TP n°5

TP n°5: Gestion des utilisateurs et connexion à distance

But: Gérer les utilisateurs

Windows 2008 Server
- Machine en serveur simple ou en dehors d'un domaine
  - Gestionnaire des utilisateurs locaux (via mmc, composant "Utilisateurs et groupes locaux")
    - 2 Utilisateurs
      - Administrateur
      - Invité (désactivé)
    - + d'une douzaine de groupes non spéciaux
      - Administrateurs
      - Invités
      - Utilisateurs
      - IIS_IUSRS (groupe créé à l'installation de IIS)
    - Création des utilisateurs "Alpha" et "Beta"
      - Choix d'un login, d'un nom complet et d'une chaine de description
      - Choix d'un mot de passe
      - Configuration des options de compte
    - net accounts: Options de sécurité sur les comptes (s'appliquent à tous les utilisateurs)
    - Propriétés de l'utilisateur Alpha
      - Onglet "Général": Paramètres généraux
      - Onglet "Membre de": Liste des groupes d'appartenance
      - Onglet "Profil": Chemin vers le profils, script d'ouverture de session, chemin vers le répertoire de base (local ou réseau)
        
        Configuration d'un chemin local vers le répertoire de base (C:\Homes\%username%)
        
        Vérification des autorisations placées sur le répertoire créé automatiquement
      - Autres onglets
    - Menu contextuel associé à un utilisateur
      - Changement du mot de passe
      - Changemet du login
      - Suppression (Attention!)
    - Création des groupes "Groupe1" et "Groupe2"
    - Placement de Alpha dans Groupe1 et Groupe2
    - Placement de Beta dans Groupe1
    - Ouverture d'une session de travail pour Alpha (ça marche)
      - Si machine contrôleur de domaine, ouverture de session pour les seuls administrateurs
      - Outils d'administration "Stratégie de sécurité locale" pour configurer:
        
        Stratégie de mot de passe
        
        Stratégie de verrouillage du compte
        
        Stratégie d'audit
        
        Attribution des droites des utilisateurs
        
        Options de sécurité
    - Fermeture session
    - Existence d'un profil local pour Alpha sous C:\Users
    - Travail en ligne de commande
      - net user: Gestion des utilisateurs locaux
      - net localgroup: Gestion des groupes d'utilisateurs locaux
      - net accounts: Visualisation de la politique de sécurité vis à vis des mots de passe

But: Travailler à distance

Windows 2008 Server
- Accès via la mmc
- Accès en Remote Desktop (environnement graphique)
  - Activation du bureau à distance sur l'hôte distant
    - Activation du service et ajout des utilisateurs autorisés du bureau à distance via le panneau de configuration système
    - Modification des propriétés de groupe de ces utilisateurs
  - Depuis une machine Windows
    - Utilisation de l'accessoire "Connexion bureau à distance"
      - Test depuis l'invité
      - Test depuis l'hôte
    - A noter: Par exemple, ces utilisateurs ne peuvent pas éteindre le serveur -> droits limités
    - Essai d'ouverture de bureau à distance pour l'administrateur
    - Sur l'hôte, utilisation du gestionnaire des tâches pour visualiser et gérer les utilisateurs distants en cours
  - Depuis une machine Linux
    - Installation de rdesktop sur l'invité
      - apt-get install rdesktop
    - rdesktop: Lancement de rdesktop

But: Gérer les utilisateurs

Debian
- Travail avec les utilitaires système en GUI
- Travail sur les fichiers texte de configuration
  - Fichiers modifiables "à la mains"
    - /etc/passwd (lisible par all, modifiable uniquement par root) et
      /etc/shadow (illisible par all, lisible et modifiable uniquement par root) pour utilisateurs
    - Fichiers /etc/group (lisible par all, modifiable uniquement par root) et
      /etc/gshadow (illisible par all, lisible et modifiable uniquement par root) pour les groupes d'utilisateurs
  - Un utilisateur appartient à un groupe principal et à 0, 1 ou + groupes secondaires
    - /etc/passwd donne le numéro de groupe principal (GID)
    - /etc/group donne la liste des utilisateurs appartenant à chaque groupe en tant que groupe supplémentaire
  - Duplication de l'utilisateur lpro en lpro2 par copie des lignes correspondant à lpro des fichiers passwd et shadow
  - L'utilisateur lpro2 existe. Il peut se loguer en mode texte (Ctrl-Alt-F1), mais pas en mode graphique car il n'a ni home ni fichiers de configuration dans son home.
- pwck, grpck: Vérification de la cohérence des 4 fichiers précédents
- passwd: Changement du mot de passe d'un utilisateur
- id: Informations concernant un utilisateur
  - UID: id de l'utilisateur
  - GID: id du groupe de l'utilisateur
  - groupes: id des groupes supplémentaires de l'utilisateur
- Travail avec les utilitaires en ligne de commande (rien de véritablement standard, plus ou moins pratique)
  - useradd, groupadd: Ajout d'un utilisateur, ajout d'un groupe d'utilisateurs (utilitaires "standards")
  - userdel, groupdel: Retrait d'un utilisateur, retrait d'un groupe d'utilisateurs (utilitaires "standards")
  - adduser: Ajout d'un utilisateur (utilitaires debian + pratique que useradd)
  - addgroup: Ajout d'un groupe (utilitaires debian + pratique que groupadd)
  - usermod, groupmod: Modification d'un utilisateur, modification d'un groupe d'utilisateurs (utilitaires "standards")
  - Options multiples en ligne de commande
- Exercices
  - Création du groupe "groupe1"
  - Création du groupe "groupe2"
  - Création du compte "alpha"
    - Le placer en groupe principal groupe1 et groupe supplémentaire groupe2
  - Création du compte "beta"
    - Le placer en groupe principal groupe2 et groupe supplémentaire groupe1
  - Vérification des répertoires home et des autorisations placées dessus
  - Utilisation du compte alpha pour ouvrir une session
  - Désactivation du compte beta
    - * à la place du mot de passe dans le fichier /etc/gshadow (inconvénient: perte définitive du mot de passe)
    - Ajout d'une lettre à la chaîne de caractères définissant le mot de passe (! au début par debian)
    - Mise en commentaire de la ligne correspondant au groupe