Comprendre le fonctionnement
et résoudre un problème sur les profils
d'utilisateurs.
Dernière mise à jour : 30/09/2006
Pages complémentaires : gérer
les mots de passe, le Registre
Windows et les paramètres de sécurité.
Les comptes
d'utilisateurs
Nous distinguons les comptes prédéfinis ("administratifs"
ou "cachés") des comptes d'utilisateurs "avec
miroir".
Les comptes "Administrateur" ou "Invité"
sont là pour vous permettre d'utiliser certaines fonctionnalités
de votre système. Il ne corresponde pas un utilisateur réel.
Le compte ASP.NET est un compte créé lors de l’installation
du logiciel FrameWork Microsoft .Net 1.1 et afin de vous permettre
d'utiliser les services IIS.
À l'inverse un compte d'utilisateur
nommé "Jean" ou "Isabelle" est sensé
correspondre à une "véritable personne"
qui se connectera "de son plein gré" sur son compte.
Le miroir système lui renvoie donc une image... qui est stockée
à cet emplacement : \Documents and settings\Nom_Utilisateur.
Chaque utilisateur appartient à un groupe générique
(prédéfini). Comme il est possible de créer
des utilisateurs il vous est aussi permis de définir de nouveaux
groupes.
À chaque groupe correspond un jeu de privilèges
et de restrictions. En termes clairs si le groupe des administrateurs
disposent des pleins pouvoirs celui des invités évolue
dans une sorte de "liberté surveillée".
Ce système de castes vous permet de hiérarchiser et
de contrôler l'ensemble des stratégies de sécurité
que vous mettrez en place.
Sous Windows XP Édition Professionnelle, le module de gestion
avancée des utilisateurs est accessible en saisissant cette
commande :
control userpasswords2
Un bouton vous permet de réinitialiser le mot de passe "Administrateur".
Si vous sélectionnez un nom d'utilisateur puis cliquez sur
le bouton Propriétés, il vous est permis de définir
à quel groupe l'utilisateur appartient.
Cliquez sur l'onglet Options avancées puis le bouton Avancé.
Vous retrouvez la même fenêtre que celle que vous obtiendrez
en cliquant dans le module Outils d'administration du Panneau de
configuration puis les branches Gestion de l'ordinateur (local)/Outils
système/Utilisateurs et groupe.
- Comment fonctionnent les profils d'utilisateur ?
Au démarrage de l'ordinateur, il vous est demandé
de vous connecter sur votre session. À chaque nom de session
correspond un utilisateur. Vous pouvez aussi créer des comptes
d'utilisateur : par exemple, un compte pour chacun des membres de
votre famille.
Par ailleurs, il existe sous les systèmes NT des comptes
par défaut qui ont la particularité de ne pas correspondre
à un utilisateur en particulier : par exemple, le compte
Administrateur et le compte Invité. On parle alors de compte
"sans miroir".
Lors de votre première connexion, un profil d'utilisateur
par défaut est utilisé. Ce profil standard est décrit
dans cette arborescence du Registre : HKEY_USERS. Par la suite,
et au fur et à mesure des retouches que vous apporterez à
votre environnement de travail, chacune de vos préférences
sera mémorisée et votre profil d'utilisateur se perfectionnera
au fil du temps…
Sous les systèmes NT, on utilise aussi des profils itinérants
(on parle plutôt de profil "errant") : dans un environnement
où un utilisateur se sert de différents ordinateurs,
il pourra retrouver son même environnement de travail quel
que soit l'ordinateur sur lequel il a ouvert une session.
Par ailleurs, il est possible d'assigner un profil obligatoire pour
un utilisateur ou un groupe d'utilisateurs, ou de modifier le profil
par défaut qui sera affecté à chaque nouvel
utilisateur. En d'autres termes, il vous est possible de copier
un profil d'utilisateur d'un compte à l'autre de la même
manière qu'un potier façonne différentes figurines
à partir d'un même moule prédéfini. Bien
entendu, cela facilite grandement la gestion des utilisateurs et
permet de dupliquer rapidement un grand nombre de paramètres
d'un compte à l'autre.
- Afficher le compte d'administrateur à
l'ouverture de session :
Appuyez simultanément deux fois sur les touches Ctrl+Alt+Suppr.
C'est la fenêtre d'identification style Windows 2000 qui va
se lancer. Il vous suffit de saisir dans la zone de texte Nom d'utilisateur
: administrateur. Dans la zone Mot de passe, indiquez si nécessaire
son mot de passe.
- Paramétrer le profil
d'utilisateur par défaut :
Il faut au préalable activer l'affichage des fichiers et
des dossiers cachés.
1) À partir du compte Administrateur créez un compte
d'utilisateur possédant des droits d'administrateur.
2) Ouvrez une session sur ce compte et procédez aux modifications
nécessaires.
Vous pouvez modifier directement le Registre Windows dans la branche
HKEY_CURRENT_USER et paramétrez l'ensemble des menus disponibles
par l'interface graphique.
3) Fermez cette session puis ouvrez une nouvelle session sur le
compte Administrateur.
4) Avec le bouton droit de la souris cliquez sur l'icône Poste
de travail puis sur la commande Propriétés.
5) Cliquez sur l'onglet Avancé puis sur le bouton Paramètres
présent dans la rubrique Profil des utilisateurs.
6) Sélectionnez le compte que vous avez modifié puis
cliquez sur le bouton Copier dans.
