Les comptes d’utilisateurs Active Directory représentent des entités physiques, des personnes par exemple. Vous pouvez aussi les utiliser sous la forme de comptes de services dédiés pour certaines applications.
Les groupes d’utilisateurs sont aussi appelés des entités de sécurité. Les entités de sécurité sont des objets d’annuaire auxquels sont automatiquement affectés des identificateurs de sécurité (SID, Security Identifier) qui permettent d’accéder aux ressources de domaine. Pour l’essentiel, un compte d’utilisateur :
-
Authentifie l’identité d’un utilisateur.
Un compte d’utilisateur permet à celui-ci de se connecter à des ordinateurs et des domaines à l’aide d’une identité que le domaine peut authentifier. Chaque utilisateur qui se connecte au réseau doit posséder son propre compte et mot de passe d’utilisateur unique. Pour une sécurité optimale, évitez que plusieurs utilisateurs se partagent un compte.
-
Autorise ou refuse l’accès aux ressources de domaine.
Après son authentification, l’utilisateur est autorisé ou non à accéder aux ressources du domaine en fonction des autorisations explicites qui lui sont affectées sur la ressource.
Comptes d’utilisateurs
Le conteneur Utilisateurs dans le Centre d’administration Active Directory contient trois comptes d’utilisateurs intégrés : Administrateur, Invité et Assistant de l’aide. Ces comptes d’utilisateurs intégrés sont créés automatiquement lorsque vous créez le domaine.
Chaque compte intégré possède une combinaison différente de droits et d’autorisations. Le compte Administrateur possède les droits et les autorisations les plus complets sur le domaine, tandis que le compte Invité possède des droits et des autorisations limités. Le tableau suivant décrit chaque compte d’utilisateur par défaut sur les contrôleurs de domaine exécutant Windows Server 2008 R2.
Compte d’utilisateur par défaut | Description | ||||
---|---|---|---|---|---|
Administrateur |
Le compte Administrateur a le contrôle complet du domaine. Il peut affecter des droits d’utilisateur et des autorisations de contrôle d’accès aux utilisateurs de domaine selon les besoins. Réservez ce compte aux tâches nécessitant des informations d’identification administratives. Il est recommandé de configurer ce compte à l’aide d’un mot de passe fort. Le compte Administrateur fait partie par défaut des groupes Active Directory suivants : Administrateurs, Admins du domaine, Administrateurs de l’entreprise, Propriétaires créateurs de la stratégie de groupe, et Administrateurs du schéma. Le compte Administrateur ne peut jamais être effacé ou supprimé dans le groupe Administrateurs, mais il peut être renommé ou désactivé. Comme il est notoire que le compte Administrateur existe sur de nombreuses versions de Windows, le fait de renommer ou de désactiver ce compte rendra son accès beaucoup plus compliqué pour des utilisateurs malveillants. Le compte Administrateur est le premier compte créé lorsque vous configurez un nouveau domaine à l’aide de l’Assistant Installation des services de domaine Active Directory.
| ||||
Invité |
Les personnes qui ne possèdent pas un compte réel dans le domaine peuvent utiliser le compte Invité. Un utilisateur dont le compte est désactivé (mais pas supprimé) peut également se servir du compte Invité. Le compte Invité ne demande pas de mot de passe. Vous définissez des droits et des autorisations pour le compte Invité tout comme vous procédez pour tout autre compte d’utilisateur. Par défaut, ce compte fait partie du groupe Invités intégré et du groupe global Invités du domaine qui permettent à un utilisateur de se connecter à un domaine. Par défaut, le compte Invité est désactivé et il est conseillé de ne pas l’activer. | ||||
Assistant de l’aide (installé à l’aide d’une session d’assistance à distance) |
Le compte Assistant de l’aide est le compte principal qui permet d’établir une session d’assistance à distance. Ce compte est créé automatiquement lorsque vous demandez une session d’assistance à distance. Ce compte procure un accès limité à l’ordinateur. Le service Gestionnaire de session d’aide sur le Bureau à distance gère le compte Assistant de l’aide. Ce compte est supprimé automatiquement si aucune demande d’assistance à distance n’est en attente. |
Sécurisation des comptes d’utilisateurs
Si un administrateur réseau ne modifie pas les droits et autorisations des comptes intégrés, un utilisateur (ou service) malveillant peut les utiliser pour ouvrir illégalement une session sur un domaine à l’aide des comptes Administrateur ou Invité. Pour assurer la protection de ces comptes, il est recommandé de les renommer ou de les désactiver. Dans la mesure où un compte renommé conserve son identificateur de sécurité (SID, Security Identifier), il conserve également toutes ses autres propriétés, comme la description, le mot de passe, l’appartenance à des groupes, le profil utilisateur, les informations sur le compte ainsi que les autorisations et les droits qui lui ont été accordés.
Pour bénéficier de la sécurité de l’autorisation et de l’authentification de l’utilisateur, utilisez le Centre d’administration Active Directory pour créer un compte d’utilisateur individuel pour chaque utilisateur qui participe à votre réseau. Vous pouvez ensuite ajouter chaque compte d’utilisateur (y compris le compte Administrateur et le compte Invité) à un groupe pour contrôler les droits et les autorisations qui sont affectés au compte. Lorsque vous disposez des comptes et des groupes appropriés pour votre réseau, vous pouvez identifier les utilisateurs qui se connectent à votre réseau et leur donner accès uniquement aux ressources autorisées.
Vous pouvez contribuer à protéger votre domaine contre les pirates en exigeant des mots de passe forts et en mettant en œuvre une stratégie de verrouillage de compte. Les mots de passe forts réduisent le risque de leur décodage intelligent et des attaques par dictionnaire sur les mots de passe. Une stratégie de verrouillage de compte contribue à diminuer les risques d’attaques sous la forme de tentatives répétées d’ouverture de session, pouvant porter atteinte à votre domaine. Une telle stratégie détermine le nombre possible d’échecs de tentatives d’ouverture de session pour un compte d’utilisateur avant sa désactivation.
Comptes InetOrgPerson
Les services de domaine Active Directory (AD DS) offrent une prise en charge de la classe d’objet InetOrgPerson et de ses attributs associés comme défini dans le RFC 2798. La classe d’objet InetOrgPerson est utilisée dans plusieurs services d’annuaire non Microsoft, Lightweight Directory Access Protocol (LDAP) et X.500, pour représenter les personnes dans une organisation.
La prise en charge InetOrgPerson optimise la migration des autres annuaires LDAP vers AD DS. L’objet InetOrgPerson est dérivé de la classe utilisateur. Il peut fonctionner comme entité de sécurité comme la classe utilisateur. Pour obtenir des informations sur la création d’un compte d’utilisateur inetOrgPerson, voir Créer un nouveau compte d’utilisateur.
Lorsque le niveau fonctionnel du domaine est défini sur Windows Server 2008 ou Windows Server 2008 R2, vous pouvez définir l’attribut userPassword sur InetOrgPerson et les objets utilisateur comme le mot de passe à part entière, exactement comme avec l’attribut unicodePwd.