ESAT/DGF/DMSI

ECOLE SUPERIEURE

ET D’APPLICATION

DES TRANSMISSIONS

division management

et systèmes d’information

WINDOWS 2000

Chapitre 4: Administration avancée

COURS SYSTEME
 ADMINISTRATION AVANCEE

1. Gestion des utilisateurs et groupes.....................................................................................2

1.1. Généralités...................................................................................................................2
1.2. Noms d’ouverture de session.......................................................................................2
1.2.1. Nom principal d’utilisateur......................................................................................3
1.2.2. Nom d’ouverture de session d’utilisateur (pré-Windows 2000)...............................3
1.2.3. Règles d’unicité......................................................................................................3
1.3. Procédure de création d’un compte..............................................................................3
1.4. Création d’un suffixe de nom principal d’utilisateur.......................................................5
1.5. Création de plusieurs comptes.....................................................................................9
1.5.1. Processus d’importation en bloc.............................................................................9
1.5.2. Utilisation de CSVDE...........................................................................................10
1.5.3. Utilisation de LDIFDE...........................................................................................11
1.6. Administrations des comptes d’utilisateur...................................................................11
1.7. Utilisations des groupes dans Active Directory...........................................................13
1.7.1. Les groupes locaux de domaine...........................................................................14
1.7.2. Les groupes globaux............................................................................................14
1.7.3. Les groupes universels........................................................................................14
1.8. Modification de l'étendue de groupe...........................................................................15
1.9. Stratégies d’utilisation des groupes dans un domaine................................................15
1.10. Conseils....................................................................................................................16
2. Publications des ressources..............................................................................................16
2.1. Généralités.................................................................................................................16
2.2. Configuration et administration des imprimantes publiées..........................................17
2.2.1. Gestion de la publication des imprimantes...........................................................17
2.2.2. Publication des imprimantes sur des ordinateurs non Windows 2000..................20
2.2.3. Administration des imprimantes publiées.............................................................23
2.3. Implémentation des emplacements des imprimantes publiées...................................24
2.4. Configuration et administration des dossiers partagés publiés...................................25
2.4.1. Publication............................................................................................................25
2.4.2. Configuration des options de recherche...............................................................26
2.4.3. Déplacement des dossiers publiés.......................................................................26
2.5. Comparaison des objets publiés et des ressources partagées...................................26
3. Délégation du contrôle d’administration des objets...........................................................27
3.1 Sécurité des objets dans Active Directory ...................................................................28
3.1.1 Composants de sécurité Active Directory..............................................................28
3.1.2. Liste des contrôles d'accès système et discrétionnaire........................................28
3.1.3. Entrée de contrôle d'accès...................................................................................29
3.1.4. Héritage...............................................................................................................29
3.1.5. Processus d'ouverture de session........................................................................29
3.1.6. Jeton d'accès.......................................................................................................30
3.2. Contrôle des accès aux objets Active Directory..........................................................30
3.2.1. Autorisations Active Directory ..............................................................................30
3.2.2. Héritage des autorisations....................................................................................31
3.2.3. Paramétrages des autorisations Active Directory ................................................32
3.2.4. Propriétés des objets............................................................................................32
3.3. Délégation du contrôle d’administration des objets Active Directory ..........................32
3.4. Personnalisation des MMC.........................................................................................35
4. Conseils............................................................................................................................35

23243608.doc Page 1 sur 34

1. Gestion des utilisateurs et groupes
1.1. Généralités
Active Directory est un service d’annuaire qui conserve et gère les données nécessaires aux
ressources réseau. Un compte d’utilisateur est un objet conservé dans Active Directory. Il
permet d’ouvrir une session sur le domaine pour accéder aux ressources du réseau ou
d’ouvrir une session sur un ordinateur pour accéder aux ressources locales de cet
ordinateur.

Un groupe est en général un ensemble de comptes d’utilisateur; on utilise des groupes pour
gérer l’accès aux ressources du domaine. On peut utiliser les groupes séparément ou
imbriquer des groupes.

La gestion des comptes utilisateurs comprend les tâches suivantes:

- création de compte utilisateur: un administrateur peut créer trois types de comptes
d’utilisateur
o compte d’utilisateur local: l’utilisateur se connecte alors à l’ordinateur local
o compte d’utilisateur de domaine: l’utilisateur ouvre une session sur le domaine
o compte d’utilisateur intégré: l’utilisateur peut effectuer des tâches
administratives ou accéder provisoirement aux ressources du réseau
- création de comptes en une seule opération: par importation de données issues d’un
fichier.
- Groupage des comptes d’utilisateurs: permet de gérer simplement l’accès aux
ressources.
- Imbrication de groupes dans d’autres groupes.

1.2. Noms d’ouverture de session

Dans Active Directory, chaque compte d’utilisateur possède:
- un nom d’ouverture de session d’utilisateur,
- un nom d’ouverture de session d’utilisateur antérieur à Windows 2000.

Noms d’ouverture de session d’utilisateur

 Nomprincipal d’utilisateur toto@terre. def

• Lesuffixepardéfautestlenomdu
domaineracine, maisvouspouvezle
modifierouenajouterd’autres.

Préfixe @ Suffixe

 Nomd’ouverturedesession terre toto

d’utilisateur(pré -Windows2000)
• L’utilisateurchoisitledomainelors
sonouverturedesession. Domaine + Nom
d’utilisateur

Un utilisateur peut ouvrir une session avec un nom principal d’utilisateur ou un nom
d’ouverture de session d’utilisateur (pré-Windows 2000).

Remarque: l’assistant d’installation Active Directory exige les informations d’identification

sous la forme: nom de l’utilisateur, mot de passe et domaine. Par conséquent, le nom

23243608.doc Page 2 sur 34

principal d’un utilisateur ne doit pas être utilisé pour installer Active Directory. Pour
créer des comptes d’utilisateurs, il faut indiquer le préfixe du nom d’ouverture de session
d’utilisateur et sélectionner le suffixe de nom principal d’utilisateur.

1.2.1. Nom principal d’utilisateur

Ce nom est utilisé pour se connecter à un réseau Windows 2000. Il est également appelé
nom d’ouverture de session d’utilisateur; il comporte deux parties:
- Le préfixe: nom de l’utilisateur
- Le suffixe: par défaut, c’est le nom du domaine racine du réseau. On peut utiliser les
autres domaines pour configurer d’autres suffixes; on peut par exemple configurer un
suffixe qui correspond aux adresses de messagerie.

