WINDOWS NT (New Technology)

Windows 2000

PREPARATION

• Créez des disquettes de démarrage

PARAMETRAGE/CONFIGURATION

• Personnalisez l'installation
• Récupérer les E/S et IRQ connues
• Régler les priorités
• Placer votre système sous surveillance

INCIDENT

• Réinstaller complètement NT
• Consulter l'Observateur d'événements

SECURITE/ADMINISTRATION

• Prévoyer un onduleur
• Changer votre mot de passe
• Associer l'utilisateur à un ou plusieurs groupes
• Paramétrer les horaires d'accès
• Exploiter le gestionnaire de serveur

ACCESSOIRES

• Installez Wordpad ou le Bloc-notes

PILOTES/SERVICES

• Vérifiez votre matériel
• Ouvrer un service sur le compte du système

PARTITIONS

• Convertissez le HPFS en NTFS avant installation
• Passez de FAT en NTFS
• Réactualiser votre système

DEMARRAGE/ARRET

• Accélérer le démarrage
• Réinstaller dans le même répertoire
• Conservez Windows 95
• Choisisser la méthode d'arrêt

RESEAU/DOMAINES

• Choisissez TCP/IP
• Exploiter la souplesse des domaines

SAUVEGARDES

• Faire un backup de vos données

APPLICATIONS

• Ouvrir avec Windows 3.X des fichiers créés sous NT4
• Réinstaller les applications Win32S
• Faites appel au serveur

Présentation de Microsoft WindowsNT

Windows NT est un système d'exploitation développé par Microsoft sur lequel peuvent fonctionner des applications spécifiques à Windows NT (applications 32 bits) ainsi que certaines applications DOS et Windows (Windows 3.1, Windows Workgroup 3.11 et Windows 95).

L'apparence de Windows NT est vraisemblablement la même que celle de Windows 95/98, mais Windows NT possède de gros avantages sur Windows 9x (Microsoft Windows 95 et 98):

• WindowsNT est un système multitâche préemptif
• WindowsNT est un système multiutilisateur, cela signifie que selon l'utilisateur qui se connecte au système l'interface pourra être différentes, ainsi que ses droits sur le système
• WindowsNT intègre de façon native de nombreuses fonctionnalités réseau
• WindowsNT a une sécurité accrue, notamment au niveau du système de fichiers (NTFS) ainsi qu'au niveau de la robustesse du système

WindowsNT et la sécurité

Etant donné que WindowsNT gère les utilisateurs, l'administrateur du réseau (qui possède des droits particuliers sur le système) est capable de contrôler les actions de chaque utilisateur connecté sur le système. De plus, grâce au système de fichiers NTFS (intègrant les notions de propriétaire de fichier et de droits), l'accès à chaque fichier du système peut être contrôlé, pour le bien être de l'administrateur ainsi que celui de chaque propriétaire de fichier...

Ouverture d’une session sur un ordinateur ou un domaine

Pour accèder à un système fonctionnant avec WindowsNT, il est essentiel de s'identifier à l'aide d'un nom d'utilisateur et d'un mot de passe (on parle d'ouverture de session, les personnes branchées diront "se logger"). Pour ouvrir une session sur un ordinateur NT, il faut utiliser la séquence de touche CTRL+ALT+SUPPR. La boîte de dialogue Informations de session sert à ouvrir une session sur un ordinateur ou sur un domaine.

Plusieurs options sont alors offertes :

• Utilisateur : tapez le compte d’utilisateur (celui-ci doit figurer dans la SAM du PDC pour que cette ouverture soit validée)
• Mot de passe : sécurité supplémentaire. Attention, le mot de passe respecte la casse
• Domaine : sert à ouvrir une session sur un domaine. Il est possible d’ouvrir une session sur un ordinateur ou d’ouvrir une session localement. Dans ce dernier cas, c’est la SAM locale qui est consultée
• Ouvrir une session avec le RAS : la sélection de cette option permet à un utilisateur d’ouvrir une session à distance, si le service RAS est installé
• Arrêter le système : ferme tous les fichiers, sauvegarde les données système et prépare l’ordinateur à s’éteindre en toute sécurité. Sous NT Server, ce bouton est désactivé afin d’empêcher un utilisateur non autorisé d’arrêter le système

