Administrateur et Utilisateurs - Droits et Héritage  (maj Janvier 2013)

Il existe sous Windows trois types de comptes:

 

-          le compte Administrateur – Chef, créé par Windows lors de son installation, et qui détient tous les pouvoirs sur tous les autres comptes. Ce compte est normalement caché.

-          le ou les compte(s) Utilisateurs créés par vous-même et qui peuvent avoir ou non des droits d'Administrateur, plus ou moins complets, en fonction de ce que vous décidez vous-même. Savoir que le premier compte crée par vous, lors de l'installation de Windows, est toujours un compte administrateur.

-          le ou les comptes Invités, avec des droits généralement plus ou moins limités définis par vous-même. Noter que pour un Réseau familial, le compte Invité doit toujours être activé.

 

Ainsi sur un ordinateur (ou un réseau) familial, il est classique d'avoir: un compte Utilisateur avec pouvoir d'Administrateur affecté à celui ou celle qui gère la machine (ou le réseau), plusieurs comptes Utilisateurs avec des pouvoirs limités (notamment en présence de jeunes enfants bénéficiant du "contrôle parental" ou d'ados un peu trop "bricoleurs"), un ou des comptes Invités pour les amis de passage.

Il faut bien comprendre que chaque compte utilisateur (quelques soient ses priviléges) correspond à un "profil" particulier, c'est à dire, en fait et pour être plus simple, à un Windows "particulier" et bien à lui, avec ses propres caractéristiques (bureau, favoris, menu démarrer, fond d'écran, etc..).

 

A - Afficher les comptes.

 

Panneau de configuration (toujours choisir "affichage classique" pour travailler sous windows..) puis Comptes d'utilisateurs.

S'affichent toujours:

-          le ou les compte(s) utilisateur(s) avec leurs prérogatives,

-          éventuellement le ou les comptes Invités.

 

A - 1. Afficher le compte Administrateur - Chef.

 

Le compte Administrateur-Chef ne s'affiche pas normalement  (même en démarrant l'ordinateur en mode sans échec). Il faut, pour le faire s'afficher, faire une modification dans la Base de Registres (avec toutes les précautions habituelles: point de restauration), mais cela n'est absolument pas obligatoire, ni même indispensable: on peut tres bien vivre sans.. Je donne néanmoins la manip pour le faire apparaitre pour les plus curieux des lecteurs..

 

Démarrer, Exécuter, taper Regedit,

Descendre le listing de la fenêtre de gauche en ouvrant successivement (clic sur les petites croix):

HKLocalMachine\ Software\ Microsoft\\ WindowsNT\ CurrentVersion\ WinLogon\ SpecialAccounts\ UserList

 

Créer une nouvelle valeur DWord:

Clic droit dans fenêtre de droite puis "nouveau" et "valeur DWord"

Effacer "nouvelle valeur" et entrer à la place Administrateur

Clic droit pour "modifier" et entrer comme "données de la valeur" en Hexadecimal, le chiffre 1. Terminer par OK et quitter Regedit.

 

Redémarrer l'ordinateur et aller sur Panneau de configuration puis Comptes Utilisateurs. Le compte Administrateur – chef devrait maintenant y figurer. Si tel n'est pas le cas, il faut alors l'activer: aller dans Demarrer, Programmes, Accessoires, puis clic droit sur Invite de commande et sur le Prompt qui clignote, taper: net user Administrateur /active:yes    en respectant exactement les intervalles. Maintenant le compte administrateur apparaitra dans la fenêtre "Comptes Utilisateurs" en cliquant sur "Gérer un autre Compte".

 

Pour agir sous ce nouveau compte Administrateur-Chef, il faut changer de session avec Arréter puis "changer d'utilisateur". Apres un court écran noir, s'affichent tous les comptes dont le nouveau compte de l'Administrateur-Chef.. mais, attention, c'est un nouveau Windows, non paramétré par vous, si c'est la premiére fois que vous ouvrez ce compte ! Donc il faudra tout reparamétrer comme vous l'avez fait la premiére fois que vous avez utilisé Windows... Sous cette session, vous pouvez alors aller sur les différents lecteurs de vos disques durs et y apporter toutes les modifications souhaitées en ce qui concerne la sécurité et les autorisations...