Caractéristiques du nom principal d’utilisateur:

- le nom principal d’utilisateur ne change pas si l’on déplace le compte dans un autre
domaine; il est unique dans Active Directory;
- le nom principal d’utilisateur peut être identique à l’adresse de messagerie car il en a
le format.

1.2.2. Nom d’ouverture de session d’utilisateur (pré-Windows 2000)

Un utilisateur qui ouvre une session à partir d’un ordinateur client exécutant une version de
Windows antérieur à Windows 2000 doit se connecter en utilisant le nom d’ouverture de
session d’utilisateur (pré-Windows 2000). Le principe est alors le même que sous NT4.

1.2.3. Règles d’unicité

Les règles d’unicité sont appliquées:
- unicité du nom principal d’utilisateur, au sein du conteneur
- unicité du nom principal d’utilisateur, au sein de la forêt
- unicité du nom d’ouverture de session d’utilisateur (pré-Windows 2000)., au sein du
domaine.

1.3. Procédure de création d’un compte

Pour ajouter un compte d'utilisateur:
- Ouvrez Utilisateurs et ordinateurs Active Directory.
- Dans l'arborescence de la console, double-cliquez sur le nœud de domaine.
- Dans le volet des détails, cliquez avec le bouton droit sur l'unité d'organisation où
vous voulez ajouter l'utilisateur, pointez sur Nouveau, puis cliquez sur Utilisateur.

23243608.doc Page 3 sur 34

 - Dans la zone Prénom, tapez le prénom de l'utilisateur.
- Dans la zone Initiales, tapez les initiales de l'utilisateur.
- Dans la zone Nom, tapez le nom de l'utilisateur.
- Modifiez la zone Nom détaillé si nécessaire.
- Dans la zone Nom d'ouverture de session de l'utilisateur, tapez le nom avec
lequel l'utilisateur se connectera, puis, dans la liste déroulante, cliquez sur le suffixe
UPN (partie du nom principal de l'utilisateur située à droite du caractère « @ ».) qui
doit être ajouté au nom d'ouverture de session de l'utilisateur.
Si l'utilisateur utilise un nom différent pour ouvrir une session à partir d'ordinateurs
exécutant Windows NT, Windows 98 ou Windows 95, remplacez le nom d'ouverture
de session de l'utilisateur lorsqu'il apparaît dans Nom d'ouverture de session de
l'utilisateur (avant l'installation de Windows 2000), par le nom différent.

- Dans les zones Mot de passe et Confirmer le mot de passe, tapez le mot de passe
de l'utilisateur.
- Sélectionnez les options de mot de passe appropriées.

23243608.doc Page 4 sur 34

L’utilisateur toto a été crée dans l’unité d’organisation Users.

1.4. Création d’un suffixe de nom principal d’utilisateur

Lorsque l’on crée un compte d’utilisateur, on doit sélectionner un suffixe de nom principal
d’utilisateur. Le suffixe UPN est la partie du nom principal de l'utilisateur située à droite du
caractère « @ ». Le suffixe UPN par défaut d'un compte d'utilisateur est le nom de domaine
DNS du domaine contenant le compte d'utilisateur. D'autres suffixes UPN peuvent être
ajoutés pour simplifier les processus d'administration et d'ouverture de session utilisateur
avec l'indication d'un seul suffixe UPN pour tous les utilisateurs. Le suffixe UPN n'est utilisé
que dans le domaine Windows 2000 et ne doit pas nécessairement être un nom de domaine
DNS valide.

23243608.doc Page 5 sur 34

Pour ajouter des suffixes de nom principal d'utilisateur:
1. Ouvrez Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et
approbations Active Directory, puis cliquez sur Propriétés.
3. Sous l'onglet Suffixes UPN, tapez un autre suffixe UPN pour le domaine, puis
cliquez sur Ajouter.

23243608.doc Page 6 sur 34

Il est maintenant possible de modifier le suffixe lié au compte d’utilisateur toto.

Options de comptes d'utilisateurs Active Directory

Chaque compte d'utilisateur Active Directory a un certain nombre d'options relatives à la
sécurité qui déterminent la manière dont une personne se connectant avec ce compte
d'utilisateur particulier sera authentifiée sur le réseau. Plusieurs de ces options sont
spécifiques aux mots de passe:
 L'utilisateur doit changer de mot de passe à la prochaine ouverture de session
 L'utilisateur ne peut pas changer de mot de passe
 Le mot de passe n'expire jamais
 Enregistrer les mots de passe en utilisant un cryptage réversible

Ces options s'expliquent d'elles-mêmes à l'exception de Enregistrer les mots de passe en

utilisant un cryptage réversible. Si vous avez des utilisateurs qui se connectent à votre
réseau Windows 2000 à partir d'ordinateurs Apple, sélectionnez cette option pour ces
comptes d'utilisateurs.

Sélectionnez l'option Compte désactivé pour empêcher les utilisateurs de se connecter

avec le compte sélectionné. De nombreux administrateurs utilisent des comptes désactivés
comme modèles pour les comptes d'utilisateurs courants.

Vous pouvez utiliser les autres options pour configurer des informations spécifiques à la
sécurité pour les comptes d'utilisateurs Active Directory:
 Carte à puce requise pour l'ouverture de session interactive
 Le compte est approuvé pour la délégation
 Le compte est sensible et ne peut pas être délégué
 Utiliser les types de cryptages DES pour ce compte
 Ne nécessite pas la pré-authentification Kerberos

Sélectionnez l'option Carte à puce requise pour l'ouverture de session interactive pour
enregistrer en toute sécurité des clés publiques et privées, des mots de passe et autres
types d'informations personnelles pour ce compte d'utilisateur. Un lecteur de cartes à puce
doit être attaché à l'ordinateur de l'utilisateur et celui-ci doit avoir un code PIN (personal
identification number) pour pouvoir se connecter au réseau.

Sélectionnez l'option Le compte est approuvé pour la délégation pour donner à un

utilisateur la possibilité d'attribuer la responsabilité de la gestion et de l'administration d'une
partie de l'espace de noms de domaines à un autre utilisateur, groupe ou organisation.

Sélectionnez l'option Le compte est sensible et ne peut pas être délégué si ce compte ne
peut pas être affecté à la délégation par un autre compte.

