Accès aux ressources
Portail général TPAO
Portail Réseau
Généralités
Classification
Topologie
Connectique
Protocoles
Transmissions
NT4
Administration
Sécurité
Glossaire
Questions
Plan

Mécanismes de connexion : NetLogon

    Lors de l'ouverture d'une session sur un ordinateur WinNT4, l'utilisateur  doit entrer son nom et son mot de passe. Un des contrôleurs vérifie la  correspondance avec la base de données des utilisateurs puis la session est  ouverte : téléchargement des informations de session relative à l'utilisateur concerné ( représentation du bureau, répertoire de base … ).

 

SAM : Security Account Manager

    SAM Accounts database
    SAM Built-in database
    Base contenant les mots  de passes et stratégies.

LSA : Local Security Authority.

    Appelé lors du début de la session. Il s'assure que l'utilisateur à la permission d'acéder au système. Il crée les jetons d'accès.

Mécanismes de sécurité :

    Droits d'accès : sur les ressources de la station ou du serveur. L'administrateur met en place des ACL ( Access Control List ) sur les  ressources. Le système de sécurité vérifie le droit d'accès à une ressource en comparant la requête de l'utilisateur et les ACL .

Droits des utilisateurs et groupes : à la connexion, l'utilisateur est vérifié à travers le système de sécurité ( en local ou sur le PDC ). Un jeton d'accès ( SID, Groupe ID, user right ) est utilisé pour " vérifier " l'utilisateur lors de tous les accès aux ressources.

WinNT compare le jeton d'accès de l'utilisateur avec le decripteur de  sécurité de l'objet à accéder.
L'utilisateur se connecte en local, au domaine ou à un " trust domaine ".

Compte utilisateur

    Un compte utilisateur est unique. Il est représenté par un SID ( Security  Ident ) qui est un numéro.
    Attention à la suppression d'un compte.

Secure communication Channel : utilisé pour communiquer avec le service Netlogon vers une station distante. La connexion sécurusée est établit entre deux ordinateurs certifiées.

Notion de groupe local et global

    Local : ( Local à la base où il est défini ) utilisé en local sur la station ou dans le domaine. Contient des utilisateurs et des groupes globaux. Par défaut : administrators, users, guest, replicator, backup
    Global : n on restreint à la base ou il est défini. Un groupe global peut être  membre de tous les groupes locaux. Il contient uniquement des utilisateurs du domaine. Les groupes globaux sont définis sur le PDC.
    Stratégie : les groupes globaux contienent un ensemble d'utilisateurs, les groupes locaux un ensemble de droits d'accès à des ressources et des groupes globaux.

Accès à une ressource partagée : NET USE

    Résolution par défaut du nom par un Broadcast
    Envoi du triplet {nom de login, domain, mot de passe }
    Si l’utilisateur est déclaré dans la base :  connexion
    Si le mot de passe est incorrect : demande de mot de passe
    Sinon
    Si le compte Guess est activé : connexion avec les droits de Guess
    Sinon : accès refusé

Profils utilisateurs : Fichiers qui contiennent les environnements du bureau.

  • Profil local : propre à la station de  connexion
  • profil errant ( Server based profile ) : partage d'un profil par un groupe. Le même profil sur toutes les stations du  domaine. Attention aux différences de matériel et de logiciels sur les  stations.
    On y retrouve toutes les spécificitées de l'utilisateur dans le  réseau MS comme les programmes accessibles, imprimantes, connexion réseau ...On peut restreindre l'accès de l'utilisateur. Il y a deux types de profils :
    • l'un modifiable par l'utilisateur ( fichiers ayant comme extension .USR )
    • l'autre non ( fichiers ayant comme extension .MAN ). = profils errants.
  • Profil par défaut :  utilisé la première fois si il n'y a pas de profil  serveur.
  • Profil Système par défaut : contient  couleur et fond d'écran quand personne n'est connecté sur la station.

Mise en place de profils :

  • 1/ créer le profil avec Profil Editor
  • 2/ assigner le profil aux utilisateurs ou aux groupes  globaux ( user Manager for Domains ).

Attention : par défaut tout le monde sur le réseau à un accès total à un répertoire nouvellement partagé.

Connexion vers un PDC sur le même segment

Connexion vers un PDC sur un segment différent

    BDC local : réponse effectuée par le BDC.

    Utilisation du fichier LMHOST sur la station locale

 

Relations d'approbations : 1 PDC sur le segment1 reçoit la requête et la renvoie vers le segment2

    Cisco IP HELPER

 

  

Toute remarque concernant ce site peut être envoyée à
Jean Cumps - Faculé de Médecine UCL - Ecole de Pharmacie - TPAO

Dernière modification : 06/01/03