Les politiques propres aux utilisateurs supplantent les politiques globales pour un compte utilisateur donné. Chaque compte utilisateur a plusieurs options qui influencent la possibilité pour l'utilisateur de se connecter. Les administrateurs ou les opérateurs de comptes peuvent modifier ces options en double-cliquant sur un utilisateur dans User Manager for Domains.
Politiques propres aux utilisateurs
La figure
2 montre la boîte de dialogue
New User qui apparaît alors.
Dans la boîte de dialogue New
User, on peut changer le mot de passe
d’un utilisateur en entrant le nouveau
mot de passe dans les champs
Password et Confirm Password. En cochant
la case User Must Change
Password at Next Logon, vous pouvez
indiquer que l’utilisateur doit changer
son mot de passe au prochain logon.
Comme je l’ai dit plus haut, les administrateurs
procèdent ainsi quand ils
réinitialisent les mots de passe en réponse
aux utilisateurs qui les ont oubliés.
On suppose que cette pratique
garantit que les administrateurs n’ont
pas d’accès continu aux comptes utilisateur.
Toutefois, quiconque a l’autorité
Administrator peut utiliser LC4
pour percer les mots de passe des utilisateurs.
Par conséquent, plutôt que
de cocher la case User Must Change
Password at Next Logon, il faut faire
confiance aux administrateurs et essayer
de limiter le nombre de personnes
possédant ce niveau d’autorité.
Vous pouvez cocher la case User Cannot Change Password pour les
comptes dont vous voulez garder la
maîtrise, comme des comptes partagés
ou les comptes utilisateur pour ceux
qui refusent de choisir des mots de
passe difficiles à deviner. Vous pouvez
cocher la case Password Never Expires
pour les comptes utilisateur que vous
ne voulez pas soumettre à l’âge de mot
de passe maximum au niveau du domaine.
Vous pouvez aussi utiliser cette
option pour les comptes de service
d’application serveur (Microsoft SQL
Server, par exemple) pour empêcher la
situation courante suivante : un beau
jour, vous réinitialisez un serveur et aucun
des services importants ne démarre
parce que leurs mots de passe
de compte ont expiré. Malheureusement,
j’ai aussi vu des administrateurs
activer l’option Password Never
Expires pour faire une exception vis-à vis
d’utilisateurs qui ont le bras suffisamment
long pour refuser de changer
leurs mots de passe régulièrement.
La case Account Disabled est utile
pour protéger temporairement les
comptes utilisateur des employés qui
s’absentent pour vacances ou autre raison.
Quand vous désactivez un
compte, NT ne permettra pas à l’utilisateur
de se connecter, même s’il
connaît le mot de passe correct. Vous
pouvez désactiver un compte quand
un employé quitte la société, au lieu de
supprimer immédiatement le compte.
En conservant le compte pendant une
période de 30 jours environ, vous
pourrez reconstituer le potentiel d’accès
de l’utilisateur, si un remplaçant est
recruté ou si on a des doutes sur les
agissements de l’employé avant son
départ. Ce procédé évite aussi de devoir
recréer le compte si l’employé se
ravise et revient une semaine après.
Vous pouvez limiter les jours de la
semaine et les heures pendants lesquelles
un utilisateur peut se connecter.
L’application de cette politique
n’est pas très pratique compte tenu de
l’emploi du temps imprévisible de la
plupart des utilisateurs. Cependant, si
certains utilisateurs travaillent à des heures précises (un guichetier de
banque, par exemple), vous pouvez cliquer
sur Hours pour obtenir la boîte
de dialogue Logon Hours. Là , vous sélectionnez
simplement une période
puis cliquez sur Allow (Autoriser) ou
Disallow (Refuser). Si les utilisateurs
essaient de se connecter en dehors des
créneaux autorisés, NT s’y oppose. Si
les utilisateurs se connectent pendant
le temps autorisé et restent connectés
jusqu’à entrer dans une période dans
laquelle ils sont explicitement interdits,
NT laisse les utilisateurs connectés
par défaut. Vous pouvez changer
cette situation par défaut par une politique
globale. Dans la boîte de dialogue
Account Policy, cochez la case
Forcible disconnect remote users from
server when logon hours expire.
