> Tech > Configuration des options pour la connexion au domaine

Configuration des options pour la connexion au domaine

Tech - Par iTPro - Publié le 24 juin 2010
email

Quatre des onglets de la boîte de dialogue des propriétés - Compte, Profil, Membre de, et Appel entrant - contiennent les options de configuration pour la connexion standard ainsi que les paramètres de sécurité. Certaines de ces informations sont des doubles des données entrées lors de la création du compte

utilisateur.



L’utilisateur a accès à  une liste d’options pour les comptes, qui est beaucoup
plus complète que les options offertes sous Windows NT



L’onglet Compte. L’onglet Compte s’utilise pour configurer les options
de base de connexion. Sur cet onglet, on peut éditer le nom de connexion de l’utilisateur
qui a été spécifié lors de la création du compte. Pour restreindre les horaires
de connexion de l’utilisateur, cliquez sur Heures de connexion et sélectionnez
les heures auxquelles est permis ou refusé la connexion, comme le montre la figure
4. Cliquer sur Se connecter à  pour ouvrir la boîte de dialogue Poste de travail
de connexion, avec laquelle on peut spécifier sur quelle station de travail l’utilisateur
peut se connecter.






Ensuite, l’utilisateur a accès à  une liste d’options pour les comptes, qui est
beaucoup plus complète que les options offertes sous Windows NT. La liste contient
les quatre options de mot de passe que propose la boîte de dialogue Nouvel objet-utilisateur,
et l’on peut également activer les options suivantes :



· Stocker les mots de passe en utilisant un encodage réversible ; sélectionner
cette case pour les utilisateurs qui se connecteront depuis des plates-formes
qui ne peuvent pas traiter l’encodage réversible des mots de passe. (Les systèmes
Macintosh sont généralement visés par cette politique.)

· Une carte à  puce est nécessaire pour une connexion interactive – sélectionnez
cette case pour les utilisateurs qui se connecteront depuis des ordinateurs possédant
des lecteurs de carte à  puce. (Pour adapter la connexion d’une carte à  puce, le
système demandera à  l’utilisateur un NIP .)

· Le compte est autorisé pour délégation ; sélectionner cette case pour donner
aux utilisateurs la responsabilité de gérer et d’administrer une partie du domaine
namespace pour un autre utilisateur, groupe, ou structure.

· Le compte est sensible et ne peut pas être délégataire ; sélectionnez cette
case pour informer le système qu’un autre compte ne peut assigner ce compte pour
la délégation.

· Utilisation des encodages de type DES pour ce compte ; sélectionnez cette case
pour utiliser le standard DES (Data Encryption Standard) comme type d’encodage
pour la connexion de cet utilisateur, plutôt que le standard Kerberos de Windows
2000. (DES est le standard commun pour l’identification des appels entrants.)

· Ne demande pas de preidentification Kerberos – sélectionnez cette case si l’utilisateur
emploie une version de Kerberos autre que celle par défaut de Windows 2000, à 
savoir Kerberos 5.0.



L’option finale sur cet onglet est la zone de texte d’expiration du compte. Si
le compte a été créé pour permettre un accès temporaire au système (par exemple
pour un contractant extérieur ou un consultant sur un projet particulier) il est
possible d’utiliser une date d’expiration pour le compte.



L’onglet Profil. On utilise l’onglet Profil pour spécifier un emplacement
pour le profil de l’utilisateur et le répertoire d’origine. Ces fonctionnalités
sont optionnelles mais ce sont des outils utiles dont il est possible de tirer
parti.



Par défaut, le système utilise le profil local, mais pour un utilisateur itinérant,
on peut vouloir créer un profil implanté sur le serveur qui est disponible quel
que soit l’ordinateur depuis lequel l’utilisateur se connecte. Pour affecter un
profil distant à  un utilisateur, utilisez le chemin complet vers ce profil dans
la zone de texte Profil path. Il faut utiliser le format \\server\shareusername
(par exemple, \\ivensdc1\userprofilesjbernardi).



Dans la zone de texte du script de connexion, on entre le nom du script de connexion
que l’on veut affecter à  l’utilisateur. Par défaut, les scripts de connexion résident
dans la partie Netlogon \%systemroot%\SYSVOL\sysvol\DomainName\scripts. Notez
que le fichier d’aide pour cette zone de texte indique un chemin incorrect pour
Netlogon.



Dans la section de l’onglet Profil du répertoire d’origine, on peut préciser un
chemin pour le répertoire d’origine. Ce répertoire devient l’hôte par défaut des
fichiers et logiciels de l’utilisateur, ainsi que l’emplacement du prompt quand
l’utilisateur ouvre une invite de commande (ouvrir une invite de commande reste
un bon moyen de retrouver l’emplacement du répertoire d’origine sur une station
de travail.) Par défaut, le dossier d’origine est lecteur local (normalement le
lecteur C) sur lequel a été installé l’OS, et Windows 2000 stocke les fichiers
utilisateur dans le répertoire local Mes Documents.



Il est possible de spécifier un chemin d’accès local pour le dossier d’origine
dans la zone de texte Chemin Local, mais il n’y a aucun avantage particulier à 
le faire. Cependant, le fait de préciser un chemin réseau possède plusieurs d’avantages.
Tout d’abord, Windows 2000 mémorisera par défaut les documents de l’utilisateur
sur le serveur que l’on spécifie plutôt que le répertoire local Mes Documents,
donc vos sauvegardes du serveur sauvegarderont également ces documents – en supposant
bien sûr qu’il existe une sauvegarde des fichiers du serveur. (La plupart des
administrateurs savent que les utilisateurs ne sauvegardent pas leurs documents
en local, en dépit de tous les encouragements, explication ou menace.) Ensuite,
des utilisateurs itinérants qui ne se connectent pas toujours sur le domaine depuis
le même ordinateur peuvent toujours accéder à  leurs fichiers.



L’onglet Profil fournit deux zones de texte dans lesquelles il est possible de
spécifier un chemin réseau vers le dossier d’origine. Dans la zone de texte Connexion,
sélectionnez une lettre pour le lecteur qu’il faut mapper à  l’emplacement réseau.
Dans la zone de texte Vers, sélectionner un répertoire partagé existant sur un
serveur que l’utilisateur peut atteindre. Assurez-vous de définir les bonnes permissions
pour cette partition.



L’onglet Membre de. L’onglet Membre de contient les groupes auxquels l’utilisateur
aime appartenir. Par défaut, Windows 2000 rend tous les utilisateurs automatiquement
membres du groupe Utilisateurs du Domaine. On peut cliquer sur Ajouter pour ouvrir
la boîte de dialogue de sélection de groupes et choisir des groupes supplémentaires
auxquels on veut affecter l’utilisateur. (La prochaine fois, j’expliquerai comment
prendre ce genre de décision.)



L’onglet Appel entrant. On peut utiliser l’onglet Appel entrant pour définir
les options pour les utilisateurs accédant à  distance, ce qui inclut les utilisateurs
qui se connectent par téléphone ou ceux qui accèdent au réseau via un réseau privé
virtuel VPN. La boîte de dialogue est explicite, mais il faut garder à  l’esprit
qu’il est nécessaire de configurer RRAS sur son réseau avant d’activer les configurations
de type Appel entrant.


Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 24 juin 2010