Sélectionnez l'option Ne nécessite pas la pré-authentification Kerberos si le compte

utilise une autre implémentation du protocole Kerberos. Toutes les implémentations ou
déploiements du protocole Kerberos n'utilisent pas cette fonctionnalité. Le Kerberos Key
Distribution Center utilise des TGT (Ticket-Granting Tickets) pour obtenir l'authentification de
réseau dans un domaine. L'heure à laquelle le Key Distribution Center émet un TGT est
importante pour le protocole Kerberos. Windows 2000 utilise d'autres mécanismes pour
synchroniser l'heure; aussi l'utilisation de l'option de préauthentification Kerberos fonctionne
bien.

Sélectionnez l'option Utilisez les types de cryptages DES pour ce compte si vous avez
besoin du cryptage DES (Data Encryption Standard). DES prend en charge plusieurs
niveaux de cryptage, notamment le cryptage MPPE standard (40 bits), MPPE standard

23243608.doc Page 7 sur 34

(56 bits), MPPE maximal (128 bits), IPSec DES (40 bits), IPSec 56 bits DES et IPSec Triple
DES (3DES).

Puisque le suffixe bretagne.fr existe, nous pouvons créer un compte d’utilisateur.

Dans l’exemple ci-dessous, on crée un compte d’utilisateur admlinux1 dans l’unité
d’organisation Système/Unix.

On peut en effet créer des comptes, des groupes etc. dans les unités d’organisation; cette
méthode permet d’améliorer la vision du domaine et son administration.
La console permet de plus le déplacement des comptes d’une unité d’organisation à une
autre, d’un groupe à un autre.

Remarques: Utilisateurs et ordinateurs Active Directory ne peut pas déplacer les comptes
d'utilisateurs d'un domaine à l'autre. Pour déplacer un compte d'utilisateur d'un domaine à
l'autre, utilisez Movetree, un des outils d'assistance de Active Directory.

Remarque: il est possible d’indiquer un préfixe différent du nom.

23243608.doc Page 8 sur 34

Pour ouvrir une session, l’utilisateur linux1 doit indiquer le nom linux1@bretagne.fr.

1.5. Création de plusieurs comptes

Active Directory est extensible, ce qui signifie que les administrateurs peuvent ajouter de
nouvelles classes d'objets au schéma et de nouveaux attributs aux classes d'objets
existantes.

Vous pouvez ajouter des objets (comptes d’utilisateur) et des attributs:

1. En utilisant le Schéma Active Directory
2. En créant des scripts (VBScript ou Java) en fonction des interfaces ADSI (Active
Directory Service Interfaces) associé à WSH (Windows Script Host).
3. En utilisant des utilitaires de ligne de commande LDIFDE (Lightweight Directory
Access Protocol Data Interchange Format Directory Exchange) ou CSVDE (Comma
Separated Value Directory Exchange.

Les informations du fichier CSVDE ou LDIFDE doivent répondre à plusieurs critères:

4. comporter impérativement le chemin d’accès au compte dans Active Directory, le
type d’objet, qui est le compte d’utilisateur et le nom, d’ouverture de session
d’utilisateur (Pré-Windows),
5. Il ne doit pas y avoir de mot de passe: le processus vide la zone du mot de passe;
par défaut les utilisateurs doivent changer leur mot de passe à la première ouverture
de session. Un mot de passe vide peut être gênant; il est donc préférable de
désactivé ces nouveaux comptes jusqu’à ce que le détenteur en ait besoin.
6. Il est donc conseillé d’indiquer que le compte est désactivé; ceci est prévu par défaut.

La création de plusieurs comptes est appelée importation en bloc.

1.5.1. Processus d’importation en bloc

Ce processus utilise un fichier texte qui contient les informations sur les comptes
d’utilisateurs.

23243608.doc Page 9 sur 34

La commande CSVDE permet d'exporter et importer des données provenant de fichiers
compatibles avec le format CSV (Comma-Separated Variable)., utilisé dans des applications
telles que Microsoft Excel. De plus, les outils d'administration Microsoft Exchange Server
peuvent également importer et exporter des données à l'aide du format CSV, tout comme de
nombreux autres outils tiers.

La commande LDIFDE permet d'exporter et importer des fichiers qui utilisent le format LDIF,
c’est-à-dire délimité par des sauts de ligne.

1.5.2. Utilisation de CSVDE

Préparation du fichier

Le format CSV est constitué d'une ou plusieurs lignes de données, chaque valeur étant
séparée par une virgule. La première ligne (parfois appelée en-tête) du fichier CSV doit
contenir les noms de chaque attribut dans le même ordre que les données de n'importe
quelle ligne qui suit la première ligne.

Attributs de comptes d'utilisateur

objectClass

DN = nom complet
+ chemin

displayname

User PrincipalName

SAMAccountName

Exemple:

DN,SAMAccountName,userPrincipalName,telephoneNumber,userAccountControl,objectClass
"CN=felix toto,OU=windows,OU=systeme,DC=dmsi, DC=esat, DC=terre
DC=def",toto,toto@dmsi.esat.terre.def,821-354-007,512,user

Les attributs ont ici pour valeur:

Attribut Valeur
DN (nom unique) CN = felix toto,OU=windows,OU=systeme,DC=dmsi, DC=esat, DC=terre
DC=def
SAMAccountName Toto
userPrincipalName toto@dmsi.esat.terre.def
telephoneNumber 821-354-007
userAccountControl 512: cette valeur active le compte; la valeur 514 le désactive
objectClass user

Utilisation de la commande csvde

Pour importer le fichier, taper:

23243608.doc Page 10 sur 34

 Csvde –i –f fichier.

Il existe de nombreux paramètres à cette commande; on y accède par csvde /?

1.5.3. Utilisation de LDIFDE

Préparation du fichier LDIF
Les opérations de commandes que vous pouvez exécuter à l'aide de LDIFDE sont les
suivantes: ajouter, supprimer, renommer et modifier. Un fichier LDIF se compose d’une série
d’enregistrements séparés par une ligne.
• toute ligne commençant par un # est une ligne de commentaire,
• si une valeur est absente pour un attribut, elle doit être représentée comme
description d’attribut: FILL SEP.

Exemple:
DN: CN=felix toto,OU=windows,OU=systeme,DC=dmsi, DC=esat, DC=terre DC=def
objectClass: -user
SAMAccountName: toto
userPrincipalName toto@dmsi.esat.terre.def
userAccountControl 512

Utilisation de la commande ldifde

Pour importer le fichier, tapez:
Ldifde –i –f fichier.

