Вы находитесь на странице: 1из 90

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Table des matires Vue d'ensemble Leon : Cration de comptes d'utilisateurs Leon : Modification des proprits des comptes d'utilisateurs et des comptes d'ordinateurs Leon : Cration d'un modle de compte d'utilisateur Leon : Activation et dverrouillage des comptes d'utilisateurs et des comptes d'ordinateurs 1 2 Leon : Cration de comptes d'ordinateurs 19

29 40

48

Leon : Rinitialisation des comptes d'utilisateurs et des comptes d'ordinateurs 58 Leon : Recherche de comptes d'utilisateurs et de comptes d'ordinateurs dans Active Directory 65 Leon : Enregistrement des requtes 76 Atelier A : Administration des comptes d'utilisateurs et des comptes d'ordinateurs 81

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les socits, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des socits, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la rglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de Microsoft Corporation. Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets, marques, droits d'auteur ou autres droits de proprit intellectuelle. 2003 Microsoft Corporation. Tous droits rservs. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, IntelliMirror, MSDN, PowerPoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique et/ou dans d'autres pays. Les autres noms de produits et de socits mentionns dans ce document sont des marques de leurs propritaires respectifs.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Vue d'ensemble

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction L'une de vos fonctions d'administrateur systme consiste grer les comptes d'utilisateurs et les comptes d'ordinateurs. Ces comptes sont des objets Active Directory et vous les utilisez pour permettre aux personnes d'ouvrir une session sur le rseau et d'accder aux ressources. Dans ce module, vous allez acqurir les connaissances et les comptences ncessaires la modification des comptes d'utilisateurs et des comptes d'ordinateurs sur les ordinateurs qui excutent Microsoft Windows Server 2003 dans un environnement rseau. la fin de ce module, vous serez mme d'effectuer les tches suivantes :
! ! !

Objectifs

crer des comptes d'utilisateurs ; crer des comptes d'ordinateurs ; modifier les proprits des comptes d'utilisateurs et des comptes d'ordinateurs ; crer un modle de compte d'utilisateur ; activer et dverrouiller les comptes d'utilisateurs et les comptes d'ordinateurs ; rinitialiser les comptes d'utilisateurs et les comptes d'ordinateurs ; rechercher des comptes d'utilisateurs et des comptes d'ordinateurs dans le service d'annuaire Active Directory ; enregistrer des requtes.

! !

! !

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Leon : Cration de comptes d'utilisateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction En tant qu'administrateur systme, vous autorisez les utilisateurs accder diverses ressources du rseau. Vous devez donc crer des comptes d'utilisateurs pour identifier et authentifier les utilisateurs afin qu'ils puissent accder au rseau. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! ! !

Objectifs de la leon

expliquer la fonction des comptes d'utilisateurs ; dcrire les types de noms associs aux comptes d'utilisateurs de domaine ; expliquer les instructions de cration d'une convention d'attribution de noms aux comptes d'utilisateurs ; dcrire le positionnement des comptes d'utilisateurs dans une hirarchie Active Directory ; dcrire les options de mot de passe des comptes d'utilisateurs ; dterminer quel moment exiger des changements de mots de passe dans les comptes d'utilisateurs de domaine ; crer des comptes d'utilisateurs locaux et des comptes d'utilisateurs de domaine.

! !

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Description des comptes d'utilisateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Dfinition Un compte d'utilisateur est un objet qui regroupe toutes les informations dfinissant un utilisateur sur Windows Server 2003. Ce compte peut tre un compte local ou un compte de domaine. Il contient le nom d'utilisateur et le mot de passe avec lesquels l'utilisateur ouvre une session, et les groupes dont le compte d'utilisateur est membre. Vous pouvez utiliser un compte d'utilisateur pour :
!

permettre un utilisateur d'ouvrir une session sur un ordinateur en fonction de l'identit du compte d'utilisateur ; permettre aux processus et aux services de s'excuter sous un contexte de scurit spcifique ; administrer les accs d'un utilisateur des ressources telles que des objets Active Directory et leurs proprits, des dossiers partags, des fichiers, des rpertoires et des files d'attente d'impression.

Prsentation multimdia : Types de comptes d'utilisateurs

Pour visualiser la prsentation Types de comptes d'utilisateurs, ouvrez la page Web du CD-ROM du stagiaire, cliquez sur Multimdia, puis sur le titre de la prsentation. Cette prsentation explique pourquoi l'utilisation de comptes qui accordent diffrents niveaux d'accs au rseau rpond aux besoins des utilisateurs du rseau.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Noms associs aux comptes d'utilisateurs de domaine

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Il existe quatre types de noms associs aux comptes d'utilisateurs de domaine. Dans Active Directory, chaque compte d'utilisateur comporte un nom d'ouverture de session d'utilisateur, un nom d'ouverture de session d'utilisateur pr-Windows 2000 (nom de compte Gestionnaire de comptes de scurit), un nom principal d'ouverture de session d'utilisateur et un nom unique relatif LDAP (Lightweight Directory Access Protocol). Lors de la cration d'un compte d'utilisateur, l'administrateur tape un nom d'ouverture de session d'utilisateur. Le nom d'ouverture de session d'utilisateur doit tre unique dans la fort dans laquelle vouz crez le compte d'utilisateur. Il est utilis comme nom unique relatif. Les utilisateurs ne se servent de ce nom que pour ouvrir une session. L'utilisateur tape, dans des champs distincts de l'cran d'ouverture de session, le nom d'ouverture de session, un mot de passe et le nom du domaine. Les noms d'ouverture de session des utilisateurs peuvent :
!

Nom d'ouverture de session d'utilisateur

comporter jusqu' 20 caractres majuscules et minuscules (le champ accepte plus de 20 caractres, mais Windows Server 2003 n'en reconnat que 20) ; inclure une combinaison de caractres spciaux et alphanumriques, l'exception des caractres suivants : " / \ [ ] : ; | = , + * ? < >.

Jayadams ou Jadams est un exemple de nom d'ouverture de session d'utilisateur.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Nom d'ouverture de session prWindows 2000

Vous pouvez vous servir du compte d'utilisateur NetBIOS pr-Windows 2000 pour ouvrir une session dans un domaine Windows partir d'ordinateurs qui excutent des systmes d'exploitation antrieurs Windows 2000 en utilisant un nom de format NomDomaine\NomUtilisateur. Vous pouvez galement utiliser ce nom pour ouvrir une session dans des domaines Windows partir d'ordinateurs qui excutent Microsoft Windows 2000 ou Microsoft Windows XP, ou partir de serveurs qui excutent Windows Server 2003. Le nom d'ouverture de session d'utilisateur pr-Windows 2000 doit tre unique dans le domaine. Les utilisateurs peuvent se servir de ce nom d'ouverture de session avec la commande Excuter en tant que ou dans un cran d'ouverture de session secondaire. Nwtraders\jayadams est un exemple de nom d'ouverture de session prWindows 2000.

Nom principal d'ouverture de session d'utilisateur

Le nom d'utilisateur principal (UPN, User Principal Name) comprend le nom d'ouverture de session et le suffixe UPN lis par le caractre (@). L'UPN doit tre unique dans la fort. La seconde partie de l'UPN est le suffixe UPN. Ce suffixe peut correspondre au nom de domaine DNS (Domain Name System), au nom DNS de n'importe quel domaine de la fort ou un autre nom cr par un administrateur uniquement des fins d'ouverture de session. Les utilisateurs peuvent utiliser ce nom pour ouvrir une session avec la commande Excuter en tant que ou dans un cran d'ouverture de session secondaire. Jayadams@nwtraders.msft est un exemple d'UPN.

Nom unique relatif LDAP

Le nom unique relatif LDAP identifie de faon unique l'objet dans son conteneur parent. Les utilisateurs ne se servent jamais de ce nom, mais les administrateurs l'utilisent pour ajouter des utilisateurs au rseau partir d'un script ou d'une ligne de commandes. Tous les objets utilisent la mme convention d'attribution de noms LDAP ; tous les noms uniques relatifs LDAP doivent donc tre uniques dans une unit d'organisation. Voici des exemples de noms uniques relatifs LDAP :
! !

CN=jayadams,CN=users,dc=nwtraders,dc=msft CN=computer1,CN=users,dc=nwtraders,dc=msft

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Instructions de cration d'une convention d'attribution de noms pour les comptes d'utilisateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Une convention d'attribution de noms tablit le mode d'identification des comptes d'utilisateurs dans le domaine. Une convention cohrente permet de se souvenir plus aisment des noms d'ouverture de session des utilisateurs et de les rechercher dans les listes. Il est prfrable de respecter la convention d'attribution de noms dj utilise dans un rseau qui prend en charge un grand nombre d'utilisateurs. Tenez compte des instructions suivantes pour crer une convention d'attribution de noms :
!

Instructions

S'il existe un grand nombre d'utilisateurs, la convention d'attribution des noms d'ouverture de session doit tre adapte aux employs ayant des noms identiques. Une mthode adapte consiste utiliser le prnom et l'initiale du nom, puis ajouter des lettres du nom pour les noms identiques. Pour deux utilisateurs Judy Lew, par exemple, l'un des noms d'ouverture de session pourrait tre Judyl et l'autre Judyle. Dans certaines organisations, il est utile d'identifier les employs partir de leur compte d'utilisateur. Pour cela, vous pouvez ajouter un prfixe au nom d'ouverture de session, tel que T suivi d'un trait d'union : T-Judyl, par exemple. Les noms d'ouverture de session des comptes d'utilisateurs de domaine doivent tre uniques dans Active Directory. Les noms d'ouverture de session d'utilisateur doivent tre uniques dans la fort dans laquelle vous crez le compte d'utilisateur.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Positionnement des comptes d'utilisateurs dans une hirarchie

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Vous pouvez positionner des comptes d'utilisateurs de domaine dans n'importe quel domaine de la fort et dans n'importe quelle unit d'organisation du domaine. Les hirarchies de comptes sont gnralement bases sur des limites gopolitiques ou des modles d'entreprise. En structurant la hirarchie Active Directory, puis en grant les autorisations sur les objets et les proprits dans Active Directory, vous pouvez indiquer avec prcision les comptes qui peuvent avoir accs aux informations d'Active Directory et le niveau d'autorisation dont ils peuvent bnficier. Positionnez les comptes d'utilisateurs dans une hirarchie Active Directory en fonction de la faon dont ces comptes sont administrs. Conception gopolitique Dans une conception gopolitique, vous positionnez les utilisateurs dans des domaines qui correspondent leur emplacement physique. Les structures des domaines gopolitiques positionnent les contrleurs de domaine qui prennent en charge les utilisateurs du domaine qui leur est proche. Cela permet d'acclrer l'ouverture de session des utilisateurs et ces derniers d'ouvrir une session si le rseau tendu (WAN, Wide Area Network) ne fonctionne pas. Lorsque la hirarchie de domaines est base sur des modles d'entreprise, vous positionnez le personnel commercial dans un domaine Vente et le personnel de fabrication dans un domaine Fabrication. Remarque Trs souvent, un seul domaine suffit dans un environnement d'entreprise. Vous pouvez toujours contrler administrativement les utilisateurs en les plaant dans des units d'organisation.

Conception d'entreprise

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Options de mot de passe utilisateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction En tant qu'administrateur systme, vous pouvez administrer les options de mot de passe des comptes d'utilisateurs. Ces options peuvent tre dfinies lors de la cration d'un compte d'utilisateur ou dans la bote de dialogue Proprits du compte. L'administrateur peut choisir l'une des options de mot de passe suivantes pour protger l'accs au domaine ou un ordinateur.
!

Options de mot de passe

L'utilisateur doit changer le mot de passe la prochaine ouverture de session. Cette option est utilise lorsqu'un nouvel utilisateur ouvre pour la premire fois une session sur un systme ou que l'administrateur rinitialise un mot de passe oubli par un utilisateur. L'utilisateur ne peut pas changer de mot de passe. Utilisez cette option lorsque vous souhaitez contrler le moment auquel un mot de passe de compte d'utilisateur peut tre modifi. Le mot de passe n'expire jamais. Cette option empche l'expiration du mot de passe. Il est prfrable, des fins de scurit, de ne pas l'utiliser. Le compte est dsactiv. Cette option empche l'utilisateur d'ouvrir une session en se servant du compte slectionn.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Quand imposer ou restreindre les changements de mots de passe

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Pour crer un environnement plus sr, exigez des changements de mots de passe dans les comptes d'utilisateurs et restreignez ces changements dans les comptes de services. Le tableau suivant indique quel moment vous devez imposer ou restreindre les changements de mots de passe.
Option L'utilisateur doit changer le mot de passe la prochaine ouverture de session L'utilisateur ne peut pas changer de mot de passe Action Cration de comptes d'utilisateurs de domaine. Activez la case cocher qui demande l'utilisateur de modifier le mot de passe la premire fois qu'il ouvre une session dans le domaine. Rinitialisation de mots de passe. Cette option permet l'administrateur de rinitialiser un mot de passe lorsque celui-ci expire ou si l'utilisateur l'a oubli. Cration de comptes de services locaux ou de comptes de services de domaine. Les comptes de services comportent gnralement de nombreuses dpendances. De ce fait, restreignez la stratgie de changement de mot de passe afin que les mots de passe d'un compte de service soient modifis par l'administrateur responsable des applications dpendant du compte de service. Cration de comptes locaux qui n'ouvrent pas de session localement.

