Exporter (0) Imprimer
Développer tout

Comptes d'utilisateurs et comptes d'ordinateurs

Mis à jour: janvier 2005

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Comptes d'utilisateurs et comptes d'ordinateurs

Les comptes d'utilisateurs et les comptes d'ordinateurs Active Directory représentent une entité physique telle qu'un ordinateur ou une personne. Les comptes d'utilisateurs peuvent également être utilisés comme des comptes de service dédiés pour certaines applications.

Les comptes d'utilisateurs et d'ordinateurs (ainsi que les groupes) sont également appelés entités de sécurité. Il s'agit d'objets d'annuaire auxquels sont automatiquement attribués des ID de sécurité (SID, security ID) permettant d'accéder aux ressources du domaine. Un compte d'utilisateur ou d'ordinateur permet d'effectuer les opérations suivantes :

  • Authentifier l'identité de l'utilisateur ou de l'ordinateur

    Un compte d'utilisateur permet à un utilisateur de se connecter à des ordinateurs et à des domaines avec une identité qui peut être authentifiée par le domaine. Pour plus d'informations sur l'authentification, voir Contrôle d'accès dans Active Directory. Chaque utilisateur qui ouvre une session sur le réseau doit avoir un compte d'utilisateur et un mot de passe qui lui sont propres. Pour une sécurité optimale, veillez à éviter le partage d'un compte entre plusieurs utilisateurs.

  • Autoriser ou refuser l'accès aux ressources du domaine

    Une fois son authentification effectuée, l'utilisateur se voit autoriser ou refuser l'accès aux ressources du domaine en fonction des autorisations explicites qui lui sont attribuées pour chaque ressource. Pour plus d'informations, voir Informations de sécurité pour Active Directory.

  • Administrer d'autres entités de sécurité

    Dans le domaine local, Active Directory crée un objet « entité de sécurité externe » qui représente chaque entité de sécurité d'un domaine externe approuvé. Pour plus d'informations sur les entités de sécurité externes, voir Quand créer une approbation externe.

  • Auditer les actions exécutées à l'aide du compte d'utilisateur ou d'ordinateur

    L'audit peut vous aider à contrôler la sécurité des comptes. Pour plus d'informations sur l'audit, voir Vue d'ensemble de l'audit.

Comptes d'utilisateurs

Le conteneur Utilisateurs qui se trouve dans Utilisateurs et ordinateurs Active Directory affiche trois comptes d'utilisateurs prédéfinis : Administrateur, Invité et HelpAssistant. Ils sont générés automatiquement lors de la création du domaine.

Chaque compte prédéfini a sa propre combinaison de droits et d'autorisations. En effet, le compte Administrateur dispose des droits et autorisations les plus étendus sur le domaine, alors que ceux du compte Invité sont limités. Le tableau suivant décrit tous les comptes d'utilisateurs par défaut sur les contrôleurs de domaine exécutant Windows Server 2003.

 

Compte d'utilisateur par défaut Description

Compte Administrateur

Le compte Administrateur dispose d'un contrôle total du domaine et peut affecter des droits d'utilisateur et des autorisations de contrôle d'accès aux utilisateurs du domaine en fonction des besoins. Ce compte ne doit être utilisé que pour les tâches nécessitant des informations d'identification administratives. Il est recommandé de le paramétrer avec un mot de passe fort. Pour plus d'informations, voir Mots de passe forts. Pour obtenir des informations supplémentaires sur la sécurité des comptes possédant des informations d'identification d'administration, voir Méthodes conseillées pour Active Directory.

Le compte Administrateur appartient par défaut aux groupes Administrateurs, Admins du domaine, Administrateurs de l'entreprise, Propriétaires créateurs de la stratégie de groupe et Administrateurs du schéma dans Active Directory. Il est impossible d'effacer ou de supprimer le compte Administrateur du groupe Administrateurs. Toutefois, il peut être renommé ou désactivé. Comme il est notoire que le compte Administrateur existe sur de nombreuses versions de Windows, le fait de le renommer ou de le désactiver rendra son accès plus compliqué aux utilisateurs malveillants. Pour plus d'informations sur la manière de renommer ou de désactiver un compte d'utilisateur, voir Renommer un compte d'utilisateur local ou Activer ou désactiver un compte d'utilisateur.

