Option Détails

Ouverture de session UPN de l’utilisateur

La zone de texte sur la gauche fournit un espace vous permettant d’entrer le nom de compte de cet utilisateur. Il s’agit du nom qu’utilise l’utilisateur pour se connecter à un domaine Active Directory.

La liste déroulante sur la droite répertorie les suffixes UPN (User Principal Name) disponibles qui permettent de créer le nom d’ouverture de session de l’utilisateur. La liste contient le nom DNS (Domain Name System) complet du domaine actuel, le nom DNS complet du domaine racine de la forêt actuelle et les autres suffixes UPN créés avec les domaines et approbations Active Directory.

Ouverture de session SamAccountName de l’utilisateur

La zone de texte en lecture seule sur la gauche affiche le nom de domaine utilisé par les ordinateurs qui exécutent des systèmes d’exploitation antérieurs à Windows 2000.

La zone de texte sur la droite fournit un espace vous permettant d’entrer le nom d’ouverture de session antérieur à Windows 2000 de cet utilisateur.

Case à cocher Protéger contre la suppression accidentelle

Sélectionnez cette option pour mettre à jour le descripteur de sécurité de l’objet (et éventuellement son parent) pour interdire la suppression de cet objet par tous les administrateurs ou utilisateurs de ce domaine et contrôleur de domaine.

Remarques

Ce paramètre ne fournit pas de protection contre la suppression accidentelle d’une sous-arborescence qui contient l’objet protégé. Par conséquent, il est recommandé d’activer ce paramètre pour tous les conteneurs de l’objet protégé jusqu’au sommet du contexte d’appellation du domaine.

Heures d’ouverture de session

Cliquez pour changer les horaires d’accès pendant lesquels cet objet sélectionné peut se connecter au domaine. Par défaut, la connexion au domaine est possible 24 heures sur 24, 7 jours sur 7. Notez que ce contrôle n’affecte pas la possibilité pour l’utilisateur de se connecter localement à un ordinateur à l’aide d’un compte d’ordinateur local plutôt que d’un compte de domaine.

Se connecter à

Cliquez pour spécifier les restrictions de connexion aux stations de travail qui permettent à cet utilisateur de se connecter uniquement aux ordinateurs spécifiés dans le domaine. Par défaut, un utilisateur peut se connecter à n’importe quelle station de travail jointe au domaine. Notez que ce contrôle n’affecte pas la possibilité pour l’utilisateur de se connecter localement à un ordinateur à l’aide d’un compte d’ordinateur local plutôt que d’un compte de domaine.

Date d’expiration du compte

Définit la stratégie d’expiration du compte pour cet utilisateur. Vous pouvez choisir entre les options suivantes :

  • Utilisez Jamais pour spécifier que le compte sélectionné n’expire jamais. Il s’agit de l’option par défaut pour les nouveaux utilisateurs.

  • Sélectionnez Fin, puis une date si vous souhaitez que le compte d’utilisateur expire à une date donnée.

Options de mot de passe

Les options de mot de passe pour un compte d’utilisateur Active Directory sont les suivantes :

  • L’utilisateur doit changer le mot de passe à la prochaine ouverture de session : oblige l’utilisateur à modifier son mot de passe lors de sa prochaine connexion au réseau. Activez cette option pour vous assurer que l’utilisateur est la seule personne à connaître le mot de passe.

  • Une carte à puce est nécessaire pour ouvrir une session interactive : requiert la possession par l’utilisateur d’une carte à puce pour se connecter au réseau de manière interactive. L’utilisateur doit aussi posséder un lecteur de carte à puce installé sur son ordinateur et un code confidentiel (PIN) valide pour la carte à puce.

  • Le mot de passe n’expire jamais : empêche l’expiration du mot de passe de l’utilisateur. Il est recommandé d’activer cette option pour les comptes de service et d’utiliser des mots de passe forts pour ces comptes.

  • L’utilisateur ne peut pas changer de mot de passe : empêche l’utilisateur de modifier son mot de passe. Activez cette option pour garder le contrôle sur un compte d’utilisateur, tel qu’un compte Invité ou un compte temporaire.

Options de chiffrement

Les options de chiffrement pour un compte d’utilisateur Active Directory sont les suivantes :

  • Enregistrer le mot de passe en utilisant un chiffrement réversible : permet à un utilisateur de se connecter à un réseau Windows depuis un ordinateur Apple. Si l’utilisateur ne se connecte pas depuis un ordinateur Apple, n’activez pas cette option.

  • Utiliser les types de chiffrement DES via Kerberos pour ce compte : assure la prise en charge de la norme DES (Data Encryption Standard). La norme DES prend en charge plusieurs niveaux de chiffrement, y compris les normes Microsoft Point-to-Point Encryption (MPPE) Standard (40 bits), MPPE Standard (56 bits), MPPE Strong (128 bits), Internet Protocol security (IPsec) DES (40 bits), IPsec 56 bits DES et IPsec Triple DES (3DES).

  • Ce compte prend en charge le chiffrement AES 128 bits via Kerberos

  • Ce compte prend en charge le chiffrement AES 256 bits via Kerberos

Remarques

Les options de chiffrement Kerberos AES (Advanced Encryption Standard), à savoir les deux options à 128 bits et 256 bits, sont disponibles uniquement lorsque le niveau fonctionnel du domaine est défini sur Windows Server 2008 R2, Windows Server 2008 ou Windows Server 2003. L’algorithme AES est un nouvel algorithme de chiffrement normalisé par le NIST (National Institute of Standards and Technology). Pour plus d’informations sur l’authentification Kerberos, voir une explication de Kerberos (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=85494).

Autres options

Les options supplémentaires pour un compte d’utilisateur Active Directory sont les suivantes :

  • Le compte est sensible et ne peut pas être délégué : vous pouvez utiliser cette option si le compte, un compte Invité ou temporaire par exemple, ne peut pas être affecté pour la délégation par un autre compte. Pour plus d’informations, voir l’article sur l’activation de l’authentification déléguée (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=143007).

  • La pré-authentification Kerberos n’est pas nécessaire : assure la prise en charge d’implémentations alternatives du protocole Kerberos. Cependant, l’activation de cette option demande une certaine prudence étant donné que la pré-authentification Kerberos fournit une sécurité supplémentaire et nécessite une synchronisation horaire entre le client et le serveur. Pour plus d’informations, voir une explication de Kerberos (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=120374).

Références supplémentaires


Table des matières