Windows Server 2008 R2: Comprendre les Utilisateurs et les Groupes Locaux (partie 1) – Administrer les Utilisateurs et les Groupes Locaux

Même si vous utilisez Active Directory, vous devez toujours comprendre le fonctionnement des utilisateurs et des groupes locaux. Les utilisateurs et les groupes locaux jouent un rôle clé non seulement pour la maintenance, mais aussi pour l’administration centrale.

Dans cette section, vous verrez comment gérer les utilisateurs et les groupes locaux sur les installations de serveur complet Windows Server 2008 R2 et les installations de base de serveur. Vous apprendrez également les utilisateurs/groupes locaux par défaut et les paramètres par défaut sur ces serveurs et comment ces paramètres affectent votre infrastructure.

1. Apprendre les utilisateurs et groupes locaux par défaut

Que vous travailliez avec une installation complète de Windows Server 2008 R2 ou avec le noyau de serveur, la gestion des groupes locaux présente de grandes similitudes. À partir des installations par défaut, les deux systèmes ont les mêmes utilisateurs et groupes par défaut installés.

Sur votre serveur Windows Server 2008 R2, par défaut, vous avez deux comptes d’utilisateurs créés, Administrateur et Invité.

  • Administrateur est le compte intégré par défaut pour l’administration de la machine locale. Le compte administrateur est par défaut le seul compte activé.

  • L’invité est le compte intégré par défaut pour l’accès des invités au système ; cependant, le compte est désactivé par défaut.

Le tableau 1 décrit plusieurs autres groupes installés par défaut que vous devez connaître.

Tableau 1. Groupes Locaux Par Défaut
Définition et utilisation du groupe
Administrateurs Ce groupe a un accès illimité à l’ordinateur local. Ce compte est le compte principal pour accomplir n’importe quelle tâche sur un serveur. Par défaut, le compte administrateur est le seul membre de ce groupe.
Opérateurs de sauvegarde Ce groupe, comme son nom l’indique, est conçu pour la sauvegarde et la restauration de fichiers sur le serveur.
Service de certificats Accès DCOM Ce groupe est autorisé à se connecter aux autorités de certification pour l’inscription dans votre infrastructure à clé publique préférée.
Opérateurs cryptographiques Ce groupe est autorisé et autorisé à effectuer des opérations de cryptographie sur votre serveur. Ces paramètres incluent les paramètres crypto de la stratégie IPSec du pare-feu Windows, entre autres paramètres.
Utilisateurs COM distribués Ce groupe peut activer et lancer des objets DCOM sur le serveur. Les objets DCOM sont utilisés pour les communications des applications.
Lecteurs de journaux d’événements Ce groupe peut utiliser et lire les journaux d’événements locaux sur le serveur.
Invités Les utilisateurs de ce groupe ont par défaut le même accès que le groupe d’utilisateurs, à l’exception du compte Invité, qui est encore restreint. Par défaut, le seul compte de ce groupe est le compte Invité désactivé.
IIS_IUSRS Il s’agit du compte de groupe par défaut à utiliser avec Internet Information Services.
Opérateurs de configuration réseau Les utilisateurs de ce groupe disposent de certains privilèges d’administration sur la gestion de la configuration des fonctionnalités réseau sur le serveur.
Utilisateurs du journal des performances Ce groupe permet à ses utilisateurs de planifier la journalisation des compteurs de performances, d’activer les fournisseurs de traces et de collecter des traces d’événements pour le serveur local. Les tâches peuvent être effectuées localement ou à distance.
Utilisateurs du moniteur de performances Ce groupe peut accéder aux données du compteur de performances local localement ou via une administration à distance.
Utilisateurs expérimentés Ce groupe a des capacités administratives limitées sur le système et est principalement inclus pour la rétrocompatibilité avec les systèmes d’exploitation précédents.
Opérateurs d’impression Ces utilisateurs peuvent utiliser et administrer des imprimantes sur le système serveur local.
Utilisateurs de bureau à distance Les utilisateurs de ce groupe ont le droit de se connecter à distance au serveur.
Replicator Ce groupe est conçu pour la réplication de fichiers.
Les utilisateurs ont un accès administratif limité au système pour empêcher les membres d’apporter par inadvertance des modifications pouvant entraîner des modifications à l’échelle du système ; cependant, les utilisateurs de ce groupe peuvent exécuter et accéder à la plupart des applications.

