Mac OS X Server
Gestion des utilisateurs
Pour Leopard version 10.5
K
Apple Inc.
© 2007 Apple Inc. Tous droits réservés.
Le propriétaire ou l’utilisateur autorisé d’un exemplaire
valide du logiciel Mac OS X Server peut reproduire la présente publication à des fins d’apprentissage dudit logiciel.
La présente publication ne peut être reproduite ou transmise en totalité ou en partie à des fins commerciales, telles que la vente de copies ou la prestation d’un service
d’assistance payant.
Tous les efforts nécessaires ont été mis en œuvre pour
que les informations contenues dans ce manuel soient
les plus exactes possibles. Apple n’est pas responsable
des erreurs d’écriture et d’impression.
Apple
1 Infinite Loop
Cupertino, CA 95014-2084
408-996-1010
www.apple.com
En l’absence du consentement écrit d’Apple, l’utilisation
à des fins commerciales de ce logo via le clavier
(Option + 1) pourra constituer un acte de contrefaçon
et/ou de concurrence déloyale.
Apple, le logo Apple, AirPort, AppleShare, Bonjour,
FireWire, iCal, iTunes, Mac, Mac OS, MacBook, Macintosh,
QuickTime, SuperDrive, Xgrid, Xsan et Xserve sont des
marques d’Apple Inc. déposées aux États-Unis et dans
d’autres pays. Apple Remote Desktop, le Gestionnaire
d’extensions, Finder, iWork et Safari sont des marques
d’Apple Inc. Mac est une marque de service d’Apple Inc.
Adobe et PostScript sont des marques d’Adobe Systems
Incorporated.
®
La marque du mot et les logos Bluetooth
ques déposées détenues par Bluetooth SIG, Inc. ; et toute
utilisation de ces marques par Apple s’effectue sous licence.
Java et tous les logos et marques dérivés de Java sont
des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays.
UNIX est une marque déposée de The Open Group.
Les autres noms de sociétés et de produits mentionnés ici
sont des marques de leurs détenteurs respectifs. La mention de produits tiers n’est effectuée qu’à des fins informatives et ne constitue en aucun cas une approbation ni une
recommandation. Apple n’assume aucune responsabilité
vis-à-vis des performances de ces produits.
F019-0938/01-09-2007
sont des mar-
Table des matières
1
Preface 13 À propos de ce guide
13
Nouveautés du Gestionnaire de groupe de travail
14
Contenu de ce guide
15
Utilisation de l’aide à l’écran
16
Guides d’administration de Mac OS X Server
17
Visualisation de guides PDF à l’écran
17
Impression des guides PDF
18
Obtenir des mises à jour de documentation
18
Pour obtenir des informations supplémentaires
Chapter 1 19 Vue d’ensemble de la gestion des utilisateurs
19
Outils de gestion des utilisateurs
19
20
21
21
22
23
23
24
25
26
27
27
28
28
29
Gestionnaire de groupe de travail
Admin Serveur
Préférences serveur
NetBoot
NetInstall
Utilitaires de ligne de commande
Comptes
Comptes administrateurs
Comptes d’utilisateur
Comptes de groupe
Comptes d’ordinateur
Groupes d’ordinateurs
Interface utilisateur
Authentification et validation d’identité
Contrôle d’accès aux informations
Chapter 2 33 Premiers contacts avec la gestion des utilisateurs
33
Vue d’ensemble de la configuration
37
Planification de stratégies pour la gestion des utilisateurs
37
38
Analyse de votre environnement
Identification de la configuration de services d’annuaire requise
3
38
40
41
42
42
Détermination de la configuration de serveur et de stockage requise
Choix d’une structure de dossiers de départ
Définition d’une stratégie de distribution des dossiers de départ
Identification des groupes
Détermination des besoins administrateur
Chapter 3 45 Premiers contacts avec le Gestionnaire de groupe de travail
45
Configuration de l’ordinateur et du compte de l’administrateur
45
46
47
47
47
Configuration d’un ordinateur administrateur
Création d’un compte d’administrateur de domaine
Utilisation du Gestionnaire de groupe de travail
Utilisation de Mac OS X Server 10.5 pour gérer les versions antérieures de Mac OS X
Connexion et authentification aux domaines d’annuaire dans
le Gestionnaire de groupe de travail
48
49
50
50
51
52
52
53
53
54
55
55
56
56
58
Principales tâches du Gestionnaire de groupe de travail
Modification des préférences du Gestionnaire de groupe de travail
Recherche et liste des comptes
Utilisation des listes de comptes dans le Gestionnaire de groupe de travail
Liste des comptes dans le domaine d’annuaire local
Liste des comptes dans les domaines d’annuaire des règles de recherche
