Les groupes sous XP.

Tour utilisateur possède sur un réseau un compte utilisateur, c'est l'unité de base identifiant un individu.

Tout utilisateur fait partie d'un groupe d'utilisateurs, qui rassemble des utilisateurs ayant les mêmes droits et permissions, un groupe est donc utilisé pour faciliter la gestion des utilisateurs. Si  pour un utilisateur du réseau droits et permissions recouvrent une idée similaire, pour l'administrateur ces deux termes ont un sens précis. 

• Les permissions déterminent qui peut lire, écrire, modifier... les fichiers et dossiers des ressources réseau mis à disposition des utilisateurs, les permissions portent essentiellement sur les répertoires et les fichiers. 
• Les droits (ou privilèges) concernent plus le système, et l'aspect matériel, a t-on le droit d'installer ou supprimer un imprimante ? a-t-on le droit de se connecter ? 

Windows XP Professionnel comporte trois groupes essentiels  dont l'appartenance est contrôlée par l'administrateur : Utilisateurs, Utilisateurs avec pouvoir et Administrateurs. Il y en a cependant beaucoup d'autres que l'on a rarement besoin de manipuler, certains sont même invisibles. Par exemple tout personne qui a un compte et qui se connecte au réseau fait automatiquement partie du groupe Utilisateurs authentifiés. Sous XP ce groupe est identique au groupe Tout le monde, excepté le fait qu'il ne contient pas d'utilisateurs ou d'invité anonyme. Contrairement au groupe Tout le monde de Windows NT 4.0, le groupe Utilisateurs authentifiés n'est pas utilisé pour affecter des autorisations. Seuls les groupes contrôlés par l'administrateur (principalement Utilisateurs, Utilisateurs avec pouvoir et les membres du groupe Administrateur), servent à attribuer les permissions sur les partages.

Sur XP les permissions sur un partage  sont donc accordées aux utilisateurs finaux par le biais des groupes d'appartenance Utilisateurs, Utilisateurs avec pouvoir ou Administrateurs.

Le groupe Administrateurs

Contient tous les comptes à qui on a donné tous les pouvoirs sur le poste de travail. Idéalement, l'accès administratif ne doit être utilisé que pour :

• Installer le système d'exploitation et ses composants (comme les pilotes de matériel, les périphériques du système et ainsi de suite).
• Installer Service Packs et Windows Packs.
• Mettre à niveau le système d'exploitation.
• Réparer le système d'exploitation.
• Configurer des paramètres critiques du système d'exploitation (tels que la stratégie de mot de passe, le contrôle d'accès, la stratégie d'audit, la configuration du pilote en mode noyau et ainsi de suite).
• S’approprier des fichiers devenus inaccessibles.
• Gérer les journaux d'audit et de sécurité.
• Sauvegarder et restaurer le système.

Le groupe Utilisateurs.

L'ajout d'utilisateurs au groupe Utilisateurs est l'option la plus sécurisée, parce que les autorisations par défaut allouées à ce groupe n'autorisent pas les membres à modifier les paramètres du système d'exploitation ou d'autres données utilisateur. Toutefois, les autorisations de niveau utilisateur ne permettent pas toujours aux utilisateurs d'exécuter correctement certaines applications sans aller accorder des droits adéquats. Les membres du groupe Utilisateurs sont uniquement assurés de pouvoir exécuter des programmes certifiés Windows. 

Le groupe Utilisateurs fournit l'environnement le plus sûr dans lequel exécuter des applications. Sur un volume au format NTFS, les paramètres de sécurité par défaut sur un système nouvellement installé  sont conçus pour que les membres de ce groupe ne puissent pas compromettre l’intégrité du système d’exploitation et des applications installées. Les utilisateurs ne peuvent pas modifier les paramètres de registre système, les fichiers du système d'exploitation ou les fichiers de programme. Ils peuvent fermer des postes de travail, mais pas des serveurs. Les Utilisateurs bénéficient d'un contrôle complet sur la totalité de leurs propres fichiers de données (%userprofile%) et sur la partie du registre les concernant (HKEY_CURRENT_USER).

Toutefois, les autorisations de niveau utilisateur ne permettent pas toujours aux utilisateurs d'exécuter correctement des applications héritées ni des programmes écrits pour les versions de Windows antérieures à Windows 2000. Seuls les membres du groupe Utilisateurs ont l'assurance de pouvoir exécuter des applications certifiées pour Windows. Pour plus d'informations, consultez le Programme certifié pour Windows sur le Microsoft Web site. (http://msdn.microsoft.com)

Le groupe Utilisateurs avec pouvoir

Le groupe Utilisateurs avec pouvoir fournit principalement une compatibilité ascendante pour l'exécution d'applications non certifiées Microsoft. Les autorisations par défaut allouées à ce groupe permettent à ses membres de modifier les paramètres d'ordinateur. Si des applications non certifiées doivent être prises en charge, les utilisateurs finaux doivent faire partie du groupe Utilisateurs avec pouvoir.