Le fait de placer des comptes d’utilisateurs dans ces groupes locaux leur donnera accès aux autorisations et responsabilités appropriées pour les groupes. Le concept de base de l’utilisation des groupes vous permet d’attribuer des autorisations une seule fois au groupe, accordant ainsi des autorisations à tous les membres du groupe. Cela vous permet de déléguer facilement l’administration de votre serveur. Par exemple, si vous souhaitez qu’un utilisateur effectue une sauvegarde quotidienne de votre serveur, il vous suffit de l’ajouter au groupe Opérateurs de sauvegarde, et les droits nécessaires lui seront accordés pour effectuer des opérations de sauvegarde et de restauration.

2. Administrer les utilisateurs et groupes locaux

La gestion des groupes d’utilisateurs locaux sur votre serveur consiste simplement à charger le composant logiciel enfichable approprié pour la console de gestion Microsoft (MMC). Vous pouvez gérer une installation complète du serveur Windows Server 2008 R2 ou une installation du cœur du serveur. Cependant, si vous souhaitez gérer les utilisateurs et les groupes locaux sur votre installation de base de serveur avec le MMC, vous devrez le faire à distance. Il existe des commandes système vous permettant de gérer le cœur du serveur localement, et vous verrez ces commandes plus loin dans cette section. Pour accéder aux groupes d’utilisateurs locaux, vous pouvez accéder au panneau de configuration pour gérer les comptes, ou vous pouvez préférer un examen plus approfondi des utilisateurs. Vous verrez les outils de gestion des utilisateurs locaux et des groupes pour une installation complète du serveur et du noyau du serveur dans les étapes suivantes.

  1. Sélectionnez Démarrer = > Exécuter, tapez MMC et appuyez sur Entrée. Cela charge un MMC vierge, comme le montre la figure 1.

    Figure 1. MMC vierge

  2. Pour effectuer un travail dans n’importe quel MMC vierge, vous devez charger le composant logiciel enfichable approprié. Pour charger des composants enfichables, sélectionnez File=> Ajouter/Supprimer des composants enfichables. Cela chargera la boîte de dialogue Ajouter ou Supprimer des composants enfichables, comme illustré à la figure 2.

    Figure 2. Ajout de composants enfichables

    Pour gérer vos utilisateurs et groupes locaux, sélectionnez le composant logiciel enfichable Utilisateurs et groupes locaux, puis cliquez sur le bouton Ajouter. Cela ouvrira la boîte de dialogue Choisir la machine cible, comme illustré à la figure 3.

    Figure 3. Machine cible

    Dans la boîte de dialogue Choisir une machine cible, vous pouvez sélectionner l’ordinateur local pour gérer les utilisateurs sur la machine à partir de laquelle vous utilisez la console ou sélectionner le bouton radio Autre ordinateur et entrer l’adresse IP ou le nom de l’ordinateur que vous souhaitez gérer. Cette option vous permettra de gérer les utilisateurs et les groupes locaux sur un serveur distant tel que Server Core, si vous disposez des autorisations appropriées. Après avoir effectué votre sélection, cliquez sur Terminer pour revenir à la boîte de dialogue Ajouter ou supprimer des composants enfichables.

  3. Dans la boîte de dialogue Ajouter ou supprimer des composants enfichables, cliquez sur OK pour charger le composant enfichable dans votre MMC. La figure 4 montre un MMC d’utilisateurs locaux et de groupe.

    Figure 4. Gestion des utilisateurs et des groupes locaux

    Après avoir chargé vos composants enfichables dans le MMC, vous pouvez enregistrer votre MMC personnalisé pour une utilisation future. Pour ce faire, sélectionnez File=> Save.

