Les comptes d’utilisateurs Active Directory représentent des entités physiques, des personnes par exemple. Vous pouvez aussi faire appel aux comptes d’utilisateurs sous la forme de comptes de services dédiés pour certaines applications.
Les groupes d’utilisateurs sont aussi appelés des entités de sécurité. Les entités de sécurité sont des objets d’annuaire auxquels sont automatiquement affectés des identificateurs de sécurité (SID, Security Identifier) qui permettent d’accéder aux ressources de domaine. Pour l’essentiel, un compte d’utilisateur :
-
Authentifie l’identité d’un utilisateur.
Un compte d’utilisateur permet à celui-ci de se connecter à des ordinateurs et des domaines à l’aide d’une identité que le domaine peut authentifier. Chaque utilisateur qui se connecte au réseau doit posséder son propre compte et mot de passe d’utilisateur unique. Pour une sécurité optimale, évitez d’avoir plusieurs utilisateurs à se partager un compte.
-
Autorise ou refuse l’accès aux ressources de domaine.
Après son authentification, l’utilisateur est autorisé ou non à accéder aux ressources du domaine en fonction des autorisations explicites qui lui sont affectées sur la ressource.
Comptes d’utilisateurs
Le conteneur Utilisateurs dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory affiche les trois comptes d’utilisateurs intégrés : Administrateur, Invité et Assistant de l’aide Ces comptes d’utilisateurs intégrés sont créés automatiquement lorsque vous créez le domaine.
Chaque compte intégré possède une combinaison différente de droits et d’autorisations. Le compte Administrateur possède les droits et les autorisations les plus complets sur le domaine, tandis que le compte Invité possède des droits et des autorisations limités. Le tableau suivant décrit chaque compte d’utilisateur par défaut sur les contrôleurs de domaine exécutant le système d’exploitation Windows Server® 2008 R2.
Compte d’utilisateur par défaut | Description | ||||
---|---|---|---|---|---|
Administrateur |
Le compte Administrateur a le contrôle complet du domaine. Il peut affecter des droits d’utilisateur et des autorisations de contrôle d’accès aux utilisateurs de domaine selon les besoins. Réservez ce compte aux tâches nécessitant des informations d’identification administratives. Il est recommandé de configurer ce compte à l’aide d’un mot de passe fort. Le compte Administrateur fait partie par défaut des groupes Active Directory suivants : Administrateurs, Admins du domaine, Administrateurs de l’entreprise, Propriétaires créateurs de la stratégie de groupe, et Administrateurs du schéma. Le compte Administrateur ne peut jamais être effacé ou supprimé dans le groupe Administrateurs, mais il peut être renommé ou désactivé. Comme il est notoire que le compte Administrateur existe sur de nombreuses versions de Windows, le fait de renommer ou de désactiver ce compte rendra son accès beaucoup plus compliqué pour des utilisateurs malveillants. Le compte Administrateur est le premier compte créé lorsque vous configurez un nouveau domaine à l’aide de l’Assistant Installation des services de domaine Active Directory.
| ||||
Invité |
Les personnes qui ne possèdent pas un compte réel dans le domaine peuvent utiliser le compte Invité. Un utilisateur dont le compte est désactivé (mais pas supprimé) peut également se servir du compte Invité. Le compte Invité ne demande pas de mot de passe. Vous définissez des droits et des autorisations pour le compte Invité tout comme vous procédez pour tout autre compte d’utilisateur. Par défaut, ce compte fait partie du groupe Invités intégré et du groupe global Invités du domaine qui permettent à un utilisateur de se connecter à un domaine. Par défaut, le compte Invité est désactivé et il est conseillé de ne pas l’activer. | ||||
Assistant de l’aide (installé à l’aide d’une session d’assistance à distance) |
Le compte principal permet d’établir une session d’assistance à distance. Ce compte est créé automatiquement lorsque vous demandez une session d’assistance à distance. Ce compte procure un accès limité à l’ordinateur. Le compte Assistant de l’aide est géré par le service Gestionnaire de sessions d’aide sur le Bureau à distance. Ce compte est supprimé automatiquement si aucune demande d’assistance à distance n’est en attente. |
Sécurisation des comptes d’utilisateurs
Si les comptes et les autorisations de compte intégrés ne sont pas modifiés ou désactivés par un administrateur réseau, ils peuvent être utilisés par un utilisateur (ou un service) malveillant pour se connecter illégalement au domaine à l’aide du compte Administrateur ou du compte Invité. Pour assurer la protection de ces comptes, il est recommandé de les renommer ou de les désactiver. Dans la mesure où un compte renommé conserve son identificateur de sécurité (SID, Security Identifier), il conserve également toutes ses autres propriétés, comme la description, le mot de passe, l’appartenance à des groupes, le profil utilisateur, les informations sur le compte ainsi que les autorisations et les droits qui lui ont été accordés.
