par Paul Niser
La gestion des comptes d'utilisateurs est la seule fonction partagée par tous
les administrateurs. Microsoft encourage l'utilisation du Gestionnaire des utilisateurs
(ou du Gestionnaire des utilisateurs pour les domaines) pour ajouter, modifier
ou supprimer un compte. Mais, si les tâches de gestion des comptes deviennent
de plus en plus fréquentes, il faut bien reconnaître que l'utilisation du Gestionnaire
des utilisateurs prend beaucoup de temps. Il faut, par exemple, au minimum huit
clics de souris pour désactiver ou renommer un compte. Pour créer un nouveau compte
avec quelques appartenances à des groupes, un répertoire d'origine et un chemin
de profil, il faut au moins une bonne vingtaine de clics - c'est vraiment trop.Les méthodes qui font appel aux lignes de commande sont beaucoup plus efficaces,
simples et rapides que le Gestionnaire des utilisateurs. Ces utilitaires, notamment
Addusers, Xcacls, Nltest, Sleep, Rmtshare et Cusrmgr, se trouvent dans le Kit
de ressources de Windows 2000 Server et dans celui de Windows NT 4.0. Il est important
de bien comprendre comment ces utilitaires d'administration peuvent, utilisés
conjointement, simplifier la gestion des comptes et de l'environnement. C'est
là un plus à ne pas négliger.
Prenez le contrôle de vos tâches de gestion
L’élément le plus fondamental de la gestion des comptes d’utilisateurs est la
création de nouveaux comptes. Ce processus consiste généralement à créer le répertoire
d’origine des comptes et les chemins des profils, la définition de permissions
sur les répertoires d’origine et de profils, et la définition de partages.
Les outils de lignes de commande peuvent accélérer le processus de création, mais
l’exécution manuelle de chacun d’eux pour créer chaque compte d’utilisateur annulerait
l’avantage du gain de temps. Pour éviter ce problème, il suffit d’écrire un simple
fichier batch, baptisé newu.bat, intégrant le code de chaque outil et chaque étape
du processus de création des comptes.
Pour comprendre le fonctionnement de ce fichier batch, créons un compte pour une
nouvelle utilisatrice, Jennifer Hansen. Son nom d’utilisatrice est jhansen et
la description de son compte est Gestion. Les paramètres de son répertoire d’origine
désignent l’unité H dans un serveur de fichiers local, baptisé servera, et elle
possède un profil errant sur servera. Ses dossiers d’origine et de profil sont
tous deux à son nom. Son mot de passe est temppwd. Son compte exécute logonscr.bat
comme script d’ouverture de session. (La Figure 1 montre le fichier newu.bat dans
sa totalité).
Script de création d’un nouvel utilisateur S:\scripts> Newu.bat hansen Jennifer Hansen temppwd management |
Création du compte. La première tâche consiste à créer réellement
le nouveau compte d’utilisateur. Pour ce faire, l’outil Addusers du kit de ressources
est idéal, surtout si l’on mappe les lettres d’unité pour les répertoires d’origine.
(Les utilisateurs qui préfèrent ne pas utiliser un outil du kit de ressources,
peuvent se servir de la commande Net User pour effectuer cette étape, mais Net
User ne fonctionne pas lorsqu’on se connecte avec des chemins UNC – Uniform Naming
Convention – pour les répertoires d’origine). Pour en savoir plus sur l’utilisation
de Net User, voir l’encadré » Une commande toute simple « ). Addusers est utile
pour créer des comptes d’utilisateurs individuels, mais c’est également un outil
superbe pour créer plusieurs comptes simultanément.
Associés aux scipts batch, les outils de lignes de commande peuvent accélérer
le processus de création
L’outil appelle un processus en deux parties. Il faut commencer par créer un fichier
texte d’import à utiliser avec addusers.exe, puis exécuter addusers.exe. Le fichier
texte doit suivre un format standardisé :
username,first_name last_name,
password,account_description,
home_drive_letter:,home_drive_
path,profiles_path,logon_script_name
On peut donner à ce fichier un nom simple, comme nomutilisateur.txt, sachant que
nomutilisateur est le nom de l’utilisateur pour lequel le compte est créé Pour
Jennifer, créez le fichier suivant, baptisé hansen.txt :
[User]
hansen,Jennifer Hansen,temppwd,
management,H:,\\servera\hansen$,
\\servera\profiles$\hansen,logonscr.bat
Pour créer hansen.txt à la volée, commencez le script newu.bat par le code suivant,
qui se lit en paramètres à partir de la ligne de commande :
echo %1,%2 %3,%4,%5,H:,
\\servera\%1$,\\servera
\profiles$\%1,logonscr.bat >> \\adminhost\scripts\newusers\%1.txt
Après avoir créé le fichier texte, exécutez Addusers pour créer le nouveau compte
d’utilisateur. Addusers peut s’utiliser pour créer des comptes d’utilisateurs
dans une base de données de comptes locaux ou dans le SAM du domaine. Si les comptes
sont créés dans un domaine, il ne faut pas oublier de spécifier le PDC. Pour créer
un compte ailleurs que dans un domaine, il faut spécifier, en revanche, l’ordinateur
distant. Pour créer le compte de Jennifer dans un domaine avec le PDC pdcserver,
ajoutez la ligne suivante à newu.bat :
addusers \\pdcserver /c \\adminhost\scripts$\newusers
\%1.txt
Le commutateur /c signale à Addusers de créer un nouveau compte. (On peut également
utiliser Addusers pour supprimer des comptes.