Après avoir chargé le MMC pour gérer les utilisateurs et les groupes locaux, vous pouvez facilement travailler avec vos utilisateurs et groupes. La création d’identifiants et de groupes d’utilisateurs, la modification de mots de passe ou d’autres propriétés peuvent être facilement effectuées avec l’interface.

2.1. Créer un compte d’utilisateur local

Lorsque vous créez un compte d’utilisateur local, vous autorisez le compte à accéder au serveur local, ce qui est un processus simple:

  1. Dans le MMC Utilisateurs locaux et Groupe que vous avez créé dans la procédure précédente, cliquez avec le bouton droit sur le conteneur Utilisateurs.

  2. Sélectionnez Nouvel utilisateur, qui affichera la boîte de dialogue Nouvel utilisateur, comme le montre la figure 5.

    Figure 5. Boîte de dialogue Nouvel utilisateur

  3. Saisissez le nom d’utilisateur, le nom complet et la description facultative, ainsi que le mot de passe. Le mot de passe par défaut doit respecter les exigences de complexité du mot de passe répertoriées dans la barre latérale  » Exigences de mot de passe par défaut « . De plus, vous pouvez marquer le compte désactivé si vous savez que le compte ne sera pas utilisé pendant un certain temps. Vous disposez également des options suivantes concernant la configuration du mot de passe initial:

    L’utilisateur Doit Changer le mot de passe Lors de la prochaine connexion C’est le paramètre par défaut, et vous devriez envisager de garder cette case à cocher activée lorsque vous créez un nouveau compte utilisateur. La seule fois où vous devez décocher cette case est lorsque le compte que vous créez sera un compte de service pour une application. Ce paramètre permet à l’utilisateur de définir son propre mot de passe personnel lorsqu’il se connecte au système pour la première fois. Tout ce que vous devez faire en tant qu’administrateur est de définir un mot de passe temporaire initial pour l’utilisateur. Vous voudrez peut-être connaître les mots de passe de vos utilisateurs au cas où un utilisateur quitterait l’entreprise ou serait en vacances. En réalité, tant que vous connaissez le mot de passe administrateur, vous avez le droit administratif de réinitialiser temporairement un mot de passe et d’accéder à un compte. Bien qu’il soit bon d’avoir cette capacité, vous devez l’exercer avec prudence et uniquement lorsque la situation le justifie.

    L’utilisateur Ne peut Pas Modifier le Mot de passe Par défaut ce paramètre est grisé et n’est disponible que lorsque vous désactivez le paramètre L’Utilisateur Doit Changer le Mot de passe Lors de la prochaine connexion, mentionné précédemment. Cela vous permet de vous assurer que le mot de passe du compte ne change pas. Ceci est également utile pour les comptes de service pour les applications chargées sur votre serveur. Ce paramètre contournera également toute stratégie de compte de mot de passe de machine locale.

    Le mot de passe n’expire jamais Par défaut ce paramètre est également grisé, et comme le paramètre précédent, il ne devient disponible que lorsque l’Utilisateur Doit Changer de mot de passe Lors de la prochaine connexion le paramètre est effacé. Le paramètre, comme son nom l’indique, verrouille le mot de passe. Ce paramètre contournera également toute stratégie de mot de passe de machine locale.

  4. Après avoir rempli le formulaire, cliquez sur Créer pour créer le compte. Si votre mot de passe ne répond pas aux exigences de complexité du mot de passe, vous verrez l’écran de la figure 6.

