ADMINISTRATION D’UN RESEAU : UTILISATEURS - GROUPES - SAUVEGARDES sous WINDOWS 2000 SERVER
WINDOWS 2000 SERVER : Administration (Utilisateurs et groupes d'utilisateurs ...)
L’administration d’un réseau regroupe un ensemble de tâches garantissant le bon fonctionnement du réseau, c’est à dire permettre aux utilisateurs d’accéder aux ressources disponibles en toute transparence et selon des niveaux de sécurité bien définis.
Ces tâches comprennent :
Ces tâches comprennent :
- la gestion des utilisateurs et des ordinateurs du réseau,
- l’affectation des dossiers aux utilisateurs
- la gestion des sauvegardes
- la mise à jour des logiciels (applications bureautiques, professionnelles, antivirus,…)
Les outils d’administration sont regroupés dans le panneau de configuration de Windows 2000 Server sous l’icône : Outils d’administration.
Les outils les plus importants sont les suivants :
I - La gestion des utilisateurs
A/ Etre utilisateur d’un réseau
Dans un réseau client-serveur, la sécurité est essentielle. Pour qu’un utilisateur puisse se connecter au réseau, il doit disposer d’un compte de connexion (login) et d’un mot de passe. La boîte de dialogue de connexion est la suivante :
Exemple : le poste de travail de l’administrateur :
Exemple : le poste de travail de l’administrateur :
Les icônes de ce type :
font référence à des unités de disques réseau, c’est à dire des dossiers partagés stockés sur le serveur mais accessibles à l’utilisateur depuis tout poste connecté au réseau. En revanche, les ressources locales sont matérialisées par cette icône :
B/ Utilisateurs et groupes d’utilisateurs
L’ensemble des utilisateurs (comme des ordinateurs) d’un réseau Windows 2000 sont regroupés au sein d’un annuaire appelé Active Directory
Pour créer un utilisateur, on utilise l’outil d’administration
La console de création d’utilisateurs se présente comme suit :
Pour créer un nouvel utilisateur, on clique droit sur l’icône Builtin et on sélectionne nouveau.
On obtient alors une boîte de dialogue à plusieurs onglets :
Exemple : M. DUPONT Christophe a récemment été embauché au service comptable en tant que chef de service. L’administrateur réseau lui configure alors son compte de la manière suivante :
Ecran 1
REMARQUE : pour des raisons de confidentialité, l’administrateur réseau ne peut pas voir en clair les mots de passe. Par conséquent, si un utilisateur perd son mot de passe, l’administrateur réinitialise ce mot de passe.
Christophe Dupont apparaît bien dans l’annuaire Active Directory
L’affichage des propriétés de l’utilisateur DUPONT donne ceci :
On peut alors compléter finement tous les renseignements concernant cet utilisateur (adresse, adresse de messagerie, téléphone,…)
L’onglet Compte permet de définir un grand nombre de restrictions d’accès au réseau :
Grâce à l’onglet « Appel entrant », on peut autoriser l’utilisateur à se connecter de chez lui au réseau via le réseau téléphonique ou Internet :
C/ Affectation d’un profil et d’un script de connexion
Un profil correspond en quelque sorte au bureau de windows. Ce profil peut être de différents types :
- Profil local (par défaut) : le profil de l’utilisateur est enregistré sur la machine locale. Si la station est sous windows 2000 Professionnel, l’utilisateur retrouvera son propre bureau. En revanche, sur une machine windows98, l’utilisateur ne retrouvera pas son propre bureau si l’ordinateur est utilisé par plusieurs personnes,
- Profil itinérant : le profil est stocké sur le serveur en tant que dossier partagé de sorte que quel que soit le poste utilisé, l’utilisateur retrouvera le bureau de Windows tel qu’il l’avait laissé lors de la dernière connexion
- Les profils obligatoires : comme pour les profils itinérants, les profils obligatoires sont stockés sur le serveur mais les modifications (ajout ou suppression d’icônes par exemples ne sont pas sauvegardés, ce qui fait que l’utilisateur retrouve toujours le même environnement de travail.
Exemple : création d’un profil itinérant pour Christophe Dupont
Sur le serveur de l’entreprise, les profils sont enregistrés dans le dossier partagé nommé profils :
Il suffit de créer un nouveau dossier dans Profils et de lui attribuer le nom de l’utilisateur :
Il ne reste plus qu’à affecter le profil à l’utilisateur cdupont par l’intermédiaire de la boîte de dialogue propriété de l’utilisateur
A la première connexion, l’environnement de travail de Christophe Dupont sera mémorisé dans son « profil »
D/ Les scripts de connexion
Un script de connexion est utilisé soit pour exécuter une tâche au démarrage du poste client (mise à jour de l’antivirus par exemple), soit pour attribuer des lettres de lecteur à des dossiers partagés).
Exemple :
Pour chaque utilisateur du réseau, l’administrateur crée un dossier personnel partagé dont le nom correspond à celui de l’utilisateur :
M. DUPONT, chef comptable, souhaite que son dossier personnel soit identifié par la lettre Y: De plus, pour pouvoir utiliser la suite office Premium, le dossier partagé C:\office premium\premium1 doit être affecté de la lettre de lecteur U: (on parle de « mappage » d’unité réseau et C:\office premium\premium2 de la lettre V: qui sont partagés sous les noms premium1 et premium2.
Le pack office a été installé sur le poste de M. DUPONT en tant que station de travail (installation minimale : les fichiers sont recherchés sur le serveur en fonction des besoins) au lieu d’une installation complète.