Pour bénéficier de la sécurité de l’autorisation et de l’authentification de l’utilisateur, utilisez Utilisateurs et ordinateurs Active Directory pour créer un nouveau compte d’utilisateur individuel pour chaque utilisateur qui participe à votre réseau. Vous pouvez ensuite ajouter chaque compte d’utilisateur (y compris le compte Administrateur et le compte Invité) à un groupe pour contrôler les droits et les autorisations qui sont affectés au compte. Lorsque vous disposez des comptes et des groupes appropriés pour votre réseau, vous pouvez identifier les utilisateurs qui se connectent à votre réseau et leur donner accès uniquement aux ressources autorisées.
Vous pouvez contribuer à protéger votre domaine contre les pirates en exigeant des mots de passe forts et en mettant en œuvre une stratégie de verrouillage de compte. Les mots de passe forts réduisent le risque de leur décodage intelligent et des attaques par dictionnaire sur les mots de passe. Une stratégie de verrouillage de compte contribue à diminuer les risques d’attaques sous la forme de tentatives répétées d’ouverture de session, pouvant porter atteinte à votre domaine. Une telle stratégie détermine le nombre possible d’échecs de tentatives d’ouverture de session pour un compte d’utilisateur avant sa désactivation.
Options de compte
Chaque compte d’utilisateur Active Directory possède un nombre d’options de compte qui déterminent la méthode d’authentification sur le réseau de l’utilisateur particulier de ce compte. Vous pouvez utiliser les options dans le tableau suivant pour configurer les paramètres de mot de passe et les informations de sécurité spécifiques pour les comptes d’utilisateurs.
Option de compte | Description |
---|---|
L’utilisateur doit changer de mot de passe à la prochaine ouverture de session |
Force un utilisateur à changer son mot de passe à la prochaine ouverture de session sur le réseau par l’utilisateur. Activez cette option pour vous assurer que l’utilisateur est la seule personne à connaître le mot de passe. |
L’utilisateur ne peut pas changer de mot de passe |
Empêche un utilisateur de modifier son mot de passe. Activez cette option pour garder le contrôle sur un compte d’utilisateur, tel un compte Invité ou un compte temporaire. |
Le mot de passe n’expire jamais |
Empêche l’expiration du mot de passe de l’utilisateur. Il est recommandé que les comptes de service activent cette option et utilisent des mots de passe forts. |
Enregistrer les mots de passe en utilisant un chiffrement réversible |
Permet à un utilisateur de se connecter à un réseau Windows depuis un ordinateur Apple. Si un utilisateur ne se connecte pas depuis un ordinateur Apple, n’activez pas cette option. |
Le compte est désactivé |
Empêche un utilisateur de se connecter à l’aide du compte sélectionné. De nombreux administrateurs utilisent des comptes désactivés comme modèles pour des comptes d’utilisateurs courants. |
Une carte à puce est nécessaire pour ouvrir une session interactive |
Nécessite l’utilisation d’une carte à puce par l’utilisateur pour se connecter au réseau de manière interactive. L’utilisateur doit aussi posséder un lecteur de carte à puce installé sur son ordinateur et un code confidentiel (PIN) valide pour la carte à puce. Lorsque cette option est activée, le mot de passe du compte d’utilisateur est automatiquement défini par une valeur aléatoire et complexe et l’option de compte Le mot de passe n’expire jamais est définie. |
Le compte est approuvé pour la délégation |
