Administrateur et Utilisateurs

Il existe sous Windows (XP et Vista) plusieurs types de comptes:

 

-          le compte Administrateur – Chef, créé par Windows lors de son installation, et qui détient tous les pouvoirs sur les tous les autres comptes. Ce compte est normalement caché.

-          le ou les compte(s) Utilisateurs créés par vous-même et qui peuvent avoir ou non des droits d'Administrateur, plus ou moins complets, en fonction de ce que vous décidez vous-même Savoir que le premier compte crée par vous, lors de l'installation de Windows, est toujours un compte administrateur.

-          le ou les comptes Invités avec des droits généralement plus ou moins limités définis par vous-même. Noter que pour un Réseau familial, le compte Invité doit toujours être activé.

En résumé, trois types de comptes: Administrateur, Standard, Invité.

 

Ainsi sur un ordinateur (ou un réseau) familial, il est classique d'avoir: un compte Utilisateur avec pouvoir d'Administrateur affecté à celui ou celle qui gère la machine (ou le réseau), plusieurs comptes Utilisateurs avec des pouvoirs limités (notamment en présence de jeunes enfants bénéficiant du "contrôle parental" ou d'ados un peu trop "bricoleurs"), un ou des comptes Invités pour les amis de passage.

Il faut bien comprendre que chaque compte utilisateur (quelques soient ses priviléges) correspond à un "profil" particulier, c'est à dire, en fait et pour être plus simple, à un Windows "particulier" et bien à lui, avec ses propres caractéristiques (bureau, favoris, menu démarrer, fond d'écran, etc..).

 

A - Afficher les comptes.

 

Panneau de configuration (toujours choisir "affichage classique" pour travailler sous windows..) puis Comptes utilisateurs.

S'affichent toujours:

-          le ou les compte(s) utilisateur(s) avec leurs prérogatives,

-          éventuellement le ou les comptes Invités.

 

A - 1. Afficher le compte Administrateur - Chef.

 

Le compte Administrateur-Chef ne s'affiche pas normalement  (même en démarrant l'ordinateur en mode sans échec).

Il faut, pour le faire s'afficher, faire une modification dans la Base de Registres (avec toutes les précautions habituelles: point de restauration). Manip valable pour XP et pour Vista:

 

Démarrer, Exécuter, taper Regedit,

Descendre le listing de la fenêtre de gauche en ouvrant successivement (clic sur les petites croix):

HKLocalMachine\ Software\ Microsoft\\ WindowsNT\ CurrentVersion\ WinLogon\ SpecialAccounts\ UserList

 

Créer une nouvelle valeur DWord:

Clic droit dans fenêtre de droite puis "nouveau" et "valeur DWord"

Effacer "nouvelle valeur" et entrer à la place Administrateur

Clic droit pour "modifier" et entrer comme "données de la valeur" en Hexadecimal, le chiffre 1. Terminer par OK et quitter Regedit.

 

Redémarrer l'ordinateur et aller sur Panneau de configuration puis Comptes Utilisateurs. Le compte Administrateur – chef devrait maintenant y figurer.

 

Si tel n'est pas le cas, il faut alors l'activer: aller dans Demarrer, Programmes, Accessoires, puis clic droit sur Invite de commande et sur le Prompt qui clignote, taper: net user Administrateur /active:yes

en respectant exactement les intervalles. Maintenant le compte administrateur apparaitra dans la fenêtre "Comptes Utilisateurs" en cliquant sur "Gérer un autre Compte".

 

Pour agir sous ce nouveau compte Administrateur-Chef, il faut changer de session avec Arréter puis "changer d'utilisateur". Apres un court écran noir, s'affichent tous les comptes dont le nouveau compte de l'Administrateur-Chef.. mais, attention, c'est un nouveau Windows, non paramétré par vous, si c'est la premiére fois que vous ouvrez ce compte ! Donc il faudra tout reparamétrer comme vous l'avez fait la premiére fois que vous avez utilisé Windows... Sous cette session, vous pouvez alors aller sur les différents lecteurs de vos disques durs et y apporter toutes le smodifications souhaitées en ce qui concerne la sécurité et les autorisations...

 

Il arrive, parfois, que cette modification de la Base de Registre fasse s'afficher, à chaque démarrage de Windows, une fenêtre de choix de session, ce qui peut rapidement devenir agaçant. Vous trouverez la manière d'éviter ça ici: XP Profil et mot de passe au demarrage

 

A - 2. Activer le compte Invité:

Dans Panneau de configuration, Comptes utilisateurs, clic sur "Gerer un autre compte " (Vista) ou "Modifier un compte (XP), puis "invité", puis Activer.

 

B - Créer un compte Utilisateur

Aller dans Panneau de Configuration, Comptes Utilisateurs.