La boîte de dialogue Sécurité de Windows NT

Lorsqu’un utilisateur a ouvert une session, la séquence de touche CTRL+ALT+SUPPR ouvre une autre boîte de dialogue appelée Sécurité de Windows NT. Voici les différentes options proposées :

• Verrouiller la station de travail : assure la sécurité de l’ordinateur sans fermeture de la session. Toutes les applications continuent à fonctionner. Une station ne peut être déverrouillée que par l’utilisateur actuel ou par un administrateur
• Changer de mot de passe : permet a l’utilisateur de changer de mot de passe. Il doit connaître le mot de passe en vigueur pour pouvoir le changer
• Fermer la session : ferme la session actuelle mais les services d’NT continuent d’être actifs. Par mesure de sécurité, il faut toujours fermer une session si l’on a plus besoin d’utiliser l’ordinateur
• Gestionnaire des tâches : indique quelles applications sont en cours d’exécution. Cette option permet également de basculer entre applications et à arrêter une application qui ne répond plus
• Arrêter le système : ferme tous les fichiers, sauvegarde toutes les données système et prépare le serveur à être éteint en toute sécurité
• Annuler : referme la boîte de dialogue

La notion d'utilisateur

WindowsNT est un système d'exploitation permettant de gérer des sessions, c'est-à-dire qu'au démarrage du système il est nécessaire de se connecter au système (le terme se logger provenant de l'anglais est généralement utilisé) grâce à un nom d'utilisateur et d'un mot de passe.

Par défaut lors de l'installation de Windows NT, le compte administrateur est créé, ainsi qu'un compte appelé invité. Il est possible (et même conseillé) de modifier les permissions des utilisateurs (ce qu'ils ont le droit de faire) ainsi que d'en ajouter via le gestionnaire d'utilisateurs. Un compte d’utilisateur est l’identification d’un utilisateur de façon unique de manière à lui permettre

• d’ouvrir une session sur le domaine afin d'avoir accès aux ressources du réseau
• d’ouvrir une session sur un ordinateur local afin d’accéder aux ressources locales

Gérer les utilisateurs

Le gestionnaire d'utilisateur est l'utilitaire fourni en standard avec Windows NT, permettant de gérer les utilisateurs (comme son nom le laisse présager). Il est disponible dans le Menu Démarrer (Programmes/outils d'administration).

Pour créer un nouveau compte, il suffit de cliquer sur Nouvel utilisateur dans le menu utilisateurs. Cela fait apparaître un boîte de dialogue permettant de saisir des informations sur le nouvel utilisateur:

• Utilisateur: représente le nom (login) de l'utilisateur
• Nom détaillé: renseignement optionnel sur l'utilisateur
• Description: champ optionnel
• Les champs Mot de passe sont optionnels, mais il est tout de même conseillé de les remplir, ainsi que de cocher éventuellement la case l'utilisateur doit changer de mot de passe pour des raisons de sécurité

Convention de nommage des utilisateurs

La convention de nommage des utilisateurs est la manière de laquelle l'administrateur décide d'identifier les utilisateurs. Il faut tenir compte des éléments suivants :

• Les noms d’utilisateur doivent être uniques (dans un domaine, sur un ordinateur local)
• Les noms d’utilisateur peuvent contenir tout caractère majuscule ou minuscule à l’exception des caractères suivants : / \ [ ] : . | = , + * ? < >
• Il faut prévoir le cas d’utilisateurs homonymes et donc une nomenclature adéquate.

Comptes utilisateurs et sécurité

Il existe deux types de comptes sous NT. Les comptes prédéfinis et les comptes que vous créez. Après installation, Windows NT est définit avec des utilisateurs prédéfinis (comptes par défaut) (le compte administrateur et invité) rendant la sécurité du système minimale.