Option de modification des mots de passe

10

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Lectures complmentaires

Pour plus d'informations sur les comptes de services, consultez Services permissions (en anglais) l'adresse http://www.microsoft.com/technet/ treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/ server/sys_srv_permissions.asp. Pour plus d'informations sur le changement de mots de passe, consultez les deux articles suivants :
!

L'article 324744, COMMENT FAIRE : Empcher les utilisateurs de modifier un mot de passe sauf lorsqu'ils y sont invits dans Windows Server 2003 , l'adresse http://support.microsoft.com/?kbid=324744 dans la Base de connaissances Microsoft. L'article 320325, L'utilisateur peut ne pas tre en mesure de modifier son mot de passe si vous activez le paramtre "L'utilisateur doit changer le mot de passe la prochaine ouverture de session" , l'adresse http://support.microsoft.com/?kbid=320325 dans la Base de connaissances Microsoft.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

11

Procdure de cration de comptes d'utilisateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Les comptes d'utilisateurs de domaine permettent aux utilisateurs d'ouvrir une session dans un domaine et d'accder aux ressources depuis n'importe quel point du rseau. Les comptes d'utilisateurs locaux, quant eux, permettent aux utilisateurs d'ouvrir une session et d'accder aux ressources uniquement sur l'ordinateur sur lequel vous crez le compte d'utilisateur local. En tant qu'administrateur systme, vous devez crer des comptes d'utilisateurs de domaine et des comptes d'utilisateurs locaux pour administrer l'environnement rseau. Important Vous ne pouvez pas crer de comptes d'utilisateurs locaux sur un contrleur de domaine. Procdure de cration d'un compte d'utilisateur de domaine Pour crer un compte d'utilisateur de domaine : 1. Cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. 2. Dans l'arborescence de la console, double-cliquez sur le nud de domaine. 3. Dans le volet d'informations, cliquez avec le bouton droit sur l'unit d'organisation dans laquelle vous voulez ajouter l'utilisateur, pointez sur Nouveau, puis cliquez sur Utilisateur. 4. Dans la bote de dialogue Nouvel objet - Utilisateur, tapez le prnom de l'utilisateur dans la zone Prnom. 5. Tapez les initiales de l'utilisateur dans la zone Initiales. 6. Tapez le nom de l'utilisateur dans la zone Nom. 7. Dans la zone Nom d'ouverture de session de l'utilisateur, tapez le nom avec lequel l'utilisateur ouvrira des sessions. 8. Dans la liste droulante, cliquez sur le suffixe UPN qui doit tre ajout au nom d'ouverture de session de l'utilisateur aprs l'arobase (@).

12

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

9. Cliquez sur Suivant. 10. Dans les zones Mot de passe et Confirmer le mot de passe, tapez le mot de passe de l'utilisateur. 11. Slectionnez les options de mot de passe appropries. 12. Cliquez sur Suivant, puis sur Terminer. Procdure de cration d'un compte d'utilisateur local Pour crer un compte d'utilisateur local : 1. Cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur Gestion de l'ordinateur. 2. Dans l'arborescence de la console, dveloppez Utilisateurs et groupes locaux, puis cliquez sur Utilisateurs. 3. Dans le menu Action, cliquez sur Nouvel utilisateur. 4. Dans la zone Nom d'utilisateur de la bote de dialogue Nouvel utilisateur, tapez le nom avec lequel l'utilisateur ouvrira des sessions. 5. Modifiez le nom de manire approprie. 6. Dans les zones Mot de passe et Confirmer le mot de passe, tapez le mot de passe de l'utilisateur. 7. Slectionnez les options de mot de passe appropries. 8. Cliquez sur Crer, puis sur Fermer. Remarque Un nom d'utilisateur ne peut tre identique un autre nom d'utilisateur ou un nom de groupe existant sur l'ordinateur administr. Il peut comporter jusqu' 20 caractres majuscules ou minuscules, l'exception des caractres suivants : "/\[]:;|=,+*?<> Un nom d'utilisateur ne peut pas uniquement tre compos de points ou d'espaces.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

13

Utilisation d'une ligne de commandes

Il est galement possible de crer un compte d'utilisateur de domaine l'aide de la commande dsadd. La commande dsadd user ajoute un utilisateur unique au rpertoire partir d'une invite de commandes ou d'un fichier de commandes. Pour crer un compte d'utilisateur l'aide de cette commande : 1. Ouvrez une invite de commandes. 2. Tapez dsadd user UtilisateurDN [-samid Nom SAM] [-upn UPN] [-fn Prnom] [-ln Nom] [-display Nom affich] [-pwd {Mot de passe|*}] Utilisez les guillemets (" ") s'il y a un espace dans une variable.
n

Remarque Pour connatre la syntaxe complte de la commande dsadd user, tapez dsadd user /? la suite d'une invite de commandes. Exemple de commande dsadd user :
dsadd user "cn=testuser,cn=users,dc=nwtraders,dc=msft" samid testuser upn testuser@nwtraders.msft fn test ln user display "test user" pwd P@ssw0rd

14

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Application pratique : Cration de comptes d'utilisateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Objectif Dans cette application pratique, vous allez :
! !

crer un compte d'utilisateur local en utilisant Gestion de l'ordinateur ; crer un compte de domaine l'aide d'Utilisateurs et ordinateurs Active Directory ; crer un compte d'utilisateur de domaine l'aide de la commande Excuter en tant que ; crer un compte d'utilisateur de domaine l'aide de la commande dsadd.

Instructions

Avant de commencer cette application pratique :


!

Ouvrez une session sur l'ordinateur du stagiaire en utilisant le compte NomOrdinateurUser. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Vrifiez que CustomMMC contient les composants logiciels enfichables suivants : Gestion de l'ordinateur (local) Utilisateurs et ordinateurs Active Directory Passez en revue les procdures de cette leon qui dcrivent la faon d'effectuer cette tche.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

15

Scnario

Votre responsable vous demande de crer un compte d'utilisateur local qui servira la sauvegarde des logiciels de votre entreprise. Un autre service de votre organisation installera les logiciels et accordera au compte les droits utilisateurs requis pour effectuer la sauvegarde du serveur. Vous devez crer un compte d'utilisateur local qui sera utilis comme compte de service.

Application pratique : Cration d'un compte d'utilisateur local

! Crer un compte d'utilisateur local


1. Ouvrez le composant Gestion de l'ordinateur de votre ordinateur local. 2. Crez un compte en utilisant les paramtres suivants : a. Nom d'utilisateur : Service_Backup b. Description : Compte de service pour le logiciel de sauvegarde c. Mot de passe : P@ssw0rd 3. Dsactivez la case cocher L'utilisateur doit changer le mot de passe la prochaine ouverture de session.

Scnario

Vous utiliserez le compte Administrateur pour effectuer les tches d'administration. Les procdures de scurit de votre entreprise requirent la cration d'un compte d'utilisateur personnel dont vous vous servirez pour ouvrir une session sur le domaine, lire et envoyer des messages lectroniques et effectuer d'autres tches non administratives. Vous devez configurer un compte d'utilisateur de domaine pour vous-mme. Lorsque vous effectuerez des tches d'administration, vous ouvrirez une session sous un nom diffrent ou utiliserez des informations d'identification d'ouverture de session secondaire. Ce nouveau compte doit tre cr dans le conteneur nwtraders.msft/IT Admin/IT Users.

Application pratique : Cration d'un compte d'utilisateur de domaine

! Crer un compte d'utilisateur de domaine


1. Ouvrez la console Utilisateurs et ordinateurs Active Directory. 2. Ajoutez un compte d'utilisateur au conteneur IT Users avec les paramtres suivants : a. Prnom : votre prnom (exemple : Michel) b. Nom : votre nom (exemple : Simon) c. Nom complet : votre nom complet (exemple : Michel Simon) d. Nom d'ouverture de session de l'utilisateur : les trois premires lettres de votre prnom et les trois premires lettres de votre nom (exemple : MicSim) e. Mot de passe : utilisez un mot de passe qui : comporte au minimum sept caractres ; ne contient pas votre nom d'utilisateur, votre nom rel ou le nom de votre entreprise ;

16

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

ne contient pas de mots complets prsents dans le dictionnaire ; contient des caractres de chacun des quatre groupes suivants.
Groupe Lettres majuscules Lettres minuscules Chiffres Symboles du clavier (tous les caractres du clavier qui ne sont pas dfinis comme des lettres ou des chiffres) Exemples A, B, C... a, b, c... 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 `~!@#$%^&*()_+-={}|[]/: ";'<>?,.\

J*p2leO4>F est un exemple de mot de passe efficace. 3. Fermez la session. 4. Testez le compte d'utilisateur que vous venez de crer en ouvrant une session partir de ce compte. 5. Fermez la session. Scnario Northwind Traders teste actuellement les fonctionnalits avances de Active Directory. Votre quipe est charge de crer des comptes d'utilisateurs dans l'unit d'organisation IT Test. L'quipe de test utilise ces comptes. Chaque membre de votre quipe doit en crer cinq.

Application pratique : Cration d'un compte d'utilisateur de domaine l'aide de la commande Excuter en tant que

! Crer un compte d'utilisateur de domaine l'aide de la commande


Excuter en tant que 1. Ouvrez une session sur l'ordinateur du stagiaire en utilisant le compte NomOrdinateurUser. 2. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin). 3. Dans la console Utilisateurs et ordinateurs Active Directory, dveloppez Nwtraders.msft. 4. Cliquez avec le bouton droit sur l'unit d'organisation IT Test, pointez sur Nouveau, puis cliquez sur Utilisateur. 5. Ajoutez un compte d'utilisateur l'unit d'organisation IT Test avec les paramtres suivants : a. Prnom : Utilisateur1 b. Nom : votre nom (exemple : Simon) c. Nom d'ouverture de session de l'utilisateur : Utilisateur1 suivi des trois premires lettres de votre nom (exemple : Utilisateur1Sim) d. Mot de passe : P@ssw0rd 6. Effectuez de nouveau les oprations de l'tape 5 et crez quatre comptes d'utilisateurs supplmentaires. Exemple : Utilisateur2Sim, Utilisateur3Sim, Utilisateur4Sim, Utilisateur5Sim 7. Fermez toutes les fentres.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

17

Scnario

Northwind Traders teste actuellement les fonctionnalits avances de Active Directory. Votre quipe est charge de crer des comptes d'utilisateurs dans l'unit d'organisation IT Test. L'quipe de test utilise ces comptes. Chaque membre de votre quipe doit en crer cinq.

Application pratique : Utilisation d'une ligne de commandes

! Crer un compte d'utilisateur de domaine l'aide de la commande


dsadd 1. Cliquez sur Dmarrer et Excuter, tapez runas /user:nwtraders\NomOrdinateurAdmin cmd, puis cliquez sur OK. 2. Lorsque vous tes invit entrer le mot de passe, tapez P@ssw0rd et appuyez sur Entre. 3. l'invite de commandes, tapez la commande suivante : dsadd user "cn=Utilisateur6TroisPremiresLettresDuNom, ou=it test,dc=nwtraders,dc=msft" -samid TroisPremiresLettresDuNom pwd P@ssw0rd

18

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Recommandations pour la cration de comptes d'utilisateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Il existe plusieurs recommandations, pour crer des comptes d'utilisateurs, qui rduisent les risques d'inscurit dans l'environnement rseau. tant donn que les logiciels voluent rgulirement, consultez les recommandations actuelles l'adresse www.microsoft.com/security. Tenez compte des recommandations suivantes pour crer des comptes d'utilisateurs locaux :
! ! ! !

Comptes d'utilisateurs locaux

N'activez pas le compte Invit. Renommez le compte Administrateur. Limitez le nombre de personnes qui peuvent ouvrir une session locale. Utilisez des mots de passe efficaces.

Comptes d'utilisateurs de domaine

Tenez compte des recommandations suivantes pour crer des comptes d'utilisateurs de domaine :
! !

