation
du domaine.
Il existe deux méthodes : taper
net accounts /sync
à l’invite de commande ou, dans le Gestionnaire de serveur, dans le menu Ordinateur,
choisir Synchroniser tout le domaine.
Les comptes d’utilisateur local se créent sur un serveur membre
ou un ordinateur sous Windows NT Workstation, à l’aide du Gestionnaire des utilisateurs.
Le compte n’est créé que dans la SAM de l’ordinateur local. L’utilisateur ne
peut donc ouvrir de sessions que sur l’ordinateur en question.
Il est possible de simplifier le processus de création de comptes
en planifiant et en organisant les informations sur ceux ayant besoin d’un compte
d’utilisateur.
Le dossier de base est le dossier privé dans lequel un utilisateur
peut stocker ses fichiers. Il est utilisé comme dossier par défaut lors de l’exécution
de commandes telles que « Enregistrer ». Il peut être stocké sur l’ordinateur
local de l’utilisateur ou sur un serveur réseau. Il faut prendre en compte les
point suivants pour les créer :
- Il est beaucoup plus facile d’assurer la sauvegarde et la restauration des
données des différents utilisateurs en cas d’incidents si les dossiers de
base sont stockés sur un serveur. Si ce n’est pas le cas, il faudra effectuer
des sauvegardes régulières sur les différents ordinateurs du réseau ou sont
stockés les dossiers de base
- Considérer l’espace sur les contrôleurs de domaine : Windows NT ne dispose
pas d’utilitaires permettant la gestion de l’espace disque (Windows 2000 le
permet). De ce fait, il faut faire très attention à ce que les dossiers de
base ne soient pas remplis de fichiers volumineux, ce qui pourrait saturer
très vite l’espace de stockage du serveur. Il existe cependant des outils
tiers tel que « QUOTA MANAGER »
- Si un utilisateur travaille sur un ordinateur ne disposant pas de disque
dur, son dossier de base doit impérativement être sur un serveur réseau
- Si les dossiers de base se trouvent sur les ordinateurs locaux, les performances
du réseau augmentent car il y a de ce fait moins de trafic sur le réseau,
le serveur n’étant pas constamment sollicité
Il est possible de paramétrer les postes à partir desquels un
utilisateur peut se connecter au réseau. Soit vous lui autorisez à ouvrir une
session à partir de toutes les stations de travail, soit vous spécifiez un ou
des stations de travail précises. Utiliser un poste unique pour un utilisateur
est une option a utiliser dans un réseau à haute sécurité. En effet, un utilisateur
qui se connecte à une station de travail qui n’est pas la sienne se connectera
en local et aura donc accès à toutes les ressources locales de la machine. De
plus, spécifier un ou des stations de travail à partir desquelles un utilisateur
peut se connecter permet à l’Administrateur du réseau de surveiller l’utilisateur.
D'autre part, il est également possible de fixer une date d’expiration
du compte d’un utilisateur. Cette option peut être utile dans le cas d’un employé
temporaire. La date d’expiration de ce compte correspondra à la date d’expiration
de son contrat.
Si le RAS (Remote Access Service), l’Accès Réseau à Distance,
est installé, il est possible de paramétrer les permissions d’appel. Ce service
permet à un utilisateur, ayant les permissions appropriées, d’accéder aux ressources
du réseau à distance, en utilisant une ligne téléphonique (ou X25). Ce service
est utile pour les utilisateurs ayant besoin d’accéder au réseau de chez eux
par exemple. Plusieurs options de rappel sont paramétrables :
- Pas de rappel : l’utilisateur prend en charge les frais de communication.
Le serveur ne rappellera pas l’utilisateur
- Défini par l’appelant : cette option permet à un utilisateur d’être rappelé
par le serveur a un numéro qu’il spécifie. Dans ce cas, c’est l’entreprise
qui prend en charge les frais de communication.
- Prédéfini au : permet un contrôle du rappel par l’administrateur. C’est
lui qui décide du numéro auquel le serveur doit rappeler un utilisateur donné.
Cette option peut servir à réduire les coûts mais aussi accroître la sécurité
car l’utilisateur devra se trouver à un numéro précis.