Liste des comptes dans les domaines d’annuaire disponibles
Actualisation des listes de comptes
Recherche de comptes spécifiques dans une liste
Utilisation de la recherche avancée
Tri des utilisateurs et des groupes
Raccourcis pour l’utilisation des comptes
Utilisation de préréglages
Modification simultanée de plusieurs comptes
Importation et exportation des informations sur les comptes
Chapter 4 59 Configuration des comptes utilisateur
59
À propos des comptes utilisateur
59
60
61
61
62
63
64
64
64
65
65
4
Emplacement de stockage des comptes utilisateur
Comptes utilisateur prédéfinis
Administration des comptes utilisateur
Création de comptes utilisateur
Modification des informations de compte utilisateur
Gestion des comptes utilisateur en lecture seule
Gestion des utilisateurs invités
Gestion des comptes utilisateur Windows
Suppression d’un compte utilisateur
Désactivation d’un compte utilisateur
Gestion des préréglages
Table des matières
65
66
67
67
68
68
68
69
71
71
72
73
74
75
76
76
77
78
79
79
79
Création d’un préréglage pour les comptes utilisateur
Utilisation des préréglages pour créer des comptes
Changement de nom des préréglages
Modification des préréglages
Suppression d’un préréglage
Gestion des réglages élémentaires
Modification du nom des utilisateurs
Modification des noms abrégés
Choix de noms abrégés stables
Problèmes liés aux noms dupliqués
Modification des identifiants d’utilisateur
Affectation d’un mot de passe à un utilisateur
Affectation de privilèges administrateur sur un serveur
Choix de la photo d’ouverture de session d’un utilisateur
Utilisation de privilèges
Suppression des privilèges d’un utilisateur pour l’administration
Attribution de capacités d’administration limitées à un utilisateur
Attribution de capacités d’administration intégrales à un utilisateur
Utilisation de réglages avancés
Activation du calendrier d’un utilisateur
Autorisation d’un utilisateur à ouvrir une session sur plusieurs
d’un ordinateur simultanément
80
81
Choix d’un shell par défaut
Choix d’un type de mot de passe et définition des options de mot
de passe
82
83
83
84
84
85
86
87
87
88
88
89
89
90
90
Création d’une liste principale de mots-clés
Application de mots-clés aux comptes utilisateur
Modification de commentaires
Utilisation de réglages de groupe
Choix du groupe principal d’un utilisateur
Vérification des adhésions aux groupes d’un utilisateur
Ajout d’un utilisateur à un groupe
Retrait d’un utilisateur d’un groupe
Utilisation des réglages de dossier de départ
Utilisation des réglages de messagerie
Activation des options de compte du service de messagerie
Désactivation du service de messagerie d’un utilisateur
Réexpédition du courrier d’un utilisateur
Utilisation des réglages Quota d’impression
Activation de l’accès d’un utilisateur à toutes les listes d’attente d’impression dis-
ponibles
91
91
Activation de l’accès d’un utilisateur à des listes d’attente d’impression données
Suppression d’un quota d’impression pour une file d’attente
Table des matières
5
92
93
Réinitialisation du quota d’impression d’un utilisateur
Désactivation de l’accès d’un utilisateur à toutes les listes d’attente d’impression
respectant les quotas
93
Utilisation des réglages Infos
94
Utilisation des réglages Windows
94
96
Modification de l’emplacement du profil d’un utilisateur Windows
Modification de l’emplacement du script d’ouverture de session
d’un utilisateur Windows
96
97
97
97
Changement de la lettre de lecteur du dossier de départ d’un utilisateur Windows
Modification de l’emplacement du dossier de départ d’un utilisateur Windows
Utilisation des GUID
Affichage des GUID
Chapter 5 99 Configuration des comptes de groupe
99 À propos des comptes de groupe
99 Suivi d’adhésion par les comptes de groupe
10 0 Emplacement de stockage des comptes de groupe
10 0 Comptes de groupe prédéfinis
101 Administration des comptes de groupe
101 Création de comptes de groupe
10 2 Création d’un préréglage pour les comptes de groupe
10 3 Modification des informations de compte de groupe
10 4 Création de groupes hiérarchiques
10 5 Mise à niveau des groupes hérités
10 6 Utilisation des groupes en lecture seule
10 6 Suppression d’un groupe
10 7 Utilisation des réglages de base pour les groupes
10 7 Attribution d’un nom à un groupe
10 8 Définition d’un identifiant de groupe
10 8 Choix d’une image à l’ouverture d’une session
