Cliquez ici pour visualiser une vidéo sur une vue d'ensemble sur les services d'annuaires
La SAM (Sécurity Account Manager) :
Contient entre autres les utilisateurs, les groupes, les droits des utilisateurs et une partie de l'audit
La SAM est éditée à l'aide du gestionnaire des utilisateurs.
Il y a 2 sortes de SAM :
|
La SAM Local : sur NT Workstation ou sur le serveur automne. Elle ne contient pas de groupes globaux.
|
|
La SAM Global : Elle est contrôlé par un PDC et les BDC en ont une copie (une SAM par domaine).
|
Chaque machine NT a une SAM :
 |
NT WorkStation : Une SAM Local
|
 |
NT Server Automne : Une SAM Local
|
 |
PDC : La SAM Global du domaine
|
 |
BDC : Une copie de la SAM Global du domaine
|
Une SAM local peut seulement valider la sécurité sur la machine où elle se
trouve.
Une SAM global peut valider n'importe quelle machine du domaine.
Par quelle SAM peut être validée les machines suivantes :
 |
Nt WorkStation en station de travail : par la SAM local .
|
 |
Nt Work Station en domaine : par la SAM local ou la SAM global du domaine
|
 |
Nt Server autonome : par la SAM local .
|
 |
Nt Server autonome en domaine : par la SAM local ou la SAM global du domaine .
|
 |
PDC : par la SAM global du contrôleur (la sienne).
|
 |
BDC : par la SAM global de son PDC .
|
Une SAM global contient entre autres :
 |
les utilisateurs
|
 |
les groupes globaux
|
 |
les groupes locaux
|
 |
les droits d'utilisateurs
|
Les utilisateurs :
 |
La base SAM permet de valider l'accès à une machine et aux ressources.
Les utilisateurs sont accompagnés d'un mot de passe qui a un maximum de 14 caractères.
|
 |
Un utilisateur peut être renommé.
|
 |
Un utilisateur doit avoir un groupe principal qui est nécessairement un groupe global. Au départ il existe
deux utilisateurs :
 |
Administrateur : il a tout les droits dans la mesures du possibles. Il
ne peut pas être supprimé ou effacé mais on peut lui retirer tout ses droits.
|
 |
Invités : Il a très peu de droits au départ, il est désactivé au départ.
|
|
Les Groupes Globaux :
 |
Ils servent en grande partie à donner des permission (partage, NTFS, imprimante).
|
 |
Ils contiennent des utilisateurs
|
 |
Ils sont visibles par tout les machines du domaine
|
 |
Ils servent à regrouper les utilisateurs suivants la structure organisationnelle.
|
 |
Ils existent dans la SAM global
|
 |
Il en existe 3 au départ :
|
 |
Administrateurs du domaine : les membres administrateurs du domaine
|
 |
Invités du domaine : les membres ont des droits limités
|
 |
Utilisateurs du domaine : les utilisateurs normaux du domaine; ils ont des droitsits plutôt limités.
|
Les groupes locaux :
 |
Ils peuvent contenir des utilisateurs et des groupes globaux.
|
 |
Ils servent surtout a donner des droits d'utilisateur.
|
 |
Ils peuvent aussi servir a donner des permissions (partage, NTFS, imprimante).
|
Ils en existe 8 au départ dont voici les 3 principaux :
- Administrateur : Il contient le groupe global administrateur du domaine et l'utilisateur "Administrateur".
- Invités : Il contient le groupe global Invités du domaines
- Utilisateur : Il contient le groupe global utilisateur du domaine
Les droits d'utilisateur :
 |
Ils servent à contrôler l'accès au système et les actions dans le systèmes
|
 |
Ils peuvent être données à des utilisateurs, à des groupes globaux et de préférence à des groupes locaux.
|
Règles de bonne gestions :
- Dans les groupes globaux on ne place que des utilisateurs.
- On place les groupes globaux dans les groupes locaux. Dans les groupes locaux on place seulement les groupes globaux.
- On donne des droits d'utilisateurs seulement aux groupes locaux.
- On donne des permissions aux groupes globaux et aux utilisateurs seulement si c'est justifié (répertoire personnel).
- On crée des utilisateurs seulement dans la SAM global.
Droits système : Permissions d'accéder aux ressources
Chaque utilisateur a un groupe principal. Un groupe principal est toujours un
groupe global (obligé par la machine ). Pour changer le groupe principal d'un utilisateur, on sélectionne cet utilisateur dans le gestionnaire des l'utilisateurs, on
appuie sur le bouton groupes, on choisit un des groupes globaux et on appuie sur le bouton fixer le groupe principal. Il n'est pas possibles de détruire un groupe
global qui est groupe principal d'au moins un utilisateur.
|