L’administrateur va donc créer un script de connexion, c’est à dire un fichier de commandes comportant une série d’instructions exécutées à chaque ouverture de session utilisateurs.
Le fichier script nommé par exemple comptable.bat comportera les instructions suivantes :
net use u: \\Serveur\Premium1
net use v: \\Serveur\Premium2
net use y: \\Serveur\%username%
il est stocké dans un dossier partagé nommé netlogon sur le serveur.
Le chemin d’accès réseau à ce script est donc :
\\serveur\netlogon\comptable.bat
La commande net use permet d’affecter une lettre d’unité à un dossier partagé.
%username% est une variable intrinsèque contenant le nom d’utilisateur. (D’autres variables intrinsèques existent)
Il ne reste plus qu’à attribuer le script de connexion à l’utilisateur Christophe Dupont :
Lors de sa connexion, le poste de travail de l’utilisateur comprendra les icônes suivantes :
E/ Les groupes d’utilisateurs
Un groupe d’utilisateur est un ensemble d’utilisateurs dotés des mêmes prérogatives. Un groupe peut être lui-même membre d’un autre groupe
Exemple : M. DUPONT appartient au groupe Servicecomptable qui regroupe l’ensemble du personnel comptable. Par ailleurs, M. Dupont réalise les sauvegardes journalières. Il appartient donc au groupe de sécurité local intégré « Opérateur de sauvegarde » en revanche il n’a pas le statut d’administrateur.
Le groupe Service comptable comprend les membres suivants :
- Jacques Durand
- Alex Kile
- Ernest Borne in
- Cdupont
Ce groupe apparaît dans l’annuaire de la manière suivante :
Il ne reste plus qu’à ajouter M. DUPONT au groupe des « Opérateurs de sauvegarde »
Pour savoir à quel(s) groupe appartient un utilisateur, il suffit d’ouvrir la boîte de dialogue Propriétés de l’utilisateur concerné et l’onglet Membre.
Exemple : pour Christophe Dupont :
Outre les deux groupes cités précédemment, C. Dupont appartient, comme tout utilisateur, au groupe « utilisateur du domaine » qui lui permet au minimum de se connecter au réseau.
Quel est l’intérêt d’affecter des utilisateurs à des groupes ?
Il y a trois avantages :
1) Le rattachement à certains groupes permet d’attribuer des droits plus ou moins étendus à l’utilisateur :
- Le groupe Administrateurs a tous les pouvoirs
- le groupe Utilisateurs du domaine a le moins de pouvoir : les utilisateurs de ce groupe ne peuvent pas supprimer de fichiers ne leur appartenant pas, ils ne peuvent pas attribuer de droits ni gérer les comptes utilisateurs ni installer de programmes.
2) L’attribution de droits sur les dossiers et les fichiers se fait rapidement lorsque ceux ci sont accessibles à un groupe d’utilisateurs, ce qui évite d’accorder des droits individuels à chacun. Par exemple, les fichiers comptables sont accessibles par le groupe servicecomptable en lecture, écriture.
3) Accessoirement, lorsque l’entreprise bénéficie d’un serveur de messagerie intranet, l’utilisation de la messagerie de groupe permet d’adresser un même message à l’ensemble du groupe via l’adresse de distribution (adresse mél du groupe).
II/ Les droits d’accès aux fichiers et aux dossiers
Pour garantir la confidentialité des données sur le réseau, des droits d’accès plus ou moins stricts sur les dossiers doivent être définis. De plus pour qu’un dossier stocké sur un serveur soit accessible depuis tout point du réseau, celui-ci doit être partagé.
A/ Le partage d’un dossier
Sur un serveur Win 2000, plusieurs méthodes pour partager un dossier sont possibles par le poste de travail, l’explorateur windows ou le composant partage de dossiers de la console.
Exemple : on souhaite créer un dossier de groupe nommé dosscomptable sur le disque C : du serveur :
Exemple : on souhaite créer un dossier de groupe nommé dosscomptable sur le disque C : du serveur :
Comme on peut le constater dans la boîte de dialogue ci-dessous, les droits semblent très larges car le groupe « Tout le monde » (c’est à dire tous les utilisateurs quel que soient leur groupe d’appartenance) peut exercer un contrôle total (modification, suppression, lecture) du dossier.
En fait, la sécurité des dossiers se gère à partir de l’onglet « Sécurité » et c’est donc là que vont être définis les droits d’accès aux dossiers.
B/ Sécurité des dossiers et fichiers :
Le coin des pros :
Pour que les changements de droits soient immédiats, il faut :
- cliquer sur le bouton Appliquer
- fermer la boîte de dialogue en cliquant sur le bouton OK
- actualiser l’affichage de la fenêtre d’affichage de dossier de l’explorateur
Affiner les droits
Il est possible, en cliquant sur le bouton Avancé de créer des droits spéciaux en vue d’octroyer des droits plus précis :
Application pratique : affectation de droits sur un dossier à un groupe
Situation : On veut que tous les membres du groupe servicecomptable aient les droits de lecture écriture, modification (mais pas de suppression) sur le dossier Dosscomptable. En revanche, le service comptable doit avoir le droit de supprimer les fichiers et les sous dossiers.
Les droits seront alors les suivants :
Pour le service comptable :
Le service comptable aura alors les droits spéciaux suivants :
Pour Christophe Dupont :
ce qui lui confère les droits spéciaux suivants :
M. DUPONT, en tant que membre du service comptable a les mêmes droits que les autres membres mais en tant que chef il a été nécessaire de lui accorder des droits supplémentaires.
Article plus récent Article plus ancien