7) Cliquez sur le bouton Parcourir puis sélectionnez ce répertoire
: \Documents and Settings\Default User et cliquez sur le bouton
OK.
8) Cliquez sur les boutons Modifier/Avancé... et Rechercher.
9) Dans la colonne Nom (RDN) sélectionnez le groupe Tout
le monde puis cliquez trois fois sur OK.
10) Cliquez sur Oui à l'apparition de la boîte de dialogue
Confirmer la copie.
11) Créez un nouveau compte d'utilisateur.
L'ensemble de vos nouveaux paramètres seront répercutés
sur ce compte. Les comptes déjà existants ne seront
pas modifiés puisse qu'ils sont basés sur l'ancien
profil d'utilisateur défini par défaut.
-
Changer le nom d'un utilisateur :
Il arrive souvent de récupérer un ordinateur avec
un utilisateur enregistré et dont vous souhaitiez modifier
le nom par le vôtre. Imaginons que le compte ancien porte
le nom de Jean et que vous souhaitez le changer pour celui de Robert.
1) Cliquez sur Démarrer/Panneau de configuration/Comptes
d'utilisateur puis sélectionnez le nom de l'utilisateur maudit.
2) Cliquez sur le lien Changer mon nom.
3) Inscrivez le nouveau nom puis cliquez sur le bouton Changer de
portrait.
Le défaut de cette méthode est que l'Explorateur Windows
n'enregistrera pas les changements et que le répertoire \Documents
and settings continuera d'afficher un dossier d'utilisateur au nom
de Jean. Voici donc une méthode plus efficace :
1) Connectez-vous sur le compte Administrateur.
2) Créez un compte possédant des droits d'administrateur
en ouvrant le module Comptes d'utilisateur du Panneau de configuration.
Il doit porter le nom que vous souhaitez (Robert).
3) Fermez votre session ouverte sur le compte de Jean puis ouvrez
une nouvelle session sur le compte de Robert.
4) Fermez la session puis ouvrez une nouvelle session sur le compte
"Administrateur".
5) Avec le bouton droit de la souris cliquez sur l'icône Poste
de travail puis sur Propriétés.
6) Cliquez sur le bouton Avancé dans la rubrique profil d'utilisateurs.
7) Sélectionnez le nom de votre ancien compte (Jean !).
8) Cliquez sur le bouton Copier dans.
9) Cliquez sur le bouton Parcourir puis sélectionnez le dossier
du nouveau compte : \Documents and settings\Robert.
10) Cliquez sur OK puis validez au message vous prévenant
que les informations précédentes vont être perdues.
11) Validez pour le reste puis fermez la session.
12) Ouvrez une session sur le compte de Robert afin de vérifier
que tout fonctionne.
13) Supprimez le compte précédent.
Notez que vous pouvez aussi modifier les informations d'enregistrement
en parcourant dans le Registre cette arborescence : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion et en modifiant les données contenus dans
ces deux valeurs chaînes : RegisteredOrganization et RegisteredOwner.
- Déplacer les dossiers d'un compte d'utilisateur
:
Il peut être utile de déplacer les dossiers d'un compte
d'utilisateur afin de les placer sur une autre partition ou même,
un autre disque dur.
1) Créez à l'emplacement choisi un dossier que, dans
notre exemple, nous allons nommer Utilisateurs.
2) Avec le bouton droit de la souris, cliquez sur ce dossier puis
sur la commande Propriétés.
3) Cliquez sur l'onglet Sécurité puis sur le bouton
Paramètres avancés et décochez la case Hérite
de l'objet parent qui s'applique aux objets enfants. Enfin, cliquez
sur les boutons Copier et OK.
4) Complétez éventuellement les listes d'accès
en ajoutant ces cinq groupes : Administrateur, System, Utilisateurs,
Utilisateurs avec pouvoir et Tout le monde. En fait, vous pouvez
vous inspirer du même masque de permissions du dossier Documents
and Settings.
5) Copiez l'ensemble des fichiers et des dossiers présents
dans \Documents and Settings\Nom_Utilisateur vers votre nouveau
dossier.
6) Cliquez sur Démarrer/Exécuter, puis saisissez :
regedit.
7) Dans l'éditeur du Registre, ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ProfileList.
Repérez la clé de l'utilisateur que vous souhaitez
déplacer. Elle ressemblera à ceci : S-1-5-21-1482476501-2111687655-854245398-1003.
Dans le volet de droite, une valeur de chaîne extensible ProfileImagePath
doit mentionner dans les données de valeur le nom et l'emplacement
du profil d'utilisateur recherché.
8) Éditez cette valeur et remplacez les données par
le nouveau chemin que vous avez créé.
Par exemple, si vous souhaitez déplacer un utilisateur nommé
Jean sur une partition D: et dans un dossier nommé Utilisateurs,
les données de valeur %SystemDrive%\Documents and Settings\Jean
seront remplacées par celles-ci : D:\Utilisateurs\Jean.
9) Fermez l'éditeur du Registre et ouvrez une session sur
le compte d'utilisateur que vous avez déplacé.
10) Cliquez sur Démarrer/Exécuter, puis saisissez
: cmd.
11) En invite de commandes, saisissez : set userprofile.
Cette ligne doit s'afficher : USERPROFILE=D:\Utilisateurs\Jean.
12) Fermez cette session, puis ouvrez à nouveau votre session
précédente afin de supprimer l'ancien dossier utilisateur.