Les différents comptes sont:

• Comptes que vous créez : les comptes d’utilisateur permettent d’ouvrir une session sur le réseau et d’accéder aux ressources du réseau. Ces comptes contiennent des informations sur l’utilisateur, notamment son nom et son mot de passe
• Invité : il permet aux utilisateurs occasionnels d’ouvrir une session et d’accéder à l’ordinateur local. Par défaut, il est désactivé.
• Administrateur : il sert à gérer la configuration globale des ordinateurs et des domaines. Il peut effectuer toutes les tâches

• dans un premier temps de désactiver le compte invité permettant à n'importe quel utilisateur de se connecter au système
• dans un second temps de modifier le nom du compte administrateur afin de réduire le risque d'une intrusion par ce compte utilisateur. En effet le compte administrateur possède toutes les permissions, c'est donc la proie visée par les intrus

Emplacement des comptes utilisateurs

Les comptes d’utilisateur de domaine sont créés à partir du Gestionnaire des utilisateurs pour les domaines. Lorsqu’un compte est créé, il est automatiquement enregistré dans la SAM du Contrôleur Principal de Domaine (PDC), qui la synchronise ensuite avec le reste du domaine. Dès qu’un compte est créé dans la SAM du PDC, l’utilisateur peut ouvrir une session sur le domaine à partir de n’importe quel poste du domaine.

Plusieurs minutes peuvent parfois être nécessaires à la synchronisation du domaine.
Il existe deux méthodes : taper

net accounts /sync

Les comptes d’utilisateur local se créent sur un serveur membre ou un ordinateur sous Windows NT Workstation, à l’aide du Gestionnaire des utilisateurs. Le compte n’est créé que dans la SAM de l’ordinateur local. L’utilisateur ne peut donc ouvrir de sessions que sur l’ordinateur en question.

La Planification de nouveaux comptes d’utilisateur

Il est possible de simplifier le processus de création de comptes en planifiant et en organisant les informations sur ceux ayant besoin d’un compte d’utilisateur.

Le dossier de base est le dossier privé dans lequel un utilisateur peut stocker ses fichiers. Il est utilisé comme dossier par défaut lors de l’exécution de commandes telles que « Enregistrer ». Il peut être stocké sur l’ordinateur local de l’utilisateur ou sur un serveur réseau. Il faut prendre en compte les point suivants pour les créer :

• Il est beaucoup plus facile d’assurer la sauvegarde et la restauration des données des différents utilisateurs en cas d’incidents si les dossiers de base sont stockés sur un serveur. Si ce n’est pas le cas, il faudra effectuer des sauvegardes régulières sur les différents ordinateurs du réseau ou sont stockés les dossiers de base
• Considérer l’espace sur les contrôleurs de domaine : Windows NT ne dispose pas d’utilitaires permettant la gestion de l’espace disque (Windows 2000 le permet). De ce fait, il faut faire très attention à ce que les dossiers de base ne soient pas remplis de fichiers volumineux, ce qui pourrait saturer très vite l’espace de stockage du serveur. Il existe cependant des outils tiers tel que « QUOTA MANAGER »
• Si un utilisateur travaille sur un ordinateur ne disposant pas de disque dur, son dossier de base doit impérativement être sur un serveur réseau
• Si les dossiers de base se trouvent sur les ordinateurs locaux, les performances du réseau augmentent car il y a de ce fait moins de trafic sur le réseau, le serveur n’étant pas constamment sollicité

Définition des options de station de travail et de compte

Il est possible de paramétrer les postes à partir desquels un utilisateur peut se connecter au réseau. Soit vous lui autorisez à ouvrir une session à partir de toutes les stations de travail, soit vous spécifiez un ou des stations de travail précises. Utiliser un poste unique pour un utilisateur est une option a utiliser dans un réseau à haute sécurité. En effet, un utilisateur qui se connecte à une station de travail qui n’est pas la sienne se connectera en local et aura donc accès à toutes les ressources locales de la machine. De plus, spécifier un ou des stations de travail à partir desquelles un utilisateur peut se connecter permet à l’Administrateur du réseau de surveiller l’utilisateur.

D'autre part, il est également possible de fixer une date d’expiration du compte d’un utilisateur. Cette option peut être utile dans le cas d’un employé temporaire. La date d’expiration de ce compte correspondra à la date d’expiration de son contrat.