NB : Dans les deux derniers cas, l’utilisateur doit d’abord se connecter au serveur
pour que celui-ci le rappelle.
Lorsqu’un compte n’est plus nécessaire, il est possible de le
supprimer ou de le renommer afin qu’il puisse être utilisé par un autre utilisateur.
Il faut savoir que le fait de supprimer un compte supprime aussi le SID (Security
IDentification). Même si NT nous permet 15000 SID différents, il est inutile
de supprimer un compte si celui-ci peut être renommer pour un autre employé
par exemple.
Lorsqu’un utilisateur ouvre une session pour la première fois
à partir d’un client exécutant Windows NT, un profil d’utilisateur par
défaut est créé pour cet utilisateur. Ce profil définit des éléments tels que
son environnement de travail et ses connexions réseau et imprimante. Ce profil
peut être personnalisé afin de restreindre certains éléments du bureau ou des
outils présents sur le poste.
Ces profils contiennent des paramètres définissables par l’utilisateur
pour l’environnement de travail d’un ordinateur exécutant Windows NT. Ces paramètres
sont sauvegardés automatiquement dans le dossier Profiles (C:\Winnt\Profiles).
Pour les utilisateurs qui ouvrent une session à partir des clients
n’exécutant pas Windows NT, un script d’ouverture de session peut être
utilisé pour configurer les connexions réseau et imprimante des utilisateurs
ou pour définir l’environnement de travail ou les paramètres matériels. Il s’agit
en fait d’un fichier de commande (.bat ou .cmd) ou d’un fichier exécutable qui
s’exécute automatiquement lorsque l’utilisateur se connecte au réseau.
Il est également possible d'utiliser des profils d’utilisateur
errants, c'est-à-dire un profil offrant à l’utilisateur le même environnement
de travail quelque soit la station de travail à partir de laquelle il se connecte
au réseau. Ces profils sont enregistrés sur le serveur. Il existe deux options
concernant ces profils errants :
- Profil errant obligatoire : il peut être appliqué à un ou plusieurs utilisateurs
et est non modifiable par ces utilisateurs. Seul l’administrateur décide de
ce qui peut être à disposition des utilisateurs (outils, configuration etc.).
Même si l’utilisateur effectue des changements de configuration, ces modifications
ne seront pas prises en compte lors de la déconnexion
- Profil errant personnel : il ne peut être appliqué qu’à un seul utilisateur
et peut être modifié par cet utilisateur. A chaque déconnexion de l’utilisateur,
les différents changements de paramètres seront enregistrés
NB : ces options de profils errants s’appliquent parfaitement sur un parc dotés
de systèmes Windows NT. Pour les parcs utilisant des clients Windows 95 par exemple,
il se peut que certains problèmes se posent. Il faut alors utiliser l’Editeur
de Stratégies Système (POLEDIT) Création de profils d’utilisateur errants
Une fois le compte d’utilisateur créé et la première ouverture
de session avec ce compte effectuée, un profil d’utilisateur est automatiquement
créé dans le dossier Profiles..
L’utilisateur ou l’administrateur peuvent modifier tous les paramètres nécessaires
pour que toutes les modifications soient prises en compte et enregistrées dans
ce dossier.
En tant qu’administrateur, il faut ensuite créer un dossier sur
le serveur comme par exemple \\serveurnt\Profils\nom_utilisateur.
Dans le Panneau de Configuration, il faut double-cliquer sur l’icône Système
puis cliquer sur l’onglet Profils Utilisateur. Cliquer sur le profil désiré
et appuyer sur le bouton Copier vers.
Dans la zone correspondante, taper le chemin UNC menant au dossier.
Sous Autorisé à utiliser, cliquer sur Modifier. Ajouter l’utilisateur
approprié.
NB : Dans le dossier dans lesquels sont stockés les différents profils, renommez
le fichier ntuser.dat de l’utilisateur correspondant en ntuser.man pour
rendre son profil obligatoire
Dans le Gestionnaire des utilisateurs pour les domaines, double-cliquer
sur le compte de l’utilisateur concerné et cliquer sur Profils. Dans
la zone Chemin du profil de l’utilisateur, taper le chemin UNC menant
au dossier profil du réseau.
