Objectif
Créer et gérer des comptes utilisateurs locaux, configurer des profils utilisateur, et comprendre les stratégies de groupe locales (Group Policy Objects).
Exercice 5.1 : Création et Gestion d'Utilisateurs Locaux
1. Créer des utilisateurs de test via PowerShell :
# Définir un mot de passe sécurisé
$Password = ConvertTo-SecureString "P@ssw0rd123!Lab" -AsPlainText -Force
# Créer un utilisateur standard
New-LocalUser -Name "UtilisateurTest" -Password $Password -FullName "Utilisateur Test EDST" -Description "Compte de test pour formation EDST" -PasswordNeverExpires
# Créer un utilisateur administrateur local
New-LocalUser -Name "AdminTest" -Password $Password -FullName "Admin Test EDST" -Description "Compte admin de test" -PasswordNeverExpires
# Ajouter AdminTest au groupe Administrateurs
Add-LocalGroupMember -Group "Administrateurs" -Member "AdminTest"
# Vérifier tous les utilisateurs créés
Get-LocalUser | Format-Table Name, Enabled, LastLogon, Description
2. Gestion des utilisateurs via GUI :
Tapez lusrmgr.msc dans Démarrer
Dans Utilisateurs :
- Clic droit sur "UtilisateurTest" > Propriétés
- Explorez les onglets :
- Général : Nom complet, description, options de compte
- Membre de : Groupes auxquels appartient l'utilisateur
- Profil : Chemin du profil, script de connexion, dossier de base
Question d'Atelier 16
Naviguez dans C:\Users\UtilisateurTest (avec l'Explorateur de fichiers, activez l'affichage des fichiers cachés). Identifiez et expliquez le rôle de ces dossiers/fichiers :
| Élément |
Rôle |
Données stockées |
| NTUSER.DAT |
? |
? |
| AppData\Local |
? |
? |
| AppData\Roaming |
? |
? |
Réponse attendue
| Élément |
Rôle |
Données stockées |
| NTUSER.DAT |
Ruche du registre utilisateur (chargée en HKEY_CURRENT_USER) |
Paramètres personnels : fond d'écran, couleurs, paramètres d'applications |
| AppData\Local |
Données locales non itinérantes |
Cache, fichiers temporaires, données spécifiques à la machine |
| AppData\Roaming |
Données itinérantes (suivent l'utilisateur sur le réseau) |
Paramètres d'applications, favoris, signatures email |
AppData\Local vs AppData\Roaming :
- Local : Ne suit PAS l'utilisateur entre machines (ex: cache navigateur)
- Roaming : Synchronisé entre machines dans un domaine (ex: paramètres Outlook)
Exercice 5.2 : Configuration des Politiques Locales (Group Policy)
Windows 11 Pro utilise les Stratégies de Groupe Locales (Local Group Policy) même sans domaine Active Directory.
Note importante : Si vous avez Windows 11 Home, gpedit.msc n'est PAS disponible. Ce lab nécessite Windows 11 Pro ou supérieur.
1. Ouvrir l'Éditeur de stratégie de groupe locale :
gpedit.msc
2. Configuration d'une politique de mot de passe :
Naviguez vers :
- Configuration ordinateur
- Paramètres Windows
- Paramètres de sécurité
- Stratégies de compte
- Stratégie de mot de passe
a) Longueur minimale du mot de passe :
- Double-clic sur "Longueur minimale du mot de passe"
- Cochez Définir ce paramètre de stratégie
- Définissez : 12 caractères (recommandation entreprise 2025)
- Appliquer > OK
b) Complexité du mot de passe :
- Double-clic sur "Le mot de passe doit respecter des exigences de complexité"
- Sélectionnez Activé
- Appliquer > OK
3. Appliquer immédiatement les stratégies :
gpupdate /force
4. Vérifier l'application des stratégies :
# Afficher les stratégies de compte actuelles
net accounts
# Générer un rapport HTML des GPO appliquées
gpresult /H "C:\LabEDST\Logs\GPResult-Report.html"
# Ouvrir le rapport
Start-Process "C:\LabEDST\Logs\GPResult-Report.html"
Exercice 5.3 : Restriction d'Accès et Permissions NTFS
1. Créer une structure de dossiers d'entreprise simulée :
# Créer une structure de dossiers
New-Item -Path "C:\DonneesEntreprise" -ItemType Directory -Force
New-Item -Path "C:\DonneesEntreprise\Public" -ItemType Directory -Force
New-Item -Path "C:\DonneesEntreprise\RH-Confidentiel" -ItemType Directory -Force
New-Item -Path "C:\DonneesEntreprise\IT-Support" -ItemType Directory -Force
# Créer des fichiers de test
"Données publiques accessibles à tous" | Out-File "C:\DonneesEntreprise\Public\readme.txt"
"Informations confidentielles RH" | Out-File "C:\DonneesEntreprise\RH-Confidentiel\salaires.xlsx"
"Procédures IT internes" | Out-File "C:\DonneesEntreprise\IT-Support\procedures.docx"
2. Configurer les permissions NTFS restrictives :
Dossier RH-Confidentiel - Restreint aux administrateurs uniquement :
- Clic droit sur
C:\DonneesEntreprise\RH-Confidentiel > Propriétés
- Onglet Sécurité > Avancé
- Cliquez sur Désactiver l'héritage
- Choisissez Convertir les autorisations héritées en autorisations explicites sur cet objet
- Cliquez sur OK pour fermer Avancé
- Maintenant dans l'onglet Sécurité standard :
- Sélectionnez le groupe Utilisateurs
- Cliquez sur Supprimer
- Confirmez
Question d'Atelier 18
Expliquez la différence entre :
- Permissions NTFS et Permissions de partage
- Permissions héritées et Permissions explicites
- Refuser (Deny) et Autoriser (Allow) - Laquelle a la priorité ?
Réponse attendue
1. NTFS vs Partage :
| NTFS |
Partage |
| S'applique localement ET à distance |
S'applique uniquement à l'accès réseau |
| Granulaire (fichiers et dossiers) |
Moins granulaire (dossiers partagés uniquement) |
| Plus sécurisée |
Moins sécurisée |
Règle : En accès réseau, la permission la PLUS restrictive entre NTFS et Partage s'applique.
2. Héritées vs Explicites :
- Héritées : Reçues automatiquement du dossier parent (grisées dans l'interface)
- Explicites : Définies manuellement sur l'objet (modifiables)
Priorité : Permissions explicites > Permissions héritées
3. Deny vs Allow :
Priorité absolue : Deny (Refuser) > Allow (Autoriser)
Une seule permission "Refuser" supplante TOUTES les permissions "Autoriser", même si l'utilisateur appartient à 10 groupes ayant accès.