Permissions d’appel

Si le RAS (Remote Access Service), l’Accès Réseau à Distance, est installé, il est possible de paramétrer les permissions d’appel. Ce service permet à un utilisateur, ayant les permissions appropriées, d’accéder aux ressources du réseau à distance, en utilisant une ligne téléphonique (ou X25). Ce service est utile pour les utilisateurs ayant besoin d’accéder au réseau de chez eux par exemple. Plusieurs options de rappel sont paramétrables :

• Pas de rappel : l’utilisateur prend en charge les frais de communication. Le serveur ne rappellera pas l’utilisateur
• Défini par l’appelant : cette option permet à un utilisateur d’être rappelé par le serveur a un numéro qu’il spécifie. Dans ce cas, c’est l’entreprise qui prend en charge les frais de communication.
• Prédéfini au : permet un contrôle du rappel par l’administrateur. C’est lui qui décide du numéro auquel le serveur doit rappeler un utilisateur donné. Cette option peut servir à réduire les coûts mais aussi accroître la sécurité car l’utilisateur devra se trouver à un numéro précis.

Suppression et changement de nom de comptes d’utilisateur

Lorsqu’un compte n’est plus nécessaire, il est possible de le supprimer ou de le renommer afin qu’il puisse être utilisé par un autre utilisateur. Il faut savoir que le fait de supprimer un compte supprime aussi le SID (Security IDentification). Même si NT nous permet 15000 SID différents, il est inutile de supprimer un compte si celui-ci peut être renommer pour un autre employé par exemple.

Gestion de l’environnement de travail d’un utilisateur

Lorsqu’un utilisateur ouvre une session pour la première fois à partir d’un client exécutant Windows NT, un profil d’utilisateur par défaut est créé pour cet utilisateur. Ce profil définit des éléments tels que son environnement de travail et ses connexions réseau et imprimante. Ce profil peut être personnalisé afin de restreindre certains éléments du bureau ou des outils présents sur le poste.

Ces profils contiennent des paramètres définissables par l’utilisateur pour l’environnement de travail d’un ordinateur exécutant Windows NT. Ces paramètres sont sauvegardés automatiquement dans le dossier Profiles (C:\Winnt\Profiles).

Pour les utilisateurs qui ouvrent une session à partir des clients n’exécutant pas Windows NT, un script d’ouverture de session peut être utilisé pour configurer les connexions réseau et imprimante des utilisateurs ou pour définir l’environnement de travail ou les paramètres matériels. Il s’agit en fait d’un fichier de commande (.bat ou .cmd) ou d’un fichier exécutable qui s’exécute automatiquement lorsque l’utilisateur se connecte au réseau.

Il est également possible d'utiliser des profils d’utilisateur errants, c'est-à-dire un profil offrant à l’utilisateur le même environnement de travail quelque soit la station de travail à partir de laquelle il se connecte au réseau. Ces profils sont enregistrés sur le serveur. Il existe deux options concernant ces profils errants :

• Profil errant obligatoire : il peut être appliqué à un ou plusieurs utilisateurs et est non modifiable par ces utilisateurs. Seul l’administrateur décide de ce qui peut être à disposition des utilisateurs (outils, configuration etc.). Même si l’utilisateur effectue des changements de configuration, ces modifications ne seront pas prises en compte lors de la déconnexion
• Profil errant personnel : il ne peut être appliqué qu’à un seul utilisateur et peut être modifié par cet utilisateur. A chaque déconnexion de l’utilisateur, les différents changements de paramètres seront enregistrés

Une fois le compte d’utilisateur créé et la première ouverture de session avec ce compte effectuée, un profil d’utilisateur est automatiquement créé dans le dossier Profiles..
L’utilisateur ou l’administrateur peuvent modifier tous les paramètres nécessaires pour que toutes les modifications soient prises en compte et enregistrées dans ce dossier.