L’utilisation de la boîte de dialogue Profil d’environnement
des utilisateurs peut servir à entrer les chemins du profil utilisateur,
le script d’ouverture de session, et le dossier de base.
Plusieurs options sont paramétrables, notamment pour indiquer des chemins d’accès
aux différents éléments :
- Chemin du profil de l’utilisateur : indique le chemin vers le dossier profil
de l’utilisateur. Pour les profils d’utilisateur personnels, tapez \\nom_serveur\paratge_profil\%username%
. Pour les profils obligatoires, remplacer le %username% par nom_profil
- Nom du script d’ouverture de session : il est possible d’utiliser soit un
chemin menant à l’ordinateur local de l’utilisateur, soit un chemin UNC menant
à un dossier partagé sur un serveur réseau
- Répertoire de base : pour spécifier un chemin réseau, sélectionner Connecter
et une lettre d’unité. Taper ensuite le chemin UNC. Avant de spécifier un
emplacement de réseau, un dossier doit être créé sur le serveur et doit être
partagé sur le réseau
NB : utiliser la variable %username% chaque fois qu’un dossier de base ou un profil
d’utilisateur personnel sont créés. Elle sera en effet automatiquement remplacée
par le compte d’utilisateur
Windows NT permet de plus de gérer les utilisateurs par groupe,
c'est-à-dire qu'il permet de définir des ensembles d'utilisateurs possèdant
le même type de permissions en les classant selon des catégories.
Un groupe est un ensemble de comptes d’utilisateurs. Un utilisateur
inséré dans un groupe se voit attribuer toutes les permissions et droits du
groupe. Les groupes simplifient donc l’administration car il est possible d’attribuer
des permissions à plusieurs utilisateurs simultanément. Il existe deux type
de groupe différents :
- Les groupes locaux : servent à donner aux utilisateurs des permissions d’accès
à une ressource réseau. Ils servent également à donner aux utilisateurs des
droits pour lancer des tâches système (modifier l’heure sur un ordinateur,
sauvegarder et récupérer des fichiers etc.). Il existe des groupes locaux
prédéfinis.
- Les groupes globaux : servent à organiser les comptes d’utilisateur de domaine.
Ils servent surtout dans des réseaux à domaines multiples, lorsque les utilisateurs
d’un domaine doivent pouvoir accéder aux ressources d’un autre domaine.
Lors du premier démarrage de Windows NT 6 groupes par défaut
sont créés:
- Administrateurs
- Opérateurs de sauvegarde
- Duplicateurs
- Utilisateurs avec pouvoir
- Utilisateurs
- Invités
Il est possible de supprimer ces groupes par dé,faut ainsi que
d'ajouter des groupes d'utilisateurs personnalisés, avec des permissions particulières
selon les opérations qu'ils sont amenés à faire sur le système. Pour ajouter
un groupe, il suffit de cliquer sur Nouveau groupe local dans le menu
utilisateur.
Il suffit ensuite d'affecter les différents utilisateurs à un
groupe en sélectionnant un utilisateur et en cliquant sur Ajouter. Cela
fait apparaître la boîte de dialgoue suivante:
Celle-ci permet tout simplement de sélectionner les groupes auxquels
un utilisateur est susceptible de faire partie...
Les groupes prédéfinis sont des groupes qui ont des droits d’utilisateur
déterminés. Les droits d’utilisateur déterminent les tâches système qu’un utilisateur
ou membre d’un groupe prédéfinis peut exécuter. Voici les trois groupes prédéfinis
offerts par Windows NT :
- Les groupes locaux prédéfinis : donnent aux utilisateurs des droits leur
permettant d’exécuter des tâches système telles que la sauvegarde et la restauration
de données, la modification de l’heure, ainsi que l’administration des ressources
système. Ils se trouvent sur tous les ordinateurs exécutant Windows NT
- Les groupes globaux prédéfinis : fournissent aux administrateurs un moyen
simple leur permettant de contrôler tous les utilisateurs du domaine. Les
groupes globaux prédéfinis se trouvent uniquement sur les Contrôleurs de domaine.
