Qu’est-ce qu’un utilisateur ?
Les comptes d’utilisateur sont créés et stockés en tant qu’objets dans services de domaine Active Directory. Les comptes d’utilisateur peuvent être utilisés par des utilisateurs humains ou des programmes tels que les services système utilisés pour se connecter à un ordinateur. Lorsqu’un utilisateur se connecte, le système vérifie le mot de passe de l’utilisateur en le comparant aux données stockées dans l’objet utilisateur de l’utilisateur sur le serveur Active Directory. Si le mot de passe est authentifié, c’est-à-dire que le mot de passe présenté correspond au mot de passe stocké dans l’objet utilisateur, le système produit un jeton d’accès. Un jeton d’accès est un objet qui décrit le contexte de sécurité d’un processus ou d’un thread. Les données d’un jeton incluent l’identité de sécurité et les appartenances au groupe du compte d’utilisateur associé au processus ou au thread. Chaque processus exécuté pour le compte de cet utilisateur dispose d’une copie de ce jeton d’accès.
Chaque utilisateur ou application qui accède aux ressources d’un domaine Windows doit avoir un compte sur le serveur Active Directory. Windows utilise ce compte d’utilisateur pour vérifier que l’utilisateur ou l’application est autorisé à utiliser une ressource.
Un compte d’utilisateur peut être utilisé pour :
- Permettre aux utilisateurs humains de se connecter à un ordinateur et d’accéder aux ressources en fonction de l’identité de ce compte d’utilisateur.
- Permettre aux programmes et services de s’exécuter dans un contexte de sécurité spécifique.
- Gérez l’accès utilisateur aux ressources partagées telles que les objets et leurs propriétés, les partages réseau, les fichiers, les répertoires, les files d’attente d’imprimantes, etc.
Les groupes peuvent contenir des membres, qui sont des références à des utilisateurs et à d’autres groupes. Les groupes peuvent également être utilisés pour contrôler l’accès aux ressources partagées. Lors de l’attribution d’autorisations pour des ressources, par exemple des partages de fichiers, des imprimantes, etc., les administrateurs doivent attribuer ces autorisations à un groupe plutôt qu’aux utilisateurs individuels. Les autorisations sont attribuées une fois au groupe, au lieu de plusieurs fois à chaque utilisateur individuel. Cela permet de simplifier la maintenance et l’administration d’un réseau.
Utilisateurs comparés aux contacts
Les utilisateurs et les contacts peuvent être utilisés pour représenter des utilisateurs humains. Toutefois, un utilisateur est un principal de sécurité ; un contact ne l’est pas.
Un utilisateur peut être utilisé pour permettre à un utilisateur humain de se connecter et d’accéder à des ressources partagées.
Un contact est utilisé uniquement à des fins de liste de distribution et d’e-mail. Toutefois, un contact peut contenir la plupart des données stockées dans un objet utilisateur, telles que l’adresse, les numéros de téléphone, etc., car l’utilisateur et le contact sont dérivés de l’objet person classSchema . Un contact n’a pas de contexte de sécurité ; Par conséquent, un contact ne peut pas être utilisé pour contrôler l’accès aux ressources partagées et ne peut pas être utilisé pour se connecter à un ordinateur.
Utilisateurs comparés aux ordinateurs
La classe d’objet ordinateur hérite de la classe d’objet utilisateur. Un objet ordinateur représente un ordinateur ; toutefois, l’ordinateur et les services locaux de l’ordinateur nécessitent souvent un accès au réseau et aux ressources partagées. Lorsque l’ordinateur accède à des ressources partagées, et non à l’utilisateur connecté à l’ordinateur, il a besoin d’un jeton d’accès tout comme un utilisateur humain connecté comme un utilisateur. Lorsqu’un ordinateur accède au réseau, il utilise un jeton d’accès qui contient l’identificateur de sécurité pour le compte d’ordinateur de l’ordinateur et les groupes auxquels ce compte est membre.
Un service peut s’exécuter dans le contexte de LocalSystem ou d’un compte de service spécifique. Sur les ordinateurs exécutant Windows 2000, un service qui s’exécute dans le contexte du compte LocalSystem utilise les informations d’identification de l’ordinateur.