Dans XP:  "Choisissez une tache", clic sur "Créer un nouveau Compte".

Dans Vista: "Gérer un autre Compte", clic sur "Créer un nouveau Compte".

Entrez le nom du nouveau compte puis suivant,

Choisir un type de compte: Administrateur (Utilisateur avec pouvoirs d'administrateur) ou Limité. Pour en savoir plus sur les prérogatives de chaque type de compte, cliquer, en haut et à gauche, sur "Aide sur" puis sur "Types de comptes d'utilisateurs".

 

Il est systématiquement proposé par Windows d'utiliser un mot de passe qui sera tout aussi systématiquement oublié ou perdu par l'utilisateur. Savoir aussi qu'un "hacker" un peu expérimenté le "crack" en une dizaine de minutes et qu'il complique beaucoup la gestion et l'échange des dossiers dans le réseau.

Il peut être néanmoins utile dans un réseau familial pour préserver certains dossiers du regard ou du bricolage de certains utilisateurs du réseau, mais c'est une sécurité illusoire vis a vis des malfaisants extérieurs.

Pour plus d'info sur la gestion (complexe) des mots de passe, il faut aller dans la console "Stratégies de comptes" que vous obtiendrez en tapant secpol.msc dans "Rechercher" du menu Démarrer.

 

Terminer en cliquant sur "créer un compte" ce qui fait apparaître le nouveau compte dans la fenêtre d'accueil. Vous pouvez modifier l'image associé à ce compte avec l'option "Modifier un compte".

 

C - Modifier ou supprimer un compte

 

Allez dans "Comptes utilisateurs", mais cliquer sur "Modifier un compte" puis sur le compte à modifier ou à supprimer.

Penser, néanmoins, qu'en supprimant un compte utilisateur, vous supprimez aussi tous ses attributs et tous ses dossiers...

 

 

 

La sécurité liée au format NTFS

 

Ce format particulier est apparu avec Windows XP et il offre une grande palette de possibilités dans le degré de sécurité et d'autorisation ou d'interdiction applicable aux fichiers, aux dossiers, aux partitions, suivant les différents utilisateurs de la machine, en direct ou sur réseau partagé.

 

Il faut savoir aussi que la gestion des différents niveaux et options de cettte sécurité est tres compliquée, les ingénieurs de Microsoft ayant manifestement en tête les parcs informatiques de plusieurs centaines d'ordinateurs et d'utilisateurs, et absolument pas celle d'un petit réseau familial de quatre ou cinq machines ou utilisateurs. La compléxité de cette gestion constitue d'ailleurs, et à juste titre, un des premiers motifs de mécontentement (il y a en a bien d'autres..) des utilisateurs de Vista.

 

L'onglet Sécurité.

 

Vous pouvez définir avec précision les droits de chaque utilisateur grâce à l'onglet 'Sécurité" qui doit apparaître – pour chaque dossier, groupe de dossiers ou partitions, voire disque dur - dans la fenêtre affichée par un clic droit sur son nom (dans l'explorateur de Windows) puis un clic gauche sur "Propriétés".

 

Dans XP Pro, si cet onglet n'apparaît pas, c'est que "le partage de fichiers simple" est encore activé et il faut le désactiver (Explorer, menu Outils, options des dossiers, onglet Affichage. Décocher l'option).

 

Dans XP Home, cette option n'existe pas car le "partage de fichier simple" est l'option standard. L'onglet "Sécurité" n'est disponible qu'après un redémarrage en mode sans échec par appui sur F8.

Il est néanmoins possible d'ajouter cet onglet  "Sécurité" d'une manière permanente en installant le fichier scesp4i.exe téléchargeable en cliquant sur ce lien:

                    ftp://ftp.microsoft.com/bussys/winnt/winnt-public/tools/scm/scesp4i.exe

Attention: le téléchargement démarre instantanément en cliquant sur le lien, ensuite il ne faut pas exécuter ce fichier mais le décomprimer dans un dossier provisoire, puis clic droit sur setup.inf et clic sur "installer" (en refusant tous les écrasements éventuellement proposés pendant l'installation)..

L'onglet "Sécurité" apparaîtra dorénavant sans être obligé  de passer en mode sans échec.

 

Paramétrage des droits et interdictions.

 

Pour illustrer les possibilités offertes par NTFS, nous allons prendre comme exemple le dossier "Mon travail" que vous voulez interdire à certains utilisateurs et autoriser partiellement à d'autres.

 

N.B. Il faut que les autorisations accordées sur chaque ordinateur différent, le soient dans une session ouverte par l'Administrateur du dit ordinateur.