En tant qu’administrateur, il faut ensuite créer un dossier sur le serveur comme par exemple \\serveurnt\Profils\nom_utilisateur.
Dans le Panneau de Configuration, il faut double-cliquer sur l’icône Système puis cliquer sur l’onglet Profils Utilisateur. Cliquer sur le profil désiré et appuyer sur le bouton Copier vers.

Dans la zone correspondante, taper le chemin UNC menant au dossier. Sous Autorisé à utiliser, cliquer sur Modifier. Ajouter l’utilisateur approprié.
NB : Dans le dossier dans lesquels sont stockés les différents profils, renommez le fichier ntuser.dat de l’utilisateur correspondant en ntuser.man pour rendre son profil obligatoire

Dans le Gestionnaire des utilisateurs pour les domaines, double-cliquer sur le compte de l’utilisateur concerné et cliquer sur Profils. Dans la zone Chemin du profil de l’utilisateur, taper le chemin UNC menant au dossier profil du réseau.

Définition d’un environnement utilisateur

L’utilisation de la boîte de dialogue Profil d’environnement des utilisateurs peut servir à entrer les chemins du profil utilisateur, le script d’ouverture de session, et le dossier de base.
Plusieurs options sont paramétrables, notamment pour indiquer des chemins d’accès aux différents éléments :

• Chemin du profil de l’utilisateur : indique le chemin vers le dossier profil de l’utilisateur. Pour les profils d’utilisateur personnels, tapez \\nom_serveur\paratge_profil\%username% . Pour les profils obligatoires, remplacer le %username% par nom_profil
• Nom du script d’ouverture de session : il est possible d’utiliser soit un chemin menant à l’ordinateur local de l’utilisateur, soit un chemin UNC menant à un dossier partagé sur un serveur réseau
• Répertoire de base : pour spécifier un chemin réseau, sélectionner Connecter et une lettre d’unité. Taper ensuite le chemin UNC. Avant de spécifier un emplacement de réseau, un dossier doit être créé sur le serveur et doit être partagé sur le réseau

La gestion de groupes

Windows NT permet de plus de gérer les utilisateurs par groupe, c'est-à-dire qu'il permet de définir des ensembles d'utilisateurs possèdant le même type de permissions en les classant selon des catégories.

Un groupe est un ensemble de comptes d’utilisateurs. Un utilisateur inséré dans un groupe se voit attribuer toutes les permissions et droits du groupe. Les groupes simplifient donc l’administration car il est possible d’attribuer des permissions à plusieurs utilisateurs simultanément. Il existe deux type de groupe différents :

• Les groupes locaux : servent à donner aux utilisateurs des permissions d’accès à une ressource réseau. Ils servent également à donner aux utilisateurs des droits pour lancer des tâches système (modifier l’heure sur un ordinateur, sauvegarder et récupérer des fichiers etc.). Il existe des groupes locaux prédéfinis.
• Les groupes globaux : servent à organiser les comptes d’utilisateur de domaine. Ils servent surtout dans des réseaux à domaines multiples, lorsque les utilisateurs d’un domaine doivent pouvoir accéder aux ressources d’un autre domaine.

Lors du premier démarrage de Windows NT 6 groupes par défaut sont créés:

• Administrateurs
• Opérateurs de sauvegarde
• Duplicateurs
• Utilisateurs avec pouvoir
• Utilisateurs
• Invités

Il est possible de supprimer ces groupes par dé,faut ainsi que d'ajouter des groupes d'utilisateurs personnalisés, avec des permissions particulières selon les opérations qu'ils sont amenés à faire sur le système. Pour ajouter un groupe, il suffit de cliquer sur Nouveau groupe local dans le menu utilisateur.

Il suffit ensuite d'affecter les différents utilisateurs à un groupe en sélectionnant un utilisateur et en cliquant sur Ajouter. Cela fait apparaître la boîte de dialgoue suivante:

Celle-ci permet tout simplement de sélectionner les groupes auxquels un utilisateur est susceptible de faire partie...

