Administration
(La gestion des utilisateurs, l'approbation entre domaines)

La gestion
des utilisateurs,
groupes
d'utilisateurs
et ordinateurs

Création
  d'un
  utilisateur
Création
  d'un
  groupe
Affectation
  répertoire
  de base
  et profil
  itinérant
  à utilisateur
Affectation
  script
  d'ouverture
  de session
  à utilisateur
Création
  ordinateur
Création
  d’un groupe
  d'ordinateurs
Opérations
  à maître
  unique

L'approbation
entre
domaines

Création
  d'une relation
  d'approbation

Propriétés
  et validation
  d'une relation
  d'approbation

Utilisations
  d'une relation
  d'approbation

Opération
  à maître
  unique

 

RETOUR

La gestion des utilisateurs, des groupes d'utilisateurs et des ordinateurs du domaine

Cet outil réalise l'administration des utilisateurs, des groupes d’utilisateurs et des ordinateurs d'un domaine (il leur est attribué un compte):

  • création,
  • destruction,
  • propriétés,
  • ...

Interface générale

Groupes créés à l'installation

Utilisateurs et groupes d'utilisateurs du domaine

Contrôleurs de domaine du domaine
(PENELOPE a été ajouté en contrôleur supplémentaire)

Ordinateurs du domaine

Menus contextuels associés aux clés ADS

Utilisateurs
et Ordinateurs
Active Directory

Domaine

Builtin

Users

Création d’un nouvel utilisateur

Défini par son nom (unique).

Choix des paramètres de création:
nom de login Windows 2000 (obligatoire),
nom de login de compatibilité NetBIOS,
nom détaillé

Choix des paramètres de création:
mot de passe (obligatoire),
obligation ou non de changer le mot de passe
à la prochaine ouverture de session,
interdiction ou non de changement de mot de passe,
pas d'expiration du mot de passe
même en cas de limite de validité temporelle,
compte désactivé ou non

Menu contextuel associé à un utilisateur

Changement du mot de passe d'un utilisateur

Réinitialisation du mot de passe

Propriétés d’un utilisateur

Paramètres généraux

Adresse postale

Principales propriétés du compte

Options configurables

Horaire d'accès

Stations d'accès

Configuration du profil

Numéros téléphoniques de l'utilisateur

Implantation hiérarchique de l'utilisateur
dans son entreprise

Groupes d'appartenance de l'utilisateur

Contrôle à distance des paramètres Terminal Server

Profil utilisateur en cas d'utilisation
de Terminal Server

Paramètres d'accès entrant RAS ou VPN

Démarrage des services Terminal Server

Time out Terminal Server

Création d’un groupe

Création d'un nouveau groupe:
défini par son nom (unique),
défini sur le domaine local ou globalement,
groupe de sécurité ou de distribution

Résultat

Menu contextuel associé à un groupe

Propriétés générales d'un groupe

Propriétés d'un groupe: Membres

Propriétés d'un groupe:
Groupes dont il est membre

Propriétés d'un groupe:
Utilisateur gestionnaire

Ajout de l'utilisateur "Einstein" dans le groupe "Physiciens"

Affectation d'un répertoire de base et d'un profil itinérant à un utilisateur

Création d'un répertoire destiné à héberger
les répertoires de base et les profils itinérants

Partage de ce répertoire (sous le nom Users) et configuration
des autorisations sur le répertoire et sur le partage

Résultat du partage

Configuration de l'utilisateur concerné
dans l'onglet profil de ses propriétés
au sein du gestionnaire des utilisateurs

Possibilité d'utiliser la variable d'environnement
%USERNAME% pour désigner un utilisateur

Le gestionnaire des utilisateurs
crée lui-même le répertoire de base
et lui affecte les permissions en limitant
l'accès au seul administrateur et à l'utilisateur

Montage automatique du répertoire de base en unité Z:

Configuration de l'unité Z:
en unité implicite pour les programmes

Après la première ouverture puis fermeture de session,
le profil de l'utilisateur est sauvegardé
dans le répertoire profils.
Le profil est obtenu par copie du profil
"Default User" de la première machine cliente.

Accès restreint au seul utilisateur

Après fermeture de session, maintient "en cache"
de l'ancien profil dans le répertoire
"Documents and Settings" du poste client

Affectation d'un script d'ouverture de session

Configuration de l'utilisateur concerné
dans l'onglet profil de ses propriétés
au sein du gestionnaire des utilisateurs

Localisation des scripts dans le répertoire
\WINNT\SYSVOL\domain\scripts

Contenu du script Begin.cmd

Résultat à l'ouverture de session de l'utilisateur

Création d’un nouvel ordinateur

Défini par son nom (unique).

Création de l'ordinateur
Possibilité de le déclarer en tant que machine
à système prè Windows 2000 ou non
Possibilité de le déclarer en tant que controleur supplémentaire
ou en tant que membre simple

Résultat

Création d’un groupe d'ordinateurs

UsersNouveauGroupe01.gif (9437 octets)

Création d'un nouveau groupe "classique"

UsersNouveauGroupe02.gif (8341 octets)

Ajout des ordinateurs ARGOS et ULYSSE

UsersNouveauGroupe03.gif (10103 octets)

Résultat

Maitres d'opérations (opérations à maître unique)

Via l'option "Maîtres d'opérations" sur une clé de domaine

MaitreRID.gif (9021 octets)

Configuration du maître des ID relatives

MaitreEmulateurPDC.gif (9319 octets)

Configuration du maître d'émulation PDC

MaitreInfrastructure.gif (9033 octets)

Configuration du maître d'infrastructure

L’approbation entre domaines

Via l'établissement d'une relation d'approbation entre les domaines A et B, un utilisateur du domaine A pourra utiliser les ressources du domaine B (ie l'administrateur de B pourra utiliser les comptes du domaine A pour attribuer des autorisations et donc rendre l'utilisation de ses propres ressources aux utilisateurs de B, domaine de ressouce). Cela peut même autoriser un utilisateur du domaine A à ouvrir une session de travail sur les machines du domaine B comme s'il était connecté sur une machine de son propre domaine (connexions automatiques, profil itinérant, ...).