Les membres du groupe Utilisateurs avec pouvoir possèdent plus d'autorisations que ceux du groupe Utilisateurs et moins que ceux du groupe Administrateurs. Les utilisateurs avec pouvoir peuvent exécuter toutes les tâches du système d'exploitation sauf celles réservées au groupe Administrateurs. 

Les Utilisateurs avec pouvoir peuvent :

• exécuter des applications héritées, en plus des applications certifiées Windows 2000 ou Windows XP Professionnel ;
• installer des programmes qui ne modifient pas les fichier du système d'exploitation ou installer des services système ;
• personnaliser des ressources système, telles que les imprimantes, l'heure, la date, les options d'énergie et d'autres ressources du Panneau de configuration ;
• créer et gérer des comptes d'utilisateur et des groupes locaux ;
• arrêter et démarrer les services système qui ne sont pas démarrés par défaut.

Les Utilisateurs avec pouvoir n'ont pas l'autorisation de s'ajouter eux-mêmes au groupe Administrateurs. Les Utilisateurs avec pouvoir n'ont pas accès aux données des autres utilisateurs sur un volume NTFS, sauf lorsque ces utilisateurs leur accordent l'autorisation.

Attention : Etant donné que les Utilisateurs avec pouvoir peuvent installer ou modifier des programmes, l'exécution en tant qu'Utilisateur avec pouvoir dans le cadre d'une connexion à Internet peut rendre le système vulnérable face aux programmes de type cheval de Troie et aux autres risques relatifs à la sécurité.

Les membres du groupe Opérateurs de sauvegarde peuvent sauvegarder et restaurer des fichiers sur l'ordinateur, indépendamment des autorisations protégeant ces fichiers. Ils peuvent également ouvrir une session sur l'ordinateur et arrêter celui-ci, mais ils n'ont pas la possibilité de modifier les paramètres de sécurité.

Groupes spéciaux

Plusieurs groupes supplémentaires sont automatiquement créés par Windows 2000 et Windows XP Professionnel certains nécessaire au système ne sont pas visibles.

Par défaut, tout utilisateur authentifié sur le domaine est membre du groupe Utilisateurs. Les utilisateurs avec pouvoir bénéficient des mêmes possibilités dont bénéficiaient les Utilisateurs Windows NT 4.0 afin de  garantir une compatibilité amont avec Windows NT 4.0. 

Le groupe Ouverture de session anonyme
Tout utilisateur qui accède à un ordinateur et à ses ressources via le réseau, sans nom de compte, mot de passe ou domaine est un membre du groupe Ouverture de session anonyme. Dans les versions NT4 et 2000, les membres du groupe de Ouverture de session anonyme avaient accès à un grand nombre de ressources en raison de leur appartenance au groupe Tout le monde. Avec XP ils ne sont plus membre du groupe Tout le monde.

Le groupe Tout le monde.
Comme son nom l'indique il contient tous les utilisateurs déclarés sur le réseau. Sous les système NT4 et 2000, ce groupe intégrait aussi le groupe Ouverture de session anonymes. Sous XP il n'y est plus mais on peut l'y remettre en modifiant ce paramètre de sécurité. Avec les outils d'administration dans Stratégie de sécurité locale, Stratégies locales\Options de sécurité, il faut activer "Accès réseau : les autorisations Tout le monde s'appliquent aux utilisateurs anonymes" ou en exécutant gpedit.msc, Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.

Attention ! la sécurité du poste en prend un coup !!!!!! si on gère mal les permissions du groupe tout le monde.

Mais il ne faut pas que d'autres droits soient en contradiction, dans Stratégie de sécurité locale, Stratégies locales\Attribution des droits utilisateurs, il faut vérifier que dans "Refuser l'accès à cet ordinateur à partir du réseau" on ne trouve pas Invité. Si c'est le cas, il faut le supprimer afin qu'il puisse accéder au réseau d'un client.

Conséquences : Je peux très bien imaginer donner toutes les permissions d'accès au groupe tout le monde sur un répertoire partagé, à un invité et par la même à tous ceux qui n'ont pas de compte sur le réseau,  mais ne pas accéder à ces fichiers car au niveau des droits j'ai refusé la connexion à Invité.

Le groupe Réseau.
Ce groupe contient tous les utilisateurs qui accèdent actuellement au système par le réseau.

Le groupe Utilisateur de Terminal Server
Quand les serveurs Terminal Server sont installés en mode serveur d’applications, ce groupe contient tous les utilisateurs ayant actuellement ouvert une session sur le système à l’aide de Terminal Server. Tout programme pouvant être exécuté par un utilisateur de Windows NT 4.0 pourra être exécuté pour un Utilisateur de Terminal Server dans Windows 2000 ou Windows XP Professionnel. Les autorisations par défaut attribuées au groupe ont été choisies pour autoriser un Utilisateur de Terminal Server à exécuter la plupart des programmes hérités.

 Hubert GREGOIRE

Dernière mise à jour le 15/12/03

« Retour en page d'accueil des Services »
« Retour en page d'accueil de CIEL »