    Figure 6. Erreur de complexité du mot de passe

    Exigences de mot de passe par défaut

    Les exigences de mot de passe par défaut sont les mêmes pour les comptes d’utilisateurs locaux et les comptes d’utilisateurs Active Directory. Les exigences de mot de passe par défaut pour un serveur Windows Server 2008 R2 sont les suivantes:

    • Ne peut pas contenir le nom de compte de l’utilisateur ou des parties du nom complet de l’utilisateur qui dépassent deux caractères consécutifs

    • Avoir au moins six caractères de longueur

    • Contient des personnages de trois des quatre catégories suivantes:

      Caractères majuscules anglais (A-Z)

      Caractères minuscules anglais (a-z)

      Base 10 chiffres (0-9)

      Caractères non alphabétiques (par exemple!, $, #, %)

  5. Si vous n’avez plus de comptes d’utilisateurs locaux à créer, cliquez sur Fermer. Sinon, répétez les étapes 3 et 4 pour continuer à créer des comptes locaux sur votre serveur.

2.2. Créer un groupe local

Après avoir créé vos comptes d’utilisateurs, vous souhaiterez probablement créer des groupes auxquels ajouter vos utilisateurs. Comme vous le savez peut-être, les groupes sont utilisés pour accorder des autorisations généralement aux fichiers ou aux imprimantes situés sur le serveur Windows Server 2008 R2. Ces groupes locaux peuvent se voir accorder des droits et des autorisations sur des ressources uniquement sur le serveur local.

  1. Dans le MMC Utilisateurs locaux Et Groupe que vous avez créé précédemment, cliquez avec le bouton droit sur le conteneur Groupes.

  2. Sélectionnez Nouveau groupe, qui affichera la boîte de dialogue Nouveau groupe, comme le montre la figure 7.

    Figure 7. Boîte de dialogue Nouveau groupe

    Saisissez le nom du nouveau groupe et une description. Pour ajouter immédiatement des membres à votre groupe, cliquez sur le bouton Ajouter en bas de l’écran. Cliquer sur le bouton Ajouter affiche la boîte de dialogue Sélectionner les utilisateurs, comme indiqué à la figure 8.

    Figure 8. Boîte de dialogue Sélectionner les utilisateurs

    Pour ajouter des utilisateurs, vous pouvez les saisir dans la zone de texte nom. Pour vérifier l’orthographe des noms d’utilisateur que vous souhaitez ajouter, vous pouvez cliquer sur Vérifier les noms, ce qui vérifiera les noms d’utilisateur pour vous. Vous pouvez également cliquer sur le bouton Avancé, qui développera la boîte de dialogue pour vous permettre de lister tous les comptes d’utilisateurs sur le système. Cette boîte de dialogue a une option Rechercher maintenant pour vous permettre de lister rapidement tous les utilisateurs du système. Si vous cliquez sur Rechercher maintenant, vous verrez un écran similaire à la figure 9.

    Figure 9. Sélection avancée des utilisateurs

  3. Après avoir cliqué sur Rechercher maintenant, vous verrez une liste d’utilisateurs sur le système, ainsi que des comptes d’utilisateurs et de groupes du système local. Sélectionnez le ou les utilisateurs que vous souhaitez faire partie de votre groupe. Pour sélectionner plusieurs utilisateurs, vous pouvez maintenir la touche Ctrl de votre clavier enfoncée lorsque vous cliquez. Vous pouvez également sélectionner une liste en utilisant la touche Maj. Si vous cliquez sur l’élément supérieur de votre liste, maintenez la touche Maj enfoncée et cliquez sur l’élément inférieur de votre liste, vous sélectionnerez tous les éléments compris entre votre sélection supérieure et inférieure.

Groupes d’identité spéciaux

Vous remarquerez peut-être que lorsque vous ajoutiez des utilisateurs à votre groupe, vous aviez plusieurs autres comptes et groupes que vous n’aviez pas créés. Ce sont des groupes d’identité spéciaux, et vous ne pouvez pas contrôler l’appartenance de ces groupes. Vos utilisateurs deviennent membres de ces groupes par le cours des actions qu’ils effectuent sur vos serveurs ou la façon dont ils accèdent aux serveurs, et l’adhésion à ces groupes est temporaire et change normalement en fonction de la façon dont l’utilisateur travaillera avec le système. Les groupes système peuvent être utilisés pour aider à définir des autorisations en fonction de la façon dont les utilisateurs accèdent au serveur ou interagissent avec lui. Le tableau 2 répertorie quelques groupes de systèmes que vous pouvez rencontrer lorsque vous travaillez avec le serveur.