Dsactivez les comptes qui ne seront pas immdiatement utiliss. Exigez des utilisateurs qu'ils changent leurs mots de passe lors de leur premire ouverture de session. Pour des raisons de scurit, il est conseill de ne pas ouvrir de session sur votre ordinateur avec des informations d'identification administratives. Lorsque vous ouvrez une session sur votre ordinateur sans informations d'identification administratives, il est prfrable d'utiliser la commande Excuter en tant que pour effectuer des tches d'administration. Renommez ou dsactivez les comptes Administrateur et Invit de chaque domaine pour rduire les risques d'attaques sur le domaine. Par dfaut, tout le trafic sur les outils d'administration Active Directory est sign et crypt lors du transit sur le rseau. Ne dsactivez pas cette fonctionnalit.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

19

Leon : Cration de comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Objectifs de la leon Dans cette leon, vous allez acqurir les comptences et les connaissances ncessaires la cration d'un compte d'ordinateur. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! ! !

dfinir un compte d'ordinateur ; dcrire la fonction des comptes d'ordinateurs ; dcrire l'emplacement de cration des comptes d'ordinateurs dans un domaine ; dcrire les diffrentes options des comptes d'ordinateurs ; crer un compte d'ordinateur.

! !

20

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Description des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Tout ordinateur qui excute Microsoft Windows NT, Windows 2000, Windows XP ou Windows Server 2003 qui est joint un domaine dispose d'un compte d'ordinateur. Les comptes d'ordinateurs, qui sont semblables aux comptes d'utilisateurs, fournissent un moyen d'authentifier et d'auditer l'accs des ordinateurs au rseau ainsi qu'aux ressources du domaine. Dans Active Directory, les ordinateurs sont des units de scurit, tout comme les utilisateurs. Cela signifie que les ordinateurs doivent disposer de comptes et de mots de passe. Pour tre totalement authentifi par Active Directory, un utilisateur doit disposer d'un compte d'utilisateur valide et il doit galement ouvrir une session dans le domaine partir d'un ordinateur qui dispose d'un compte d'ordinateur valide. Remarque Vous ne pouvez pas crer de comptes pour les ordinateurs qui excutent Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows Millennium Edition et Windows XP dition familiale, car ces systmes d'exploitation ne sont pas conformes aux spcifications de scurit de Active Directory.

Fonction d'un compte d'ordinateur

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

21

Intrt de la cration d'un compte d'ordinateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Les ordinateurs sont chargs d'effectuer des tches cls, telles que l'authentification des ouvertures de session des utilisateurs, la distribution des adresses IP (Internet Protocol), la gestion de l'intgrit de Active Directory et l'application des stratgies de scurit. Pour disposer d'un accs complet ces ressources rseau, les ordinateurs doivent disposer de comptes valides dans Active Directory. Les deux principales fonctions d'un compte d'ordinateur consistent effectuer des activits de scurit et des activits de gestion. Un compte d'ordinateur doit tre cr dans Active Directory pour que les utilisateurs puissent tirer entirement parti des fonctionnalits de Active Directory. Lorsqu'un compte d'ordinateur est cr, l'ordinateur peut utiliser des processus d'authentification avancs tels que l'authentification Kerberos et la scurit IP (IPSec, Internet Protocol Security) pour crypter le trafic IP. L'ordinateur a galement besoin d'un compte d'ordinateur pour indiquer la faon dont l'audit est appliqu et enregistr. Les comptes d'ordinateurs aident l'administrateur systme grer la structure du rseau. Celui-ci utilise les comptes d'ordinateurs pour grer la fonctionnalit de l'environnement graphique, automatiser le dploiement de logiciels en utilisant Active Directory et administrer l'inventaire des matriels et des logiciels l'aide de Microsoft Systems Management Server (SMS). Les comptes d'ordinateurs du domaine servent galement contrler l'accs aux ressources.

Scurit

Administration

22

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Emplacement de cration des comptes d'ordinateurs dans un domaine

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Lorsque l'administrateur systme cre un compte d'ordinateur, il peut choisir l'unit d'organisation dans laquelle il veut crer le compte. Si un ordinateur est joint un domaine, le compte d'ordinateur est cr dans le conteneur Computers et l'administrateur peut dplacer, si ncessaire, le compte vers l'unit d'organisation approprie. Par dfaut, les utilisateurs Active Directory peuvent ajouter jusqu' 10 ordinateurs au domaine avec les informations d'identification de leur compte d'utilisateur. Cette configuration par dfaut peut tre modifie. Si l'administrateur systme ajoute directement un compte d'ordinateur Active Directory, un utilisateur peut joindre un ordinateur au domaine sans utiliser aucun des 10 comptes d'ordinateurs allous. L'ajout d'un ordinateur au domaine avec un compte prcdemment cr s'appelle la pr-gnration. Cela signifie que des ordinateurs sont ajouts aux units d'organisation pour lesquelles l'administrateur systme dispose d'autorisations d'ajout de comptes d'ordinateurs. Gnralement, les utilisateurs ne disposent pas des autorisations appropries pour pr-gnrer un compte d'ordinateur ; ils joignent donc un ordinateur au domaine en utilisant un compte pr-gnr.

Les administrateurs dsignent l'emplacement des comptes d'ordinateurs

Comptes d'ordinateurs pr-gnrs

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

23

Les utilisateurs dsignent l'emplacement des comptes d'ordinateurs

Lorsqu'un utilisateur joint un ordinateur un domaine, le compte d'ordinateur est ajout au conteneur Computers dans Active Directory. Cette opration s'effectue par le biais d'un service qui ajoute le compte d'ordinateur de la part de l'utilisateur. Le compte systme enregistre galement le nombre d'ordinateurs ajouts au domaine par chaque utilisateur. Par dfaut, tout utilisateur authentifi a le droit d'ajouter des stations de travail un domaine et de crer jusqu' 10 comptes d'ordinateurs dans le domaine. Pour plus d'informations sur l'ajout par des utilisateurs de comptes d'ordinateurs un domaine, consultez l'article 251335 Les utilisateurs d'un domaine ne peuvent pas joindre une station de travail ou un serveur un domaine , l'adresse http://support.microsoft.com/?kbid=251335 dans la Base de connaissances Microsoft.

Lectures complmentaires

24

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Options des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Il existe deux fonctions facultatives que vous pouvez activer lors de la cration d'un compte d'ordinateur. Vous pouvez attribuer un compte un ordinateur prWindows 2000 ou un contrleur de domaine secondaire. Activez la case cocher Attribue ce compte d'ordinateur un ordinateur antrieur Windows 2000 pour attribuer un mot de passe bas sur le nom de l'ordinateur. Si vous n'activez pas cette case cocher, un mot de passe alatoire sera attribu comme mot de passe initial pour le compte d'ordinateur. Le mot de passe change automatiquement tous les cinq jours entre l'ordinateur et le domaine dans lequel est situ le compte d'ordinateur. Cette option permet de garantir qu'un ordinateur antrieur Windows 2000 pourra dterminer si le mot de passe respecte les exigences de mot de passe. Activez la case cocher Attribue ce compte d'ordinateur un contrleur de domaine secondaire si vous comptez utiliser l'ordinateur comme contrleur de domaine secondaire. Vous devez utiliser cette fonction si vous vous trouvez toujours dans un environnement mixte avec un contrleur de domaine Window Server 2003 et un contrleur de domaine secondaire Windows NT 4.0. Une fois le compte cr dans Active Directory, vous pouvez joindre le contrleur de domaine secondaire au domaine lors de l'installation de Windows NT 4.0. Pour plus d'informations sur la dlgation de l'authentification, consultez Delegating authentication (en anglais) l'adresse http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/server/ SE_constrained_delegation.asp.

Ordinateur pr-Windows 2000

Contrleur de domaine secondaire

Lectures complmentaires

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

25

Procdure de cration d'un compte d'ordinateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Par dfaut, les membres du groupe Oprateurs de compte peuvent crer des comptes d'ordinateurs dans le conteneur Computers et dans de nouvelles units d'organisation. Ils ne peuvent toutefois pas crer de comptes d'ordinateurs dans les conteneurs Builtin, Domain Controllers, ForeignSecurityPrincipals, LostAndFound, Program Data, System ou Users. Pour crer un compte d'ordinateur, procdez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Computers ou sur le conteneur dans lequel vous voulez ajouter l'ordinateur, pointez sur Nouveau, puis cliquez sur Ordinateur. 2. Dans la bote de dialogue Nouvel objet Ordinateur, tapez le nom de l'ordinateur dans la zone Nom de l'ordinateur. 3. Slectionnez les options appropries, puis cliquez sur Suivant. 4. Dans la bote de dialogue Prise en charge, cliquez sur Suivant. 5. Cliquez sur Terminer. Remarque Pour pouvoir excuter cette procdure, vous devez tre membre du groupe Oprateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory ou l'autorisation doit vous avoir t dlgue. Pour des raisons de scurit, il est prfrable d'utiliser Excuter en tant que pour effectuer cette procdure.

Procdure

26

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Utilisation d'une ligne de commandes

Pour crer un compte d'ordinateur l'aide de la commande dsadd computer, procdez comme suit : 1. Ouvrez une invite de commandes. 2. Tapez dsadd computer OrdinateurDN [-samid Nom SAM] [-desc Description] [-loc Emplacement] [-memberof NomDomainGroupe ] [{-s Serveur | -d Domaine}] [-u NomUutilisateur] [-p {Mot de passe | *}] [q] [{-uc | -uco | -uci}] Remarque Pour connatre la syntaxe complte de la commande dsadd user, tapez dsadd computer /? l'invite de commandes.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

27

Application pratique : Cration d'un compte d'ordinateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Objectif Instructions Dans cette application pratique, vous allez crer des comptes d'ordinateurs. Avant de commencer cette application pratique :
!

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Vrifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory. Passez en revue les procdures de cette leon qui dcrivent la faon d'effectuer cette tche.

Scnario

Les ingnieurs systme de Northwind Traders testent certaines des fonctionnalits avances de Active Directory. Chaque membre de votre quipe doit crer cinq comptes d'ordinateurs dans l'unit d'organisation IT Test.

28

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Application pratique : Cration d'un compte d'ordinateur

! Crer un compte d'ordinateur


1. Dans la console Utilisateurs et ordinateurs Active Directory, dveloppez nwtraders.msft, puis cliquez sur l'unit d'organisation IT Test. 2. Crez un compte d'ordinateur avec les paramtres suivants : a. Nom de l'ordinateur : NomOrdinateur001 b. Nom d'ordinateur (antrieur Windows 2000) : NomOrdinateur001 3. Effectuez de nouveau les oprations de l'tape 2 pour les noms d'ordinateurs suivants : NomOrdinateur002, NomOrdinateur003, NomOrdinateur004 4. Fermez toutes les fentres.

Scnario

Les ingnieurs systme de Northwind Traders testent certaines des fonctionnalits avances de Active Directory. Chaque membre de votre quipe doit crer cinq comptes d'ordinateurs dans l'unit d'organisation IT Test.

Application pratique : Utilisation d'une ligne de commandes

! Crer un compte d'ordinateur l'aide de la commande dsadd


1. Cliquez sur Dmarrer et sur Excuter, puis tapez runas /user:nwtraders\NomOrdinateurAdmin cmd. 2. Lorsque vous tes invit entrer le mot de passe, tapez P@ssw0rd et appuyez sur Entre. 3. l'invite de commandes, tapez la commande suivante :
dsadd computer "cn=NomOrdinateur005,ou=IT Test,dc=nwtraders,dc=msft"

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

29

Leon : Modification des proprits des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Dans cette leon, vous allez acqurir les connaissances et les comptences ncessaires la modification des comptes d'utilisateurs et des comptes d'ordinateurs. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

Objectifs de la leon

dterminer quand modifier les proprits des comptes d'utilisateurs et des comptes d'ordinateurs ; dcrire les proprits associes aux comptes d'utilisateurs ; dcrire les proprits associes aux comptes d'ordinateurs ; modifier les proprits des comptes d'utilisateurs et des comptes d'ordinateurs.

! ! !

30

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Quand modifier les proprits des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction En tant qu'administrateur systme, vous pouvez tre responsable de la cration de comptes d'utilisateurs et de comptes d'ordinateurs dans Active Directory. Vous pouvez tre galement charg de leur maintenance. Pour mener bien ces tches, vous devez avoir une bonne connaissance des diffrentes proprits des comptes d'utilisateurs et de celles des comptes d'ordinateurs. Il est indispensable que les administrateurs systme connaissent bien les proprits des comptes d'utilisateurs pour administrer la structure du rseau. Les utilisateurs peuvent se servir des proprits des comptes d'utilisateurs comme source unique d'informations sur les utilisateurs, la manire d'un annuaire tlphonique, ou pour rechercher des utilisateurs en se basant sur des lments tels que l'adresse professionnelle, le superviseur ou le nom du service. L'administrateur systme peut se servir des proprits d'un compte d'utilisateur pour dterminer le comportement de ce compte dans une session Terminal Server ou la faon dont l'utilisateur peut obtenir l'accs au rseau via une connexion par modem. Pour grer des comptes d'ordinateurs, vous devez connatre l'emplacement physique des ordinateurs. Les proprits les plus couramment utilises pour les comptes d'ordinateurs dans Active Directory sont Emplacement et Gr par. La proprit Emplacement est utile, car vous pouvez documenter l'emplacement physique de l'ordinateur sur le rseau. L'onglet Gr par indique la personne responsable du serveur. Cela peut tre utile lorsque votre centre informatique dispose de serveurs rattachs des services distincts et que vous devez effectuer une maintenance sur le serveur. Vous pouvez appeler la personne responsable du serveur ou lui envoyer un message lectronique avant d'effectuer une opration de maintenance.