Il existe de nombreux paramètres à cette commande; on y accède par ldifde /?

1.6. Administrations des comptes d’utilisateur

Après avoir créé des comptes, l’administrateur doit effectuer certaines tâches. Les tâches les
plus courantes sont:
• réinitialiser le mot de passe,
• déverrouiller,
• renommer,
• désactiver,
• activer
• supprimer
• déplacer des comptes.

Ces options sont accessibles dans la console Utilisateurs et ordinateurs Active Directory

23243608.doc Page 11 sur 34

Lors du déplacement de comptes dans un domaine, les conditions ci-dessous s’appliquent:
• les autorisations sur des objets affectés directement au compte sont déplacées avec
lui.
• Les autorisations qui étaient héritées de l’objet parent ne s’appliquent plus. Les
permissions sont alors héritées du nouvel objet parent.
• On peut déplacer plusieurs comptes simultanément

Dans des infrastructures complexes, contenant de nombreuses unités d’organisations et de

nombreux comptes, il est parfois difficile de localiser un compte voir les ordinateurs, les
imprimantes etc. Dans la même console, cliquez sur le menu Action puis l’option
Rechercher; la fenêtre suivante s’affiche:

23243608.doc Page 12 sur 34

Dans cet exemple, l’administrateur recherche tous les comptes dans l’unité d’organisation
Users dont l’attribut prénom commence par un « f ».

1.7. Utilisations des groupes dans Active Directory

Les groupes simplifient l’administration. Active Directory prend en charge plusieurs types de
groupes. Windows 2000 met en oeuvre deux types de groupes:

 Groupes de sécurité
Permettent d'accorder ou de
refuser des droits
et des autorisations

 Groupes de distribution
Permettent d'envoyer du courrier
électronique

Les groupes de sécurité sont répertoriés dans des DACL (discretionary access control lists)
utilisées pour définir les autorisations sur les ressources et les objets. Les groupes de
sécurité peuvent également être utilisés comme une entité de courrier électronique. Lorsque
vous envoyez un message de courrier électronique à un groupe, ce message est envoyé à
tous les membres du groupe.

Les groupes de distribution peuvent être utilisés uniquement avec des applications de
courrier électronique (par exemple Microsoft Exchange) pour envoyer du courrier à un
ensemble d'utilisateurs. La sécurité n'est pas activée sur les groupes de distribution. Ils ne
peuvent pas être répertoriés dans des DACL (discretionary access control lists).

Ces deux types de groupes prennent en charge trois étendues possibles:

Groupes
Groupesde
dedom
domaine
ainelocal
local

 MMem
embres
bres d'un
d'un dom
domaine
ainequelconque
quelconque de
dela
la
forêt
forêt

 Perm
Permettent
ettent d'accéder
d'accéder aux
aux ressources
ressources d'un
d'un
dom
domaine
aine

Groupes
Groupes globaux
globaux

 M
Mem
embres
bres de de leur
leur propre
propredom
domaine
aine
uniquem
uniquement
ent

 Perm ettent d'accéder aux ressources
Permettent d'accéder aux ressources d'un
d'un
dom
domaine
ainequelconque
quelconque
Groupes
Groupesuniversels
universels

 MMem
embres
bres d'un
d'un dom
domaine
aine quelconque
quelconque dedela
la
forêt
forêt

 Perm ettent d'accéder aux ressources
Permettent d'accéder aux ressources d'un d'un
dom
domaine
ainequelconque
quelconque

23243608.doc Page 13 sur 34

Les groupes peuvent contenir 5000 membres.
1.7.1. Les groupes locaux de domaine
Un groupe local sert à donner des autorisations sur les ressources dans le même domaine
que celui où est créer le groupe local de domaine. Voici les règles d’appartenance à un
groupe local de domaine.

Membres • Mode mixte : Comptes d ’utilisateur et groupes globaux

de tout domaine.
• Mode natif : Comptes d ’utilisateur, groupes globaux et
groupes universels d ’un domaine quelconque de la for êt,
et groupes locaux de domaine du m ême domaine
Peut être • Mode mixte : Membre d ’aucun groupe
membre de • Mode natif : Groupes locaux de domaine du m ême
domaine
Étendue • Visible dans son propre domaine

Autorisations • Le domaine dans lequel le

pour groupe local de domaine existe

1.7.2. Les groupes globaux

Un groupe global sert à organiser les utilisateurs qui partagent les mêmes tâches, fonctions.
Voici les règles d’appartenance à un groupe global:

Membres • Mode mixte : Comptes du m ême domaine

• Mode natif : Comptes et groupes globaux du m ême
domaine
Peut être • Mode mixte : Comptes locaux de domaine
membre de • Mode natif : Groupes locaux de domaine et universels
dans tout domaine et groupes globaux du m ême
domaine
Étendue • Visible dans son domaine et dans tous les domaines
approuv és

Autorisations • Tous les domaines de la for êt

pour

1.7.3. Les groupes universels

Les groupes universels permettent d’imbriquer des groupes globaux de tous les domaines
de la forêt afin d’affecter des autorisations aux ressources concernées sur plusieurs
domaines en insérant le groupe universel dans un groupe local de domaine.

Ces groupes sont utilisés dans les grandes entreprises. Chaque fois que l’on modifie un
groupe universel, il faut répliquer ces modifications sur tous les catalogues globaux de la
forêt.

Un domaine Windows 2000 doit être en mode natif pour utiliser les groupes universels.

23243608.doc Page 14 sur 34

Voici les règles d’appartenance à un groupe universel.

Membres • Mode mixte : Non applicable

• Mode natif : Comptes d ’utilisateur, groupes globaux et
autres groupes universels d ’un domaine quelconque de
lafor êt
Peut être • Mode mixte : Non applicable
membre de • Mode natif : Groupes locaux de domaine et universels
de tout domaine
Étendue • Visible dans tous les domaines delafor êt

Autorisations • Tous les domaines delafor êt

pour

1.8. Modification de l'étendue de groupe

Lors de la création d'un nouveau groupe, ce dernier est configuré par défaut en tant que
groupe de sécurité avec une étendue globale, quel que soit le mode de domaine actuel.
La modification de l'étendue d'un groupe n'est pas autorisée dans les domaines en
mode mixte.