10 9 Activation des services web d’un groupe
111 Utilisation des réglages relatifs aux membres des groupes
111 Ajout d’utilisateurs ou de groupes dans un groupe
112 Suppression de membres d’un groupe
113 Utilisation des réglages de dossier de groupe
113 Spécification d’absence de dossier de groupe
11 4 Création d’un dossier de groupe
11 6 Désignation d’un dossier de groupe à utiliser par plusieurs groupes
Chapter 6 117 Configuration d’ordinateurs et de groupes d’ordinateurs
117 À propos des comptes d’ordinateur
11 8 Création de comptes d’ordinateur
11 9 Utilisation d’ordinateurs invités
6
Table des matières
12 0 Utilisation d’ordinateurs Windows
12 0 À propos des groupes d’ordinateurs
12 0 Différence entre groupes d’ordinateurs et listes d’ordinateurs
121 Administration des groupes d’ordinateurs
121 Création d’un groupe d’ordinateurs
12 2 Création d’un préréglage pour des groupes d’ordinateurs
12 3 Utilisation d’un préréglage de groupe d’ordinateurs
12 4 Ajout d’ordinateurs ou de groupes d’ordinateurs à un groupe d’ordinateurs
12 4 Suppression d’ordinateurs et de groupes d’ordinateurs d’un groupe d’ordinateurs
12 5 Suppression d’un groupe d’ordinateurs
12 5 Mise à niveau des listes d’ordinateurs vers les groupes d’ordinateurs
Chapter 7 127 Configuration des dossiers de départ
12 7 À propos des dossiers de départ
12 8 Hébergement des dossiers de départ pour les clients Mac OS X
12 9 Hébergement des dossiers de départ pour les autres clients
13 0 Répartition des dossiers de départ entre plusieurs serveurs
131 Administration des points de partage
131 Configuration d’un point de partage
13 2 Configuration d’un point de partage AFP montable automatiquement pour des dos-
siers de départ
13 4 Configuration d’un point de partage NFS montable automatiquement pour des dos-
siers de départ
13 6 Configuration d’un point de partage SMB
13 8 Administration des dossiers de départ
13 8 Spécification d’absence de dossier de départ
13 9 Création d’un dossier de départ pour un utilisateur local
14 0 Création d’un dossier de départ réseau
14 2 Création d’un emplacement personnalisé pour les dossiers de départ
14 5 Configuration d’un dossier de départ pour un utilisateur Windows
14 7 Configuration des quotas de disque
14 8 Configuration des quotas de disque pour les utilisateurs Windows
afin d’éviter les pertes de données
14 9 Utilisation de préréglages pour choisir les dossiers de départ par défaut
14 9 Déplacement de dossiers de départ
14 9 Suppression de dossiers de départ
Chapter 8 151 Gestion d’ordinateurs portables
151 À propos des comptes mobiles
15 2 À propos des répertoires de départ portables
15 3 Ouverture de session sous des comptes mobiles
15 4 Résolution des conflits de synchronisation
15 5 À propos des comptes externes
Table des matières 7
15 6 Ouverture de session sous des comptes externes
157 Considérations et stratégies pour le déploiement de comptes mobiles
157 Avantages de l’utilisation de comptes mobiles
15 9 Considérations relatives à l’utilisation des comptes mobiles
161 Stratégies pour la synchronisation de contenu
162 Configuration de comptes mobiles destinés à être utilisés
sur des ordinateurs portables
162 Configuration d’ordinateurs portables
164 Gestion des clients mobiles sans recours aux comptes mobiles
164 Ordinateurs portables Mac OS X inconnus
164 Utilisation des ordinateurs portables Mac OS X avec un utilisateur local principal
165 Utilisation d’ordinateurs portables Mac OS X avec plusieurs utilisateurs
167 Sécurisation des clients mobiles
168 Optimisation du serveur de fichiers pour les comptes mobiles
Chapter 9 169 Vue d’ensemble de la gestion des clients
17 0 Utilisation des ressources visibles sur le réseau
171 Personnalisation de l’expérience utilisateur
171 Capacité des préférences
17 3 Élaboration de l’environnement d’ouverture de session
174 Choix d’un groupe de travail
17 6 Utilisation des dossiers de départ synchronisés
17 6 Amélioration des processus
Chapter 10 179 Gestion des préférences
17 9 Utilisation du Gestionnaire de groupe de travail pour gérer les préférences
181 Interactions avec les préférences gérées
18 4 Gestion hiérarchique des préférences
185 Définition du caractère permanent de la gestion
18 6 Préférences de mise en cache
18 6 Notions élémentaires de la gestion des préférences