Proprits des comptes d'utilisateurs

Proprits des comptes d'ordinateurs

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

31

Proprits des comptes d'utilisateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction La bote de dialogue Proprits d'un compte d'utilisateur contient des informations relatives chaque compte d'utilisateur stock dans Active Directory. Plus les informations de la bote de dialogue Proprits sont compltes, plus il est facile de rechercher des utilisateurs dans Active Directory. Le tableau suivant rpertorie les options de proprit les plus couramment utilises pour les comptes d'utilisateurs.
Onglet Gnral Proprits Nom, description, adresse professionnelle, numro de tlphone, adresse de messagerie et informations de page d'accueil Adresse, bote postale, ville, dpartement ou rgion, code postal et pays Nom d'ouverture de session, options de compte, dverrouillage de compte et expiration du compte Chemin du profil et dossier de base Numros de tlphone personnel, de pager, de tlphone mobile, de tlcopieur et de tlphone IP Titre, service, gestionnaire et collaborateurs Groupes auxquels l'utilisateur appartient Autorisations d'accs distant, options de rappel et adresse et routes IP statiques Une ou plusieurs applications lancer et les priphriques auxquels se connecter lorsqu'un utilisateur des services Terminal Server ouvre une session Paramtres des services Terminal Server

Proprits des comptes d'utilisateurs

Adresse Compte Profil Tlphones Organisation Membre de Appel entrant Environnement Sessions

32

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs (suite) Onglet Contrle distance Profil de services Terminal Server Proprits Paramtres du contrle distance des services Terminal Server Profil des services Terminal Server de l'utilisateur

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

33

Proprits des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction La bote de dialogue Proprits d'un compte d'ordinateur contient des informations uniques relatives chaque compte d'ordinateur stock dans Active Directory. Plus les informations de la bote de dialogue Proprits sont compltes, plus il est facile de rechercher des ordinateurs dans Active Directory. Le tableau suivant rpertorie les options de proprit les plus couramment utilises pour les comptes d'ordinateurs.
Onglet Gnral Systme d'exploitation Membre de Emplacement Gr par Proprits Nom de l'ordinateur, nom DNS, description et rle Nom et version du systme d'exploitation s'excutant sur l'ordinateur et dernier Service Pack install Groupes du domaine local et tous les groupes auxquels l'ordinateur appartient Emplacement de l'ordinateur Nom, adresse professionnelle, ville, dpartement, pays ou rgion, numro de tlphone et numro de tlcopieur de la personne qui gre l'ordinateur. Nom complet de l'objet, sa classe, sa date de cration, la date de dernire modification et le nombre de squences de mise jour (USN) Utilisateurs et groupes qui disposent d'autorisations sur l'ordinateur Autorisation d'accs distant, options de rappel et options de routage

Proprits des comptes d'ordinateurs

Objet Scurit Appel entrant

34

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Procdure de modification des proprits des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction En tant qu'administrateur systme, vous devez tre mme de modifier les proprits des comptes d'utilisateurs et des comptes d'ordinateurs pour grer efficacement le rseau. Pour modifier des comptes d'utilisateurs et des comptes d'ordinateurs, procdez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, accdez au conteneur qui contient le compte d'utilisateur ou le compte d'ordinateur modifier. 2. Dans le volet d'informations, slectionnez le compte d'utilisateur ou le compte d'ordinateur modifier, cliquez avec le bouton droit sur la slection, puis cliquez sur Proprits. 3. Dans la bote de dialogue Proprits, modifiez les proprits du compte de manire approprie. Remarque Pour pouvoir effectuer cette procdure, vous devez tre membre du groupe Oprateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory ou l'autorisation doit vous avoir t dlgue. Pour des raisons de scurit, il est prfrable d'utiliser Excuter en tant que pour effectuer cette procdure.

Procdure

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

35

Utilisation d'une ligne de commandes

Vous pouvez utiliser la commande dsmod pour modifier les attributs d'un ou de plusieurs utilisateurs ou ordinateurs dans Active Directory. Pour modifier les attributs d'un compte d'utilisateur : 1. Ouvrez une invite de commandes. 2. Pour un compte d'utilisateur, tapez dsmod user UtilisateurDN [-upn UPN] [-fn Prnom] [-mi Initiale] [-ln Nom] [-display NomAffich] [-empid IDEmploy] [-pwd (Mot de passe | *)] [-desc Description] [-office Bureau] [-tel NumroTlphone] [-email AdresseMessagerie] [-hometel NumroTlphoneDomicile] [-pager NumroPager] [-mobile NumroTlphoneMobile] [-fax NumroTlcopie] [-iptel NumroInternet] [-webpg PageWeb] [-title Fonction] [-dept Service] [-company Entreprise] [-mgr Responsable] [-hmdir RpertoireDeBase] [-hmdrv LettreUnit:] [profile CheminProfil] [-loscr CheminScript] [-mustchpwd {yes | no}] [canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NombreJours] [-disabled {yes | no}] [{-s Serveur | -d Domaine}] [-u NomUtilisateur] [-p {MotPasse | *}] [-c] [-q] [{-uc | uco | -uci}] ou Pour un compte d'ordinateur, tapez dsmod computer OrdinateurDN [desc Description] [-loc Emplacement] [-disabled {yes | no}] [-reset] [{-s Serveur | -d Domaine}] [-u NomUtilisateur] [-p { MotPasse | *}] [-c] [-q] [{-uc | -uco | -uci}] Remarque Pour connatre la syntaxe complte de la commande dsmod, tapez dsmod user /? ou dsmod computer /? l'invite de commandes.

36

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Application pratique : Modification des proprits des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Objectif Instructions Dans cette application pratique, vous allez modifier les proprits de comptes d'utilisateurs et de comptes d'ordinateurs. Avant de commencer cette application pratique :
!

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Vrifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory. Passez en revue les procdures de cette leon qui dcrivent la faon d'effectuer cette tche.

Scnario

Les ingnieurs systme de Northwind Traders travaillent l'intgration d'Active Directory dans le systme de paie. Vous devez crer un utilisateur dans l'unit d'organisation IT Test et dfinir les proprits de comptes d'utilisateurs dont le systme de paie se servira pour identifier les utilisateurs. Parce qu'il s'agit d'un compte test, vous ne demanderez pas l'utilisateur de changer le mot de passe. De plus, tant donn que les ingnieurs systme utiliseront ce compte ultrieurement, vous devez le dsactiver.

Application pratique : Modification des proprits des comptes d'utilisateurs

! Crer un compte d'utilisateur


Dans Utilisateurs et ordinateurs Active Directory, crez un compte d'utilisateur avec les paramtres suivants : Prnom : NomOrdinateur (exemple : London) Nom : Payroll

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

37

Nom complet : NomOrdinateur Payroll (exemple : London Payroll) Nom d'ouverture de session de l'utilisateur : NomOrdinateurPayroll (exemple : LondonPayroll) Nom d'ouverture de session de l'utilisateur [pr-Windows 2000] : NomOrdinateurPayroll (exemple : LondonPayroll) Mot de passe : P@ssw0rd

! Modifier le compte d'utilisateur


Dans Utilisateurs et ordinateurs Active Directory, modifiez les paramtres suivants du compte d'utilisateur NomOrdinateur Payroll : Description : Compte pour AD et Test Payroll Bureau : Payroll Numro de tlphone : 973-555-0198 Adresse de messagerie : NomOrdinateurPayroll@nwtraders.msft Titre : Payroll Test Account Service : Payroll Test Socit : Payroll Test Gestionnaire : User0002 Numro de tlphone Domicile : 555-0101 Scnario Les ingnieurs systme de Northwind Traders veulent tester votre capacit suivre et rechercher les ressources informatiques en utilisant la proprit Emplacement d'un compte d'ordinateur. Vous devez crer un compte d'ordinateur dans l'unit d'organisation IT Test et modifier la proprit Emplacement pour qu'elle corresponde l'emplacement de votre ville.

Application pratique : Modification des proprits des comptes d'ordinateurs

! Crer un compte d'ordinateur


Dans Utilisateurs et ordinateurs Active Directory, crez le compte d'ordinateur ServerNomOrdinateur (exemple : ServerLondon).

! Modifier le compte d'ordinateur


Dans Utilisateurs et ordinateurs Active Directory, remplacez la proprit Emplacement du compte d'ordinateur ServerNomOrdinateur par NomOrdinateur.

Scnario

Les ingnieurs systme de Northwind Traders modifient les comptes d'utilisateurs avec des outils de ligne de commandes. Vous devez crer un utilisateur et modifier ses proprits.

Application pratique : Utilisation d'une ligne de commandes pour modifier les comptes d'utilisateurs

! Ajouter un compte d'utilisateur


l'aide de la commande dsadd, ajoutez le compte d'utilisateur nomm NomOrdinateurDsmod. Exemple : dsadd user "cn=londonDsmod,ou=it test,dc=nwtraders,dc=msft"

38

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

! Modifier le compte d'utilisateur


l'aide de la commande dsmod, modifiez les paramtres suivants du compte d'utilisateur : Prnom : NomOrdinateur Nom : Dsmod Nom complet : NomOrdinateur Dsmod Nom d'ouverture de session de l'utilisateur : NomOrdinateurDsmod Mot de passe : P@ssw0rd Description : Compte pour AD et Test Dsmod Bureau : DataCenter Numro de tlphone : 555-0101 Adresse de messagerie : NomOrdinateurDsmod@nwtraders.msft Titre : Compte Test Dsmod Service : Centre informatique Socit : NWTraders Numro de tlphone personnel : 555-0101 Exemple : dsmod user "cn=Londondsmod,ou=it test,dc=nwtraders,dc=msft" -upn Londondsmod@nwtraders.msft -fn London -ln dsmod -display Londondsmod -office DataCenter -tel 555-0101 -title ITAdmin -dept DataCenter -company NWTraders -hometel 555-0101 Scnario Les ingnieurs systme de Northwind Traders veulent tester votre capacit suivre et rechercher les ressources informatiques en utilisant la proprit Emplacement du compte d'ordinateur Active Directory. Vous devez crer un compte d'ordinateur dans l'unit d'organisation IT Test et modifier la proprit Emplacement en fonction de votre ville.

Application pratique : Utilisation d'une ligne de commandes pour modifier les comptes d'ordinateurs

! Ajouter un compte d'ordinateur


1. Cliquez sur Dmarrer et sur Excuter, puis tapez ensuite runas /user:nwtraders\NomOrdinateurAdmin cmd. 2. Lorsque vous tes invit entrer le mot de passe, tapez P@ssw0rd et appuyez sur Entre. 3. l'invite de commandes, ajoutez, l'aide de dsadd, un compte d'ordinateur avec les paramtres suivants : Nom de l'ordinateur : dsmod NomOrdinateur Unit d'organisation : IT Test Exemple : dsadd computer "cn=dsmodlondon,ou=it test,dc=nwtraders,dc=msft"

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

39

! Modifier l'attribut d'emplacement d'un compte d'ordinateur


l'aide de la commande dsmod, modifiez le compte d'ordinateur dsmodNomOrdinateur avec l'attribut suivant : Emplacement : NomOrdinateur Exemple : dsmod computer "cn=dsmodlondon,ou=it test,dc=nwtraders,dc=msft" -loc London

40

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Leon : Cration d'un modle de compte d'utilisateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Objectifs de la leon Dans cette leon, vous allez acqurir les connaissances et les comptences ncessaires la cration d'un modle de compte d'utilisateur. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! ! !

expliquez la fonction d'un modle de compte d'utilisateur ; dcrire les proprits d'un modle de compte d'utilisateur ; crer un modle de compte d'utilisateur.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

41

Description d'un modle de compte d'utilisateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Dfinition Vous pouvez simplifier le processus de cration de comptes d'utilisateurs de domaine en crant un modle de compte d'utilisateur. Il s'agit d'un compte pour lequel les paramtres et les proprits couramment utiliss sont dj configurs. Pour chaque nouveau compte d'utilisateur, vous ne devrez ajouter que les informations qui lui sont uniques. Par exemple, si tous les employs commerciaux doivent faire partie de 15 groupes de vente et ont le mme responsable, vous pouvez crer un modle qui inclut l'appartenance tous les groupes et le responsable comptent. Lorsque le modle est copi pour un nouveau vendeur, il conserve l'appartenance aux groupes et le responsable indiqus dans le modle.