Les conversions suivantes sont autorisées dans les domaines en mode natif:
• Global vers universel. Cette conversion n'est toutefois autorisée que si le groupe
n'est pas membre d'un autre groupe ayant une étendue globale.
• Domaine local vers universel. Cependant, le groupe qui va être converti ne peut
pas avoir comme membre un autre groupe ayant une étendue de domaine local.

De manière plus générale, les modifications suivantes peuvent être apportées:

 Modification du type de groupe

 Transformer le groupe de sécurité en groupe de
distribution et inversement
 Disponible en mode natif
 Modification de l'étendue de groupe
 Transformer un groupe local ou de domaine local en
groupe universel
 Disponible en mode natif
 Suppression d'un groupe
 Supprimer le groupe sans en supprimer les objets
membres
 Impossible de restaurer un groupe et ses autorisations

1.9. Stratégies d’utilisation des groupes dans un domaine

23243608.doc Page 15 sur 34

Si l’organisation n’a qu’un seul domaine , les groupes universels ne sont pas utiles. Lors de
l’utilisation de groupes globaux et locaux, il est conseillé d’opter pour la stratégie suivante:
A G G DL P

DLG

Comptes Groupes globaux Groupes global Groupe local de Autorisations

d’utilisateurs domaine

1
1 Ajouter les comptes d ’utilisateurs de domaine à des groupes globaux

2
2 (Facultatif) Ajouter les groupes globaux à un autre groupe global

3
3 (Facultatif) Ajouter les groupes globaux à un groupe universel

4
4 Ajouter les groupes globaux ou le groupe universel à un groupe local

5
5 Affectez les autorisations sur les ressources au groupe local de domaine

On peut retenir cette stratégie par le sigle:

A (Account) G (Global) DL (Domain Local) P (Permissions)

ou
A (Account) G (Global) G (Global) DL (Domain Local) P (Permissions)
ou
A (Account) G (Global) G (Global) U (Universel) DL (Domain Local) P (Permissions)

1.10. Conseils
 Demandez aux utilisateurs de se servir de leur nom principal (toto@dmsi.esat.terre.def)
 dans ce cas leur compte peut être déplacé d’un domaine à un autre sans difficulté.

 Utilisez le nom de domaine de la racine de la forêt comme suffixe.

 Le nom principal est ainsi plus court.
 On peut également envisager d’utiliser un suffixe correspondant à l’adresse de
messagerie de l’utilisateur.

 Désactiver les comptes d’utilisateurs importés en bloc tant qu’ils ne sont pas
nécessaires.

2. Publications des ressources

2.1. Généralités
Les administrateurs réseaux doivent:
• garantir aux utilisateurs l’accès sécurisé aux ressources
• faciliter la recherche d’informations sur le réseau.

Active Directory peut stocker toutes les informations propres aux objets du réseau et les
mettre à disposition, les publier, pour les rendre accessibles à tous les utilisateurs. Les
ressources pouvant être publiées dans l'annuaire comprennent des objets tels que des
utilisateurs, des ordinateurs, des imprimantes, des fichiers et des services réseau.

23243608.doc Page 16 sur 34

Les informations publiées doivent être relativement statiques: numéros de téléphone,
adresses électroniques, imprimantes etc. Ces informations seront en effet répliquées sur les
contrôleurs. La publication des ressources permet de repérer des ressources même si leur
adresse physique change. Les imprimantes n’exécutant pas Windows 2000 et les
dossiers partagés doivent être publiés.

2.2. Configuration et administration des imprimantes publiées

Chaque serveur d’impression Windows 2000 publie, par défaut, automatiquement ses
imprimantes dans Active Directory. Windows 2000 met automatiquement à jour les attributs
objet de l’imprimante dans Active Directory. On peut également publier des imprimantes qui
n’utilisent pas Windows 2000; on utilise la console Utilisateurs et ordinateurs Active Directory
ou le script pubprn.vbs dans le dossier system32.

2.2.1. Gestion de la publication des imprimantes

Les objets imprimantes sont visibles dans la console Utilisateur, Groupes et Ordinateurs
en tant que conteneurs puis sur l’ordinateur (dans le menu Affichage de la console) sur
lequel l’imprimante est installée: l’imprimante publiée s’affiche dans le volet de détails.

Vérification dans les propriétés de l’imprimante de l’activation de la case à cocher « Liste

dans Active Directory » si l’on souhaite vraiment publier cette imprimante.

23243608.doc Page 17 sur 34

On peut contrôler la publication automatique des imprimantes: se placer sous Configuration
ordinateur\Modèles d’administration\Imprimantes dans la console Stratégie de groupe et
configurer le paramètre de Stratégie de groupe « Publier automatiquement les nouvelles
imprimantes dans l’annuaire Active Directory ».

La procédure diffère un peu selon que l’on est sur un contrôleur de domaine ou une station.
Sur un contrôleur du domaine, il faut utiliser la stratégie de groupe:
- lancer la console Utilisateurs et Ordinateurs Active Directory
- sélectionner l’item « Domain Controllers » et l’option Propriétés

- dans l’onglet Stratégies de groupe, cliquez sur Modifier,

- la console des Stratégies par défaut sur le domaine s’affiche:

23243608.doc Page 18 sur 34

Sur une station, on accède à la console des stratégies locales (\system32\gpedit.msc):

23243608.doc Page 19 sur 34

2.2.2. Publication des imprimantes sur des ordinateurs non Windows 2000.
Dans un système d’information, on peut trouver des serveurs d’impressions sous NT4.0; ces
serveurs d’impression peuvent appartenir au domaine ou à un domaine enfant (NT ou
Windows 2000). Pour publier une imprimante NT, on peut utiliser la console Utilisateurs et
ordinateurs Active Directory ou un script
Utilisation de la console Utilisateurs et ordinateurs Active Directory:

 Ouvrez Utilisateurs et ordinateurs Active Directory.

 Dans l'arborescence de la console, double-cliquez sur le nœud de domaine ou de
l’objet au profit duquel vous publiez l’imprimante (ici l’UO Système).
 Dans l'arborescence de la console, cliquez avec le bouton droit sur le dossier où vous
souhaitez publier l'imprimante, pointez sur Nouveau, puis cliquez sur Imprimante.

23243608.doc Page 20 sur 34

Dans la fenêtre suivante tapez le nom UNC que vous souhaitez publier dans le répertoire
(UNC est l'abréviation de Universal Naming Convention).