- Les groupes système organisent automatiquement les utilisateurs pour l’utilisation
du système. Les administrateurs ne leur affecte pas d’utilisateurs. Les utilisateurs
sont soit membres par défaut, soit deviennent membres au cours de l’activité
du réseau. Ils se trouvent sur tous les ordinateurs exécutant Windows NT
Tous ces groupes prédéfinis ne peuvent être ni renommés, ni supprimés.
Voici les groupes locaux prédéfinis:
- Utilisateurs Peuvent exécuter des tâches pour lesquelles ils disposent d’un
droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu une
permission
Le groupe local Utilisateurs avec pouvoir ne réside que sur les serveurs membres
et les ordinateurs exécutant NT Workstation. Les membres de ce groupe peuvent
créer et modifier des comptes, ainsi que partager des ressources.
- Administrateurs Peuvent exécuter toutes les tâches administratives sur l’ordinateur
local. Si l’ordinateur est un Contrôleur de domaine, les membres peuvent administrer
entièrement le domaine
- Invités Peuvent exécuter toutes les tâches pour lesquelles ils disposent
d’un droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu
une permission. Ses membres ne peuvent effectuer aucune modification permanente
dans leur environnement local
- Opérateurs de sauvegarde Peuvent utiliser le programme de sauvegarde de
Windows NT pour sauvegarder et restaurer tous les ordinateurs exécutant Windows
NT²
- Duplicateurs Utilisés par le service de Duplicateur de répertoires. Ce groupe
n’est pas utilisé pour l’administration
Les groupes suivants sont définis uniquement sur les contrôleurs
de domaine:
- Opérateurs de compte Peuvent créer, supprimer et modifier les utilisateurs,
les groupes locaux et globaux. Ils ne peuvent pas modifier les groupes Administrateurs
et Opérateurs de serveur
- Opérateurs de serveur Peuvent partager les ressources disque, sauvegarder
et restaurer les serveurs
- Opérateurs d’impression Peuvent configurer et gérer les imprimantes
en réseau
Lorsque Windows NT Server est installé comme Contrôleur de
domaine, trois groupes globaux sont créés dans la SAM. Par défaut, ces groupes
n’ont pas de droits inhérents. Ils acquièrent des droits au moment où ils
sont ajoutés aux groupes locaux ou lorsque des droits d’utilisateur ou des
permissions leur sont attribués.
- Utilisateurs du domaine est automatiquement ajouté au Groupe
Utilisateurs local. Par défaut, le compte Administrateur est membre de
ce groupe
- Administrateur du domaine est automatiquement ajouté au Groupe
Administrateurs local. Ces membres peuvent exécuter des tâches administratives
sur l’ordinateur local. Par défaut, le compte administrateur est membre
de ce groupe
- Invités du domaine est automatiquement ajouté au Groupe Invités
local. Par défaut, le compte Invité est membre de ce groupe
Enfin les groupes systèmes prédéfinis résident sur tous les
ordinateurs exécutant Windows NT. Les utilisateurs en deviennent membres
par défaut pendant le fonctionnement du réseau. Le statut de membre ne peut
pas être modifié.
- Tout le monde Comprend tous les utilisateurs locaux et distants
qui ont accès à l’ordinateur. Il contient également tous les comptes autres
que ceux créés par l’Administrateur dans le domaine.
- Créateur Propriétaire Comprend l’utilisateur qui a créé ou pris
possession d’une ressource. Ce groupe peut être utilisé pour gérer les
accès aux fichiers et aux dossiers uniquement des volumes NTFS
- Réseau Comprend tout utilisateur connecté à une ressource partagée
de votre ordinateur à partir d’un autre ordinateur sur le réseau
- Interactif Inclut automatiquement tout utilisateur qui se connecte
localement à l’ordinateur. Les membres interactifs ont accès aux ressources
de l’ordinateur sur lequel ils sont connectés.
Le partage permet de désigner les ressources auxquelles les utilisateurs
doivent pouvoir accéder par le biais du réseau. Lorsqu’un dossier est partagé,
les utilisateurs peuvent se connecter au dossier à travers le réseau et avoir
accès aux fichiers qu’il contient comme si celui-ci se trouvait en local (c'est-à-dire
sur le disque de l'ordinateur qu'ils utilisent actuellemt).