- Déplacer le dossier Documents and Settings
:
Cette astuce a été testée avec Windows XP SP2
et sur une installation récente. Nous avons déplacé
le dossier Documents and Settings d'une partition NTFS vers une
partition FAT.
1) Ouvrez une session sur le compte Administrateur.
2) Copiez l'ensemble des fichiers et des dossiers présents
dans le dossier Documents and Settings vers votre nouveau dossier
à l'exception du compte sur lequel vous êtes actuellement
connecté (le compte Administrateur).
Par exemple, déplacez les dossiers présents dans C:\Documents
and Settings vers D:\Test. Attention d'activer l'affichage des fichiers
et des dossiers cachés et des fichiers systèmes.
Attention : Les fichiers NTUSER présents
dans les dossiers LocalService et NetworkService ne pourront pas
être copiés... Mais bon, apparemment cela ne pose pas
de problème pour la suite...
3) Fermez cette session puis ouvrez une session sur un autre compte
d'administrateur.
4) Copiez alors le dossier du compte Administrateur vers votre nouveau
dossier.
5) Fermez cette session puis ouvrez une session sur le compte Administrateur.
6) Cliquez sur Démarrer/Exécuter puis saisissez :
regedit
7) Dans l'éditeur du Registre lancez une recherche en saisissant
comme recherche : documents and settings
Pour ce faire, cochez les cases Clés, Données et valeurs
et décochez la case Mot entier seulement.
8) Remplacez chaque occurrence trouvée par le nouveau chemin.
Il est plus simple de copier le nouveau chemin puis de le coller.
Comptez un bon quart d'heure de manipulations... Il faut à
la fois modifié les données de la valeur trouvées
et renommé certaines entrées (une dizaine tout au
plus) quand leur nom comportait l'occurrence Documents and Settings...
Par exemple : %windir%\documents and settings\.. en d:\test\..
9) Redémarrez votre ordinateur puis supprimez le dossier
Documents and settings.
Gestion des
comptes d'utilisateurs
Un petit programme va nous permettre d'en avoir une vue synthétique
: AccountView. Il est téléchargeable à partir
de cette adresse : http://nativecs.com.
Son principal intérêt est qu'il fonctionne avec Windows
XP Édition Familiale. Double-cliquez sur ce fichier exécutable
pour lancer l'installation de l'application : AccountViewSetup.exe.
Dans le volet de gauche, cliquez sur le dossier Users. L'ensemble
des comptes administratifs et des comptes d'utilisateurs que vous
avez créés sera listé. Dans le volet de droite,
deux onglets vous permettent de visualiser les utilisateurs et les
groupes d'utilisateurs, ainsi que leurs SID respectifs. Rappelons
que les SID (Security Identifier) sont des chaînes alphanumériques
qui identifient chaque utilisateur, groupe d'utilisateurs ou objet
système au sein d'un ordinateur ou d'un réseau. Vous
retrouverez les mêmes identifiants utilisateur en ouvrant
dans le Registre l'arborescence HKEY_USERS.
Si vous sélectionnez un compte d'utilisateur, vous aurez
accès à un certain nombre d'informations qu'il vous
sera très facile de modifier :
* Must change password : si cette case est cochée, on demandera
de changer de mot de passe dès que l'utilisateur ouvrira
une session. "Vous êtes prié de modifier votre
mot de passe à la première ouverture de session."
C'est une manière de renforcer la sécurité
des comptes d'utilisateurs en les obligeant à changer de
mot de passe à intervalles de temps fixes.
* User cannot change password : il ne sera pas possible pour l'utilisateur
de modifier son mot de passe.
Ces deux dernières options ne peuvent pas être activées
en même temps…
* Password never expires : si la case est cochée, le mot
de passe n'expirera jamais. Sinon, la durée de vie d'un mot
de passe est par défaut de 42 jours.
* Account is disabled : en cochant cette case, vous pouvez désactiver
momentanément le compte d'utilisateur.
* Account is locked out : en cochant cette case, vous pouvez déverrouiller
un compte. Un compte peut être verrouillé si l'utilisateur
n'a pas saisi correctement son mot de passe.
Sous Windows XP Édition Professionnelle, lancez l'Utilitaire
de Stratégie de groupe en utilisant la commande gpedit.msc,
et ouvrez cette arborescence : Configuration ordinateur/Paramètres
Windows/Paramètres de sécurité/Stratégies
de comptes/Stratégie de verrouillage de compte. Double-cliquez
sur ce paramètre : Seuil de verrouillage de compte.
Entrez le nombre de tentatives avant que le compte ne soit verrouillé.
Au bout de trois tentatives infructueuses, une boîte de dialogue
vous indiquera qu'il est impossible de vous ouvrir une session car
votre compte a été verrouillé. La durée
de verrouillage des comptes peut également être définie,
ainsi que celle permettant de refaire une tentative de connexion.
Ainsi, même si l'utilisateur saisit alors un mot de passe
valide, le compte reste verrouillé en fonction de la durée
que vous avez définie.
* No password is required : l'ouverture de session sur un compte
se fera sans demander un mot de passe.
* Account expires : si vous désactivez la case Never, le
compte d'utilisateur expirera à la date que vous préciserez
dans la liste déroulante qui apparaîtra.