L'établissement d'une relation d'approbation met en jeu la participation des administrateurs du domaine des deux domaines.
L'administrateur de A devra autoriser l'administrateur de B à l'approuver. Ensuite B pourra approuver A.

L'approbation parent-enfant entre domaines Windows 2003 ou 2000 est commutative et transitive. Les approbations externes (avec domaine Windows NT 4.0 ou NT 3.51 ou avec domaine d'une autre forêt) ne sont ni commutatives, ni transitives.

Menu contextuel
associé à la clé
"Domaines et approbations
Active Directory"

Menu contextuel
associé
à un domaine
référencé

Propriétés d'un domaine référencé

Après installation initiale, un domaine Windows 2000
est configuré en mode mixte,
i.e. il interopère avec les domaines
des versions antérieures de Windows

Autres domaines approuvés
Autres domaines qui vous approucvent
Pour l'instant, rien nul part

Utilisateur gestionnaire

Création d'une relation d'approbation

Exemple: On souhaite que les utilisateurs du domaine Windows NT 4.0 IUP_INFO soient autorisés sur les machines du domaine Windows 2003 w2k3.univ-fcomte.fr (et réciproque).

  • S'assurer que les contrôleurs de domaine des deux domaines qui vont être utilisés pour la manipulation sont à même de communiquer l'un avec l'autre (protocole de communication correctement configuré, résolution de noms fonctionnelle).
  • Au moyen du gestionnaire des utilisateurs d'un contrôleur du domaine IUP_INFO, configurer une autorisation d'approbation (attribution d'un mot de passe) pour le domaine w2k3.univ-fcomte.fr (W2K3 en terminologie NT 4.0).

Approbation préparée du coté Windows NT 4.0

  • Au moyen du gestionnaire d'approbation d'un contrôleur du domaine w2k3.univ-fcomte.fr, configurer l'approbation des utilisateurs du domaine IUP_INFO (indication du mot de passe créé à cette intention).

Approbation01.gif (10994 octets)

Aucune relation d'approbation établie

ApprobationCreation01.gif (19677 octets)

Lancement de l'assistant de création d'une nouvelle approbation

ApprobationCreation02.gif (20423 octets)

Indication du domaine cible

ApprobationCreation03.gif (25932 octets)

Sens de l'approbation (bidirectionnelle, entrante ou sortante)

ApprobationCreation04.gif (27415 octets)

Niveau d'authentification

ApprobationCreation05.gif (24469 octets)

Indication du mot de passe de la relation d'approbation

ApprobationCreationConfirmation.gif (13357 octets)

Confirmation de la création de la relation d'approbation

ApprobationCreationAcquittement.gif (13332 octets)

Relation d'approbation créée -> Configuration

Relation d'approbation bidirectionnelle configurée du coté NT 4.0 pour que la confirmation de l'approbation fonctionne.

ApprobationCreationConfirmation01.gif (20062 octets)

Confirmation de l'approbation sortante

ApprobationCreationConfirmation02.gif (13759 octets)

Confirmation de l'approbation entrante

ApprobationCreationConfirmationFin.gif (17478 octets)

Approbation configurée et fonctionnelle dans les deux sens

ApprobationCreationFin01.gif (8079 octets)

Information

ApprobationCreationFin02.gif (11422 octets)

Nouvel état des relations d'approbation

Propriétés et validation d'une relation d'approbation

AppropriationProprietes01.gif (12438 octets)

Propriétés générales

ApprobationProprietesValidation01.gif (8877 octets)

Demande de validation

ApprobationProprietesValidation02.gif (6254 octets)

Validation effectuée

AppropriationProprietes02.gif (11313 octets)

Authentification

Utilisations d'une relation d'approbation

  • Ouverture de session de travail sur des machines d'autres domaines comme si ces machines appartenaient au domaine natif du compte
  • Utilisation sécurisée de ressources réseau proposées sur des serveurs d'autres domaines

ApprobationAffectationAutorisations01.gif (14420 octets)

Affectation d'autorisations sur un répertoire

ApprobationAffectationAutorisations02.gif (8512 octets)

Fenêtre d'ajout d'un utilisateur ou d'un groupe d'utilisateurs

ApprobationAffectationAutorisations03.gif (8599 octets)

Deux domaines reconnus comme emplacement

ApprobationAffectationAutorisations04.gif (8194 octets)

Recherche dans le domaine IUP_INFO

ApprobationAffectationAutorisations05.gif (18164 octets)

Utilisation du bouton "Avancé..." pour visualiser
les utilisateurs eu groupes d'utilisateurs possibles

ApprobationAffectationAutorisations06.gif (8311 octets)

Choix de l'administrateur du domaine IUP_INFO

ApprobationAffectationAutorisations07.gif (14543 octets)

IUP_INFO\Administrateur dans la liste des autorisations

Maitre d'opérations (Opération à maître unique)

Via l'option "Maître d'opérations" sur la clé "Domaine et approbation Active Directory"

MaitreAttributionNomsDomaine.gif (7955 octets)

Configuration du maître d'attribution des noms de domaine

Suite