Gestion des comptes utilisateurs/ordinateurs

Dans cet article nous verrons comment gérer les comptes utilisateurs et ordinateurs sur un annuaire Active Directory.

I/ Création des comptes utilisateurs

Il est possible de créer nos comptes utilisateurs via différents outils mais généralement on en utilise un seul :  « Utilisateurs et ordinateurs Active Directory ». Pour créer un compte il suffira de cliquer sur ce bouton :

user1.png

Cette fenêtre va apparaître et nous demander de remplir les attributs de notre nouveau compte :

user2.png

/!\ Il est nécessaire de fournir des informations valides !! Le jour où vous aurez plusieurs milliers d’utilisateurs vous serez bien content d’avoir un Active Directory bien documenté croyez moi  /!\

user3.png

Puis cliquer sur « Suivant ». Une autre fenêtre apparaîtra vous demandant de mettre un mot de passe par défaut à l’utilisateur ainsi que de configurer quelques paramètres :

user4.png

Globalement vous n’avez pas besoin de modifier la configuration de base. En effet il serait bête que l’utilisateur ne puisse pas changer son mot de passe et encore plus bête que son compte soit désactivé par défaut (mais c’est faisable). Par ailleurs on évitera de mettre un mot de passe qui n’expire jamais pour un compte utilisateur. En revanche il est nécessaire de bloquer l’expiration des mots de passe pour les comptes de service. Pour finir on cliquera sur « Suivant » et « Terminer ».

Voilà, notre utilisateur est créé. Cependant quand on regarde ses attributs (clic droit sur l’utilisateur et « Propriétés ») on se rend compte que c’est assez vide :

user5.png

Du coup on hésitera pas à mettre quelques détails supplémentaires et à minima une description relative à l’utilisateur (son poste, son lieu de travail, son manager etc…).

Par ailleurs, sachez qu’il est possible d’empêcher la connexion à un compte à certaines plages horaires. Par exemple on pourra empêcher notre nouvel utilisateur de se connecter le dimanche. Pour cela on ira dans l’onglet « Compte » puis on cliquera sur « Horaire d’accès » :

user6.png

Il ne nous restera plus qu’à sélectionner les plages horaires où notre utilisateur pourra se connecter et vis vers ça.

II/ Création des comptes ordinateurs

Alors pour commencer, pourquoi est ce qu’on doit créer des comptes pour nos ordinateurs ? Après tout, quand on joint un ordinateur à un domaine, un compte ordinateur est automatiquement !

Oui c’est vrai mais le souci ici c’est que ce compte ordinateur sera par défaut positionné dans le container Ordinateur. Et dans ce container les GPO ne s’appliquent pas ! Or n’importe quel utilisateur a les droits d’ajouter au maximum 10 ordinateurs au domaine et si ces ordinateurs ne sont pas sous GPO eh bien ils présentent un risque pour l’entreprise.

Donc il est préférable de pré-créer les comptes ordinateurs que l’on placera directement dans les bonnes unités organisationnelles ! Ici je n’ai pas créé d’unité organisationnelle donc tous mes ordinateurs seront classés dans le container « Ordinateur » :

user7.png

Faites un clic droit puis cliquer sur « Nouveau » et choisissez « Ordinateur ». Un nom d’ordinateur va vous être demandé :

user8.png

Comme vous pouvez le voir sur le screen ci-dessus, par défaut seul les admins du domaine pourront ajouter l’ordinateur au domaine. Bien évidemment vous pouvez modifier cette valeur pour faire de la délégation de droit mais dans le cas présent ça ne m’intéresse pas. Donc je vais cliquer sur « Ok », et voilà notre compte ordinateur :

user9.png

Maintenant je pourrais joindre l’ordinateur au domaine en utilisant ce compte :

user10.png

III/Gérer les comptes inactifs/désactivés

Pour plusieurs raisons il peut arriver qu’un compte utilisateur ou ordinateur ne soit plus utilisé. En théorie on devrait supprimer le ou les comptes non utilisés. Dans la pratique c’est un peu plus compliqué. En effet un compte Active Directory peut être lié à une adresse mail et cette adresse mail peut être utilisé à diverse fin.

Or supprimer le compte AD revient aussi à supprimer l’adresse mail. Du coup au lieu de supprimer le compte on pourra juste le désactiver :

user11.png

L’idéal étant de créer des unités d’organisation dédiées aux comptes désactivés afin de ne pas rendre illisible notre annuaire.