 

Il arrive, parfois, que cette modification de la Base de Registre fasse s'afficher, à chaque démarrage de Windows, une fenêtre de choix de session, ce qui peut rapidement devenir agaçant. Vous trouverez la manière d'éviter ça ici: Mot de passe demandé au demarrage

 

A - 2. Activer le compte Invité:

Dans Panneau de configuration, Comptes utilisateurs, clic sur "Gerer un autre compte " , puis "invité", puis Activer.

 

B - Créer un compte Utilisateur

Aller dans Panneau de Configuration, Comptes d'Utilisateurs.

puis "Gérer un autre Compte", enfin clic sur "Ajouter un utilisateur" (en bas et en petit..).

Entrez le nom du nouveau compte puis Choisir un type de compte: Administrateur (Utilisateur avec pouvoirs d'administrateur) ou Limité.

 Il est systématiquement proposé par Windows d'utiliser un mot de passe qui sera tout aussi systématiquement oublié ou perdu par l'utilisateur. Savoir aussi qu'un "hacker" un peu expérimenté le "crack" en une dizaine de minutes et qu'il complique beaucoup la gestion et l'échange des dossiers dans le réseau.

Il peut être néanmoins utile dans un réseau familial pour préserver certains dossiers du regard ou du bricolage de certains utilisateurs du réseau, mais c'est une sécurité illusoire vis a vis des malfaisants extérieurs. Pour plus d'info sur la gestion (très complexe) des mots de passe, il faut aller dans la console "Stratégies de comptes" que vous obtiendrez en tapant secpol.msc dans "Rechercher" du menu Démarrer.

 

Terminer en cliquant sur "créer un compte" ce qui fait apparaître le nouveau compte dans la fenêtre d'accueil. Vous pouvez modifier l'image associé à ce compte avec l'option "Modifier un compte".

 

C - Modifier ou supprimer un compte

Allez dans "Comptes utilisateurs", puis "Gérer un autre compte", puis cliquer sur le compte à modifier ou à supprimer. Penser, néanmoins, qu'en supprimant un compte utilisateur, vous supprimez aussi tous ses attributs et tous ses dossiers... 

 

 

La sécurité liée au format NTFS

 

Ce format particulier est apparu avec Windows XP et offre une grande palette de possibilités dans le degré de sécurité et d'autorisation ou d'interdiction applicable aux fichiers, aux dossiers, aux partitions, suivant les différents utilisateurs de la machine, en direct ou sur réseau partagé.

 

Il faut savoir aussi que la gestion des différents niveaux et options de cettte sécurité est tres compliquée, les ingénieurs de Microsoft ayant manifestement en tête les parcs informatiques de plusieurs centaines d'ordinateurs et d'utilisateurs, et absolument pas celle d'un petit réseau familial de quatre ou cinq machines ou utilisateurs. La compléxité de cette gestion avait constitué d'ailleurs, et à juste titre, un des premiers motifs de mécontentement (il y a en avait bien d'autres..) des utilisateurs de Vista.

 

L'onglet Sécurité.

 

Vous pouvez définir avec précision les droits de chaque utilisateur grâce à l'onglet 'Sécurité" qui doit apparaître – pour chaque dossier, groupe de dossiers ou partitions, voire disque dur - dans la fenêtre affichée par un clic droit sur son nom (dans l'explorateur de Windows) puis un clic gauche sur "Propriétés".

 

Paramétrage des droits et interdictions.

 

Pour illustrer les possibilités offertes par NTFS, nous allons prendre comme exemple le dossier "Mon travail" que vous voulez interdire à certains utilisateurs et autoriser partiellement à d'autres.

 

N.B. Il faut que les autorisations accordées, sur chaque ordinateur différent, le soient dans une session ouverte par l'Administrateur du dit ordinateur.

Il faut se souvenir que lorsqu'on crée un compte avec des droits limités, plus ou moins, la premiére chose à faire, et obligatoirement, c'est de supprimer, dans tous les cas, la totalité des possibilités d'acces à la Partition System C: , de maniére à couper l'herbe sous le pied des jeunes bricoleurs ou d'apprentis pirates qui pourraient trouver là un moyen de contourner vos restrictions !!! 
 

Clic droit sur le dossier "Mon travail", clic sur Propriétés puis sur l'onglet "sécurité".