* La rubrique Logon hours vous permet de définir des horaires
de connexion. Si vous souhaitez refuser à l'utilisateur Jean
la possibilité d'ouvrir une session le vendredi de 14.00
à 15.00, cliquez sur les petits traits placés à
l'intersection de Fr et 14 et 15, puis cliquez sur l'icône
Reject et le bouton Apply. Les cases sélectionnées
s'éclairciront. Si l'utilisateur Jean essaie d'ouvrir une
session interactive, le message suivant apparaîtra : "Votre
compte possède une limitation horaire d'utilisation qui ne
vous autorise pas à ouvrir une session à cette heure.
Essayez plus tard".
* Dans l'onglet Member of, il vous est possible d'ajouter un compte
d'utilisateur à un ou plusieurs groupes d'utilisateurs en
vous servant du bouton Add (ou dans le cas contraire du bouton Remove).
Il suffit alors dans l'onglet Browse users, groups de sélectionner
un des groupes d'utilisateurs qui sont listés.
Sous Windows XP Édition Professionnelle, les droits de chaque
utilisateur ou groupe d'utilisateurs sont visibles en lançant
l'Utilitaire de Stratégie de groupe et en ouvrant cette arborescence
: Configuration ordinateur/Paramètres Windows/Paramètres
de sécurité/Stratégies locales/Attribution
des droits utilisateur.
Dépannage
des comptes d'utilisateurs-
Transférer les données d'un profil utilisateur à
l'autre :
Cette procédure peut vous aider à résoudre
ce type d'erreur : "Windows ne peut pas charger votre profil
car il semble endommagé. Vous avez peut-être ouvert
une session en utilisant un profil utilisateur temporaire".
Il vous faut tout d'abord créer un nouveau compte d'utilisateur.
Vous devez être connecté à partir du compte
Administrateur, ou d'un compte possédant des privilèges
d'administrateur et différent du compte que vous pensez être
endommagé.
1) Cliquez sur Démarrer/Panneau de configuration/Comptes
d'utilisateur, puis sur l'onglet Options avancées et le bouton
Avancé.
2) Dans le volet de gauche, cliquez sur le dossier Utilisateur puis
sur le menu Action et le sous-menu Nouvel utilisateur.
3) Dans la zone de texte Nouvel utilisateur, saisissez un nom d'utilisateur,
puis un mot de passe que vous confirmerez.
4) Décochez la case L'utilisateur doit changer de mot de
passe à la prochaine ouverture de session.
5) Cliquez sur le bouton Créer.
Sous Windows XP Édition Familiale, cliquez sur Démarrer/Panneau
de configuration/Comptes d'utilisateur, puis sur le lien Créer
un nouveau compte. Entrez le nom du nouveau compte, puis cochez
le bouton radio qui correspond au type de compte que vous souhaitez
créer. Cliquez sur le bouton Créer un compte.
6) Dans l'Explorateur Windows, ouvrez le dossier \Documents and
settings\Nom_Ancien_Compte.
7) Dans le volet de droite, sélectionnez un fichier ou un
dossier, puis appuyez sur le raccourci clavier Ctrl+A afin de tout
sélectionner.
8) Appuyez sur la touche Ctrl, puis cliquez sur les fichiers Ntuser.dat,
Ntuser.dat.log et Ntuser.ini de façon qu'ils soient retirés
de votre sélection.
9) Avec le bouton droit de la souris, cliquez sur votre sélection
de fichiers et de sous-dossiers et cliquez sur la commande Copier.
10) Sélectionnez le dossier du compte d'utilisateur que vous
avez créé.
11) Avec le bouton droit de la souris, cliquez sur une partie vide
du volet de droite et sélectionnez la commande Coller.
12) Confirmez par Oui le remplacement éventuel de certains
fichiers ou dossiers.
13) Fermez votre session d'utilisateur, puis ouvrez une session
sur le nouveau compte d'utilisateur.
- Transférer
un compte d'utilisateur d'une machine à l'autre :
Nous supposons que nous allons transférer un compte d'utilisateur
nommé Jean d'un ordinateur nommé Ancien vers un ordinateur
nommé Nouveau. Signalons que cette méthode est aussi
valable s'il s'agit d'un même ordinateur sur lequel vous devez
récupérer les données d'un compte endommagé.
Vous devez activer l'affichage des fichiers et des dossiers cachés
ainsi que désactiver le partage simple des fichiers.
1) Sur l'ordinateur "Ancien", connectez-vous sur le compte
Administrateur.
2) Copiez le répertoire \Document and Settings\Jean dans
\Document and Settings\Jean sur la machine appelée "Nouveau".
Vous devez là aussi vous connectez sur le compte Administrateur.
3 ) Créez un compte d'utilisateur appelé Jean.
4) Ouvrez une session sur ce compte.
5) Déconnectez-vous.
6) Ouvrez de nouveau une session sur le compte Administrateur.
7) Dans le Registre ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ProfileList.
8) Ouvrez la clé qui porte comme nom le SID de Jean.
9) Éditez une valeur de chaîne extensible nommée
ProfileImagePath.
10) Remplacez son contenu par ceci : \%systemdrive%\documents and
settings\Jean
A priori, la valeur existante sera de ce type : Jean-53GZ6N.
11) Accédez aux propriétés NTFS du répertoire
de Jean.
12) Ajoutez ce nom d'utilisateur puis attribuez-lui le contrôle
total.
13) Dans le Registre sélectionnez la clé HKEY_USERS.
14) Chargez la ruche utilisateur en sélectionnant le fichier
ntuser.dat placé dans
\Documents and Settings\Jean.
15) Attribuez un nom à cette ruche.