Permet à un service qui s’exécute sous ce compte d’effectuer des opérations au nom d’autres comptes d’utilisateurs sur le réseau. Un service qui s’exécute sous un compte d’utilisateur (également appelé un compte de service) approuvé pour la délégation peut employer l’identité d’un client pour obtenir l’accès aux ressources sur l’ordinateur qui exécute le service ou à des ressources sur d’autres ordinateurs. Dans une forêt définie sur le niveau fonctionnel Windows Server 2008 R2, cette option figure sous l’onglet Délégation. Elle est réservée uniquement aux comptes auxquels ont été affectés des noms principaux de services (SPN) définis à l’aide de la commande setspn de Windows Server 2008 R2. (Ouvrez une fenêtre de commande, puis tapez setspn.) Cette fonction touche à la sécurité, affectez-la avec prudence. Cette option est disponible uniquement sur des contrôleurs de domaine exécutant Windows Server 2008 R2 où la fonctionnalité du domaine est définie sur Windows® 2000 mixte ou Windows 2000 natif. Sur les contrôleurs de domaine exécutant Windows Server 2008 et Windows Server 2008 R2 où le niveau fonctionnel du domaine est défini sur le niveau fonctionnel de forêt Windows Server 2008 ou Windows Server 2008 R2, utilisez l’onglet Délégation dans la boîte de dialogue des propriétés de l’utilisateur pour configurer les paramètres de délégation. L’onglet Délégation s’affiche uniquement pour les comptes auxquels est affecté un nom principal de services (SPN). |
Le compte est sensible et ne peut pas être délégué |
Vous pouvez utiliser cette option si le compte, un compte Invité ou temporaire par exemple, ne peut pas être affecté pour la délégation par un autre compte. |
Utiliser les types de chiffrement DES pour ce compte |
Fournit la prise en charge pour la norme DES (Data Encryption Standard). La norme DES prend en charge plusieurs niveaux de chiffrement, y compris les normes Microsoft Point-to-Point Encryption (MPPE) Standard (40 bits), MPPE Standard (56 bits), MPPE Strong (128 bits), Internet Protocol security (IPsec) DES (40 bits), IPsec 56 bits DES, et IPsec Triple DES (3DES). |
La pré-authentification Kerberos n’est pas nécessaire |
Fournit une prise en charge pour les autres implémentations du protocole Kerberos. Cependant, l’activation de cette option demande une certaine prudence étant donné que la pré authentification Kerberos fournit une sécurité supplémentaire et nécessite une synchronisation horaire entre le client et le serveur. |
Comptes InetOrgPerson
Les services de domaine Active Directory (AD DS) offrent une prise en charge de la classe d’objet InetOrgPerson et de ses attributs associés comme défini dans le RFC 2798. La classe d’objet InetOrgPerson est utilisée dans plusieurs services d’annuaire non Microsoft, Lightweight Directory Access Protocol (LDAP) et X.500, pour représenter les personnes dans une organisation.
La prise en charge InetOrgPerson optimise la migration des autres annuaires LDAP vers AD DS. L’objet InetOrgPerson est dérivé de la classe utilisateur. Il peut fonctionner comme entité de sécurité comme la classe utilisateur. Pour obtenir des informations sur la création d’un compte d’utilisateur inetOrgPerson, voir Créer un nouveau compte d’utilisateur.
Lorsque le niveau fonctionnel du domaine est défini sur Windows Server 2008 ou Windows Server 2008 R2, vous pouvez définir l’attribut userPassword sur InetOrgPerson et les objets utilisateur comme le mot de passe à part entière, exactement comme avec l’attribut unicodePwd.