Le compte Administrateur est le premier compte créé lors de la configuration d'un nouveau domaine à l'aide de l'Assistant Installation de Active Directory.

  • Important Lorsque le compte Administrateur est désactivé, il peut tout de même être utilisé pour accéder à un contrôleur de domaine en mode sans échec.

Compte Invité

Le compte Invité est destiné aux personnes qui ne possèdent pas leur propre compte dans le domaine. Un utilisateur dont le compte est désactivé (mais pas supprimé) peut également se servir du compte Invité. Le compte Invité ne requiert pas de mot de passe.

Pour définir des droits et des autorisations pour le compte Invité, procédez de la même façon que pour tout autre compte d'utilisateur. Par défaut, ce compte fait partie du groupe prédéfini Invités et du groupe global Invités du domaine, qui permet à un utilisateur de se connecter à un domaine. Ce compte est désactivé par défaut et il est conseillé de ne pas l'activer.

Compte HelpAssistant (installé avec une session d'Assistance à distance)

Compte principal utilisé pour établir une session d'Assistance à distance. Ce compte est créé automatiquement lorsque vous demandez une session d'Assistance à distance et il dispose d'un accès limité à l'ordinateur. Le compte HelpAssistant est géré par le service Gestionnaire de sessions d'aide sur le Bureau à distance et il est supprimé automatiquement lorsqu'il n'y a plus de demande d'assistance à distance en attente. Pour plus d'informations sur l'Assistance à distance, consultez la rubrique Administration de l'Assistance à distance.

Protection des comptes d'utilisateurs

Si les droits et autorisations d'un compte prédéfini ne sont ni modifiés ni désactivés par un administrateur réseau, un utilisateur (ou un service) malveillant peut les utiliser pour se connecter illégalement à un domaine sous l'identité Administrateur ou Invité. Pour protéger ces comptes, il est conseillé de les renommer ou de les désactiver. Du fait qu'un compte renommé conserve son ID de sécurité, il conserve également ses autres propriétés : description, mot de passe, appartenances aux groupes, profil utilisateur, informations de compte, et éventuellement autorisations et droits utilisateur.

Pour assurer la sécurité de l'authentification et de l'autorisation de l'utilisateur, créez un compte d'utilisateur séparé pour chaque utilisateur qui participera à votre réseau à l'aide de Utilisateurs et ordinateurs Active Directory. Chaque compte d'utilisateur (y compris les comptes Administrateur et Invité) peut être ensuite ajouté à un groupe, ce qui permet de contrôler ses droits et autorisations. L'utilisation de comptes et de groupes adaptés à votre réseau garantit que les utilisateurs qui se connectent à celui-ci peuvent être identifiés et n'accèdent qu'aux ressources autorisées.

Vous pouvez contribuer à la protection de votre domaine en appliquant des mots de passe forts et en mettant en œuvre une stratégie de verrouillage des comptes. Les mots de passe forts minimisent les risques d'attaque de type recherche intelligente ou dictionnaire. Pour plus d'informations, voir Mots de passe forts et Méthodes conseillées pour les mots de passe.

Une stratégie de verrouillage des comptes diminue les risques d'attaque par tentatives répétées d'ouverture de session. En effet, une telle stratégie détermine le nombre d'échecs d'ouvertures de sessions autorisés sur un compte d'utilisateur. Lorsque ce nombre est atteint, le compte est désactivé. Pour plus d'informations, voir Appliquer ou modifier une stratégie de verrouillage du compte.

Pour plus d'informations sur la protection des comptes d'utilisateurs, voir Sécurisation de Active Directory.