Le nouveau compte d’utilisateur qui vient d’être créé peut ne pas exister dans
tous les contrôleurs de domaines. Il faut donc utiliser l’utilitaire Nltest du
kit de ressources pour imposer une synchronisation de la base de données des comptes
avec tous les contrôleurs de domaines :
nltest /server:pdcserver /pdc_repl
L’option /pdc_repl déclenche l’envoi d’un message de changement à tous les BDC,
pour les informer qu’une mise à jour à eu lieu dans le Sous-système des comptes
d’utilisateurs. Le message circule grâce à une impulsion contenant le numéro d’immatriculation
de chaque base de données Le message contient des informations uniquement sur
les changements ou les mises à jour.
On peut envisager d’envoyer une commande Sleep (un autre outil du kit de ressources).
La commande sleep.exe suivante indique au fichier batch d’attendre 30 secondes
avant de continuer, pour permettre aux contrôleurs de domaines de se synchroniser,:
sleep 30
Consultez les journaux d’événements des contrôleurs de domaines pour vous donner
une idée du nombre de secondes de sommeil nécessaires à votre PDC pour se synchroniser
avec les BDC.
Création d’un répertoire d’origine et d’un chemin de profil.
Après avoir créé un compte d’utilisateur, il faut généralement créer les répertoires
d’origine et de profils des comptes, une tâche facile. Pour le compte d’utilisateur
de Jennifer, ajoutez les commandes suivantes au fichier newu.bat :
mkdir \\servera\users$\%1
mkdir \\servera\profiles$\%1
Remarquez que cet exemple cache les partages. Cette action empêche les utilisateurs
de parcourir les répertoires supérieurs. (Les nouveaux répertoires profitent des
partages de plus haut niveau existants).
Définition de permissions. Il faut ensuite définir des permissions
sur les répertoires. Les permissions pour les répertoires d’utilisateurs peuvent
varier en fonction du niveau de sécurité de l’entreprise.
Il est temps de passer à un autre utilitaire du kit de ressources, Xcacls, qui
permet de modifier les permissions NTFS pour le dossier. (L’utilitaire Cacls du
kit de ressources peut aussi effectuer cette tâche, mais Xcacls est plus puissant.
Il permet, en effet, d’être plus spécifique avec les permissions et de désactiver
les confirmations). Pour exécuter Xcacls, ajoutez les lignes suivantes au script
my newu.bat.
xcacls \\servera\users$\%1 /g « domaina\%1 »:C /y
xcacls \\servera\users$\%1 /e /g « domaina\domain admins »:F /y
xcacls \\servera\profiles$\%1 /g « domaina\%1 »:F /y
xcacls \\servera\profiles$\%1 /e /g « domaina\domain admins »:F /y
Sur la première ligne, l’option /g à elle seule balaye toutes les entrées de contrôle
d’accès (ACE) précédemment appliquées, puis donne au compte de Jennifer la permission
Modifier pour le répertoire d’origine. Sur la deuxième ligne, l’option /e conserve
les permissions existantes et l’option /g donne au groupe Domain Admins Global,
de domaina, le Contrôle total pour le répertoire d’origine. L’option /y indique
à Xcacls de répondre automatiquement oui à toutes les invites. Les troisièmes
et quatrièmes lignes répètent le processus – cette fois en spécifiant les permissions
pour le répertoire du profil de Jennifer.
Les utilisateurs expérimentés de NT utilisent normalement le Gestionnaire
des utilisateurs ou l’Explorer pour créer des partages, mais on peut utiliser
Rmtshare du kit de ressources
Créer des partages. Puisque le répertoire d’origine est créé
et que les permissions sont définies, vous pouvez à présent définir des partages
sur le dossier. Les utilisateurs expérimentés de Windows NT utilisent normalement
le Gestionnaire des utilisateurs ou Windows Explorer pour créer des partages,
mais pour rester dans le mode lignes de commandes, nous allons utiliser l’utilitaire
Rmtshare du kit de ressources :
rmtshare \\servera\%1$=d:
\users\%1
Bien que l’on puisse aussi utiliser Rmtshare pour définir les permissions sur
les partages, je déconseille franchement de le faire au niveau des partages. Il
vaut mieux utiliser NTFS pour définir des permissions au niveau du système de
fichier.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Facturation électronique : les craintes des entreprises liées à la réforme
- Cyber-assurances, priorité ou faux remède pour les TPE et PME ?
- Success Stories : 3 histoires et 3 Intelligences Artificielles
- NIS2: cauchemar des décideurs européens pour la conformité
- Fossé entre exigences professionnelles et compétences