Dans cet exemple, on publie l’imprimante partagée sous le nom nt_agfa sur le
serveur NT4.0 nommé pdc_nt1; il s’agit ici d’un contrôleur principal de domaine, du
domaine NT DOM_NT1. Ce domaine est approuvé et approuve le domaine Windows
2000 nommé DMSI.esat.terre.
 L’imprimante apparaît dans la console; dans cet exemple, elle est publiée pour l’UO
Système.
Remarque: attention aux options d’affichage de la console; en tant
qu’administrateur, sélectionner les options d’affichage des objets en tant que
conteneurs et l’option d’affichage des informations détaillées.

23243608.doc Page 21 sur 34

  Elle est maintenant visible dans l’explorateur; tous les utilisateurs qui voient
l’imprimante peuvent l’installer sur leur station; il suffit de cliquer sur l’imprimante pour
l’installer.

Utilisation d’un fichier de script:

Windows 2000 comprend un script nommé pubprn.vbs.

Pour publier une imprimante partagée IMP du serveur d’impression NT4 SVR_NT, dans
l’unité d’organisation SECRETARIAT du domaine esat.terre.def, tapez l’invite:

Pubprn.vbs \\ SVR_NT\IMP "LDAP://OU= SECRETARIAT,DC=esat,DC=terre,DC=def"

23243608.doc Page 22 sur 34

2.2.3. Administration des imprimantes publiées
Les ressources sont généralement publiées au nœud principal d’un domaine. Il est possible
de déplacer l’objet publié vers une unité d’organisation spécifique; la ressource publiée
pourra ainsi être gérée par un membre de cette unité d’organisation.

On pourra aussi déplacer les imprimantes dans une UO dédiée à la gestion des ces
imprimantes; l'administration des ces imprimantes sera alors déléguée, avec les permissions
requises, à un utilisateur désigné du domaine.

On va ici déplacer l’imprimante vers l’UO Programmation.

Après avoir choisi l’option Déplacer puis l’UO cible Programmation, l’imprimante est
déplacée.

Toutes les actions possibles sur les UO seront ainsi appliquées également à cette
imprimante.

23243608.doc Page 23 sur 34

2.3. Implémentation des emplacements des imprimantes publiées
La recherche d'emplacements remplace la méthode standard de recherche et d'association
entre utilisateurs et imprimantes, qui utilise l'adresse IP et le masque de sous-réseau d'un
ordinateur pour déterminer son emplacement physique et la proximité d'autres ordinateurs.

Les emplacements d'imprimante permettent aux utilisateurs de rechercher des imprimantes

à proximité de l'utilisateur et de s'y connecter. Cette définition de l'emplacement est
obligatoire pour que l'imprimante publiée soit visible dans un autre réseau.

Pour implémenter les emplacements d'imprimante, le réseau Windows 2000 doit satisfaire
aux conditions suivantes:
- un réseau Active Directory avec au moins un site et 2 sous-réseaux IP; ces sous-
réseaux sont utilisés pour identifier l'emplacement physique d'une imprimante.
- Un modèle d'adressage correspondant à la disposition géographique et physique du
réseau.
- Un objet sous-réseau pour chaque site dans Active Directory.
- Des ordinateurs clients capables d'effectuer des recherches dans Active Directory.

La configuration du suivi des emplacements est accessible par les Stratégies de groupe.

Si vous activez la Recherche d'emplacement, un bouton Parcourir apparaît à côté de la

rubrique Emplacement dans la boîte de dialogue de recherche d'imprimante (le bouton
Parcourir apparaît en cliquant sur Démarrer, Rechercher, Des imprimantes). Le bouton
Parcourir apparaît également dans l'onglet Général de la boîte de dialogue des propriétés
d'une imprimante. Ceci permet aux utilisateurs de rechercher des imprimantes selon leur
emplacement sans connaître l'emplacement précis (ou le schéma de nom des
emplacements). De même, si vous activez la stratégie "Emplacement d'ordinateur",
l'emplacement par défaut que vous entrez apparaît sous la rubrique Emplacement.

Si vous désactivez cette stratégie ou si vous ne la configurez pas, la Recherche

d'emplacement est désactivée. La proximité des imprimantes est estimée en se basant sur
l'adresse IP et le masque de sous-réseau.

23243608.doc Page 24 sur 34

2.4. Configuration et administration des dossiers partagés publiés

2.4.1. Publication
La publication de dossiers partagés est assurée par la console Utilisateurs et Ordinateurs
Active Directory.

Dès que le dossier est publié, il apparaît dans la console; on voit dans l’exemple le dossier
Films KSO:

Le dossier nouvellement publié apparaît environ 5 minutes après dans l’explorateur; on

pourra forcer la publication par une commande manuelle en cas d’urgence.

23243608.doc Page 25 sur 34

2.4.2. Configuration des options de recherche
Après avoir publié un dossier, on peut ajouter une description et des mots clefs afin de
faciliter la recherche. Ces informations sont saisies dans les propriétés de l'objet publié.

2.4.3. Déplacement des dossiers publiés

Tous les objets publiés peuvent être déplacés dans d’autres conteneurs. Lors du
déplacement dans Active Directory, l'emplacement physique du dossier n'est pas modifié.

2.5. Comparaison des objets publiés et des ressources partagées

L'objet publié dans l'annuaire Active Directory est séparé de la ressource partagée qu'il
représente. Lors de la publication d'un dossier partagé ou d'une imprimante, deux objets
distincts existent: l'imprimante ou le dossier partagé et l'objet publié. L'objet publié contient
une référence à l'emplacement de la ressource partagée.

Chaque objet possède sa propre liste de contrôle d'accès discrétionnaire (DACL).

On peut le voir dans l'exemple ci-dessous. Le dossier Drivers est partagé avec des
permissions NTFS particulières. L'objet Drivers publié possède une ACL différente!

Après avoir modifié les options d'affichage de la console (dans le menu Affichage,
Sélectionner l'option Utilisateurs, groupes et ordinateurs en tant que conteneurs), on
visualise les onglets Objet et Sécurité d'un clic droit sur le dossier publié:

23243608.doc Page 26 sur 34

On remarque les différences entre les ACL NTFS et l' ACL Active Directory.
ACL NTFS ACL Active Directory

Les ACL NTFS permettent de contrôler l'accès à la ressource physique.

Les ACL Active Directory permettent de contrôler les informations de l'objet; description,
mots clefs etc.