Par exemple : Jean
16) Changez les permissions sur la clé nommée Jean
en ajoutant ce nom d'utilisateur et en lui attribuant le contrôle
total.
17) Déchargez la ruche utilisateur.
18) Fermez puis ouvrez de nouveau une session sur le compte Administrateur.
19) Supprimez le répertoire doublon dont le nom ressemblera
à celui-ci : Jean-53GZ6N
20) Fermez la session puis connectez-vous sur le compte de Jean.
A priori, l'ensemble des documents copiés ainsi que les paramètres
de messagerie et de votre navigateur seront opérationnels.
J'ai eu vaguement l'impression qu'il devait y avoir plus simple
mais cette méthode possède au moins le mérite
de marcher parfaitement.
- Réparer un profil
d'utilisateur :
Le principe est le suivant : un nouveau compte utilisateur sera
automatiquement créé par Windows et nommé de
cette façon.
* Nom-Utilisateur : si le profil antérieur a été
supprimé.
* Nom-Utilisateur_Nom-Ordinateur : si le profil a été
conservé.
* Nom-Utilisateur_Nom-Ordinateur000 : si Nom-Utilisateur_Nom-Ordinateur
existe déjà.
Et ainsi de suite. Si le compte originel n'a pas été
supprimé, il vous est possible de mettre en œuvre cette
solution :
1) Ouvrez une session sur un compte possédant des droits
d'administrateur.
2) Si besoin est, accordez-vous des droits de contrôle total
sur le dossier original ainsi que sur ses sous-dossiers et fichiers.
3) Copiez l'ensemble des sous-dossiers et des fichiers du dossier
Nom-Utilisateur_Nom-Ordinateur (et, éventuellement, Nom-Utilisateur_Nom-Ordinateur000)
vers le dossier Nom-Utilisateur, à l'exception des fichiers
Desktop.ini.
Il ne faut donc jamais cliquer sur le bouton Tous quand Windows
vous demande si vous voulez remplacer un fichier ou un dossier existant.
4) Cliquez sur Démarrer/Exécuter, puis saisissez :
regedit.
5) Dans l'éditeur du Registre, ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ProfileList.
6) Repérez la clé CLSID qui correspond au profil automatiquement
créé par Windows.
Pour cela, la valeur chaîne ProfileImagePath doit contenir
comme données de la valeur le nom de ce profil.
7) Éditez cette valeur, puis modifiez les données
de valeur qui sont inscrites.
Par exemple, imaginons un utilisateur Jean déclaré
sur un ordinateur nommé MonOrdinateur. Changez la valeur
: %SystemDrive%\Documents and Settings\Jean.MonOrdinateur par %SystemDrive%\Documents
and Settings\Jean.
8) Toujours dans cet exemple, ouvrez l'Explorateur Windows, puis
attribuez à l'utilisateur Jean le contrôle total sur
ce dossier : \Documents and Settings\Jean.
9 Vous n'avez plus qu'à supprimer les dossiers \Documents
and settings\Jean.MonOrdinateur, \Documents and settings\Jean.MonOrdinateur000,
etc.
10) Fermez votre session, puis ouvrez-en une nouvelle sur le compte
de Jean.
- Paramétrer l'emplacement des
dossiers spéciaux :
1) Dans le Registre ouvrez cette clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User
Shell Folders.
L'emplacement par dédaut des dossiers spéciaux est
le suivant :
AppData : %USERPROFILE%\Application Data
Cache : %USERPROFILE%\Local Settings\Temporary Internet Files
Cookies : %USERPROFILE%\Cookies
Desktop : %USERPROFILE%\Bureau
Favorites : %USERPROFILE%\Favoris
History : %USERPROFILE%\Local Settings\Historique
Local AppData : %USERPROFILE%\Local Settings\Application Data
Local Settings : %USERPROFILE%\Local Settings
My Music : %USERPROFILE%\My Documents\Ma Musique
My Pictures : %USERPROFILE%\My Documents\Mes Images
Nethood : %USERPROFILE%\Voisinage réseau
Personal : %USERPROFILE%\Mes Documents
PrintHood : %USERPROFILE%\Voisinage d'impression
Programs : C:\Documents and Settings\All Users\Documents\Programmes
SendTo : %USERPROFILE%\SendTo
Start Menu : %USERPROFILE%\Menu Démarrer
Startup : C:\Documents and Settings\All Users\Documents\Programmes\Démarrage
Templates : %USERPROFILE%\Modèles
%USERPROFILE% peut être remplacé par C:\Documents and
Settings\Nom_Utilisateur
Les paramètres "machine" sont stockés dans
cette arborescence du Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User
Shell Folders.
Les données de la valeur par défaut sont les suivant
:
Common AppData : %ALLUSERSPROFILE%\Application Data
Common Desktop : %ALLUSERSPROFILE%\Bureau
Common Documents : %ALLUSERSPROFILE%\Documents
Common Programs : %ALLUSERSPROFILE%\Menu Démarrer\Programmes
Common Start Menu : %ALLUSERSPROFILE%\Menu Démarrer
Common Startup : %ALLUSERSPROFILE%\Menu Démarrer\Programmes\Démarrage
Common Templates : %ALLUSERSPROFILE%\Modèles
Note
importante : si vous modifiez une des valeurs du Registre
vous devez également déplacer les données de
l'ancien emplacement vers le nouveau.
- Mon compte
d'utilisateur a été remplacé par un compte
Administrateur :
1) Ouvrez le module Outils d'administration du Panneau de configuration.