Mise en oeuvre des groupes prédéfinis

Les groupes prédéfinis sont des groupes qui ont des droits d’utilisateur déterminés. Les droits d’utilisateur déterminent les tâches système qu’un utilisateur ou membre d’un groupe prédéfinis peut exécuter. Voici les trois groupes prédéfinis offerts par Windows NT :

• Les groupes locaux prédéfinis : donnent aux utilisateurs des droits leur permettant d’exécuter des tâches système telles que la sauvegarde et la restauration de données, la modification de l’heure, ainsi que l’administration des ressources système. Ils se trouvent sur tous les ordinateurs exécutant Windows NT
• Les groupes globaux prédéfinis : fournissent aux administrateurs un moyen simple leur permettant de contrôler tous les utilisateurs du domaine. Les groupes globaux prédéfinis se trouvent uniquement sur les Contrôleurs de domaine.
• Les groupes système organisent automatiquement les utilisateurs pour l’utilisation du système. Les administrateurs ne leur affecte pas d’utilisateurs. Les utilisateurs sont soit membres par défaut, soit deviennent membres au cours de l’activité du réseau. Ils se trouvent sur tous les ordinateurs exécutant Windows NT

Voici les groupes locaux prédéfinis:

• Utilisateurs Peuvent exécuter des tâches pour lesquelles ils disposent d’un droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu une permission
  Le groupe local Utilisateurs avec pouvoir ne réside que sur les serveurs membres et les ordinateurs exécutant NT Workstation. Les membres de ce groupe peuvent créer et modifier des comptes, ainsi que partager des ressources.
• Administrateurs Peuvent exécuter toutes les tâches administratives sur l’ordinateur local. Si l’ordinateur est un Contrôleur de domaine, les membres peuvent administrer entièrement le domaine
• Invités Peuvent exécuter toutes les tâches pour lesquelles ils disposent d’un droit d’accès et accéder aux ressources pour lesquelles ils ont obtenu une permission. Ses membres ne peuvent effectuer aucune modification permanente dans leur environnement local
• Opérateurs de sauvegarde Peuvent utiliser le programme de sauvegarde de Windows NT pour sauvegarder et restaurer tous les ordinateurs exécutant Windows NT²
• Duplicateurs Utilisés par le service de Duplicateur de répertoires. Ce groupe n’est pas utilisé pour l’administration

Les groupes suivants sont définis uniquement sur les contrôleurs de domaine:

• Opérateurs de compte Peuvent créer, supprimer et modifier les utilisateurs, les groupes locaux et globaux. Ils ne peuvent pas modifier les groupes Administrateurs et Opérateurs de serveur
• Opérateurs de serveur Peuvent partager les ressources disque, sauvegarder et restaurer les serveurs
• Opérateurs d’impression Peuvent configurer et gérer les imprimantes en réseau

  Lorsque Windows NT Server est installé comme Contrôleur de domaine, trois groupes globaux sont créés dans la SAM. Par défaut, ces groupes n’ont pas de droits inhérents. Ils acquièrent des droits au moment où ils sont ajoutés aux groupes locaux ou lorsque des droits d’utilisateur ou des permissions leur sont attribués.

  • Utilisateurs du domaine est automatiquement ajouté au Groupe Utilisateurs local. Par défaut, le compte Administrateur est membre de ce groupe
  • Administrateur du domaine est automatiquement ajouté au Groupe Administrateurs local. Ces membres peuvent exécuter des tâches administratives sur l’ordinateur local. Par défaut, le compte administrateur est membre de ce groupe
  • Invités du domaine est automatiquement ajouté au Groupe Invités local. Par défaut, le compte Invité est membre de ce groupe

  Enfin les groupes systèmes prédéfinis résident sur tous les ordinateurs exécutant Windows NT. Les utilisateurs en deviennent membres par défaut pendant le fonctionnement du réseau. Le statut de membre ne peut pas être modifié.

  • Tout le monde Comprend tous les utilisateurs locaux et distants qui ont accès à l’ordinateur. Il contient également tous les comptes autres que ceux créés par l’Administrateur dans le domaine.
  • Créateur Propriétaire Comprend l’utilisateur qui a créé ou pris possession d’une ressource. Ce groupe peut être utilisé pour gérer les accès aux fichiers et aux dossiers uniquement des volumes NTFS
  • Réseau Comprend tout utilisateur connecté à une ressource partagée de votre ordinateur à partir d’un autre ordinateur sur le réseau
  • Interactif Inclut automatiquement tout utilisateur qui se connecte localement à l’ordinateur. Les membres interactifs ont accès aux ressources de l’ordinateur sur lequel ils sont connectés.