Afin d’accroître la sécurité du réseau, il est possible d’attribuer
des permissions à ces ressources pour contrôler les actions des utilisateurs
sur ces ressources.
Une fois qu’un dossier est partagé, les utilisateurs qui en ont la permission
ont accès à tous les fichiers et dossiers contenus dans le dossier partagé.
Les dossiers partagés servent à autoriser les utilisateurs à
accéder aux applications, aux données et aux dossiers de base des utilisateurs
sur le réseau.
- Unicité des informations: Les dossiers d’applications réseau centralisent
l’administration en spécifiant un seul emplacement pour la configuration et
la mise à jour de logiciels .
- Economie d'espace disque: Les dossiers de données offrent aux utilisateurs
un emplacement central pour stocker les fichiers utilisés en commun et y accéder
- Securite des donnees: Les dossiers de base des utilisateurs constituent
un emplacement central pour sauvegarder leur données
L’utilisation de dossiers partagés est la seule façon d’assurer la sécurité des
ressources réseau sur un volume FAT.
Les permissions sont applicables aux dossiers et permettent
de contrôler l’utilisation des ressources par un utilisateur donné. Il existe,
en FAT, quatre permissions différentes :
- Contrôle Total (permission par défaut) permet aux utilisateurs
de modifier les permissions des fichiers. D'autre part ceux-ci peuvent propriétaire
de fichiers sur des volumes NTFS et effectuer toutes les tâches autorisées
par la permission
- Modifier permet aux utilisateurs de créer des dossiers et ajouter
des fichiers, ainsi que de modifier les données dans les fichiers et ajouter
des données aux fichiers. Il leur est également possible de modifier les attributs
des fichiers, supprimer des dossiers et des fichiers, enfin d'effectuer toutes
les tâches autorisées par la permission Lire
- Lire permet à l'utilisateur d'afficher les noms des dossiers et des
fichiers, d'afficher les données et les attributs des fichiers, d'exécuter
les fichiers programme, et enfin de parcourir l'arborescence des dossiers.
- Aucun Accès permet uniquement à l'utilisateur d'établir une connexion
au dossier partagé. L’accès au dossier est interdit et son contenu n’est pas
affiché
Les permissions affectées à un utilisateur ne prennent effet qu’à sa prochaine
connexion. Ce système est donc non dynamique. Il faut faire très attention au
fait que par défaut, la permission « Contrôle Total » soit affectée au groupe
« Tout le Monde ». Il faut donc supprimer, avant de faire toute chose, ce groupe
et cette permission associée. De même, ne JAMAIS mettre une permission « Aucun
Accès » au groupe « Tout le Monde » car l’Administrateur fait partie de ce groupe.
Votre réseau s’en trouverait complètement bloqué et la seule solution pour régler
ce problème serait de réinstaller Windows NT.
Ces deux exemples illustrent parfaitement la notion de « Trous
de Sécurité » dans Windows NT 4.0.
Un utilisateur peut se voir attribuer des permissions soit directement,
soit en tant que membre d’un groupe. Il peut également arriver qu’un utilisateur
fasse partie de plusieurs groupes ayant des permissions différentes sur un même
dossier partagé. Voici comment sont gérées ces permissions :
- Les permissions sont une combinaison des différentes permissions attribuées
aux différents groupes. Ainsi, un utilisateur d’un groupe ayant la permission
« Lire » sur un dossier et faisant également partie d’un groupe ayant la permission
« Contrôle Total » à ce même dossier se verra attribuer effectivement la permission
« Contrôle Total »
- La seule exception à cette règle est la permission « Aucun Accès » qui est
totalement restrictive. Si un utilisateur fait partie d’un groupe ayant une
permission « Contrôle Total » sur un dossier et qu’il fait également partie
d’un groupe ayant une permission « Aucun Accès » sur ce même dossier, l’utilisateur
n’aura pas d’accès à ce dossier.