2) Cliquez sur l'applet Gestion de l'ordinateur, puis ouvrez les
dossiers Utilisateurs et groupes puis Utilisateurs.
3) Avec le bouton droit de la souris, cliquez sur le compte fantôme,
puis sur la commande Propriétés.
4) Cochez l'option Le compte est désactivé, puis redémarrez
votre ordinateur.
5) Refaites à nouveau la même manipulation mais, cette
fois-ci, en le réactivant.
Au prochain redémarrage, vous serez de nouveau visible dans
l'écran d'ouverture de session interactive.
-
Résoudre un problème au moment de la fermeture du
compte d'utilisateur :
Un utilitaire proposé par Microsoft vous permet de résoudre
un problème de déconnexion. Sous Windows XP, ce type
d'erreur est consignée dans l'Observateur d'événements
dans le menu Applications. En voici les principales indications
:
* Source : Userenv - ID évén. : 1517 ou 1524 : le
Registre est utilisé par un service ou une application empêchant
le déchargement de la ruche utilisateur.
* Source : Userenv - ID évén. : 1500 : Windows ne
peut pas vous connecter à votre compte car le profil est
introuvable ou endommagé.
Le descriptif de l'erreur peut être celui-ci : Windows a sauvegardé
le Registre utilisateur alors qu'une application ou un service utilisait
toujours le Registre pendant la fermeture de la session. La mémoire
employée par le Registre de l'utilisateur n'a pas été
libérée. Le Registre sera déchargé lorsqu'il
ne sera plus utilisé. Les symptômes sont les suivants
: l'ordinateur reste longtemps sur la page Enregistrement de vos
paramètres, ou votre profil utilisateur n'est pas enregistré.
Téléchargez à cette adresse : www.microsoft.com/downloads/details.aspx?familyid=1B286E6D-8912-4E18-B570-42470E2F3582&displaylang=en
ces trois fichiers : UPHClean-Setup.msi, uphclean.exe et readme.txt.
Double-cliquez sur le fichier .msi afin d'installer le programme.
Vous pourrez le désinstaller par le module Ajout/Suppression
de programmes du Panneau de configuration. Le principe est assez
simple : ce programme se charge en tant que service.
UPHClean empêche simplement qu'aucune ressource inutile soit
appelée quand le Registre utilisateur est sauvegardé.
Vous pouvez limiter ce programme pour qu'il vous affiche seulement
un rapport d'erreur indiquant quel processus empêche la déconnexion
automatique.
1) Cliquez sur Démarrer/Exécuter, puis saisissez :
regedit.
2) Dans le Registre, ouvrez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPHClean\Parameters.
3) Éditez une valeur DWORD nommée REPORT_ONLY.
4) Affectez-lui comme données de la valeur le chiffre 1.
Les rapports qui seront générés seront visibles
dans l'Observateur d'événements.
- Impossible d'utiliser la fonction Changement rapide d'utilisateur :
Il faut que le service Compatibilité avec le Changement rapide d'utilisateur soit paramétré sur le mode de démarrage Automatique ou Manuel et qu'il soit démarré.
- impossible d'ouvrir une session car il y a une limitation des comptes :
Dans la version Home vous ne pouvez accéder au compte d'Administrateur à partir de l'ouverture de session sécurisée (Windows 2000) . Afin d'accéder au compte Administrateur vous devez redémarrer en mode sans échec. Ce comportement est voulu par la conception même du produit.
Gestion des
utilisateurs à partir de l'Invite de commandes
- Net User :
Afin de lister les utilisateurs déclarés sur votre
machine, saisissez : net user
Les syntaxes de la commande sont :
Net user [nom_utilisateur [mot_de_passe | *] [options]] [/domain]
Net user [nom_utilisateur {mot_de_passe | *} /add [options] [/domain]]
Net user [nom_utilisateur [/delete] [/domain]]
/add ou /delete : créé ou supprime le compte d'utilisateur
spécifié.
Mot de passe : assigne ou modifie le mot de passe du compte d'utilisateur.
Saisissez un astérisque (*) de manière à afficher
une invite pour le mot de passe.
/domain : exécute la commande sur le contrôleur de
domaine principal de l'ordinateur.
Les options possibles sont :
/active:{no | yes} : active ou désactive le compte spécifié.
comment:"texte" : fournit un commentaire sur l'utilisateur.
/countrycode:nnn : utilise les codes pays/région du système
d'exploitation afin d'appliquer les fichiers de langue spécifiés
aux boîtes de dialogue. La valeur 0 désigne le code
pays/région par défaut.
/expires:{{mm/jj/aaaa | jj/mm/aaaa | mmm,jj ,aaaa} | never} : provoque
l'expiration du compte à la date spécifiée.
La valeur never signifie que le compte n'expirera jamais. Les formats
de valeurs de date sont à respecter en fonction du code de
pays/région défini sur la machine.
/fullname:"nom" : permet de spécifier le nom complet
tel qu'il apparaîtra dans l'écran d'ouverture de session.
Le nom "court" sera celui assigné aux répertoires
propres à l'utilisateur créés dans l'Explorateur
Windows.
/homedir:chemin : précise le chemin du répertoire
d'origine de l'utilisateur.
/passwordchg:{yes | no} : indique si l'utilisateur peut modifier
son mot de passe ou non. La valeur par défaut est yes.
/passwordreq:{yes | no} : indique si l'utilisateur doit posséder
un mot de passe. La valeur par défaut est yes.