Utilisation des modles de comptes

42

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Proprits dun modle

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Proprits Il existe de nombreuses proprits associes chaque compte. Cependant, seul un nombre limit de proprits peut tre copi dans un modle. Le tableau suivant rpertorie les proprits d'utilisateur qui peuvent tre copies d'un compte d'utilisateur de domaine existant vers un nouveau.
Onglet Proprits Adresse Compte Proprits copies vers un nouveau compte d'utilisateur de domaine Toutes les proprits, l'exception de Adresse, sont copies. Toutes les proprits sont copies, l'exception de Nom d'ouverture de session de l'utilisateur, qui est copi partir de la bote de dialogue Copier l'objet Utilisateur. Toutes les proprits, l'exception des entres Chemin du profil et Dossier de base, sont modifies de faon reflter le nom d'ouverture de session du nouvel utilisateur. Toutes les proprits, l'exception de Titre, sont copies. Toutes les proprits sont copies.

Profil

Organisation Membre de

Lectures complmentaires

Pour plus d'informations sur les profils, consultez l'article 324749, COMMENT FAIRE : Crer un profil utilisateur itinrant dans Windows Server 2003 , l'adresse http://support.microsoft.com/?kbid=324749 dans la Base de connaissances Microsoft. Pour plus d'informations sur les dossiers de base, consultez l'article 325853, COMMENT FAIRE : Utiliser d'anciens profils d'utilisateurs itinrants avec Windows Server 2003 , l'adresse http://support.microsoft.com/?kbid=325853 dans la Base de connaissances Microsoft.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

43

Instructions de cration de modles de comptes d'utilisateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Instructions Tenez compte des recommandations suivantes pour crer des modles de comptes d'utilisateurs :
!

Crez une classification distincte pour chaque service de votre groupe professionnel. Crez un groupe distinct pour les employs temporaires avec des restrictions au niveau de l'ouverture de sessions et des stations de travail. Dfinissez des dates d'expiration pour les comptes d'utilisateurs des employs temporaires afin qu'ils ne puissent plus accder au rseau aprs la fin de leur contrat. Dsactivez le modle de compte. Identifiez le modle de compte. Par exemple, placez un M_ avant le nom du compte pour indiquer que le compte est un modle.

! !

44

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Procdure de cration d'un modle de compte d'utilisateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Pour crer un compte utiliser comme modle, vous devez crer un compte d'utilisateur, dfinir les paramtres appropris, dsactiver le compte, puis le copier lorsque vous devez crer un utilisateur. Pour crer un modle de compte d'utilisateur, procdez comme suit : 1. Crez un compte d'utilisateur de domaine ou copiez un compte d'utilisateur de domaine existant. 2. Tapez le nom d'utilisateur et le nom d'ouverture de session de l'utilisateur, puis cliquez sur Suivant. 3. Tapez et confirmez le mot de passe, dfinissez les exigences de mot de passe, activez si ncessaire la case cocher Le compte est dsactiv, puis cliquez sur Suivant. 4. Vrifiez les informations du nouveau compte d'utilisateur, puis cliquez sur Terminer.

Procdure

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

45

Application pratique : Cration d'un modle de compte d'utilisateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Objectif Instructions Dans cette application pratique, vous allez crer et copier un modle de compte d'utilisateur. Avant de commencer cette application pratique :
!

Ouvrez une session dans le domaine en utilisant le compte NomOrdinateurUser. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Vrifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory. Passez en revue les procdures, de cette leon, qui dcrivent la faon d'effectuer cette tche.

Scnario

Votre responsable vous demande de rechercher les valeurs copier partir d'un modle de compte. Vous devez crer un modle de compte avec les paramtres suivants, copier le compte dans un compte d'utilisateur et documenter les variables qui ont t copies ainsi que celles qui ne l'ont pas t.

46

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Application pratique : Cration d'un modle de compte d'utilisateur

! Crer un modle de compte d'utilisateur


Crez un modle de compte d'utilisateur avec les paramtres suivants :
Paramtre Prnom Nom Nom complet Nom d'ouverture de session de l'utilisateur Mot de passe Proprits NomOrdinateur Template NomOrdinateur Template NomOrdinateurTemplate London Template LondonTemplate Exemple London

P@ssw0rd

! Modifier le modle de compte d'utilisateur


Modifiez les paramtres suivants du compte d'utilisateur NomOrdinateur Template.
Paramtre Description Bureau Numro de tlphone Adresse de messagerie Ville Adresse Dpartement ou rgion Code postal Pays/rgion Numro de tlphone Domicile Titre Service Socit Gestionnaire Membre de (appartenance au groupe) Le compte est dsactiv Proprits Telemarketing User Tlmarketing 555-1000 NomOrdinateurTemplate@ nwtraders.msft Redmond One Microsoft Way Washington 98052 tats-Unis d'Amrique 555-0101 LondonTemplate@ nwtraders.msft Exemple

Utilisateur Tlmarketing Telemarketing NWTraders User0001 G NWTraders Telemarketing Personnel

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

47

Scnario

Vous devez crer des comptes pour l'quipe de tlmarketing de Northwind Traders. Le taux de rotation du personnel de cette quipe est lev. Pour des raisons de scurit, Northwind Traders ne souhaite pas renommer et rutiliser les comptes d'utilisateurs. Vous devez crer un modle de compte d'utilisateur qui rponde aux besoins de l'quipe de tlmarketing.

Application pratique : Copie d'un modle de compte d'utilisateur

! Copier le modle de compte d'utilisateur


Copiez le compte NomOrdinateurTemplate qui disposera des paramtres suivants.
Paramtre Prnom Nom Nom complet Nom d'ouverture de session de l'utilisateur Mot de passe Proprits NomOrdinateur User NomOrdinateurUser NomOrdinateurTemplate P@ssw0rd LondonUser LondonTemplate Exemple London

48

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Leon : Activation et dverrouillage des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Dans cette leon, vous allez acqurir les comptences et les connaissances ncessaires l'activation et la dsactivation des comptes d'utilisateurs et des comptes d'ordinateurs. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

Objectifs de la leon

expliquer pourquoi vous activez et dsactivez des comptes d'utilisateurs et des comptes d'ordinateurs ; activer et dsactiver des comptes d'utilisateurs et des comptes d'ordinateurs ; expliquer comment se verrouillent les comptes d'utilisateurs ; dverrouiller des comptes d'utilisateurs.

! ! !

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

49

Intrt de l'activation et de la dsactivation des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Aprs avoir cr les comptes d'utilisateurs, vous effectuez des tches d'administration rcurrentes pour veiller ce que le rseau continue rpondre aux besoins de l'organisation. Ces tches d'administration comprennent notamment l'activation et la dsactivation des comptes d'utilisateurs et des comptes d'ordinateurs. L'activation ou la dsactivation d'un compte revient autoriser ou restreindre l'accs au compte. Pour garantir un environnement rseau scuris, l'administrateur systme doit dsactiver les comptes dont les utilisateurs n'ont plus besoin pendant une priode prolonge mais auxquels ils feront de nouveau appel par la suite. Voici des exemples de situations dans lesquelles l'activation ou la dsactivation de comptes d'utilisateurs est ncessaire :
!

Scnarios d'activation et de dsactivation de comptes

Si l'utilisateur prend un cong de deux mois, vous dsactivez son compte son dpart et vous le ractivez ds son retour. Lorsque vous ajoutez sur le rseau des comptes qui ne seront utiliss qu'ultrieurement ou des fins de scurit, vous les dsactivez tant qu'ils ne sont pas ncessaires. Vous dsactivez un compte si vous ne voulez pas que les utilisateurs soient authentifis partir d'un ordinateur partag.

50

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Procdure d'activation et de dsactivation des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Lorsqu'un compte est dsactiv, l'utilisateur ne peut pas ouvrir de session. Le compte figure dans le volet d'informations et l'icne du compte est marque d'un X. Pour activer et dsactiver un compte d'utilisateur ou un compte d'ordinateur via Utilisateurs et ordinateurs Active Directory, procdez comme suit : 1. Dans l'arborescence de la console d'Utilisateurs et ordinateurs Active Directory, slectionnez le conteneur ou l'utilisateur qui contient le compte activer ou dsactiver. 2. Dans le volet d'informations, cliquez avec le bouton droit sur le compte d'utilisateur. 3. Pour le dsactiver, cliquez sur Dsactiver le compte. 4. Pour l'activer, cliquez sur Activer le compte. Pour activer ou dsactiver un compte d'utilisateur local en utilisant Gestion de l'ordinateur, procdez comme suit : 1. Dans Gestion de l'ordinateur, dveloppez Outils systme. 2. Dans Outils systme, dveloppez Utilisateurs et groupes locaux, puis cliquez sur Users. 3. Cliquez avec le bouton droit sur le compte d'utilisateur, puis cliquez sur Proprits. 4. Dans la bote de dialogue Proprits, activez la case cocher Le compte est dsactiv, puis cliquez sur OK pour dsactiver le compte.

Procdure

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

51

5. Pour l'activer, dsactivez la case cocher Le compte est dsactiv. Remarque Pour activer et dsactiver des comptes d'utilisateurs et des comptes d'ordinateurs, vous devez tre membre du groupe Oprateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory, ou l'autorisation doit vous avoir t dlgue. Pour des raisons de scurit, il est prfrable d'utiliser la commande Excuter en tant que pour effectuer cette procdure. Utilisation d'une ligne de commandes Vous pouvez galement activer ou dsactiver des comptes l'aide de la commande dsmod. Pour des raisons de scurit, il est prfrable d'utiliser la commande runas pour effectuer cette procdure. Pour activer ou dsactiver des comptes l'aide de la commande dsmod, procdez comme suit : 1. Ouvrez une invite de commandes avec la commande runas. 2. Tapez dsmod user UtilisateurDN -disabled {yes|no}
Valeur UtilisateurDN {yes|no} Description Indique le nom unique de l'objet utilisateur activer ou dsactiver. Indique si l'ouverture de session est dsactive pour le compte d'utilisateur (yes) ou active (no).

52

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Description des comptes d'utilisateurs verrouills

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Un compte d'utilisateur est verrouill s'il dpasse le seuil de verrouillage du domaine. Cela peut tre d au fait que l'utilisateur a essay un trop grand nombre de fois d'accder au compte avec un mot de passe incorrect ou qu'un pirate informatique a tent de deviner le mot de passe d'un utilisateur et qu'il a dclench la stratgie de verrouillage sur le compte. Les utilisateurs autoriss peuvent verrouiller eux-mmes un compte en tapant un mot de passe erron ou en oubliant ce dernier, ou encore en modifiant leur mot de passe sur un ordinateur alors qu'ils sont connects un autre ordinateur. L'ordinateur ayant reu le mot de passe incorrect essaie en permanence d'authentifier l'utilisateur. tant donn que le mot de passe utilis pour l'authentification est incorrect, le compte d'utilisateur est finalement verrouill. Un paramtre de scurit d'Active Directory dtermine le nombre maximal de tentatives de connexion infructueuses avant le verrouillage d'un compte. Un utilisateur ne peut pas se servir d'un compte verrouill tant que l'administrateur n'a pas rinitialis ce dernier ou tant que la dure de verrouillage du compte n'a pas expir. Lorsqu'un compte d'utilisateur est verrouill, le systme met un message d'erreur et l'utilisateur ne peut plus essayer de se connecter.

Seuil de verrouillage de compte

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

53

Description d'une tentative infructueuse d'ouverture de session

Un utilisateur peut tre exclu d'un compte s'il tape un mot de passe erron un trop grand nombre de fois. La tentative d'ouverture de session est infructueuse :
!

lorsque l'utilisateur ouvre l'cran de connexion et fournit un mot de passe incorrect ; lorsque l'utilisateur se connecte via un compte local et donne un compte d'utilisateur de domaine et un mot de passe errons alors qu'il accde aux ressources du rseau ; lorsque l'utilisateur se connecte via un compte local et donne un compte d'utilisateur de domaine et un mot de passe errons alors qu'il accde aux ressources l'aide de la commande runas.

Par dfaut, les tentatives d'ouverture de session d'un compte de domaine ne sont pas enregistres lorsque vous dverrouillez une station de travail ( l'aide d'un conomiseur d'cran protg par un mot de passe). Vous pouvez modifier ce comportement en changeant le paramtre de stratgie de groupe Ouverture de session interactive : ncessite l'authentification par le contrleur de domaine pour le dverrouillage de la station de travail.

54

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Procdure de dverrouillage des comptes d'utilisateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Procdure Lorsqu'un compte est verrouill, vous devez le dverrouiller pour pouvoir le grer et l'administrer. Pour dverrouiller un compte, procdez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, slectionnez l'unit d'organisation qui contient le compte d'utilisateur dverrouiller. 2. Dans le volet d'informations, slectionnez le compte d'utilisateur dverrouiller. 3. Cliquez avec le bouton droit sur le compte, puis cliquez sur Proprits et dsactivez la case cocher Le compte est verrouill.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

55

Application pratique : Activation et dsactivation des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Objectif Instructions Dans cet exercice, vous allez dsactiver puis ractiver un compte d'utilisateur et un compte d'ordinateur. Avant de commencer cette application pratique :
!