187 Gestion des préférences utilisateur
18 8 Gestion des préférences de groupe
18 8 Gestion des préférences d’ordinateurs
18 9 Gestion des préférences de groupe d’ordinateurs
19 0 Désactivation de la gestion pour les préférences spécifiques
191 Gestion de l’accès à des applications
19 2 Contrôle de l’accès des utilisateurs à des applications et des dossiers spécifiques
19 4 Autorisation de certains widgets de Dashboard
19 5 Désactivation de Front Row
19 5 Autorisation aux utilisateurs d’ouvrir des applications et des dossiers spécifiques
19 7 Gestion des préférences Classic
19 7 Sélection des options du démarrage Classic
8 Table des matières
19 9 Choix d’un dossier Système Classic
200 Autorisation d’actions particulières lors du redémarrage
200 Contrôle de l’accès aux éléments du menu Pomme Classic
202 Ajustement des réglages de suspension d’activité Classic
203 Maintien de la cohérence des préférences utilisateurs pour Classic
203 Gestion des préférences du Dock
204 Contrôle du Dock de l’utilisateur
205 Accès simplifié aux dossiers de groupe
206 Ajout d’éléments au Dock d’un utilisateur
207 Interdiction d’ajout ou de suppression d’éléments du Dock
par les utilisateurs
208 Gestion des préférences Économiseur d’énergie
208 Utilisation des réglages de suspension d’activité et de réactivation pour ordinateur
de bureau
210 Définition des réglages Économiseur d’énergie sur des ordinateurs portables
212 Affichage de l’état de la batterie
213 Programmation du démarrage, de l’arrêt ou de la suspension d’activité automatique
214 Gestion des préférences du Finder
215 Configuration du Finder simplifié
216 Interdiction d’affichage des disques et des serveurs sur le bureau de l’utilisateur
216 Contrôle du comportement des fenêtres du Finder
217 Masquage de l’avertissement si un utilisateur vide la Corbeille
218 Activation de l’affichage des extensions de fichier
218 Contrôle de l’accès des utilisateurs à des serveurs distants
219 Contrôle de l’accès des utilisateurs à un iDisk
219 Interdiction d’éjection de disques par les utilisateurs
220 Masquage de la commande Graver disque du Finder
221 Contrôle de l’accès des utilisateurs à des dossiers
221 Retrait des options Redémarrer et Éteindre du menu Pomme
222 Ajustement de l’apparence et de la disposition des éléments sur le bureau
222 Ajustement de l’apparence du contenu des fenêtres du Finder
224 Gestion des préférences Ouverture de session
225 Changement de l’apparence de la fenêtre d’ouverture de session
227 Configuration des options diverses d’ouverture de session
228 Choix des comptes autorisés à ouvrir une session
230 Personnalisation des groupes de travail affichés à l’ouverture de session
231 Activation des scripts d’ouverture et de fermeture de session
234 Choix d’un script d’ouverture ou de fermeture de session
235 Ouverture automatique d’éléments après qu’un utilisateur ouvre une session
237 Accès au dossier de départ réseau d’un utilisateur
238 Accès simplifié au point de partage du groupe
239 Gestion des préférences Accès aux supports
239 Contrôle de l’accès aux CD, aux DVD et aux disques inscriptibles
Table des matières 9
240 Contrôle de l’accès aux disques durs, aux disques et aux images disque
241 Éjection automatique de supports amovibles à la fermeture de session d’un utili-
sateur
242 Gestion des préférences de mobilité
242 Création d’un compte mobile
244 Interdiction de création d’un compte mobile
245 Suppression manuelle de comptes mobiles sur des ordinateurs
246 Activation de FileVault pour les comptes mobiles
248 Sélection de l’emplacement d’un compte mobile
250 Création de comptes externes
251 Définition de période d’expiration pour les comptes mobiles
252 Choix de dossiers à synchroniser à l’ouverture et à la fermeture
de session ou en arrière-plan
254 Arrêt de synchronisation des fichiers pour un compte mobile
255 Définition de la fréquence de synchronisation en arrière-plan
256 Affichage de l’état du compte mobile dans la barre des menus de l’utilisateur
257 Gestion des préférences Réseau
258 Configuration de serveurs proxy par port
259 Autorisation accordée aux utilisateurs de contourner des serveurs proxy pour des
domaines précis
260 Activation du mode FTP passif
260 Désactivation du partage Internet
261 Désactivation d’AirPort
261 Désactivation de Bluetooth
262 Gestion des préférences Contrôles parentaux