/profilepath:[chemin] : définit le chemin du profil de connexion
de l'utilisateur.
/scriptpath:chemin : définit le chemin du script d'ouverture
de session de l'utilisateur.
/times:{jour[-jour][,jour[-jour]] ,heure[-heure][,heure[-heure]]
[;…] | all} : précise quand l'utilisateur est autorisé
à employer l'ordinateur. La valeur all signifie qu'un utilisateur
peut ouvrir une session en permanence. La valeur nulle (blanc) signifie
qu'un utilisateur ne peut jamais se connecter. L'heure indiquée
doit être une heure "pleine". Il n'est donc pas
possible d'affiner en termes de minutes. Quant aux valeurs de jour,
elles peuvent être écrites en toutes lettres ou représentées
par les abréviations (L, Ma, Me, J, V, S, D). Les heures
peuvent suivre le format de notation en 12 ou 24 heures. Si vous
optez pour le format 12 heures, utilisez AM/PM ou A.M./P.M.
/usercomment:"texte" : indique qu'un administrateur peut
modifier le commentaire attaché à l'utilisateur.
/workstations:{nom_ordinateur[,...] | *} : répertorie jusqu'à
huit stations de travail à partir desquelles un utilisateur
peut se connecter au réseau. Les entrées multiples
doivent être séparées par des virgules. Si /workstations
ne possède pas de liste ou si celle-ci correspond à
l'astérisque (*), l'utilisateur pourra ouvrir une session
à partir de n'importe quel ordinateur.
Afin de réinitialiser le mot de passe "Administrateur",
saisissez :
net user administrateur Le_Nouveau_Mot_De_Passe
Oui, signalons que l'ancien mot de passe n'est pas demandé
! Afin de créer un utilisateur nommé "Jean",
saisissez cette commande :
net user jean * /add /comment:"Compte créé à
fin de test" /expires:09/11/2004 /fullname:"Jean de Latour"
/passwordchg:no /passwordreq:yes /time:ma,12:00-13:00;me,12:00-13:00
Une vue d'ensemble s'obtient en saisissant : net user jean
Vous pouvez activer le compte "Invité" en saisissant
:
net user invité /active:yes
- Net localgroup
:
Les syntaxes possibles sont :
net localgroup [nom_groupe [/comment:"texte"]] [/domain]
net localgroup [nom_groupe {/add [/comment:"texte"] |
/delete} [/domain]]
net localgroup [nom_groupe nom [ ...] {/add | /delete} [/domain]]
Les commandes sont identiques que celles présentes dans "Net
user".
Si vous souhaitez créer un groupe d'utilisateur nommé
"Famille", saisissez cette commande :
net localgroup /add Famille
Vous souhaitez que l'utilisateur Jean appartienne au groupe "Famille"
saisissez :
net localgroup Famille jean /add
Faites de même pour les autres utilisateurs que vous souhaitez
ajouter à ce groupe.
S'il vous faut en plus le supprimer du groupe "Administrateurs",
saisissez :
net localgroup Administrateurs jean /delete
Jean n'appartient plus qu'au groupe local "Famille".
Astuce : Vous remarquerez que dans ce cas, l'utilisateur
"Jean" ne sera plus affiché dans l'écran
d'ouverture de session. Il vous est possible d'accéder à
ce compte en appuyant deux fois sur les touches Ctrl + Alt + Suppr.
Dans la fenêtre d'ouverture de session classique, saisissez
alors le nom du compte et le mot de passe. Cette astuce est également
valable pour accéder au compte "Administrateur".
Signalons que si un utilisateur ne fait pas partir du groupe des
administrateurs ou des utilisateurs, son compte n'est pas affiché
dans l'ouverture de session "Windows XP". Par ailleurs,
il n'est pas nécessaire d'appartenir à un groupe pour
pouvoir exister.
Il vous est donc maintenant possible de spécifier un masque
de permissions qui n'autorise la lecture d'un document que pour
les membres du groupe "Familles" et exclue tous les autres
utilisateurs et groupe d'utilisateurs à l'exception des administrateurs.
L'intérêt est simple : plutôt d'ajouter un à
un chaque utilisateur qui doit pouvoir accéder au document
partagé, il est plus rapide de paramétrer cette stratégie
pour le groupe tout entier. Nous allons nous servir dans ce exemple
d'un répertoire nommé Test.
1) Avec le bouton droit de la souris, cliquez sur le répertoire
puis sur la commande Propriétés.
2) Cliquez sur l'onglet Sécurité.
3) Cliquez sur le bouton Paramètres avancés.
4) Décochez la case Hérite de l'objet parent les entrées
d'autorisation qui s'appliquent aux objets enfants. Cela inclut
les objets dont les entrées sont spécifiquement définies
ici.
5) Cliquez sur le bouton Copier puis OK.
6) Dans la rubrique Noms d'utilisateur ou de groupe :, sélectionnez
l'option Utilisateurs puis cliquez sur le bouton Supprimer.
7) Cliquez sur le bouton Ajouter... puis Avancé... et Rechercher.
8) Dans la colonne Nom(RDN) sélectionnez l'option Famille
puis cliquez deux fois sur OK.
9) Dans la rubrique Autorisations pour Famille, cochez la case Contrôle
total sous la colonne Autoriser.
10) Cliquez sur OK.