Sachez que le fait de cocher cette case
déconnecte les utilisateurs de leurs
serveurs, mais pas de leurs stations de
travail. Supposons que vous limitiez
Bob à se connecter entre 8 AM et 6 PM
et que vous cochiez la case Forcible
disconnect remote users from server
when logon hours expire. A 9 AM, Bob
se connecte à sa station de travail et se
relie à plusieurs serveurs pour le partage
de fichiers et d’imprimantes. Bob
reste connecté au-delà de 6 PM. A 6
PM, les serveurs de partage de fichiers
et d’imprimantes le déconnectent,
mais il reste connecté à sa station de
travail. Il faut noter toutefois que les
serveurs ne déconnectent que les utilisateurs
qui sont inactifs au moment où
leurs heures de connexion expirent. Si
les utilisateurs sont en contact avec les
serveurs (par exemple, s’ils gardent un
fichier ouvert, s’ils interrogent un répertoire
toutes les 2 ou 3 minutes), les
serveurs ne déconnecteront pas les
utilisateurs, quelles que soient leurs
heures de logon.
Par défaut, NT permet aux utilisateurs
de se connecter à partir de n’importe
quelle station de travail. En appliquant
les restrictions de stations de
travail, vous pouvez limiter les ordinateurs
auxquels les utilisateurs peuvent
se connecter. Cliquez sur Logon To dans la boîte de dialogue New User
pour afficher la boîte de dialogue
Logon Workstations, illustrée figure 3.
Vous pouvez spécifier jusqu’à huit stations
de travail.
La dernière politique de logon
propre à l’utilisateur que l’on peut établir
est la date d’expiration du compte
utilisateur. Par défaut, les comptes utilisateur
n’expirent pas. Mais on peut
fixer une date d’expiration en cliquant
sur Account dans la boîte de dialogue
New User et en indiquant la date
dans la boîte de dialogue Account
Information, illustrée figure 4.
L’expiration de compte est utile pour
des sous-traitants temporaires ou
quand on connaît à l’avance le départ
d’un utilisateur. Il suffit de définir la
date d’expiration à l’avance, NT se
charge du compte. J’ai vu certains administrateurs
utiliser cette option
quand ils en ont assez de ne pas être informés
quand des employés quittent la
société. Ces administrateurs définissent
une date d’expiration de 30 jours
pour chaque utilisateur et demandent
à la DRH de fournir un état mensuel recensant
tous les employés actuels. D’après ces états, les administrateurs
prolongent les dates d’expiration des
comptes utilisateur valides. Ainsi, si
quelqu’un quitte l’entreprise sans que
l’administrateur en soit informé, le
compte sera fermé automatiquement
après 30 jours.
User Manager for Domains permet
de modifier les politiques de logon
propres aux utilisateurs pour de nombreux
utilisateurs, en une seule opération.
Appuyez simplement sur la
touche Ctrl tout en cliquant sur chaque
compte utilisateur à modifier. Puis sélectionnez
User, Properties et effectuez
le changement. Cette possibilité est
commode quand il faut cocher la case
User Must Change Password at Next
Logon pour que les nouvelles restrictions
de mots de passe de domaines
prennent effet.
En visualisant le SAM local d’un
serveur de membres ou d’une station
de travail, vous ne trouverez pas toutes
les politiques propres aux utilisateurs
dont je viens de parler. Les options
Logon To, Hours et Account Disabled
ne sont pas présentes. On ne les trouve
que sur les comptes de domaine.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Teams Live Event: Kollective ou Microsoft ECDN ?
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