Dans la fenêtre du haut "Groupe ou noms d'utilisateurs" s'affichent les noms de tous les utilisateurs de votre machine et, éventuellement, de votre réseau.

Si par hasard votre nom n'y figure pas, clic sur bouton "Modifier" situé sous cette fenêtre puis sur le bouton "Ajouter" et taper votre nom d'utilisateur puis Appliquer. Votre nom apparait dorénavent dans la fenêtre du haut.

 

Clic sur le nom de votre benjamin, âgé de huit ans, que vous ne souhaitez pas voir exercer ses talents sur vos précieux dossiers professionnels. Il vous suffit de cocher toutes les cases de la colonne "Refuser" et il ne pourra rien voir et rien faire.

 

Clic, ensuite, sur le nom de votre épouse, qui vous aide à faire vos comptes professionnels, mais qui n'y connaît rien en informatique. Il suffit, dans la colonne "Refuser" de cocher les cases "Contrôle total, Modifications et écriture" pour mettre vos dossiers à l'abri d'une erreur de manipulation, et de cocher, dans la colonne "Autoriser", les cases "Lecture et exécution, affichage, et lecture" pour que votre femme puisse lire les devis et factures, et puisse même lancer une calculette ou sa feuille Excel de comptabilité.

 

Et ainsi de suite pour tous vos dossiers sensibles et pour chaque utilisateur, en vous accordant à vous-même, en tant qu'Administrateur de l'ordinateur, tous les droits, et en sachant que la "sensibilité" des fichiers et/ou des dossiers peut évidemment varier en fonction de l'utilisateur considéré.

 

Cette maniére de procéder peut éventuellement vous permettre, aussi, de supprimer un dossier "accroché" et qui résiste à toutes vos tentatives d'effacement. Clic droit sur ce dossier puis onglet Sécurité. Deux hypothéses pour expliquer vos échecs: soit vous n'avez pas, pour ce dossier, "autorisation totale", soit, pire, le seul nom de gestionnaire de ce dossier est "Administrateur systéme" qui figure seul dans la fenêtre du haut.. Une autre variante de ce piége est de croire qu'en ayant mis "Tout le monde", tout les utilisateurs vont avoir droit à acceder à ces dossiers.. C'est ignoré l'esprit totalement tordu des ingénieurs de Microsoft pour lesquel "Tout le monde" signifie "Tout le monde SAUF vous" !!! Il vous suffit de rajouter votre nom d'utilisateur, comme expliqué plus haut, puis de vous accorder "autorisation totale" pour pouvoir effacer ensuite sans difficulté ce dossier. Le tout est de le savoir...

 

Il faut également savoir, qu'en plus du paramétrage des autorisations (ou des interdictions), vous pouvez gérer l'espace alloué sur le disque dur de l'ordinateur à tel ou tel utilisateur.

C'est la "gestion des quotas" qui peut être activée ainsi: clic droit sur le lecteur concerné, puis clic gauche sur "propriétés" puis sur l'onglet "Quotas". 

 

Héritage et successions.

 

Il existe une pyramide de hiérarchie entre, ceux d'en haut, le disque dur, puis les partitions, et, ceux d'en bas, les dossiers, sous-dossiers et humbles fichiers.

 

Si vous autorisez, ou au contraire interdisez, un accès à certaines fonctions au niveau d'une partition, toute la "pyramide hiérarchique" située au-dessous d'elle (dossiers, sous-dossiers et donc fichiers) "héritera" des mêmes autorisations et interdictions car ils sont en succession directe descendante de la Partition sur laquelle vous avez agi.

 

De la même manière, si vous n'intervenez pour vos autorisations qu'au niveau d'un dossier précis, seuls les sous-dossiers situés au-dessous de lui (et donc les fichiers qu'ils contiennent) hériteront de vos décisions car ils sont seuls en succession directe descendante du dossier sur lequel vous avez agi. Par contre, tout ce qui est situé au-dessus ou au même niveau (autres dossiers, partitions, disque dur) n'héritera de rien du tout car il n'y a pas de succession et d'héritage pour les collatéraux ou pour les ascendants..

 

Il est néanmoins possible de paramétrer encore plus finement ces lois d'heritage avec le bouton "paramètres avancés" mais c'est très compliqué et à laisser aux Administrateurs réseaux et grands Comptes professionnels.