- Afficher le SID d'un ordinateur
ou d'un utilisateur :
Le SID ("Security Identifier") est un numéro composé
de caractères alphanumériques qui permet d'identifier
un ordinateur, un utilisateur ou un groupe d'utilisateurs. Il vous
est possible de les visualiser dans le Registre ou ouvrant cette
arborescence : HKEY_USERS puis d'ouvrir la clé Identities
et de lire les données présentes dans la valeur chaîne
Last Username. Les processus Windows pour s'exécuter utilisent
le SID plutôt que le nom de l'utilisateur ou du groupe.
Un outil vous permet de visualiser les SID de chacun des "acteurs"
de votre système ainsi que ceux d'une machine "distante"
: Psgetsid. Téléchargez un bouquet d'utilitaires nommé
PsTools à partir de cette adresse : www.sysinternals.com.
Une fois l'archive ZIP décompressée lancez ce simple
fichier exécutable : Psgetsid.exe. La syntaxe est la suivante
:
Psgetsid [\\Ordinateur[,Ordinateur[,...] [-u Nom_Utilisateur[-p
Mot_De_Passe]]] [Compte | SID]
Une manière simple de connaître le SID d'un compte
d'utilisateur nommé "Jean".
Il vous est possible de lancer cette commande à partir d'un
compte limité en empruntant l'identité d'un compte
possédant des privilèges d'administrateur et en indiquant
son mot de passe :
psgetsid \\ordinateur1 -u administrateur jean
Il ne vous reste plus qu'à saisir le mot de passe du compte
"Administrateur".
Une autre solution consiste à télécharger "Sectok"
à partir de cette adresse : www.joeware.net/win32/index.html#XP.
Cet utilitaire est compatible avec toutes les versions NT de Windows.
Une fois le fichier ZIP décompressé, double-cliquez
sur cet exécutable : Sectok.exe.
Le SID de l'utilisateur qui a ouvert une session ainsi que ceux
des groupes locaux et globaux seront listés.
-
Afficher les informations d'utilisateurs :
"Whoami"
fait partie du "Windows XP Service Pack 2 Support Tools".
Il vous permet d'afficher chaque jeton de sécurité
qui sera alloué aux différents acteurs de votre système.
Les commutateurs sont les suivants :
/ALL : affiche les informations détaillées.
/NOVERBOSE /option : affiche des informations succintes.
/USER : affiche les utilisateurs.
/GROUPS : affiches les groupes d'utilisateurs.
/PRIV : affiche les privilèges.
/LOGONID : affiche l'ID de connexion.
/SID /option : affiche les SID.
/option : peut être les valeurs suivantes : /USER, /GROUPS,
/PRIV ou /LOGONID.
Afin d'afficher le SID de l'utilisateur actuellement connecté,
saisissez :
whoami /user /sid
Afin d'afficher les SID des groupes d'utilisateurs, saisissez :
whoami /sid /groups
Afin d'afficher les privilèges de l'utilisateur actuellement
connecté, saisissez :
whoami /user /priv
Les commandes précédées du signe x ne feront
pas partie des privilèges dont vous disposez.
Cette liste des attributions des droits des utilisateurs se retrouvent
en suivant cette procédure :
1) Cliquez sur Démarrer/Exécuter puis saisissez :
gpedit.msc.
2) Ouvrez cette branche : Stratégie Ordinateur local/Paramètres
Windows/Stratégies locales/Attribution des droits utilisateur.
- NtRights.exe : éditer les privilèges
des utilisateurs :
Cet outil permet d'éditer les privilèges des utilisateurs
ou des groupes d'utilisateurs sur un ordinateur local ou distant.
Son autre intérêt est qu'il fonctionne avec la version
"Home" de Windows XP.
Il fait partie du "Windows Server 2003 Resource Kit Tools"
qui se télécharge à partir de cette adresse
: http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en.
Cela correspond aux commandes présentes dans cette arborescence
de l'éditeur de stratégie de groupe : Configuration
ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies
locales/Attribution des droits utilisateur.
La syntaxe est la suivante :
ntrights {-r Privilège | +r Privilège} -u UtilisateurOuGroupe
[-m \\Machine] [-e Entrée] [-?]
-r : révoque le privilège spécifié.
+r : ajoute le privilège défini.
-u : spécifie l'utilisateur ou le groupe d'utilisateurs.
-m \\ : définit l'ordinateur cible.
-e entrée : ajoute une entrée au journal d'événements.
Toutes les commandes sont sensibles à la casse.
La liste des droits se retrouve en ouvrant les fichiers defltwk.inf
ou secsetup.inf sous la section [Privilege Rights]. Nous citons
ici quelques exemples :
SeChangeNotifyPrivilege : Outrepasser le contrôle de défilement.
Load and unload device drivers : Charger et décharger des
pilotes de périphériques.
SeShutdownPrivilege : Arrêter le système.
SeTakeOwnershipPrivilege : Prendre possession des fichiers ou autres
objets.
SeNetworkLogonRight : Accéder à cet ordinateur depuis
le réseau.
Signalons que l'aide en Invite de commandes ou par l'Aide et support
ne mentionnent pas toute la liste des privilèges possibles.
En voici une application possible :
- Autoriser le compte Invité à accéder à
cet ordinateur depuis le réseau :
ntrights +r SeNetworkLogonRight -u Invité
- Supprimer de la restriction "Refuser l'accès à
cet ordinateur à partir du réseau" le compte
Invité :
ntrights -r SeDenyNetworkLogonRight -u Invité
|
|