Introduction au partage de dossiers

Le partage permet de désigner les ressources auxquelles les utilisateurs doivent pouvoir accéder par le biais du réseau. Lorsqu’un dossier est partagé, les utilisateurs peuvent se connecter au dossier à travers le réseau et avoir accès aux fichiers qu’il contient comme si celui-ci se trouvait en local (c'est-à-dire sur le disque de l'ordinateur qu'ils utilisent actuellemt).

Afin d’accroître la sécurité du réseau, il est possible d’attribuer des permissions à ces ressources pour contrôler les actions des utilisateurs sur ces ressources.
Une fois qu’un dossier est partagé, les utilisateurs qui en ont la permission ont accès à tous les fichiers et dossiers contenus dans le dossier partagé.

L'interêt du partage de dossiers

Les dossiers partagés servent à autoriser les utilisateurs à accéder aux applications, aux données et aux dossiers de base des utilisateurs sur le réseau.

• Unicité des informations: Les dossiers d’applications réseau centralisent l’administration en spécifiant un seul emplacement pour la configuration et la mise à jour de logiciels .
• Economie d'espace disque: Les dossiers de données offrent aux utilisateurs un emplacement central pour stocker les fichiers utilisés en commun et y accéder
• Securite des donnees: Les dossiers de base des utilisateurs constituent un emplacement central pour sauvegarder leur données

Les permissions de dossier partagé

Les permissions sont applicables aux dossiers et permettent de contrôler l’utilisation des ressources par un utilisateur donné. Il existe, en FAT, quatre permissions différentes :

• Contrôle Total (permission par défaut) permet aux utilisateurs de modifier les permissions des fichiers. D'autre part ceux-ci peuvent propriétaire de fichiers sur des volumes NTFS et effectuer toutes les tâches autorisées par la permission
• Modifier permet aux utilisateurs de créer des dossiers et ajouter des fichiers, ainsi que de modifier les données dans les fichiers et ajouter des données aux fichiers. Il leur est également possible de modifier les attributs des fichiers, supprimer des dossiers et des fichiers, enfin d'effectuer toutes les tâches autorisées par la permission Lire
• Lire permet à l'utilisateur d'afficher les noms des dossiers et des fichiers, d'afficher les données et les attributs des fichiers, d'exécuter les fichiers programme, et enfin de parcourir l'arborescence des dossiers.
• Aucun Accès permet uniquement à l'utilisateur d'établir une connexion au dossier partagé. L’accès au dossier est interdit et son contenu n’est pas affiché

Ces deux exemples illustrent parfaitement la notion de « Trous de Sécurité » dans Windows NT 4.0.

Attribution de permissions aux utilisateurs et aux groupes

Un utilisateur peut se voir attribuer des permissions soit directement, soit en tant que membre d’un groupe. Il peut également arriver qu’un utilisateur fasse partie de plusieurs groupes ayant des permissions différentes sur un même dossier partagé. Voici comment sont gérées ces permissions :

• Les permissions sont une combinaison des différentes permissions attribuées aux différents groupes. Ainsi, un utilisateur d’un groupe ayant la permission « Lire » sur un dossier et faisant également partie d’un groupe ayant la permission « Contrôle Total » à ce même dossier se verra attribuer effectivement la permission « Contrôle Total »
• La seule exception à cette règle est la permission « Aucun Accès » qui est totalement restrictive. Si un utilisateur fait partie d’un groupe ayant une permission « Contrôle Total » sur un dossier et qu’il fait également partie d’un groupe ayant une permission « Aucun Accès » sur ce même dossier, l’utilisateur n’aura pas d’accès à ce dossier.