La stratégie de sécurité (en anglais security policy)
correspond à l'ensemble des règles de sécurité que l'on désire mettre en place
dans une organisation, ainsi que le niveau de celles-ci. Grâce au gestionnaire
d'utilisateurs situé dans le Menu Démarrer (Programmes/outils d'administration).
Celui-ci contient un onglet Stratégies contenant trois
éléments:
- La stratégie de compte contenant des options (à cocher ou sélectionner)
relatives à la connexion des utilisateurs (options relatives aux mots de passes
- La stratégie des droits de l'utilisateur définissant les permissions
accordées à chaque type d'utilisateur
- La stratégie d'audits permettant de définir les événements à enregistrer
dans un fichier appelé journal et visualisable par l'observateur d'événements
La stratégie de comptes permet de choisir des options relatives
à la validité des mots de passe.
Tout compte requiert un mot de passe pour accéder aux ressources
du réseau. Certaines règles existent pour garantir une sécurité optimale.
- Affecter un mot de passe au compte Administrateur afin d’interdire l’utilisation
de ce compte par une personne non autorisée
- Déterminer qui contrôle les mots de passe. Il est possible d’affecter un
mot de passe unique a un utilisateur ou lui donner la possibilité de le changer
lors de sa première connexion ce qui permet à l’utilisateur de choisir son
propre mot de passe
- Déterminer si un compte doit expirer. Il est utile de créer des comptes
temporaires pour les employés temporaires.
- Eviter d’utiliser des mots de passe évidents (nom d’un parent, d’un animal
etc.)
- Utiliser un mot de passe long (jusqu’à 14 caractères)
- Alterner majuscules et minuscules. En effet, les mots de passe respectent
la casse.
La première section de la boîte de dialogue est consacrée aux
mots de passe des utilisateurs. En effet les mots de passe représente une porte
d'accès dans la sécurité du système il est donc essentiel de forcer un minimum
les utilisateurs à avoir des mots de passe un minimum dur à trouver.
Voici les options qui vous sont proposées:
- Limitations du mot de passe
- La Durée maximale du mot de passe définit le temps au bout duquel
un utilisateur est explicitement obligé de modifier son mot de passe
- La Durée minimale du mot de passe permet d'éviter qu'un utilisateur
modifie trop souvent son mot de passe
- La Longueur maximale du mot de passe permet de s'assurer que
le mot de passe sera suffisamment long pour empêcher toute tentative d'intrusions
- Unicité du mot de passe: cette option permet de tenir un fichier
journal des différents mots de passe pour obliger l'utilisateur à être
inventif quand au choix de son mot de passe
- Verrouillage de compte
- durée de verrouillage permet de déterminer au bout de combien d'essai
consecutifs de mots de passe le système se bloque et dans quelles conditions
celui-ci se déverrouille (un temps ou l'intervention de l'administrateur)
- L’utilisateur doit changer de mot de passe à la prochaine ouverture de session
Vous voulez que l’utilisateur change de mot de passe la première fois qu’il
ouvre une session. Cela permet de vous assurer qu’il sera le seul à connaître
son mot de passe
- L’utilisateur ne peut changer de mot de passe: Plusieurs personnes utilisent
le même compte d’utilisateur ou vous souhaitez garder le contrôle des mots
de passe
- Le mot de passe n’expire jamais: Le mot de passe ne doit pas changer. Cette
option a la priorité sur la première option
- Compte désactivé: Vous voulez empêcher temporairement l’utilisation d’un
compte
La stratégie des droits de l'utilisateur permet de définir les
permissions accordées à chaque type d'utilisateur du système.
La stratégie d'audit permet d'auditer (c'est-à-dire d'enregistrer
sur le disque) certains évènement, ou plus exactement la réussite ou l'échec
de certains évènements du système.
La stratégie d'audit se présente sous forme d'une boîte de dialogue
dans laquelle il suffit de cocher ce qui nous intéresse en tant qu'administrateur
WINDOWS NT SERVER
Voici quelques vidéos pour vous permettre de configurer votre serveur
: (les fichiers sont compressés au format ZIP)
Installation d'un serveur DHCP,
Configuration du serveur
DHCP
Installation d'un serveur WINS