Options de compte

Chaque compte d'utilisateur Active Directory possède un certain nombre d'options qui déterminent la manière dont une personne se connectant à un compte donné est authentifiée sur le réseau. Vous pouvez utiliser les options suivantes pour configurer les paramètres du mot de passe et les informations spécifiques à la sécurité des comptes d'utilisateurs :

 

Option de compte Description

L'utilisateur doit changer le mot de passe à la prochaine ouverture de session

Oblige l'utilisateur à modifier son mot de passe lors de sa prochaine connexion au réseau. Utilisez cette option si vous souhaitez vous assurer que l'utilisateur est la seule personne à connaître son mot de passe.

L'utilisateur ne peut pas changer de mot de passe

Empêche l'utilisateur de changer de mot de passe. Utilisez cette option si vous souhaitez garder le contrôle d'un compte d'utilisateur (pour un compte temporaire ou Invité, par exemple).

Le mot de passe n'expire jamais

Empêche l'expiration du mot de passe. Il est recommandé d'activer cette option, et d'utiliser des mots de passe forts, dans le cas des comptes de service. Pour plus d'informations sur les mots de passe forts, voir Mots de passe forts.

Enregistrer les mots de passe en utilisant un cryptage réversible

Permet à un utilisateur de se connecter à un réseau Windows à partir d'un ordinateur Apple. Si l'utilisateur ne se connecte pas à partir d'un ordinateur Apple, cette option ne doit pas être utilisée. Pour plus d'informations, voir Enregistrer les mots de passe en utilisant un cryptage réversible.

Le compte est désactivé

Empêche un utilisateur de se connecter avec le compte sélectionné. De nombreux administrateurs se servent de comptes désactivés comme modèles pour créer des comptes d'utilisateurs standard. Pour plus d'informations, voir Activer ou désactiver un compte d'utilisateur.

Une carte à puce est nécessaire pour ouvrir une session interactive

Un utilisateur doit posséder une carte à puce pour pouvoir se connecter au réseau de manière interactive. L'utilisateur doit également disposer d'un lecteur de carte à puce relié à son ordinateur ainsi que d'un numéro personnel d'identification (PIN) valide pour cette carte. Lorsque cette option est sélectionnée, le mot de passe du compte d'utilisateur est automatiquement défini sur une valeur aléatoire et complexe et l'option Le mot de passe n'expire jamais est activée. Pour plus d'informations sur les cartes à puce, voir Ouverture d'une session sur un ordinateur à l'aide d'une carte à puce et Processus d'authentification.

Le compte est approuvé pour la délégation

Permet à un service exécuté au moyen de ce compte d'effectuer des opérations au nom d'autres comptes d'utilisateurs du réseau. Le compte s'appelle alors « compte de service ». Le service peut emprunter l'identité d'un client pour accéder aux ressources résidant sur l'ordinateur sur lequel il s'exécute, ou sur d'autres ordinateurs. Dans une forêt dont le niveau fonctionnel est défini à Windows Server 2003, ce paramètre se trouve sous l'onglet Délégation et n'est disponible que pour les comptes auxquels des noms principaux de service (SPN, Service Principal Names) ont été attribués, comme défini à l'aide de la commande setspn des outils de support Windows. Il s'agit d'une fonctionnalité sensible en terme de sécurité. Elle doit donc être attribuée avec prudence. Pour plus d'informations, voir Autoriser un utilisateur à être approuvé pour la délégation et Délégation de l'authentification.

Cette option n'est disponible que sur des contrôleurs de domaine exécutant Windows Server 2003 où la fonctionnalité du domaine est définie à Windows 2000 mixte ou à Windows 2000 natif. Sur des contrôleurs de domaine exécutant Windows Server 2003 où le niveau fonctionnel de domaine est défini à Windows Server 2003, l'onglet Délégation est utilisé pour configurer les paramètres de délégation. L'onglet Délégation ne s'affiche que pour les comptes auxquels un SPN a été attribué. Pour plus d'informations sur la fonctionnalité du domaine, voir Fonctionnalité des domaines et des forêts. Pour plus d'informations sur la configuration de la délégation dans un domaine Windows Server 2003, voir Autoriser un utilisateur à être approuvé pour la délégation.