Les groupes qui ne sont pas répertoriés dans le tableau sont normalement des groupes système réservés à l’utilisation du système d’exploitation et des services exécutés sur votre serveur Windows Server 2008 R2. En particulier, vous devez porter une attention particulière à un compte d’identité spécial, le compte SYSTÈME. Le compte SYSTÈME représente le système d’exploitation Windows Server 2008 R2. Lorsque vous travaillez avec les fichiers sur votre serveur et les droits d’utilisateur, vous pouvez rencontrer le compte SYSTÈME et vous devez laisser ce compte non modifié. Si vous modifiez les autorisations ou les droits dont dispose le compte SYSTÈME sur votre serveur, vous pouvez désactiver votre serveur, ce qui peut entraîner la réinstallation du système d’exploitation.

Tableau 2. Groupes d’Identité Spéciaux
Groupe Description
Connexion anonyme Cela représente le moment où les utilisateurs n’utilisent aucune information d’identification pour accéder au système.
Utilisateurs authentifiés Les utilisateurs sont automatiquement placés dans ce groupe lorsqu’ils se connectent localement au système. L’utilisation de ce groupe est un excellent moyen de s’assurer que seuls les utilisateurs valides et authentifiés peuvent accéder aux ressources.
Propriétaire du créateur Lorsqu’un utilisateur crée un objet, tel qu’un fichier ou un dossier sur le serveur, il est placé dans le groupe Propriétaire du créateur de cet objet. De manière générale, l’utilisateur propriétaire du créateur a un contrôle total sur l’objet créé.
Dialup Lorsqu’un utilisateur se connecte au serveur via une connexion commutée, telle qu’une connexion VPN distante, il est ajouté à ce groupe.
Tout le monde Tout le monde est membre de ce groupe, quelle que soit la façon dont il accède au serveur.
Interactive Lorsqu’un utilisateur se connecte localement au serveur (en d’autres termes, il a un accès physique au serveur et se connecte physiquement au serveur), les utilisateurs sont placés dans ce groupe.
Réseau Lorsqu’un utilisateur accède au serveur à distance via une connexion réseau, par exemple lorsqu’il se connecte à un partage de fichiers, il est placé dans ce groupe.
Connexion interactive à distance Lorsqu’un utilisateur accède au serveur à distance avec un ID utilisateur local et se connecte activement au système pour effectuer des tâches à distance, par exemple lorsqu’un administrateur se connecte au serveur à partir d’un poste de travail distant, il est placé dans ce groupe.
System Il s’agit de l’ID de groupe de comptes utilisé par le système d’exploitation Windows Server 2008 R2.
Utilisateur de Terminal Server Lorsque les utilisateurs accèdent au serveur à l’aide des Services de bureau à distance, ils sont automatiquement placés dans ce groupe.

2.3. Gérer vos utilisateurs et groupes locaux

Une fois la création de vos groupes d’utilisateurs terminée, vous devrez gérer et gérer les comptes locaux. Pour commencer à gérer les groupes locaux, cliquez simplement avec le bouton droit de la souris sur l’utilisateur ou le groupe que vous souhaitez gérer. Ils partagent certaines tâches communes. Lorsque vous cliquez avec le bouton droit sur un utilisateur ou un groupe, vous pouvez supprimer, renommer, ouvrir l’aide ou afficher les propriétés uniques de l’objet.

Lorsque vous cliquez avec le bouton droit de la souris sur l’utilisateur, vous pouvez définir un nouveau mot de passe pour l’utilisateur. La seule fois où vous devez définir le mot de passe d’un compte existant est si l’utilisateur a oublié ou perdu son mot de passe. L’utilisateur perdra l’accès à des informations telles que des fichiers cryptés, des mots de passe Internet stockés (bien que l’utilisateur puisse les recréer avec le nouveau mot de passe), des e-mails cryptés avec la clé publique de l’utilisateur et tous les certificats stockés (encore une fois, de nouveaux certificats peuvent être émis pour toujours accorder l’accès). Le risque potentiel ici est de perdre des données dans des fichiers qui ont été cryptés par le système de fichiers cryptés (EFS). Si vous avez sauvegardé vos clés de récupération, vous pourrez récupérer des données; cependant, s’il n’y a pas de sauvegarde des clés, vous ne pourrez pas accéder aux données.