Il faut se souvenir que lorsqu'on crée un compte avec des droits limités, plus ou moins, la premiére chose à faire, et obligatoirement, c'est de supprimer, dans tous les cas, la totalité des possibilités d'acces à la Partition System C: , de maniére à couper l'herbe sous le pied des jeunes bricoleurs ou d'apprentis pirates qui pourraient trouver là un moyen de contourner vos restrictions !!! 
 

Clic droit sur le dossier "Mon travail", clic sur Propriétés puis sur l'onglet "sécurité".

Dans la fenêtre du haut "Groupe ou noms d'utilisateurs" s'affichent les noms de tous les utilisateurs de votre machine et, éventuellement, de votre réseau.

Si par hasard votre nom n'y figure pas, clic sur bouton "Modifier" situé sous cette fenêtre puis sur le bouton "Ajouter" et taper votre nom d'utilisateur puis Appliquer. Votre nom apparait dorénavent dans la fenêtre du haut.

 

Clic sur le nom de votre benjamin, âgé de huit ans, que vous ne souhaitez pas voir exercer ses talents sur vos précieux dossiers professionnels.

Il vous suffit de cocher toutes les cases de la colonne "Refuser" et il ne pourra rien voir et rien faire.

 

Clic, ensuite, sur le nom de votre épouse, qui vous aide à faire vos comptes professionnels, mais qui n'y connaît rien en informatique.

Il suffit, dans la colonne "Refuser" de cocher les cases "Contrôle total, Modifications et écriture" pour mettre vos dossiers à l'abri d'une erreur de manipulation, et de cocher, dans la colonne "Autoriser", les cases "Lecture et exécution, affichage, et lecture" pour que votre femme puisse lire les devis et factures, et puisse même lancer une calculette ou sa feuille Excel de comptabilité.

 

Et ainsi de suite pour tous vos dossiers sensibles et pour chaque utilisateur, en vous accordant à vous-même, en tant qu'Administrateur de l'ordinateur, tous les droits, et en sachant que la "sensibilité" des fichiers et/ou des dossiers peut évidemment varier en fonction de l'utilisateur considéré.

 

Cette maniére de procéder peut éventuellement vous permettre, aussi, de supprimer un dossier "accroché" et qui résiste à toutes vos tentatives d'effacement. Clic droit sur ce dossier puis onglet Sécurité. Deux hypothéses pour expliquer vos échecs: soit vous n'avez pas, pour ce dossier, "autorisation totale", soit, pire, le seul nom de gestionnaire de ce dossier est "Administrateur systéme" qui figure seul dans la fenêtre du haut..

 

Une autre variante de ce piége est de croire qu'en ayant mis "Tous les Utilisateurs", tout le monde va avoir droit à acceder à ces dossiers.. C'est ignoré l'esprit totalement tordu des ingénieurs de Microsoft pour lesquel "Tout le monde" signifie "Tout le monde SAUF vous" !!!

Il vous suffit de rajouter votre nom d'utilisateur, comme expliqué plus haut, puis de vous accorder "autorisation totale" pour pouvoir effacer ensuite sans difficulté ce dossier. Le tout est de le savoir...

 

Il faut également savoir, qu'en plus du paramétrage des autorisations (ou des interdictions), vous pouvez gérer l'espace alloué sur le disque dur de l'ordinateur à tel ou tel utilisateur.

C'est la "gestion des quotas" qui peut être activée ainsi: clic droit sur le lecteur concerné, puis clic gauche sur "propriétés" puis sur l'onglet "Quotas". 

 

Héritage et successions.

 

Il existe une pyramide de hiérarchie entre, ceux d'en haut, le disque dur, puis les partitions, et, ceux d'en bas, les dossiers, sous-dossiers et humbles fichiers.

 

Si vous autorisez, ou au contraire interdisez, un accès à certaines fonctions au niveau d'une partition, toute la "pyramide hiérarchique" située au-dessous d'elle (dossiers, sous-dossiers et donc fichiers) "héritera" des mêmes autorisations et interdictions car ils sont en succession directe descendante de la Partition sur laquelle vous avez agi.

 

De la même manière, si vous n'intervenez pour vos autorisations qu'au niveau d'un dossier précis, seuls les sous-dossiers situés au-dessous de lui (et donc les fichiers qu'ils contiennent) hériteront de vos décisions car ils sont seuls en succession directe descendante du dossier sur lequel vous avez agi.

Par contre, tout ce qui est situé au-dessus ou au même niveau (autres dossiers, partitions, disque dur) n'héritera de rien du tout car il n'y a pas de succession et d'héritage pour les collatéraux ou pour les ascendants..

 

Il est néanmoins possible de paramétrer encore plus finement ces lois d'heritage avec le bouton "paramètres avancés" mais c'est très compliqué et à laisser aux Administrateurs réseaux et grands Comptes professionnels.