Règle de l'utilisateur local dynamique (ensemble Utilisateur)

Un utilisateur local dynamique (DLU, Dynamic Local User) est un objet Utilisateur créé de façon temporaire ou permanente dans la base de données SAM (Security Access Manager – Gestionnaire d'accès de sécurité local) du poste de travail.

La durée d'existence d'un compte ou d'un utilisateur temporaire est déterminée par l'administrateur. Ce type de compte évite que la base de données SAM ne prenne trop d'ampleur.

Si plusieurs utilisateurs se loguent à un poste de travail partagé ou au serveur Terminal Server dans votre environnement, vous pouvez configurer et activer la règle de l'utilisateur local dynamique (DLU). Une fois que vous avez configuré et activé cette règle, Desktop Management crée de façon dynamique un compte utilisateur sur le poste de travail local ou sur le serveur Terminal Server pendant que l'utilisateur se logue au système.

Sur les postes de travail Windows NT/2000/XP et les serveurs Terminal Server Windows 2000/2003, la règle de l'utilisateur local dynamique permet de configurer des utilisateurs créés sur des postes de travail Windows NT/2000/XP et des serveurs Terminal Server Windows 2000/2003 après avoir été authentifiés auprès de l'annuaire. Une fois qu'un utilisateur est associé à un objet Configuration, l'interface NWGINA (NetWare Graphical Identification and Authentication – Interface graphique d'authentification et d'identification NetWare) peut alors récupérer des informations à partir de cet objet Configuration afin de créer un compte utilisateur sur le poste de travail.

Si un utilisateur n'est pas défini comme DLU et ne possède pas de compte sur le poste de travail, aucun compte ne peut être créé pour cet utilisateur. C'est pourquoi l'utilisateur ne peut pas se loguer au poste de travail à moins qu'il n'existe un précédent compte, ou que l'administrateur crée manuellement le compte de l'utilisateur sur le poste de travail. Si l'utilisateur n'est pas défini en tant que DLU, les références contenues dans la boîte de dialogue de login de l'onglet Windows NT/2000/XP sont utilisées pour l'authentification auprès du poste de travail.

Si l'utilisateur est défini en tant que DLU, les références utilisées proviennent de l'annuaire ou de l'ensemble Utilisateur, selon la configuration choisie par l'administrateur.

Si vous configurez un DLU dans un ensemble de règles utilisateur pour gérer les accès utilisateur aux postes de travail NT/2000/XP ou aux serveurs Terminal Server Windows 2000/2003 et si vous utilisez des références autres que le jeu de références NetWare®, les comptes utilisateur de postes de travail créés possèdent un mot de passe aléatoire inconnu et sont créés en tant que comptes utilisateur temporaires. Si le caching des utilisateurs temporaires est également activé, les comptes utilisateur sont conservés sur le poste de travail pendant la durée de vie du cache. Vous ne pouvez cependant pas accéder à ces comptes puisque leurs mots de passe sont inconnus.

Si vous utilisez le caching des utilisateurs temporaires pour les utilisateurs disposant de jeux de références non-NetWare, ceux-ci ne peuvent accéder à leurs comptes que s'ils se loguent simultanément à l'annuaire et que l'option Gérer les comptes existants est paramétrée.

La page Restrictions de login permet d'autoriser ou de restreindre l'accès DLU à certains postes de travail. Les postes de travail et conteneurs qui figurent dans la liste Postes de travail exclus ne peuvent pas utiliser l'accès DLU ; les postes de travail listés ou faisant partie des conteneurs figurant dans la liste Postes de travail inclus peuvent utiliser l'accès DLU.

Pour gérer correctement les priorités de groupe, n'autorisez pas les utilisateurs associés à des DLU à être membres de plusieurs groupes.

Pour configurer la règle d'utilisateur local dynamique :

  1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur l'ensemble Utilisateur. Cliquez ensuite sur Propriétés, puis sur la page de plate-forme appropriée.

    REMARQUE :  Pour plus d'informations sur la prise en charge de la gestion de bureau sur la plate-forme Windows NT, reportez-vous à "Interoperability with Windows NT 4 Workstations (Interopérabilité avec les postes de travail Windows NT 4)" dans le manuel Novell ZENworks 6.5 Desktop Management Installation Guide (Guide d'installation de Novell ZENworks 6.5 Desktop Management).

  2. Cochez la case située dans la colonne Activé de la règle d'utilisateur local dynamique.

    La règle est alors sélectionnée et activée.

  3. Cliquez sur Propriétés.


    Page Utilisateur local dynamique

  4. Renseignez les champs suivants :

    Permettre la création d'un utilisateur local dynamique : Permet de créer un objet Utilisateur qui réside de façon temporaire ou permanente dans la base de données SAM (Security Access Manager) du poste de travail.

    Vous devez indiquer à NWGINA si un utilisateur local doit être créé.

    Si vous ne cochez pas cette case, NWGINA ne crée pas d'utilisateur dans la base de données SAM locale. NWGINA tente de trouver un utilisateur existant qui dispose des références définies dans l'interface de login de NWGINA.

    Si vous cochez la case Permettre la création d'un utilisateur local dynamique, NWGINA récupère le nom d'utilisateur dans l'objet Configuration et interroge ensuite la base de données SAM locale pour savoir si ce nom d'utilisateur existe déjà. Si tel est le cas, NWGINA authentifie l'utilisateur auprès du poste de travail ou du serveur Terminal Server et lui accorde un droit d'accès. Si le nom d'utilisateur n'existe pas, NWGINA crée l'utilisateur dans la base de données SAM du serveur Terminal Server ou du poste de travail local.

    Si des règles de restriction de mot de passe sont définies sur le serveur Terminal Server ou sur le poste de travail local, l'utilisateur local dynamique n'est pas utilisé. Le mot de passe que l'utilisateur local dynamique utilisera pour le compte local doit satisfaire aux restrictions de mot de passe du poste de travail local.

    Gérer les comptes utilisateur existants : Permet d'effectuer des opérations de gestion via le compte utilisateur existant. Activez cette option si l'objet Utilisateur à gérer existe déjà. Les assignations de groupes de postes de travail spécifiées par le composant Gestion de postes de travail sont mises en oeuvre, tout compte non temporaire devenant ainsi temporaire lorsqu’un utilisateur se logue à ce compte. Ce compte est également supprimé du poste de travail une fois que l'utilisateur est délogué.

    Si vous cochez cette case ainsi que la case Utilisateur temporaire, et que l'utilisateur dispose d'un compte local permanent qui utilise les mêmes références que celles précisées dans eDirectory, ce compte permanent est transformé en compte temporaire. La gestion du compte est effectuée, mais ce compte est supprimé lorsque le cache utilisateur temporaire atteint sa durée de vie limite ou lorsque l'utilisateur se délogue.

    Tout paramètre modifié ici remplace la configuration de compte actuelle sur le poste de travail ou le serveur Terminal Server. Si cette option n'est pas activée, le composant Gestion de postes de travail ne peut pas gérer l'objet Utilisateur existant.

    Utiliser les références eDirectory : Permet de se loguer en utilisant les références eDirectory de l'utilisateur au lieu des références NT/2000/XP. Lors de la création d'un compte utilisateur, NWGINA utilise soit le même jeu de références que celui utilisé pour l'authentification eDirectory, soit un jeu de références donné défini dans l'objet Configuration. Lorsque vous utilisez les références eDirectory pour créer le compte utilisateur d'un poste de travail, NWGINA recherche dans le compte eDirectory de l'utilisateur le nom de login, le nom complet et la description. Le mot de passe du compte utilisateur NT/2000/XP est le même que celui du compte utilisateur eDirectory.

    Si vous n'utilisez pas les références eDirectory, le compte est toujours temporaire et donc inaccessible. Le nom complet et la description doivent également être donnés pour que les informations sur l'utilisateur soient complètes.

    Si vous n'utilisez pas de références eDirectory et que le compte utilisateur n'existe pas (comme l'indique la case à cocher Gérer les comptes utilisateur existants), le compte utilisateur est créé en tant qu'objet Utilisateur temporaire, ce qui signifie qu'il est automatiquement supprimé au logout. Vous le verrez facilement car la case Utilisateur temporaire est automatiquement activée si la case Utiliser les références eDirectory n'est pas sélectionnée.

    Utilisateur temporaire (supprimer l'utilisateur après le logout) : Indique qu'un compte utilisateur temporaire est utilisé pour le login. Le compte utilisateur que NWGINA crée sur le poste de travail local peut être temporaire ou non.

    Sachez que si vous cochez à la fois la case Utilisateur temporaire (supprimer l'utilisateur après le logout) et la case Gérer les comptes utilisateur existants, le compte utilisateur temporaire est supprimé dès lors que l'utilisateur se délogue, ceci même si le compte existait avant que l'utilisateur se logue à l'aide de l'utilisateur local dynamique.

    Nom d'utilisateur : Nom d'utilisateur NT/2000/XP. Le nom d'utilisateur (hors contexte) doit comporter moins de 20 caractères pour qu'un utilisateur local dynamique puisse se loguer.

    Le nom d'un utilisateur créé manuellement à l'aide du gestionnaire d'utilisateurs ne peut pas être plus long.

    Nom complet : Nom complet de l'utilisateur.

    Description : Saisissez toute information supplémentaire permettant d'identifier plus en détail ce compte utilisateur.

    Membre de : Liste les groupes dont cet utilisateur est membre. Quand NWGINA crée un utilisateur de poste de travail, il peut offrir une adhésion à n'importe quel groupe d'utilisateurs. Les groupes auxquels l'utilisateur adhère sont répertoriés dans la liste Membre de. Par défaut, un utilisateur est ajouté au groupe Utilisateurs. Pour ajouter un autre groupe, sélectionnez-le et cliquez sur Ajouter. Pour supprimer un groupe, sélectionnez-le et cliquez sur Retirer.

    Non-membre de : Liste les groupes disponibles auxquels cet utilisateur n'a pas été assigné comme membre.

    Personnalisé : Ouvre la page Groupes personnalisés qui vous permet d'ajouter un nouveau groupe personnalisé, de supprimer un groupe existant, d'afficher ou de modifier les propriétés d’un groupe personnalisé existant. Pour plus d'informations sur les options disponibles, cliquez sur le bouton Aide de la boîte de dialogue Propriétés des groupes personnalisés.

  5. (Facultatif) Si vous souhaitez restreindre l'accès DLU à certains postes de travail, cliquez sur la flèche Bas de l'onglet Utilisateur local dynamique > cliquez sur Restrictions de login.


    Page Restrictions de login de la règle d'utilisateur local dynamique.

    1. Cochez la case Activer les restrictions de login pour restreindre l'accès DLU à certains postes de travail.

      Lorsque vous cochez la case Activer les restrictions de login, les boutons Ajouter et Supprimer sont disponibles.

    2. Cochez la case Refuser l'accès aux postes de travail non enregistrés si vous souhaitez restreindre l'accès DLU aux postes de travail non enregistrés.

      Dans les versions précédentes de ZENworks for Desktops, les postes de travail non enregistrés dans eDirectory n'avaient pas d'accès DLU car ils n'apparaissaient pas dans la liste Postes de travail inclus. Si vous sélectionnez cette option, aucun poste de travail non enregistré ne pourra obtenir un accès DLU (comme dans les versions précédentes de ZENworks for Desktops). Si vous ne cochez pas la case Refuser l'accès aux postes de travail non enregistrés, tous les postes de travail non enregistrés pourront obtenir un accès DLU, même s'ils n'apparaissent pas dans la liste Postes de travail inclus.

    3. Utilisez les boutons Ajouter et Supprimer sous la zone Postes de travail exclus selon les besoins.

      La zone Postes de travail exclus liste les postes de travail et les conteneurs auxquels vous souhaitez interdire l'accès DLU. Les postes de travail listés ou faisant partie de conteneurs affichés dans cette zone ne peuvent pas utiliser l'accès DLU. Vous pouvez faire des exceptions par poste de travail en ajoutant chacun des postes à la liste Postes de travail inclus. L'accès DLU sera ainsi accordé à ces postes de travail uniquement et sera interdit à tous les autres postes de travail situés dans le conteneur.