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Vrifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory. Passez en revue les procdures de cette leon qui dcrivent la faon d'effectuer cette tche.

Scnario

La stratgie de scurit de Northwind Traders stipule que les comptes des employs qui prennent un cong prolong doivent tre dsactivs pendant leur absence. C'est l'une des tches qui vous incombent. Vous devez crer un compte dans l'unit d'organisation IT Test, dsactiver le compte et ouvrir une session en tant qu'utilisateur pour vrifier que ce compte est dsactiv.

Application pratique : Dsactivation d'un compte d'utilisateur

! Crer un compte d'utilisateur dsactiv


Crez un compte d'utilisateur avec les paramtres suivants : Unit d'organisation : IT Test Nom de l'utilisateur : NomOrdinateurDisabled Mot de passe : P@ssw0rd Le compte est dsactiv Dcochez la case cocher L'utilisateur doit changer le mot de passe la prochaine ouverture de session.

56

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

! Tester le compte d'utilisateur dsactiv


Scnario Essayez d'ouvrir une session en tant que nouvel utilisateur pour vrifier que la connexion est impossible.

Vous venez de dsactiver un compte d'utilisateur et vous avez vrifi que l'utilisateur ne peut pas ouvrir de session. Vous souhaitez prsent vrifier qu'il n'y a pas d'autres problmes au niveau du compte et vous devez donc l'activer et ouvrir une session pour vous assurer que le compte d'utilisateur est bien activ.

Application pratique : Activation d'un compte d'utilisateur

! Activer le compte d'utilisateur


Activez le compte d'utilisateur qui dispose des paramtres suivants : Unit d'organisation : IT Test Nom de l'utilisateur : NomOrdinateurDisabled

! Tester le compte d'utilisateur activ


1. Ouvrez une session avec le compte d'utilisateur NomOrdinateurDisabled pour vrifier que vous pouvez vous connecter. 2. Ouvrez la session avec le mot de passe P@ssw0rd. Scnario Un ingnieur systme s'inquite du fait qu'un utilisateur non autoris essaie d'utiliser un ordinateur de type kiosk aprs les heures de bureau. L'ingnieur systme vous demande de dsactiver le compte d'ordinateur jusqu' ce qu'il puisse examiner les fichiers journaux de l'ordinateur. Vous devez dsactiver le compte d'ordinateur.

Application pratique : Dsactivation d'un compte d'ordinateur

! Crer un compte d'ordinateur dsactiv


Crez un compte d'ordinateur dsactiv avec les paramtres suivants : Unit d'organisation : IT Test Nom de l'ordinateur : NomOrdinateurKiosk Le compte est dsactiv.

Scnario

L'ingnieur systme dcouvre que l'agent de scurit de nuit a essay de se connecter l'ordinateur kiosk sans compte de domaine. L'agent de scurit a t averti qu'il ne devait pas tenter de s'y connecter. L'ingnieur systme veut que vous activiez l'ordinateur kiosk de votre ville.

Application pratique : Activation d'un compte d'ordinateur

! Activer le compte d'ordinateur


Activez le compte d'ordinateur qui dispose des paramtres suivants : Unit d'organisation : IT Test Nom de l'ordinateur : NomOrdinateurKiosk

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

57

Application pratique : Utilisation d'une ligne de commandes

! Dsactiver un compte d'utilisateur l'aide de la commande dsmod


Dsactivez un compte d'utilisateur dans l'unit d'organisation IT Test l'aide de la commande dsmod. Exemple : Dsmod user "cn=London user,ou=it test,dc=nwtraders, dc=msft" -disabled yes

! Activer un compte d'utilisateur l'aide de la commande dsmod


Activez un compte d'utilisateur dans l'unit d'organisation IT Test l'aide de la commande dsmod. Exemple : Dsmod user "cn=London user,ou=it test,dc=nwtraders, dc=msft" -disabled no

58

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Leon : Rinitialisation des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Objectifs de la leon La rinitialisation des mots de passe et des comptes fait partie des tches d'administration courantes. Tenez compte de l'impact de ces procdures. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer les situations qui ncessitent de rinitialiser les mots de passe, ainsi que les pertes potentielles de donnes qui rsultent de cette rinitialisation ; rinitialiser les mots de passe des comptes locaux et des comptes de domaine ; dterminer quel moment il est ncessaire de rinitialiser des comptes d'ordinateurs ; rinitialiser des comptes d'ordinateurs.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

59

Quand rinitialiser les mots de passe utilisateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Il arrive parfois d'oublier son mot de passe. Sans mot de passe, il vous est impossible d'accder votre compte d'utilisateur. Un administrateur peut rinitialiser votre mot de passe pour que vous puissiez de nouveau accder votre compte. Avant d'essayer de rinitialiser des mots de passe locaux ou de domaine, vrifiez que vous disposez bien du niveau d'autorit adquat. Aprs la rinitialisation d'un mot de passe, certains types d'informations ne sont plus accessibles, notamment :
! ! !

Consquences de la rinitialisation de mots de passe

l'adresse lectronique qui est crypte avec la cl publique de l'utilisateur ; les mots de passe Internet qui sont enregistrs sur l'ordinateur ; les fichiers que l'utilisateur a crypts.

Lectures complmentaires

Pour plus d'informations sur la rinitialisation d'un compte de contrleur de domaine et celle d'un compte d'ordinateur l'aide d'un script, consultez l'article 325850, COMMENT FAIRE : Utiliser Netdom.exe pour rinitialiser les mots de passe de comptes d'ordinateurs d'un contrleur de domaine Windows Server 2003 , l'adresse http://support.microsoft.com/?kbid=325850 dans la Base de connaissances Microsoft. Pour plus d'informations sur la faon dont l'API de protection des donnes Windows gre les mots de passe stocks, consultez Windows Data Protection (en anglais) l'adresse http://msdn.microsoft.com/library/ default.asp?url=/library/en-us/dnsecure/html/windataprotection-dpapi.asp.

60

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Procdure de rinitialisation des mots de passe utilisateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Lorsque vous devez rinitialiser un mot de passe utilisateur, souvenez-vous que seuls les administrateurs locaux, les administrateurs du domaine, les administrateurs de l'entreprise, les oprateurs de comptes et d'autres groupes auxquels l'autorit a t dlgue ont l'autorisation de rinitialiser des mots de passe d'utilisateurs locaux. Pour rinitialiser un mot de passe d'utilisateur local, procdez comme suit : 1. Dans l'arborescence de la console Gestion de l'ordinateur, dveloppez Utilisateurs et groupes locaux, puis cliquez sur Utilisateurs. 2. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'utilisateur, puis cliquez sur Dfinir le mot de passe. 3. Lisez le message d'avertissement. Si vous souhaitez poursuivre, cliquez sur Continuer. 4. Dans les zones Nouveau mot de passe et Confirmer le mot de passe, tapez le nouveau mot de passe, puis cliquez sur OK. Procdure de rinitialisation d'un mot de passe d'utilisateur de domaine Pour rinitialiser un mot de passe d'utilisateur de domaine, procdez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur Users. 2. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'utilisateur, puis cliquez sur Rinitialiser le mot de passe. 3. Dans les zones Nouveau mot de passe et Confirmer le nouveau mot de passe, tapez le nouveau mot de passe, puis cliquez sur OK.

Procdure de rinitialisation d'un mot de passe d'utilisateur local

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

61

Quand rinitialiser les comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction En tant qu'administrateur systme, vous tes parfois amen rinitialiser des comptes d'ordinateurs. Supposons que le rseau ait compltement t sauvegard il y a sept jours, que l'ordinateur ait relay les informations au contrleur de domaine qui a modifi le mot de passe sur le compte d'ordinateur, que le disque dur de l'ordinateur soit tomb en panne et que l'ordinateur ait t restaur partir de la sauvegarde. L'ordinateur possde prsent un mot de passe obsolte et l'utilisateur ne parvient pas se connecter car l'ordinateur ne peut pas s'authentifier dans le domaine. Vous devez par consquent rinitialiser le compte de l'ordinateur. Vous devez tenir compte de deux lments avant de rinitialiser le compte de l'ordinateur :
!

Facteurs prendre en compte

Pour effectuer cette procdure, vous devez tre membre du groupe Oprateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory, ou bien l'autorisation doit vous avoir t dlgue. Pour des raisons de scurit, il est prfrable d'utiliser la commande Excuter en tant que pour effectuer cette procdure. Lorsque vous rinitialisez un compte d'ordinateur, vous interrompez la connexion de l'ordinateur au domaine et vous devez donc l'y reconnecter.

62

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Procdure de rinitialisation des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Pour effectuer cette procdure, vous devez tre membre du groupe Oprateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory, ou bien l'autorisation doit vous avoir t dlgue. Pour des raisons de scurit, nous vous conseillons d'utiliser Excuter en tant que pour effectuer cette procdure. Pour rinitialiser un compte d'ordinateur, procdez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur Computers ou sur le conteneur qui contient l'ordinateur rinitialiser. 2. Dans le volet d'informations, cliquez avec le bouton droit sur l'ordinateur, puis cliquez sur Rinitialiser le compte. Utilisation d'une ligne de commandes Vous pouvez utiliser la commande dsmod pour rinitialiser un compte d'ordinateur. Pour des raisons de scurit, il est prfrable d'utiliser la commande runas pour effectuer cette procdure. 1. Ouvrez une invite de commandes l'aide de la commande runas. 2. Tapez dsmod ordinateur OrdinateurDN reset
Valeur OrdinateurDN Description Indique les noms uniques d'un ou plusieurs objets d'ordinateur rinitialiser.

Procdure

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

63

Application pratique : Rinitialisation d'un mot de passe utilisateur

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Objectif Instructions Dans cette application pratique, vous allez rinitialiser le mot de passe d'un compte d'utilisateur pour que ce dernier puisse se connecter au domaine. Avant de commencer cette application pratique :
!

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Vrifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory. Passez en revue les procdures de cette leon qui dcrivent la faon d'effectuer cette tche.

Scnario

Vous apprenez qu'un utilisateur de votre ville a rcemment oubli son mot de passe. Vous avez suivi la stratgie d'entreprise et vrifi que l'utilisateur est bien la personne qu'il prtend tre. Vous devez rinitialiser le mot de passe de son compte et demander l'utilisateur de modifier son mot de passe la prochaine fois qu'il se connecte.

Application pratique

! Rinitialiser le compte d'utilisateur


1. Sous Utilisateurs et ordinateurs Active Directory, recherchez le compte NomOrdinateurUser dans l'unit d'organisation Users. 2. Rinitialisez le mot de passe P@ssw0rd1 et obligez l'utilisateur modifier son mot de passe lors de la prochaine connexion. 3. Fermez tous les programmes et fermez la session.

64

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

! Tester le nouveau mot de passe


1. Ouvrez une session en tant que NomOrdinateurUser avec le mot de passe P@ssw0rd1. 2. Remplacez le mot de passe par P@ssword2.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

65

Leon : Recherche de comptes d'utilisateurs et de comptes d'ordinateurs dans Active Directory

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Objectifs de la leon Dans cette leon, vous allez acqurir les comptences et les connaissances ncessaires l'utilisation des requtes communes et personnalises. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer les critres permettant de localiser un compte d'utilisateur ou un compte d'ordinateur ; dcrire les types de requtes communes ; expliquer la fonction des requtes personnalises ; rechercher des comptes d'utilisateurs et des comptes d'ordinateurs dans Active Directory.

! ! !

66

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Prsentation multimdia : Prsentation de la recherche d'utilisateurs et de comptes d'ordinateurs dans Active Directory

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Emplacement du fichier Pour visualiser la Prsentation de la recherche d'utilisateurs et de comptes d'ordinateurs dans Active Directory, ouvrez la page Web partir du CD-ROM du stagiaire, cliquez sur Multimdia, puis sur son titre. N'ouvrez cette prsentation que si le formateur vous y invite.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

67

Types de recherches

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction tant donn que tous les comptes d'utilisateurs se trouvent dans Active Directory, les administrateurs peuvent rechercher les comptes d'utilisateurs qu'ils grent. La recherche des comptes d'utilisateurs dans Active Directory vous vite d'avoir naviguer dans des centaines ou des milliers de comptes sous Utilisateurs et ordinateurs Active Directory. Outre les comptes d'utilisateurs, vous pouvez galement rechercher d'autres objets dans Active Directory, savoir des ordinateurs, des imprimantes et des dossiers partags. Une fois que vous avez localis ces objets, vous pouvez les administrer dans la bote de dialogue Rsultats de la recherche. Administration des objets dans les rsultats de la recherche Si la recherche aboutit, les rsultats s'affichent dans une bote de dialogue et vous pouvez alors excuter des fonctions d'administration sur les objets trouvs. Les fonctions d'administration disponibles dpendent du type de l'objet. S'il s'agit d'un compte d'utilisateur, par exemple, vous pouvez le renommer, le supprimer, le dsactiver, rinitialiser son mot de passe, dplacer le compte d'utilisateur dans une autre unit d'organisation ou encore modifier ses proprits. Pour administrer un objet partir de la bote de dialogue Rsultats de la recherche, cliquez avec le bouton droit sur l'objet et slectionnez une action dans le menu. Recherche d'utilisateurs, de contacts et de groupes Recherche d'ordinateurs Active Directory fournit des informations sur tous les objets du rseau, c'est-dire sur les utilisateurs, les groupes, les ordinateurs, les imprimantes, les dossiers partags et les units d'organisation. La bote de dialogue Rechercher Utilisateurs, contacts et groupes facilite la recherche des utilisateurs, des contacts et des groupes. Utilisez la fonction Recherche d'ordinateurs pour localiser des ordinateurs dans Active Directory, l'aide de critres tels que le nom affect l'ordinateur ou le systme d'exploitation de l'ordinateur. Lorsque vous avez trouv l'ordinateur, vous pouvez l'administrer en cliquant avec le bouton droit sur ce dernier dans la bote de dialogue Rsultats de la recherche, puis en cliquant sur Grer.

