Mécanismes de connexion : NetLogon
Lors de l'ouverture d'une session sur un ordinateur WinNT4, l'utilisateur doit entrer son nom et son mot de passe. Un des contrôleurs vérifie la correspondance avec la base de
données des utilisateurs puis la session est ouverte : téléchargement des informations de session relative à l'utilisateur concerné ( représentation du bureau, répertoire de base … ).
SAM : Security Account Manager
LSA : Local Security Authority.
Appelé lors du début de la session. Il s'assure que l'utilisateur à la permission d'acéder au système. Il crée les jetons d'accès.
Mécanismes de sécurité :
Droits d'accès : sur les ressources de la station ou du serveur. L'administrateur met en place des
ACL ( Access Control List ) sur les ressources. Le système de sécurité vérifie le droit d'accès à une ressource en comparant la requête de l'utilisateur et les ACL .
Droits des utilisateurs et groupes : à la connexion, l'utilisateur est vérifié à travers le système de sécurité
( en local ou sur le PDC ). Un jeton d'accès ( SID, Groupe ID, user right ) est utilisé pour " vérifier " l'utilisateur lors de tous les accès aux ressources.
WinNT compare le jeton d'accès de l'utilisateur avec le decripteur de sécurité de l'objet à accéder. L'utilisateur se connecte en local, au domaine ou à un " trust domaine ".
Compte utilisateur
Un compte utilisateur est unique. Il est représenté par un SID ( Security Ident ) qui est un numéro. Attention à la suppression d'un compte.
Secure communication Channel : utilisé pour communiquer avec le service Netlogon vers une station
distante. La connexion sécurusée est établit entre deux ordinateurs certifiées.
Notion de groupe local et global
Local : ( Local à la base où il est défini ) utilisé en local sur la station ou dans le domaine. Contient
des utilisateurs et des groupes globaux. Par défaut : administrators, users, guest, replicator, backup Global : n
on restreint à la base ou il est défini. Un groupe global peut être membre de tous les groupes locaux. Il contient uniquement des utilisateurs du domaine. Les groupes globaux sont définis sur le PDC.
Stratégie : les groupes globaux contienent un ensemble d'utilisateurs, les groupes locaux un ensemble de droits d'accès à des ressources et des groupes globaux.
Accès à une ressource partagée : NET USE
Résolution par défaut du nom par un Broadcast Envoi du triplet {nom de login, domain, mot de passe } Si l’utilisateur est déclaré dans la base : connexion
Si le mot de passe est incorrect : demande de mot de passe Sinon Si le compte Guess est activé : connexion avec les droits de Guess Sinon : accès refusé
Profils utilisateurs : Fichiers qui contiennent les environnements du bureau.
- Profil local : propre à la station de connexion
- profil errant ( Server based profile ) : partage d'un profil par un groupe. Le même profil sur toutes
les stations du domaine. Attention aux différences de matériel et de logiciels sur les stations.
On y retrouve toutes les spécificitées de l'utilisateur dans le réseau MS comme les programmes accessibles, imprimantes, connexion réseau ...On peut restreindre l'accès de l'utilisateur. Il y a deux
types de profils :
- l'un modifiable par l'utilisateur ( fichiers ayant comme extension .USR )
- l'autre non ( fichiers ayant comme extension .MAN ). = profils errants.
- Profil par défaut : utilisé la première fois si il n'y a pas de profil serveur.
- Profil Système par défaut : contient couleur et fond d'écran quand personne n'est connecté sur la station.
Mise en place de profils :
- 1/ créer le profil avec Profil Editor
- 2/ assigner le profil aux utilisateurs ou aux groupes globaux ( user Manager for Domains ).
Attention : par défaut tout le monde sur le réseau à un accès total à un répertoire nouvellement partagé.
Connexion vers un PDC sur le même segment
Connexion vers un PDC sur un segment différent
BDC local : réponse effectuée par le BDC.
Utilisation du fichier LMHOST sur la station locale
Relations d'approbations : 1 PDC sur le segment1 reçoit la requête et la renvoie vers le segment2
|