Lorsque vous cliquez avec le bouton droit sur un compte d’utilisateur, vous avez le choix de définir le mot de passe. Lorsque vous sélectionnez l’option, vous recevrez l’avertissement illustré à la figure 10.

Figure 10. Réglage de l’avertissement de mot de passe

Lorsque vous cliquez avec le bouton droit de la souris sur un groupe et sélectionnez Ajouter au groupe, le processus d’ajout de membres à votre groupe démarre comme lors de la procédure précédente lors de la création du groupe. De plus, lorsque vous sélectionnez l’option Propriétés après avoir cliqué avec le bouton droit de la souris sur le groupe, vous accédez aux propriétés dans lesquelles vous pouvez utiliser la boîte de dialogue Ajouter des membres.

Lorsque vous sélectionnez l’option Propriétés après un clic droit, une liste des propriétés que vous pouvez modifier pour le compte d’utilisateur s’ouvre, comme le montre la figure 11.

Les propriétés répertoriées ici sont la documentation de la pièce et la configuration du compte de pièce. Les onglets listés vous permettront de configurer les informations de base sur le nom d’utilisateur et la description et l’appartenance au groupe. Vous pouvez également définir des propriétés pour les informations de connexions aux Services de bureau à distance, les profils d’utilisateur, les informations de répertoire personnel et l’accès par numérotation.

Figure 11. Propriétés de l’utilisateur

2.4. Gérer les utilisateurs et les groupes locaux sur le noyau de serveur

Il se peut que vous n’ayez pas accès à une console de gestion Microsoft et que vous deviez peut-être apporter des modifications aux utilisateurs et groupes locaux sur une installation de noyau de serveur Windows Server 2008 R2. Vous pouvez ajouter, supprimer et modifier tous les aspects des utilisateurs et groupes locaux via l’invite de commande. Plus précisément, la commande net est la façon dont vous travaillez avec les utilisateurs et les groupes directement sur le cœur du serveur. La commande net fonctionnera également sur une installation complète du serveur Windows Server 2008 R2.

La commande net a de nombreuses fonctions, y compris le démarrage et l’arrêt des services et la configuration de l’adresse IP sur le serveur. Vous verrez dans cette section comment utiliser la commande net pour travailler avec vos utilisateurs et groupes locaux.

Toutes les commandes net commencent par net ; pour les utilisateurs, cela sera suivi par user, et pour les groupes locaux, cela sera suivi par localgroup. Par exemple, pour afficher la liste actuelle de vos utilisateurs locaux ou de vos groupes locaux, tapez l’une des commandes simples suivantes et appuyez sur Entrée:

  • Utilisez l’utilisateur net pour afficher une liste d’utilisateurs locaux.

  • Utilisez net localgroup pour afficher une liste de groupes locaux.

Pour ajouter un utilisateur ou un groupe local au système, les commandes suivent une syntaxe similaire. Les commandes incluront le commutateur /add. Par exemple, pour ajouter un utilisateur nommé Harold avec un mot de passe de à votre système, vous devez utiliser la commande suivante:

net user Harold /add

Pour ajouter un groupe local appelé Writers à votre serveur, vous devez utiliser la commande suivante:

net localgroup Writers /add

Pour ajouter Harold au groupe d’écrivains, vous devez utiliser la commande suivante:

net localgroup Writers Harold /add

Pour voir l’appartenance actuelle des rédacteurs de groupe locaux, vous devez utiliser la commande suivante : 

net localgroup Writers

Write a Comment

Votre adresse e-mail ne sera pas publiée.