3. Délégation du contrôle d’administration des objets

Les administrateurs peuvent indiquer quels comptes peuvent avoir accès à Active Directory
et le niveau d'accès de ces comptes. Cette précision permet aux administrateurs de
déléguer, à certains groupes d'utilisateurs, une autorité particulière sur certaines parties
d'Active Directory. La délégation permet d'alléger l'administration en la décentralisant.

23243608.doc Page 27 sur 34

Vous pouvez déléguer le contrôle administratif à n'importe quel niveau d'une arborescence
de domaine en créant des unités d'organisation à l'intérieur d'un domaine et en
déléguant le contrôle administratif d'unités d'organisation spécifiques à des utilisateurs ou
groupes particuliers.

Windows 2000 définit un grand nombre d'autorisations et de droits d'utilisateur très

spécifiques qui peuvent être utilisés dans le but de déléguer ou de restreindre le contrôle
administratif. En utilisant une combinaison d'unités d'organisation, de groupes et
d'autorisations, vous pouvez définir l'étendue administrative la plus appropriée pour une
personne spécifique: un domaine entier, toutes les unités d'organisation d'un domaine, ou
même une seule unité d'organisation.

Rappel:
- une autorisation est une règle associée à un objet en vue de déterminer les
utilisateurs qui peuvent accéder à l'objet et son utilisation.

- Les droits sont des tâches qui peuvent être exécutées par un utilisateur sur un
ordinateur ou dans un domaine, notamment la sauvegarde de fichiers et de dossiers,
l'ajout ou la suppression d'utilisateur sur une station de travail dans un domaine, ainsi
que l'arrêt d'un ordinateur. Les droits peuvent être accordés à des groupes ou à des
comptes d'utilisateurs, mais il est préférable de les réserver aux groupes.

Le contrôle administratif peut être accordé à un utilisateur ou à un groupe à l'aide de

l'Assistant Délégation de contrôle. Cet Assistant vous permet de sélectionner l'utilisateur
ou le groupe auquel vous souhaitez déléguer le contrôle, les unités d'organisation et les
objets dont vous voulez accorder le droit de contrôle à ces utilisateurs, et les autorisations
d'accéder à des objets et de les modifier.

3.1 Sécurité des objets dans Active Directory

3.1.1 Composants de sécurité Active Directory
On trouve trois composants:
- Entité de sécurité: c'est le titulaire d'un compte (utilisateur, groupe compte ou
d'ordinateur) auquel on attribue des autorisations.
Chaque entité de sécurité dans un domaine Windows 2000 est identifié par un
identificateur de sécurité unique.
- Identificateur de sécurité: c'est le SID (Security Identifier); il est généré par le
maître RID (1 par domaine et par défaut le premier contrôleur du domaine).
- Descripteurs de sécurité: c'est une structure de données qui contient:
o Une liste de contrôle d'accès discrétionnaire (DACL) si des autorisations sont
configurées pour l'objet.
o Une lise de contrôle d'accès système (SACL) si l'audit est configuré pour
l'objet.

3.1.2. Liste des contrôles d'accès système et discrétionnaire

Un descripteur de sécurité est une structure de données binaire qui contient une ACL
(Access Control List). Une ACL est une liste d'entrées de contrôles d'accès, ACE (Access
Control Entries), qui définit les protections de sécurité applicables à un objet.

23243608.doc Page 28 sur 34

 Structure des donn ées d ’un descripteur de s écurit é

Liste
ListeDACL
DACL Descripteurdesécurité

En-tête

 Identifie
Identifie les
les entités
entités de
de sécurité
sécurité
autorisées
autoriséesouou nonnonàà accéder
accéder ,,etetle
le SIDdupropriétaire
niveau
niveaud’accès
d’accèsautorisé
autoriséou
ourefusé
refusé
SIDdegroupe(pour
MAC etPOSIX)

ListeDACL
Entrées ACE
Liste
Liste SACL
SACL

Contrôle ListeSACL

 Contrôle lala façon
façondont
dontl’accès
l’accès àà
l’objet
l’objet sera
sera audité
audité Entrées ACE

3.1.3. Entrée de contrôle d'accès

Chaque entrée de contrôle d'accès est composée de:
- SID d'utilisateur ou de groupe,
- ACE d'accès ou de refus,
- Un masque d'accès qui identifie les opérations permises ou refusées,
- Indicateurs d'héritage,
- Indicateur de type d'entrée

On trouve les types d'entrées suivants:

- accès refusé
- accès autorisé
- audit du système
- accès refusé, spécifique à un objet: refus de l'héritage
- accès autorisé, spécifique à l'objet
- audit du système, spécifique à l'objet

3.1.4. Héritage
Dans Windows 2000, les entrées de contrôle d'accès qui peuvent être héritées (pas de
blocage de l'héritage) passent d'un objet parent à un objet enfant lorsque l'un des ces trois
événements se produit:
- un objet enfant est créé
- la DACL de l'objet parent est modifiée
- la SACL de l'objet parent est modifiée

3.1.5. Processus d'ouverture de session

Windows 2000 contrôle l'accès aux ressources en demandant d'abord à l'utilisateur d'ouvrir
une session.
Ce processus intègre deux systèmes de sécurité: NTLM, de NT4.0, et Kerberos de Windows
2000. Le service Kerberos est démarré sur tous les contrôleurs de domaine.
L'ouverture de session est initiée par:
- CTRL + ALT + SUPPR (lsass.exe)
- Carte à puce (cardsvr.exe)

23243608.doc Page 29 sur 34

L'ouverture de session comprend les étapes suivantes:
1) Ouverture de session: l'utilisateur fournit au Sous-système de sécurité local, son nom
d'utilisateur, le mot de passe et le domaine.
2) Le sous-système de sécurité local utilise le DNS pour localiser le contrôleur de
domaine dans le domaine de l'utilisateur.
a. demande un ticket de session: l'utilisateur peut communiquer avec le service
Kerberos.
b. Kerberos interroge Active Directory pour authentifier l'utilisateur et contacte le
serveur de catalogue global: appartenances aux groupes universels
c. Kerberos renvoie un ticket de session à l'ordinateur client: ce ticket contient
les SID et les abonnements aux groupes.
3) Le sous-système de sécurité local recontacte Kerberos: demande de ticket autorisant
l'utilisateur à accéder au service de la station de travail sur l'ordinateur client afin de
terminer le processus d'ouverture de session.
4) Kerberos authentifie le ticket de l'utilisateur en interrogeant Active Directory et le
serveur de catalogue global: ticket de session de station de travail
5) Le sous-système de sécurité local sur l'ordinateur client, procède à l'extraction du SID
de l'utilisateur ainsi que les abonnements aux groupes: jeton d'accès
6) L'ordinateur local crée un processus avec un jeton d'accès attaché.