Le compte est sensible et ne peut pas être délégué

Permet de contrôler un compte d'utilisateur (un compte Invité ou temporaire, par exemple). Cette option peut être utilisée si ce compte ne peut pas être affecté pour délégation par un autre compte.

Utiliser les types de cryptage DES pour ce compte

Prend en charge le cryptage DES (Data Encryption Standard). DES prend en charge plusieurs niveaux de cryptage, notamment le cryptage MPPE standard (40 bits), MPPE standard (56 bits), MPPE maximal (128 bits), IPSec DES (40 bits), IPSec 56 bits DES et IPSec Triple DES (3DES). Pour plus d'informations sur le cryptage DES, voir Cryptage des données.

Ne nécessite pas la pré-authentification Kerberos

Prend en charge d'autres implémentations du protocole Kerberos. Des contrôleurs de domaine exécutant Windows 2000 ou Windows Server 2003 peuvent utiliser d'autres mécanismes pour synchroniser l'heure. La pré-authentification étant une mesure de sécurité supplémentaire, soyez prudent lorsque vous activez cette option. Pour plus d'informations sur Kerberos, voir Authentification Kerberos V5.

Comptes InetOrgPerson

Active Directory prend en charge la classe d'objets InetOrgPerson et ses attributs définis dans RFC 2798. La classe d'objets InetOrgPerson est utilisée dans plusieurs services d'annuaire LDAP et X.500 non Microsoft pour représenter les membres d'une organisation.

La prise en charge de InetOrgPerson rend les migrations de données des autres annuaires LDAP vers Active Directory plus efficaces. L'objet InetOrgPerson est dérivé de la classe d'utilisateur et peut être utilisé comme entité de sécurité tout comme celle-ci. Pour plus d'informations sur la création d'un compte d'utilisateur inetOrgPerson, voir Créer un compte d'utilisateur.

Lorsque le niveau fonctionnel du domaine est défini à Windows Server 2003, vous pouvez désigner l'attribut userPassword de InetOrgPerson et des objets utilisateur comme étant le mot de passe effectif, tout comme vous pouvez le faire avec l'attribut unicodePwd.

Comptes d'ordinateurs

Tout ordinateur exécutant Windows NT, Windows 2000 ou Windows XP, ou serveur exécutant Windows Server 2003, et qui rejoint un domaine, possède un compte d'ordinateur. Comme les comptes d'utilisateurs, les comptes d'ordinateurs offrent un moyen d'authentifier et d'auditer l'accès de l'ordinateur au réseau et aux ressources du domaine. Chaque compte d'ordinateur doit être unique.

Remarque Les ordinateurs qui exécutent Windows 95 et Windows 98 ne possèdent pas de fonctionnalités de sécurité avancées, et ne bénéficient donc pas de compte d'ordinateur.

Les comptes d'utilisateurs et d'ordinateurs peuvent être ajoutés, désactivés, réinitialisés et supprimés à l'aide de Utilisateurs et ordinateurs Active Directory. Vous pouvez également créer un compte d'ordinateur lorsque vous introduisez un ordinateur dans un domaine. Pour plus d'informations sur les comptes d'utilisateurs et d'ordinateurs, voir Affectation de noms dans Active Directory et Noms d'objets.

Lorsque le niveau fonctionnel du domaine est défini à Windows Server 2003, un nouvel attribut lastLogonTimestamp est utilisé pour retrouver l'heure de la dernière ouverture de session d'un compte d'utilisateur ou d'ordinateur. Cet attribut est répliqué au sein du domaine et peut vous fournir des informations importantes sur l'historique d'un utilisateur ou d'un ordinateur.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft