15.3 Stratégie d'utilisateur local dynamique (ensemble Utilisateur)

On appelle "utilisateur local dynamique" (DLU, Dynamic Local User) un objet Utilisateur créé de façon temporaire ou permanente dans la base de données SAM (Security Access Manager – Gestionnaire d'accès de sécurité local) du poste de travail.

La durée d'existence d'un compte ou d'un utilisateur temporaire est déterminée par l'administrateur. L'utilisation de ce type de compte évite que la base de données SAM ne prenne trop d'ampleur.

Si plusieurs utilisateurs se loguent à un poste de travail partagé ou au serveur Terminal Server dans votre environnement, vous pouvez configurer et activer la stratégie d'utilisateur local dynamique. Une fois que vous avez configuré et activé cette stratégie, Desktop Management crée de façon dynamique un compte utilisateur sur le poste de travail local ou sur le serveur Terminal Server pendant que l'utilisateur se logue au système.

Sur les postes de travail Windows NT/2000/XP et les serveurs Terminal Server Windows 2000/2003, la stratégie d'utilisateur local dynamique permet de configurer des utilisateurs créés sur des postes de travail Windows NT/2000/XP et des serveurs Terminal Server Windows 2000/2003 authentifiés auprès de l'annuaire. Une fois qu'un utilisateur est associé à un objet Configuration, l'interface NWGINA (NetWare® Graphical Identification and Authentication – Interface graphique d'authentification et d'identification NetWare®) peut récupérer des informations contenues dans cet objet afin de créer un compte utilisateur sur le poste de travail.

Si un utilisateur n'est pas défini comme DLU et ne possède pas de compte sur le poste de travail, aucun compte ne peut être créé pour cet utilisateur. Il ne peut pas se loguer au poste de travail, à moins qu'il n'existe un précédent compte ou que l'administrateur crée manuellement le compte de l'utilisateur sur le poste de travail. Si l'utilisateur n'est pas défini en tant que DLU, les références fournies dans la boîte de dialogue de login de l'onglet Windows NT/2000/XP sont utilisées pour l'authentification auprès du poste de travail.

Si l'utilisateur est défini en tant que DLU, les références utilisées proviennent de l'annuaire ou de l'ensemble Utilisateur, selon la configuration choisie par l'administrateur.

Si vous configurez un DLU dans un ensemble de stratégies utilisateur afin de gérer les accès utilisateur aux postes de travail NT/2000/XP ou aux serveurs Terminal Server Windows 2000/2003 et si vous utilisez des références autres que le jeu de références NetWare, les comptes utilisateur de postes de travail créés possèdent un mot de passe aléatoire inconnu et sont créés en tant que comptes utilisateur temporaires. Si le caching des utilisateurs temporaires est également activé, les comptes utilisateur sont conservés sur le poste de travail pendant la durée de vie du cache. Il est cependant impossible d'accéder à ces comptes, puisque leurs mots de passe sont inconnus.

Si vous utilisez le caching des utilisateurs temporaires pour les utilisateurs disposant de jeux de références non-NetWare, ceux-ci ne peuvent accéder à leurs comptes que s'ils se loguent simultanément à l'annuaire et si l'option Gérer les comptes existants est définie.

La page Restrictions de login permet d'autoriser ou de restreindre l'accès des DLU à certains postes de travail. Les postes de travail et conteneurs qui figurent dans la liste Postes de travail exclus ne peuvent pas utiliser l'accès DLU ; les postes de travail répertoriés ou faisant partie des conteneurs figurant dans la liste Postes de travail inclus peuvent utiliser l'accès DLU.

Pour gérer correctement les priorités de groupe, n'autorisez pas les utilisateurs associés à des DLU à être intégrés à plusieurs groupes.

Pour configurer la stratégie d'utilisateur local dynamique :

  1. Dans ConsoleOne, cliquez avec le bouton droit de la souris sur l'ensemble Utilisateur. Cliquez ensuite sur Propriétés, puis sur la page de la plate-forme appropriée.

    pour plus d'informations sur la prise en charge de Desktop Management sur la plate-forme Windows NT, reportez-vous à Interopérabilité avec les postes de travail Windows NT 4 dans le Guide d'installation de Novell ZENworks 7 Desktop Management.

  2. Dans la colonne Activé, cochez la case correspondant à la stratégie d'utilisateur local dynamique.

    La stratégie est alors sélectionnée et activée.

  3. Cliquez sur Propriétés.

    Page Utilisateur local dynamique

  4. Renseignez les champs suivants :

    Activer l'utilisateur local dynamique : permet de créer un objet Utilisateur qui réside de façon temporaire ou permanente dans la base de données SAM du poste de travail.

    Vous devez indiquer à NWGINA si un utilisateur local doit être créé.

    Si vous ne cochez pas la case correspondante, NWGINA ne crée pas d'utilisateur dans la base de données SAM locale. mais il recherche un utilisateur qui dispose des références définies dans son interface de login.

    Si vous cochez la case Permettre la création d'un utilisateur local dynamique, NWGINA récupère le nom d'utilisateur dans l'objet Configuration, puis interroge la base de données SAM locale pour savoir si ce nom d'utilisateur existe déjà. Si tel est le cas, NWGINA authentifie l'utilisateur auprès du poste de travail ou du serveur Terminal Server et lui accorde un droit d'accès. Si le nom d'utilisateur n'existe pas, NWGINA crée l'utilisateur dans la base de données SAM du serveur Terminal Server ou du poste de travail local.

    Si des stratégies de restriction de mot de passe ont été définies sur le serveur Terminal Server ou sur le poste de travail local, l'utilisateur local dynamique n'est pas utilisé. Le mot de passe que l'utilisateur local dynamique utilise pour le compte local doit respecter les restrictions de mot de passe du poste de travail local.

    Gérer les comptes existants : permet d'effectuer des opérations de gestion via le compte utilisateur. Activez cette option si l'objet Utilisateur à gérer existe déjà. Les assignations de groupes de postes de travail spécifiées par le composant Gestion de postes de travail sont mises en oeuvre, tout compte non temporaire devenant ainsi temporaire lorsqu’un utilisateur se logue à ce compte. Ce compte est également supprimé du poste de travail une fois que l'utilisateur est délogué.

    Si vous cochez cette case ainsi que la case Utilisateur temporaire, et si l'utilisateur dispose d'un compte local permanent qui utilise les mêmes références que celles précisées dans eDirectory™, ce compte permanent est transformé en compte temporaire. La gestion du compte est effectuée, mais le compte est supprimé lorsque le cache utilisateur temporaire atteint sa limite de durée de vie ou que l'utilisateur se délogue.

    Tout paramètre modifié ici remplace la configuration de compte actuelle sur le poste de travail ou le serveur Terminal Server. Si cette option n'est pas activée, le composant Gestion de postes de travail ne peut pas gérer l'objet Utilisateur.

    Utiliser les références eDirectory : permet de se loguer grâce aux références eDirectory de l'utilisateur au lieu des références NT/2000/XP. Lors de la création d'un compte utilisateur, NWGINA utilise soit le même jeu de références que celui utilisé pour l'authentification eDirectory, soit un jeu de références donné défini dans l'objet Configuration. Lorsque vous utilisez les références eDirectory pour créer le compte utilisateur d'un poste de travail, NWGINA recherche dans le compte eDirectory de l'utilisateur le nom de login, le nom complet et la description. Le mot de passe du compte utilisateur NT/2000/XP est le même que celui du compte utilisateur eDirectory.

    Si vous n'utilisez pas les références eDirectory, le compte est toujours temporaire et donc inaccessible. Pour compléter les informations sur l'utilisateur, il est également possible d'indiquer un Nom complet et une Description.

    Si vous n'utilisez pas de références eDirectory et si le compte utilisateur n'existe pas (comme l'indique la case à cocher Gérer les comptes existants), le compte utilisateur est créé en tant qu'objet Utilisateur temporaire, donc automatiquement supprimé au logout. Vous le verrez facilement. La case Utilisateur temporaire est en effet automatiquement activée si la case Utiliser les références eDirectory n'est pas sélectionnée.

    Utilisateur temporaire (supprimer l'utilisateur après le logout) : indique qu'un compte utilisateur temporaire est utilisé pour le login. Le compte utilisateur que NWGINA crée sur le poste de travail local peut être temporaire ou non.

    Si vous cochez à la fois la case Utilisateur temporaire (supprimer l'utilisateur après le logout) et la case Gérer les comptes existants, le compte utilisateur temporaire est supprimé dès lors que l'utilisateur se délogue, même si le compte existait avant que l'utilisateur ne se logue en tant qu'utilisateur local dynamique.

    Nom d'utilisateur : Nom d'utilisateur NT/2000/XP. Le nom d'utilisateur (hors contexte) doit comporter moins de 20 caractères pour qu'un utilisateur local dynamique puisse se loguer.

    Le nom d'un utilisateur créé manuellement à l'aide du gestionnaire d'utilisateurs ne peut pas être plus long.

    Nom complet : nom complet de l'utilisateur.

    Description : toute information supplémentaire permettant d'identifier plus en détail ce compte utilisateur.

    Membre de : répertorie des groupes dont cet utilisateur est membre. Quand NWGINA crée un utilisateur de poste de travail, il peut offrir une adhésion à n'importe quel groupe d'utilisateurs. Les groupes auxquels l'utilisateur adhère sont répertoriés dans la liste Membre de. Par défaut, un utilisateur est ajouté au groupe Utilisateurs. Il est possible d'ajouter d'autres groupes à cette liste. Pour cela, sélectionnez le groupe et cliquez sur Ajouter. Vous pouvez supprimer des groupes. Pour cela, sélectionnez-les, puis cliquez sur Retirer.

    Non-membre de : liste des groupes disponibles auxquels cet utilisateur n'a pas été assigné comme membre.

    Personnalisé : ouvre la page Groupes personnalisés, qui permet d'ajouter un groupe personnalisé, de supprimer un groupe, d'afficher ou de modifier les propriétés d’un groupe personnalisé. Pour plus d'informations sur les options disponibles, cliquez sur le bouton Aide de la boîte de dialogue Propriétés des groupes personnalisés.

  5. (Facultatif) Si vous souhaitez restreindre l'accès DLU à certains postes de travail, cliquez sur la flèche Bas de l'onglet Utilisateur local dynamique, puis sur Restrictions de login.

    Page Restrictions de login de la stratégie d'utilisateur local dynamique

    1. Cochez la case Activer les restrictions de login pour restreindre l'accès DLU à certains postes de travail.

      Lorsque la case Activer les restrictions de login est cochée, les boutons Ajouter et Supprimer sont disponibles.

    2. Cochez la case Refuser l'accès aux postes de travail non enregistrés si vous souhaitez restreindre l'accès DLU aux postes de travail non enregistrés.

      Dans les versions précédentes de ZENworks for Desktops, les postes de travail non enregistrés dans eDirectory n'avaient pas d'accès DLU. Ils n'apparaissaient en effet pas dans la liste Postes de travail inclus. Si vous activez cette option, l'accès DLU ne peut pas être accordé aux postes de travail non enregistrés (comme dans les versions précédentes de ZENworks for Desktops). Si vous ne cochez pas la case Refuser l'accès aux postes de travail non enregistrés, tous les postes de travail non enregistrés pourront obtenir un accès DLU, même s'ils n'apparaissent pas dans la liste Postes de travail inclus.

    3. Utilisez les boutons Ajouter et Supprimer sous la zone Postes de travail exclus selon les besoins.

      La zone Postes de travail exclus répertorie les postes de travail et les conteneurs que vous souhaitez priver d'accès DLU. Les postes de travail répertoriés ou faisant partie de conteneurs figurant dans cette zone ne peuvent pas utiliser l'accès DLU. Vous pouvez faire des exceptions pour certains postes de travail en ajoutant chacun des postes concernés à la liste Postes de travail inclus. L'accès DLU sera ainsi accordé à ces postes de travail uniquement et sera interdit à tous les autres postes de travail situés dans le conteneur.

    4. Utilisez les boutons Ajouter et Supprimer sous la zone Postes de travail inclus selon les besoins.

      La zone Postes de travail inclus répertorie les postes de travail et les conteneurs auxquels vous souhaitez accorder l'accès DLU. Les postes de travail répertoriés ou faisant partie de conteneurs affichés dans cette zone peuvent utiliser l'accès DLU. Vous pouvez faire des exceptions pour certains postes de travail en ajoutant chacun des postes concernés à la liste Postes de travail exclus. L'accès DLU sera ainsi interdit à ces postes de travail uniquement et sera accordé à tous les autres postes de travail du conteneur.

  6. (Facultatif) Cliquez sur la flèche Bas de l'onglet Utilisateur local dynamique, puis sur Droits sur fichiers si vous souhaitez gérer l'accès DLU au système de fichiers sur les postes de travail Windows NT/2000/XP et sur les serveurs Terminal Server.

    Page Droits sur fichiers de la stratégie d'utilisateur local dynamique

    Vous pouvez contrôler l'accès à des répertoires entiers ou à des fichiers un par un. Par exemple, si la stratégie d'utilisateur local dynamique crée l'utilisateur comme membre d'un groupe qui ne donne pas accès à un répertoire requis pour exécuter une application, vous pouvez utiliser cette page pour accorder explicitement les droits requis sur ce répertoire. Au contraire, si l'utilisateur dispose de droits de contrôle total sur un répertoire, vous pouvez utiliser cette page pour limiter ses droits sur n'importe quel fichier du répertoire.

    1. Utilisez le bouton Ajouter pour modifier les répertoires et les fichiers pour lesquels des droits ont été explicitement attribués à l'utilisateur.

      Le système vous invite à saisir ou à sélectionner le répertoire ou le fichier. Le chemin d'accès au répertoire ou au fichier doit correspondre au poste de travail ou au serveur Terminal Server sur lequel les droits seront assignés. Après avoir ajouté un répertoire ou un fichier à la liste, sélectionnez le répertoire ou le fichier, puis utilisez la zone Droits sur fichiers pour assigner les droits sur fichiers appropriés (Contrôle total, Lecture, Écriture, Exécution, Accorder les autorisations et Prendre possession).

      La liste Droits sur fichiers énumère tous les fichiers et répertoires pour lesquels des droits sur le système de fichiers ont été explicitement attribués à l'utilisateur. Lorsque vous sélectionnez un répertoire ou un fichier dans la liste, les droits attribués s'affichent dans la zone Droits sur fichiers située sous la liste. Pour obtenir plus d'explications sur chacun de ces droits (Contrôle total, Lecture, Écriture, Exécution, Accorder les autorisations et Prendre possession), reportez-vous à la documentation du système d'exploitation Microsoft Windows.

    2. Utilisez les boutons fléchés situés à droite de la zone Droits sur fichiers pour classer les entrées dans l'ordre approprié.

      Les droits sur les répertoires sont assignés dans l'ordre de la liste, de haut en bas. Étant donné l'héritage des droits sur les répertoires, si un répertoire et son sous-répertoire figurent dans la liste, le sous-répertoire doit figurer après son répertoire parent. Ainsi, les droits explicitement assignés au sous-répertoire ne sont pas remplacés par ceux qu'il a hérités de son répertoire parent.

      Les droits sur fichiers sont toujours prioritaires sur les droits sur répertoires, quelle que soit leur position dans la liste. Par exemple, si vous assignez des droits Contrôle total sur le répertoire c:\program files et des droits Lire et Exécuter sur le fichier c:\program files\sample.txt, l'utilisateur aura les droits Lire et Exécuter pour ce fichier, que celui-ci figure avant ou après le répertoire dans la liste.

      Il est possible de bloquer l'héritage des droits sur le système de fichiers NTFS, et sous Windows XP, par défaut, le répertoire Windows n'autorise pas l'héritage des droits.

  7. Cliquez sur OK pour enregistrer la stratégie.

  8. Répétez la procédure de l'Étape 1 à l'Étape 7 pour chaque plate-forme sur laquelle vous souhaitez définir une stratégie d'utilisateur local dynamique.

  9. Après avoir configuré toutes les stratégies destinées à cet ensemble, suivez la procédure décrite à la Section 15.13, Association de l'ensemble Utilisateur ou Poste de travail pour associer l'ensemble de stratégies.