Processus d'ouverture de session secondaire:

L'ouverture de session secondaire permet de démarrer ou d'exécuter une application au
moyen d'information d'identification de sécurité d'un autre utilisateur, sans terminer la
session en cours.

3.1.6. Jeton d'accès

Le jeton d'accès est utilisé lorsque l'utilisateur tente d'accéder à un objet. Il contient:
- un SID pour l'utilisateur ou le groupe;
- un identificateur de groupe: une liste des groupes auxquels l'utilisateur appartient;
- les droits de l'utilisateur.

3.2. Contrôle des accès aux objets Active Directory

L'accès à tout objet Active Directory peut être sécurisé par les autorisations. Tout objet
Active Directory a un propriétaire.

3.2.1. Autorisations Active Directory

L'autorisation est attribuée par le propriétaire pour permettre à des utilisateurs d'effectuer
des opérations sur un objet, comme un compte d'utilisateur ou une unité d'organisation.
Chaque autorisation est stockée dans le descripteur de sécurité de l'objet. Les entrées de
contrôle d'accès sont visibles à partir de la console Utilisateurs et ordinateurs Active
Directory (option d'affichage des informations détaillées).

Dans l'exemple suivant, on visualise les autorisations pour l'UO Programmation que l'on a
créée. On distingue les autorisations standard:

23243608.doc Page 30 sur 34

Et les autorisations spéciales; il suffit de cliquer sur le bouton Avancé:

Les autorisations refusées sont prioritaires sur toutes les autres autorisations. Refuser une
autorisation à un utilisateur permet d'exclure un utilisateur d'un groupe auquel on aurait
accordé des autorisations particulières.

Remarque: on peut utiliser l'outil showaccs pour contrôler ou réinitialiser les autorisations.
(Voir également sidwalker).

3.2.2. Héritage des autorisations

Les objets Active Directory héritent d'autorisations qui existent au moment de la création

L'héritage des autorisations peut être bloqué; on empêche l'héritage lorsque l'on souhaite
définir des autorisations sur des objets enfants plus restrictives.

23243608.doc Page 31 sur 34

3.2.3. Paramétrages des autorisations Active Directory
Les autorisations sont paramétrées à partir de la console Utilisateurs et Ordinateurs Active
Directory (option d'affichage des informations détaillées). On peut configurer les autorisations
standard et spéciales; il est également possible d'affiner les autorisations spéciales.

3.2.4. Propriétés des objets

Tout objet Active Directory a un propriétaire.

La propriété est modifiée lorsque:

- le propriétaire actuel attribue l'autorisation Modifier la propriété aux autres utilisateurs
- les membres du groupe Admins du domaine prennent possession de l'objet

Pour changer la possession d'un objet, il suffit de cliquer sur un des comptes utilisateurs
afficher dans la fenêtre Propriétaire (voir plus-haut).

3.3. Délégation du contrôle d’administration des objets Active

Directory
Vous pouvez déléguer le contrôle administratif à n'importe quel niveau d'une arborescence
de domaine en créant des unités d'organisation à l'intérieur d'un domaine et en déléguant le
contrôle administratif d'unités d'organisation spécifiques à des utilisateurs ou groupes
particuliers.

Il existe trois manières de définir la délégation des responsabilités d'administration:

- modifier les propriétés sur un conteneur particulier
- mettre à jour les propriétés spécifiques sur des objets d'un type particulier sous une
unité d'organisation (exemple: déléguer le droit de définir un mot de passe sur un
objet Utilisateur.

23243608.doc Page 32 sur 34

 - déléguer des autorisations pour créer et supprimer des objets d'un type particulier
sous une unité d'organisation

Pour attribuer les autorisations au niveau de l'unité d'organisation, il faut utiliser l'assistant
Délégation de contrôle. Dans cet exemple, on veut déléguer le contrôle de l'administration de
l'unité d'organisation Programmation.

En suivant l'assistant, on sélectionne les utilisateurs auquel on souhaite déléguer le contrôle.

Il faut ensuite sélectionner les tâches à déléguer; on peut se limiter aux tâches courantes ou
à des tâches personnalisées en sélectionnant l'option adéquate.

23243608.doc Page 33 sur 34

Après avoir sélectionné les autorisations, on quitte l'assistant. Pour visualiser les
autorisations, il faut accéder à l'onglet Sécurité du panneau de Propriété de l'objet.

Sélectionner ensuite l'utilisateur auquel on a délégué des tâches, puis cliquez sur le bouton
Avancé:

23243608.doc Page 34 sur 34

3.4. Personnalisation des MMC
Windows 2000 fournit des outils d'administration personnalisés d'Active Directory. On peut
créer des consoles MMC (Microsoft management Console) personnalisées adaptées aux
autorisations définies avant. Les options des consoles MMC vous permettent de créer une
version à utilisation limitée d'un composant logiciel enfichable tel que Utilisateurs et
ordinateurs Active Directory. Les administrateurs peuvent ainsi contrôler les options
proposées aux groupes auxquels vous avez délégué des responsabilités d'administration en
limitant l'accès aux opérations et zones au sein de cette console personnalisée.

Ce paragraphe est entièrement développé dans le chapitre suivant (Chapitre 5: Stratégie

d'administration).

4. Conseils
- Utilisez les autorisations Refuser le moins possible: si vous utilisez ce
type d'autorisation, c'est que les autorisations en amont sont incorrectes.
- Assurez-vous que les utilisateurs délégués assument leurs responsabilités: en tant
qu'administrateur, vous êtes seul responsable.
- Formez les utilisateurs délégués.
- Ajoutez les MMC personnalisées sur votre bureau.
- Si vous administrez à partir de plusieurs ordinateurs, enregistrez une copie des
fichiers des consoles personnalisées sur un répertoire partagé. Vous pourrez les
utiliser sur tout ordinateur qui dispose des composants logiciels enfichables
nécessaires (adminpack.msi)
- Il est conseillé de déléguer aux groupes plutôt qu'aux utilisateurs: on peut ensuite
ajouter des utilisateurs dans les groupes.

23243608.doc Page 35 sur 34