68

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Recherche d'imprimantes

Lorsqu'une imprimante partage est publie dans Active Directory, vous pouvez la rechercher l'aide de la fonction Recherche d'imprimantes en prcisant certains critres tels que son numro de matriel, le langage qu'elle utilise ou encore si elle prend en charge l'impression recto verso. Une fois que vous avez localis l'imprimante, vous pouvez facilement vous y connecter en cliquant dessus avec le bouton droit dans la bote de dialogue Rsultats de la recherche, puis en cliquant sur Connecter ou encore en double-cliquant sur l'imprimante. Lorsqu'un dossier partag est publi dans Active Directory, vous pouvez le rechercher l'aide de la fonction Recherche de dossiers partags en prcisant certains critres tels que les mots cls qui lui sont affects, le nom du dossier ou le nom de la personne qui le gre. Lorsque vous avez localis le dossier, vous pouvez ouvrir l'Explorateur Windows pour visualiser les fichiers contenus dans le dossier en cliquant avec le bouton droit sur ce dernier dans la bote de dialogue Rsultats de la recherche, puis en cliquant sur Explorer. Dans Active Directory, vous pouvez rechercher des objets familiers tels que des ordinateurs, des imprimantes ou des utilisateurs. Vous pouvez galement rechercher d'autres objets comme une unit d'organisation ou un modle de certificat. Utilisez la fonction Recherche personnalise pour crer des requtes personnalises l'aide des options de recherche avance ou encore crer des requtes de recherche avance l'aide de LDAP qui est le principal protocole d'accs de Active Directory. Vous pouvez utiliser la fonction Recherche de requtes communes pour excuter des requtes d'administration communes dans Active Directory. Vous pouvez, par exemple, rechercher rapidement les comptes d'utilisateurs ou d'ordinateurs qui ont t dsactivs. Pour chaque type de recherche, except Recherche de requtes communes, il existe un onglet Avanc que vous pouvez utiliser pour crer une recherche plus dtaille. Par exemple, vous pouvez rechercher tous les utilisateurs appartenant une ville ou associs un code postal partir de l'onglet Avanc. Pour plus d'informations sur la recherche dans Active Directory, consultez Search Companion overview (en anglais) l'adresse http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/server/find_overview.asp.

Recherche de dossiers partags

Recherche personnalise

Recherche de requtes communes

Options de requte avance

Lectures complmentaires

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

69

Procdure de recherche d'objets Active Directory

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Pour effectuer des tches d'administration sur un compte d'utilisateur ou un compte d'ordinateur, vous devez d'abord rechercher le compte dans Active Directory. Cela peut s'avrer compliqu si votre structure Active Directory est vaste. Pour rechercher un compte d'utilisateur, procdez comme suit : 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory. 2. Pour effectuer la recherche dans l'ensemble du domaine, cliquez avec le bouton droit sur le nud de domaine dans l'arborescence de la console, puis cliquez sur Rechercher. Si vous savez dans quelle unit d'organisation l'utilisateur se trouve, cliquez avec le bouton droit sur cette dernire, puis sur Rechercher. 3. Dans la bote de dialogue Rechercher Utilisateurs, contacts et groupes, tapez dans la zone Nom le nom de l'utilisateur rechercher. 4. Cliquez sur Rechercher.

Procdure

70

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Utilisation d'une ligne de commandes

Vous pouvez utiliser la commande dsquery pour rechercher dans Active Directory des utilisateurs et des ordinateurs qui rpondent aux critres de recherche indiqus. Si les critres de recherche prdfinis dans cette commande vous semblent insuffisants, utilisez la version plus gnrale de la commande, savoir dsquery *. Pour rechercher un utilisateur l'aide de la commande dsquery, procdez comme suit :
!

l'invite de commandes, tapez ce qui suit : dsquery user [{NudDpart | forestroot | domainroot}] [-o {dn | rdn | upn | samid}] [-scope {subtree | onelevel | base}] [-name Nom] [-desc Description] [-upn UPN] [-samid NomSAM] [-inactive NombreSemaines] [-stalepwd NombreJours] [-disabled] [{-s Serveur | -d Domaine}] [-u NomUtilisateur] [-p {MotDePasse | *}] [-q] [-r] [-gc] [-limit NombreObjets] [{-uc | -uco | -uci}]

Pour rechercher un ordinateur l'aide de la commande dsquery, procdez comme suit :


!

l'invite de commandes, tapez ce qui suit : dsquery ordinateur [{NudDpart | forestroot | domainroot}] [-o {dn | rdn | samid}] [-scope {subtree | onelevel | base}] [-name Nom] [-desc Description] [-samid NomSAM] [-inactive NombreSemaines] [-stalepwd NombreJours] [-disabled] [{-s Serveur | -d Domaine}] [-u NomUtilisateur] [-p {MotPasse | *}] [-q] [-r] [-gc] [-limit NombreObjets] [{-uc | -uco | -uci}]

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

71

Procdure de recherche l'aide de requtes communes

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction La fonctionnalit de recherche est l'une des principales fonctions de Active Directory. Une recherche permet de localiser certains objets dans Active Directory sur la base de critres de slection et d'extraire les proprits des objets recherchs. Pour lancer une recherche de base, procdez comme suit : 1. Dans Utilisateurs et ordinateurs Active Directory, cliquez sur Rechercher dans le menu Action. 2. Dans la bote de dialogue Rechercher Utilisateurs, contacts et groupes, slectionnez dans la zone Rechercher le type d'objet rechercher. 3. Tapez le texte de recherche dans les zones des critres. Les critres de recherche disponibles varient en fonction du type d'objet que vous slectionnez.

Procdure

72

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Utilisation d'une requte personnalise

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Dans Active Directory, vous pouvez rechercher des objets familiers tels que des ordinateurs, des imprimantes ou des utilisateurs mais vous pouvez galement rechercher d'autres objets comme une unit d'organisation ou un modle de certificat. Utilisez la fonction Recherche personnalise pour crer des requtes personnalises l'aide des options de recherche avance ou crer des requtes de recherche avance avec LDAP qui est le principal protocole d'accs de Active Directory. La requte LDAP illustre sur la diapositive contient les lments suivants :
!

Recherche personnalise

l=Denver Le l correspond la proprit Ville ou l'attribut Emplacement du compte d'utilisateur.

(ObjectClass=user)(ObjectCategory=person) Pour rechercher un utilisateur, la requte doit contenir l'expression de recherche (&(objectClass=user)(objectCategory=person)). Cela s'explique par le fait que la classe ordinateur est une sous-classe de la classe utilisateur. Une requte contenant uniquement (objectClass=user) renvoie des objets utilisateur et des objets ordinateur.

UserAccountControl:1.2.840.113556.1.4.803:=2 Il s'agit des indicateurs qui contrlent le mot de passe, l'option de verrouillage, l'option d'activation ou de dsactivation, le script et le comportement du rpertoire de base de l'utilisateur. Cette proprit contient galement un indicateur qui prcise le type de compte de l'objet. L'indicateur utilis ici fait rfrence aux comptes dsactivs.

Lectures complmentaires

Pour plus d'informations sur le langage LDAP, consultez Deciding Which Attributes to Retrieve for Each Object Found (en anglais) l'adresse http://msdn.microsoft.com/library/default.asp?url=/library/en-us/netdir/ad/ listing_properties_to_retrieve_for_each_object_found.asp.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

73

Application pratique : Recherche de comptes d'utilisateurs et de comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Objectif Dans cet exercice, vous allez rechercher :
! ! ! ! !

des comptes d'utilisateurs par nom ; des comptes d'ordinateurs par nom ; des comptes dsactivs ; des comptes d'ordinateurs par ville ; des comptes d'utilisateurs et des comptes d'ordinateurs l'aide de la commande dsquery.

Instructions

Avant de commencer cette application pratique :


!

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Vrifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory. Passez en revue les procdures de cette leon qui dcrivent la faon d'effectuer cette tche.

Scnario

Les ingnieurs systme importent en bloc les comptes d'utilisateurs dans le conteneur Users. Ils vous demandent de vrifier que tous les comptes d'utilisateurs des Directeurs commerciaux ont t imports avec succs dans Active Directory.

74

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Application pratique : Recherche de comptes d'utilisateurs par nom

! Rechercher des comptes d'utilisateurs par nom


Recherchez les comptes d'utilisateurs : dans le conteneur Users du domaine NWTraders ; avec une description de Sales Manager. Votre recherche doit renvoyer environ 24 comptes d'utilisateurs du type Directeur commercial.

Scnario

Les ingnieurs systme importent en bloc les comptes d'ordinateurs dans le conteneur Computers. Ils vous demandent de vrifier que tous les comptes d'ordinateurs de votre ville ont t imports dans Active Directory. La convention d'attribution de noms utilise pour importer en bloc des comptes d'ordinateurs prvoit d'indiquer les trois ou quatre premires lettres de la ville, suivies de Ordinateur et d'un nombre squentiel, par exemple, CasaOrdinateur2005.

Application pratique : Recherche de comptes d'ordinateurs par nom

! Rechercher des comptes d'ordinateurs par nom


Recherchez un compte d'ordinateur : dans le conteneur Computers du domaine NWTraders ; avec un nom d'ordinateur qui correspond aux trois premires lettres de votre ville. Votre recherche doit renvoyer 101 comptes d'ordinateurs environ.

Scnario

Les ingnieurs systme importent en bloc les comptes d'ordinateurs dans le conteneur Computers. Ils vous demandent de vrifier que tous les comptes d'ordinateurs de votre ville ont t imports dans Active Directory. La convention d'attribution de noms utilise pour importer en bloc les comptes d'ordinateurs consiste utiliser les trois ou quatre premires lettres de la ville, suivies de Ordinateur et d'un nombre squentiel, par exemple CasaOrdinateur2005.

Application pratique : Recherche de comptes dsactivs

! Rechercher des comptes dsactivs


Recherchez les comptes d'utilisateurs : dans le domaine NWTraders ; avec une description qui commence par Sales ; qui sont dsactivs (N'activez pas les comptes). Votre recherche doit renvoyer environ 240 comptes d'utilisateurs dsactivs.

Scnario

Les ingnieurs systme importent en bloc les comptes d'ordinateurs dans le conteneur Computers. Ils vous demandent de vrifier que tous les comptes d'ordinateurs de votre ville ont t imports dans Active Directory. La convention d'attribution de noms utilise pour importer en bloc les comptes d'ordinateurs consiste utiliser les trois ou quatre premires lettres de la ville, suivies de Ordinateur et d'un nombre squentiel, par exemple CasaOrdinateur2005.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

75

Application pratique : Recherche de comptes d'ordinateurs par ville

! Rechercher des comptes d'ordinateurs par ville


Recherchez les comptes d'ordinateurs : dans le conteneur Computers du domaine NWTraders ; avec un nom d'ordinateur qui correspond aux trois premires lettres de votre ville. Votre recherche doit renvoyer 101 comptes d'ordinateurs environ.

Application pratique : Recherche de comptes d'utilisateurs et de comptes d'ordinateurs l'aide de la commande dsquery

! Rechercher tous les utilisateurs l'aide de leur prnom


l'invite de commandes, tapez Dsquery user name utilisateur*.

! Rechercher tous les ordinateurs l'aide des trois premires lettres


"lon" l'invite de commandes, tapez Dsquery computer name lon*

76

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Leon : Enregistrement des requtes

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Vous pouvez utiliser des requtes enregistres pour accder rapidement et systmatiquement une srie commune d'objets Active Directory sur lesquels vous voulez excuter des tches spcifiques ou que vous voulez contrler. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! !