    4. Utilisez les boutons Ajouter et Supprimer sous la zone Postes de travail inclus selon les besoins.

      La zone Postes de travail inclus liste les postes de travail et les conteneurs auxquels vous souhaitez accorder l'accès DLU. Les postes de travail listés ou faisant partie de conteneurs affichés dans cette zone peuvent utiliser l'accès DLU. Vous pouvez faire des exceptions par poste de travail en ajoutant chacun des postes à la liste Postes de travail exclus. L'accès DLU sera ainsi interdit à ces postes de travail uniquement et sera accordé à tous les autres postes de travail situés dans le conteneur.

  6. (Facultatif) Cliquez sur la flèche Bas de l'onglet Utilisateur local dynamique > cliquez sur Droits sur fichiers si vous souhaitez gérer l'accès DLU au système de fichiers sur les postes de travail Windows NT/2000/XP et sur les serveurs Terminal Server.


    Page Droits sur fichiers de la règle d'utilisateur local dynamique.

    Vous pouvez contrôler l'accès à des répertoires entiers ou à des fichiers donnés. Par exemple, si la règle de l'utilisateur local dynamique crée l'utilisateur comme membre d'un groupe qui ne permet pas d'accéder à un répertoire requis pour exécuter une application, vous pouvez utiliser cette page pour accorder explicitement les droits requis sur ce répertoire. Au contraire, si l'utilisateur dispose de droits de contrôle total sur un répertoire, vous pouvez utiliser cette page pour limiter les droits sur n'importe quel fichier du répertoire.

    1. Utilisez le bouton Ajouter pour modifier les répertoires et les fichiers pour lesquels des droits ont été explicitement assignés à l'utilisateur.

      Le système vous invite à saisir ou à sélectionner le répertoire ou le fichier. Le chemin d'accès au répertoire ou au fichier doit correspondre au poste de travail ou au serveur Terminal Server sur lequel les droits seront assignés. Après avoir ajouté un répertoire ou un fichier à la liste, sélectionnez le répertoire ou le fichier, puis utilisez la zone Droits sur fichiers pour assigner les droits sur fichiers appropriés (Contrôle total, Lecture, Écriture, Exécution, Accorder les autorisations et Prendre possession).

      La liste Droits sur fichiers affiche tous les répertoires et fichiers pour lesquels des droits sur le système de fichiers ont été explicitement assignés à l'utilisateur. Lorsque vous sélectionnez un répertoire ou un fichier dans la liste, les droits assignés sont affichés dans la zone Droits sur fichiers située sous la liste. Pour obtenir plus d'explications sur chacun de ces droits (Contrôle total, Lecture, Écriture, Exécution, Accorder les autorisations et Prendre possession), reportez-vous à la documentation du système d'exploitation Microsoft* Windows.

    2. Utilisez les boutons fléchés situés à droite de la zone contenant la liste Droits sur fichiers pour repositionner les entrées de manière appropriée.

      Les droits sur les répertoires sont assignés dans l'ordre dans lequel les répertoires sont listés, du haut vers le bas. Étant donné l'héritage des droits sur les répertoires, si un répertoire et son sous-répertoire figurent dans la liste, le sous-répertoire doit figurer après son répertoire parent. Cela permet de garantir que les droits explicitement assignés au sous-répertoire ne seront pas remplacés par les droits qu'il aura hérité de son répertoire parent.

      Les droits sur fichiers sont prioritaires par rapport aux droits sur les répertoires, quelle que soit leur position sur la liste. Par exemple, si vous assignez des droits Contrôle total sur le répertoire c:\program files et des droits Lire et Exécuter sur le fichier c:\program files\sample.txt, les droits Lire et Exécuter seront assignés à l'utilisateur pour ce fichier, que celui-ci soit listé avant ou après le répertoire.

      Il est possible de bloquer l'héritage des droits sur le système de fichiers NTFS, et sous Windows XP, par défaut, le répertoire Windows n'autorise pas l'héritage des droits.

  7. Cliquez sur OK pour enregistrer la règle.

  8. Répétez la procédure de l'Etape 1 à l'Etape 7 pour chaque plate-forme sur laquelle vous souhaitez définir une règle d'utilisateur local dynamique.

  9. Une fois toutes les règles configurées pour cet ensemble, suivez la procédure décrite sous Association de l'ensemble Utilisateur ou Poste de travail pour associer l'ensemble de règles.