Comprendre la notion de stratégie

La stratégie de sécurité (en anglais security policy) correspond à l'ensemble des règles de sécurité que l'on désire mettre en place dans une organisation, ainsi que le niveau de celles-ci. Grâce au gestionnaire d'utilisateurs situé dans le Menu Démarrer (Programmes/outils d'administration).

Celui-ci contient un onglet Stratégies contenant trois éléments:

• La stratégie de compte contenant des options (à cocher ou sélectionner) relatives à la connexion des utilisateurs (options relatives aux mots de passes
• La stratégie des droits de l'utilisateur définissant les permissions accordées à chaque type d'utilisateur
• La stratégie d'audits permettant de définir les événements à enregistrer dans un fichier appelé journal et visualisable par l'observateur d'événements

La stratégie de compte

La stratégie de comptes permet de choisir des options relatives à la validité des mots de passe.

Tout compte requiert un mot de passe pour accéder aux ressources du réseau. Certaines règles existent pour garantir une sécurité optimale.

• Affecter un mot de passe au compte Administrateur afin d’interdire l’utilisation de ce compte par une personne non autorisée
• Déterminer qui contrôle les mots de passe. Il est possible d’affecter un mot de passe unique a un utilisateur ou lui donner la possibilité de le changer lors de sa première connexion ce qui permet à l’utilisateur de choisir son propre mot de passe
• Déterminer si un compte doit expirer. Il est utile de créer des comptes temporaires pour les employés temporaires.
• Eviter d’utiliser des mots de passe évidents (nom d’un parent, d’un animal etc.)
• Utiliser un mot de passe long (jusqu’à 14 caractères)
• Alterner majuscules et minuscules. En effet, les mots de passe respectent la casse.

La première section de la boîte de dialogue est consacrée aux mots de passe des utilisateurs. En effet les mots de passe représente une porte d'accès dans la sécurité du système il est donc essentiel de forcer un minimum les utilisateurs à avoir des mots de passe un minimum dur à trouver.

Voici les options qui vous sont proposées:

• Limitations du mot de passe
  • La Durée maximale du mot de passe définit le temps au bout duquel un utilisateur est explicitement obligé de modifier son mot de passe
  • La Durée minimale du mot de passe permet d'éviter qu'un utilisateur modifie trop souvent son mot de passe
  • La Longueur maximale du mot de passe permet de s'assurer que le mot de passe sera suffisamment long pour empêcher toute tentative d'intrusions
  • Unicité du mot de passe: cette option permet de tenir un fichier journal des différents mots de passe pour obliger l'utilisateur à être inventif quand au choix de son mot de passe
• Verrouillage de compte
  • durée de verrouillage permet de déterminer au bout de combien d'essai consecutifs de mots de passe le système se bloque et dans quelles conditions celui-ci se déverrouille (un temps ou l'intervention de l'administrateur)
• L’utilisateur doit changer de mot de passe à la prochaine ouverture de session Vous voulez que l’utilisateur change de mot de passe la première fois qu’il ouvre une session. Cela permet de vous assurer qu’il sera le seul à connaître son mot de passe
• L’utilisateur ne peut changer de mot de passe: Plusieurs personnes utilisent le même compte d’utilisateur ou vous souhaitez garder le contrôle des mots de passe
• Le mot de passe n’expire jamais: Le mot de passe ne doit pas changer. Cette option a la priorité sur la première option
• Compte désactivé: Vous voulez empêcher temporairement l’utilisation d’un compte

La stratégie des droits de l'utilisateur

La stratégie des droits de l'utilisateur permet de définir les permissions accordées à chaque type d'utilisateur du système.

La stratégie d'audit

La stratégie d'audit permet d'auditer (c'est-à-dire d'enregistrer sur le disque) certains évènement, ou plus exactement la réussite ou l'échec de certains évènements du système.

La stratégie d'audit se présente sous forme d'une boîte de dialogue dans laquelle il suffit de cocher ce qui nous intéresse en tant qu'administrateur

WINDOWS NT SERVER

Voici quelques vidéos pour vous permettre de configurer votre serveur : (les fichiers sont compressés au format ZIP)

Installation d'un serveur DHCP, Configuration du serveur DHCP

Installation d'un serveur WINS