Objectifs de la leon

expliquer ce qu'est une requte enregistre ; crer une requte enregistre.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

77

Description d'une requte enregistre

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction La console Utilisateurs et ordinateurs Active Directory comprend un dossier Requtes sauvegardes dans lequel vous pouvez crer, diter, enregistrer et organiser des requtes. Avant l'existence des requtes sauvegardes, l'administrateur tait oblig de crer des scripts personnaliss ADSI (Active Directory Services Interfaces) qui excutaient une requte sur des objets communs. Il s'agissait d'un processus fastidieux qui exigeait des connaissances quant la faon dont ADSI utilisait les filtres de recherche LDAP pour rsoudre une requte. Les requtes sauvegardes utilisent des chanes LDAP prdfinies pour explorer uniquement la partition de domaine mentionne. Vous pouvez limiter vos recherches un seul conteneur. Vous pouvez galement crer une requte sauvegarde personnalise qui contient un filtre de recherche LDAP. Toutes les requtes se trouvent dans le dossier des requtes sauvegardes appel dsa.msc qui figure dans la console Utilisateurs et ordinateurs Active Directory. Aprs avoir cr la srie de requtes personnalises, vous pouvez copier le fichier.msc dans d'autres contrleurs de domaine Windows Server 2003 qui se trouvent dans le mme domaine et rutiliser la mme srie de requtes sauvegardes. Vous pouvez galement exporter des requtes sauvegardes dans un fichier XML (Extensible Markup Language). Vous pouvez ensuite les importer dans d'autres consoles Utilisateurs et ordinateurs Active Directory situes dans des contrleurs de domaine Windows Server 2003 qui appartiennent au mme domaine. Lectures complmentaires Pour plus d'informations sur les requtes sauvegardes, consultez Using saved queries (en anglais) l'adresse http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/server/usingsavedqueries.asp.

Dfinition

78

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Procdure de cration d'une requte sauvegarde

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Introduction Vous pouvez enregistrer des requtes afin de rechercher des comptes d'utilisateurs ou des comptes d'ordinateurs dsactivs, le nombre de jours depuis la dernire connexion de l'utilisateur ou encore les utilisateurs dont le mot de passe n'expire pas. Il existe bien d'autres requtes communment utilises. Lorsque vous avez excut la requte sauvegarde et que les objets souhaits s'affichent, vous pouvez alors modifier chaque objet directement dans la bote de dialogue Rsultats de la requte. Pour crer une requte sauvegarde, procdez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Requtes sauvegardes ou sur n'importe quel sous-dossier dans lequel vous souhaitez enregistrer une requte. Pointez ensuite votre curseur sur Nouveau, puis cliquez sur Requte. 2. Dans la bote de dialogue Nouvelle requte, tapez dans la zone Nom un nom de requte. 3. Dans la zone Description, tapez une description de la requte. 4. Cliquez sur Parcourir pour dfinir le conteneur partir duquel sera lance votre recherche. 5. Pour effectuer une recherche dans tous les sous-conteneurs du conteneur slectionn, cochez la case Inclure les sous-conteneurs. 6. Cliquez sur Dfinir la requte pour crer la requte.

Procdure

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

79

Application pratique : Cration de requtes sauvegardes

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Objectifs Instructions Dans cette application pratique, vous allez crer une requte sauvegarde pour un compte d'utilisateur. Avant de commencer cette application pratique :
!

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Vrifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory. Passez en revue les procdures de cette leon qui dcrivent la faon d'effectuer cette tche.

Scnario

Vous constatez que vous tes souvent la recherche des mmes informations. Vous voulez enregistrer des requtes pour l'avenir. Crez une requte sauvegarde pour un compte d'utilisateur. La requte sauvegarde doit avoir les proprits suivantes :
! ! !

elle s'appelle NomOrdinateur User Account ; elle est enregistre dans le conteneur Users du domaine NWTraders ; la valeur de la ville correspond au nom de votre ordinateur.

80

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Application pratique

! Crer une requte sauvegarde


1. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Requtes sauvegardes, puis cliquez sur Nouveau et sur Requte. 2. Dans la bote de dialogue Nouvelle requte, crez une requte avec les paramtres suivants : Nom : NomOrdinateur User Accounts Description : NomOrdinateur User Accounts 3. Cliquez sur Dfinir la requte. 4. Dans la zone Rechercher, cliquez sur Utilisateurs, contacts et groupes. 5. Dans l'onglet Avanc, cliquez sur Champ, pointez sur Utilisateur et cliquez sur Ville. 6. Vrifiez que Commence par figure dans la zone Condition. 7. Dans la zone Valeur, tapez NomOrdinateur et cliquez sur Ajouter. 8. Cliquez sur OK pour fermer la bote de dialogue Rechercher Utilisateurs, contacts et groupes. 9. Cliquez sur OK pour fermer la bote de dialogue Nouvelle requte. 10. Cliquez avec le bouton droit sur la requte, puis cliquez sur Actualiser pour actualiser la requte sauvegarde.

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

81

Atelier A : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE LINSTRUCTEUR******************** Objectifs la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
! !

crer des comptes d'utilisateurs et des comptes d'ordinateurs ; dplacer des comptes d'utilisateurs et des comptes d'ordinateurs dans une nouvelle unit d'organisation ; activer des comptes d'utilisateurs.

Mise en place de l'atelier

Pour cet atelier :


!

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser. Ouvrez CustomMMC l'aide de la commande Excuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Vrifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory. Passez en revue les procdures de cette leon qui dcrivent la faon d'effectuer cette tche. L'unit d'organisation Locations/NomOrdinateur/Computers/Desktops doit exister. L'unit d'organisation Locations/NomOrdinateur/Computers/Laptops doit exister.

Dure approximative de cet atelier : 30 minutes

82

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Exercice 1 Cration de comptes d'utilisateurs


Dans cet exercice, vous allez crer deux comptes d'utilisateurs.

Scnario
Vous avez reu une liste d'utilisateurs ajouter dans Active Directory. Dans la liste, recherchez les utilisateurs qui possdent un bureau dans votre ville et ajoutez-les dans l'unit d'organisation approprie dans l'unit d'organisation de votre ville.

Tches
1.

Instructions spcifiques

Crer des comptes d'utilisateurs.

" "

Crez les comptes d'utilisateurs dans l'unit d'organisation nwtraders.msft/Locations/NomOrdinateur/Users. Crez les comptes des utilisateurs figurant dans le tableau suivant qui correspondent la ville de votre entreprise, l'aide des paramtres suivants : Prnom : Prnom Nom : Nom Nom d'ouverture de session de l'utilisateur : les trois premires lettres du prnom et les trois premires lettres du nom Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000) : les trois premires lettres du prnom et les trois premires lettres du nom Mot de passe : P@ssw0rd Dsactivez le compte d'utilisateur.


2.

Modifier les comptes d'utilisateurs

" " "

Ville : NomOrdinateur Numro de tlphone : 555-2469 Gestionnaire : NomOrdinateurUser

Nom, Prnom Brown, Robert Browne, Kevin F. Byham, Richard A. Calafato, Ryan Berg, Karen Berge, Karen Barnhill, Josh Barr, Adam Altman, Gary E. III

Ville Acapulco Acapulco Auckland Auckland Bangalore Bangalore Bonn Bonn Brisbane

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs (suite) Nom, Prnom Anderson, Nancy Chapman, Greg Charles, Mathew Bonifaz, Luis Boseman, Randall Ackerman, Pilar Adams, Jay Connelly, Peter Conroy, Stephanie Barreto de Mattos, Paula Bashary, Shay Arthur, John Ashton, Chris Bankert, Julie Clark, Brian Burke, Brian Burlacu, Ovidiu Chor, Anthony Ciccu, Alice Casselman, Kevin A. Cavallari, Matthew J. Cornelsen, Ryan Cox, Brian Alberts, Amy E. Alderson, Gregory F. (Greg) Benshoof, Wanida Benson, Max Bezio, Marin Bischoff, Jimmy Carothers, Andy Carroll, Matthew Cannon, Chris Canuto, Suzana De Abreu A. Combel, Craig M. Con, Aaron Bradley, David M. Bready, Richard Abolrous, Sam Acevedo, Humberto Ville Brisbane Caracas Caracas Casablanca Casablanca Denver Denver Khartoum Khartoum Lima Lima Lisbon Lisbon Manila Manila Miami Miami Montevideo Montevideo Moscow Moscow Nairobi Nairobi Perth Perth Santiago Santiago Singapore Singapore Stockholm Stockholm Suva Suva Tokyo Tokyo Tunis Tunis Vancouver Vancouver

83

84

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Exercice 2 Cration de comptes d'ordinateurs


Dans cet exercice, vous allez crer 10 comptes d'ordinateurs.

Scnario
Vous attendez la livraison de cinq nouveaux ordinateurs portables et de cinq ordinateurs de bureau dans votre emplacement. Un consultant dot d'un compte d'utilisateur dans le domaine va ajouter ces ordinateurs au domaine. La stratgie de scurit de Northwind Traders prvoit que les ordinateurs portables et les ordinateurs de bureau doivent tre administrs par les administrateurs de l'unit d'organisation de la ville.

Tches
1.

Instructions spcifiques

Crer cinq ordinateurs de bureau

" "

Crez les comptes dans l'unit d'organisation nwtraders.msft/Locations/NomOrdinateur/Computers/Desktops. Ajoutez les cinq comptes d'ordinateurs suivants : 01NomOrdinateurDesk, 02NomOrdinateurDesk, 03NomOrdinateurDesk, 04NomOrdinateurDesk, 05NomOrdinateurDesk Crez les comptes dans l'unit d'organisation nwtraders.msft/Locations/NomOrdinateur/Computers/Laptops. Ajoutez les cinq comptes d'ordinateurs suivants : 01NomOrdinateurLap, 02NomOrdinateurLap, 03NomOrdinateurLap, 04NomOrdinateurLap, 05NomOrdinateurLap

2.

Crer cinq ordinateurs portables

" "

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

85

Exercice 3 Recherche et dplacement de comptes d'utilisateurs


Dans cet exercice, vous allez rechercher des comptes d'utilisateurs dans votre ville et les dplacer dans l'unit d'organisation NomOrdinateur/Users.

Scnario
Les ingnieurs systme de NorthWind Traders ont import des comptes d'utilisateurs pour l'ensemble du domaine nwtraders. Les administrateurs systme sont chargs de rechercher les comptes d'utilisateurs dots d'un attribut Ville correspondant leur NomOrdinateur et de les transfrer vers le dossier Users de leur unit d'organisation NomOrdinateur.

Tches
1.

Instructions spcifiques

Rechercher des comptes d'utilisateurs l'aide des critres suivants de recherche avance

2.

Transfrer des comptes d'utilisateurs vers l'emplacement suivant

" " " " " "

Point de dpart pour la recherche : nwtraders.msft Recherchez : Utilisateurs, contacts et groupes Champ : Ville Condition : gale exactement Valeur : NomOrdinateur Nwtraders.msft/Locations/NomOrdinateur/Users

86

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

Exercice 4 Recherche et dplacement de comptes d'ordinateurs


Dans cet exercice, vous allez rechercher des comptes d'ordinateurs dont le nom contient les trois premires lettres du nom de votre ordinateur et les dplacer dans votre unit d'organisation NomOrdinateur/Computers.

Scnario
Les ingnieurs systme de NorthWind Traders ont import des comptes d'ordinateurs pour l'ensemble du domaine nwtraders. Les administrateurs systme sont chargs de rechercher les comptes d'ordinateurs contenant les trois premires lettres de leur NomOrdinateur et de les transfrer vers le dossier Computers de leur unit d'organisation NomOrdinateur.

Tches
1.

Instructions spcifiques

Rechercher des comptes d'ordinateurs l'aide des critres suivants de recherche avance

2.

Transfrer des comptes d'ordinateurs vers l'emplacement suivant

" " " " " "

Point de dpart pour la recherche : nwtraders.msft Recherchez : Computers Champ : Nom de l'ordinateur (antrieur Windows 2000) Condition : Commence par Valeur : les trois premires lettres du nom de votre ordinateur Nwtraders.msft/Locations/NomOrdinateur/Computers

Module 2 : Administration des comptes d'utilisateurs et des comptes d'ordinateurs

87

Exercice 5 Recherche et activation de comptes d'utilisateurs


Dans cet exercice, vous allez activer des comptes d'utilisateurs et des comptes d'ordinateurs dans l'unit d'organisation de votre ville.

Scnario
Les ingnieurs systme de NorthWind Traders ont import des comptes d'utilisateurs pour l'ensemble du domaine nwtraders. Les administrateurs systme sont chargs de rechercher les comptes d'utilisateurs dots d'un attribut Ville correspondant leur nom d'ordinateur (NomOrdinateur) et de les activer pour que les utilisateurs puissent se connecter.

Tches
1.

Instructions spcifiques

Rechercher des comptes d'utilisateurs dsactivs dans l'emplacement suivant Activer tous les comptes d'utilisateurs dsactivs

"

Nwtraders.msft/Locations/NomOrdinateur/Users

2.

THIS PAGE INTENTIONALLY LEFT BLANK