262 Masquage des termes grossiers dans Dictionary
263 Interdiction d’accès aux sites web pour adultes
264 Autorisation d’accès à des sites web spécifiques uniquement
265 Définition de limites de temps et de couvre-feux quant à l’usage de l’ordinateur
266 Gestion des préférences Impression
267 Mise à disposition d’imprimantes aux utilisateurs
268 Interdiction de modification par les utilisateurs de la liste des imprimantes
269 Restriction de l’accès aux imprimantes branchées sur un ordinateur
270 Définition d’une imprimante par défaut
270 Restriction de l’accès aux imprimantes
271 Ajout d’un bas de page sur toutes les impressions
272 Gestion des préférences Mise à jour de logiciels
272 Gestion de l’accès aux Préférences Système
273 Gestion des préférences Time Machine
275 Gestion des préférences Accès Universel
275 Ajustement des réglages d’affichage de l’utilisateur
277 Définition d’une alerte visuelle
277 Réglage des options d’accessibilité par clavier
10 Table des matières
279 Réglage de la sensibilité de la souris et du pointeur
280 Activation des raccourcis Accès universel
280 Autorisation d’usage d’appareils aux utilisateurs présentant
des besoins particuliers
281 Utilisation de l’éditeur de préférences avec les manifestes de préférences
282 Ajout à la liste de l’éditeur de préférences
284 Modification des préférences d’applications à l’aide de l’éditeur de préférences
286 Suppression des préférences gérées d’une application dans l’éditeur de préférences
287 Utilisation de l’éditeur de préférences pour gérer les services fondamentaux
288 Utilisation de l’éditeur de préférences pour gérer Safari
Chapter 11 291 Résolution de problèmes
291 Diagnostic de problèmes de réseau courants
291 Test de l’heure et des fuseaux horaires de votre réseau
292 Test de votre service DNS
293 Test de votre service DHCP
294 Résolution de problèmes de comptes
294 Si vous voulez utiliser des versions antérieures du Gestionnaire de groupe de travail
294 Si vous ne pouvez pas modifier un compte à l’aide du Gestionnaire de groupe de
travail
295 Si les utilisateurs ne voient pas leur nom dans la fenêtre d’ouverture de session
295 Si vous n’arrivez pas à déverrouiller un annuaire LDAP
295 Si vous ne pouvez pas modifier le mot de passe Open Directory d’un utilisateur
296 Si vous ne pouvez pas changer le type de mot de passe d’un utilisateur en type
Open Directory
296 Si vous ne pouvez pas assigner de privilèges d’administrateur serveur
296 Si les utilisateurs ne peuvent pas ouvrir de session ou s’authentifier
297 Si les utilisateurs exploitant un serveur de mots de passe ne peuvent pas ouvrir de
session
298 Si les utilisateurs ne peuvent pas ouvrir de session sous un compte issu d’un
domaine d’annuaire partagé
298 Si les utilisateurs ne peuvent pas accéder à leur dossier de départ
298 Si les utilisateurs n’arrivent pas à modifier leur mot de passe
298 Si les utilisateurs ne peuvent pas s’identifier par l’authentification unique ou Ker-
beros
299 Problèmes avec un contrôleur de domaine principal ou secondaire
299 Si un utilisateur Windows ne peut pas ouvrir de session sur le domaine Windows
299 Si un utilisateur Windows ne dispose pas de dossier de départ
299 Si les réglages du profil d’un utilisateur Windows reprennent les valeurs définies par
défaut
300 Si un utilisateur Windows perd le contenu du dossier Mes documents
300 Résolution des problèmes de gestion des préférences
300 Test des réglages de vos clients gérés
Table des matières 11
301 Si les utilisateurs ne voient pas de liste mentionnant les groupes de travail à l’ouver-
ture de session
301 Si les utilisateurs ne peuvent pas ouvrir des fichiers
302 Si les utilisateurs ne peuvent pas ajouter d’imprimante à une liste d’imprimantes
302 Si les éléments d’ouverture de session ajoutés par un utilisateur ne s’ouvrent pas
303 Si les éléments placés dans le Dock par un utilisateur sont absents
303 Si le Dock d’un utilisateur contient des éléments dupliqués
304 Si un point d’interrogation apparaît dans le Dock des utilisateurs
304 Si les utilisateurs voient un message relatif à une erreur inattendue
304 Si vous ne pouvez pas gérer les présentations de réseau
Appendix 305 Importation et exportation des informations sur les comptes
305 Éléments pouvant être importés et exportés
306 Restrictions d’importation et d’exportation de mots de passe
306 Préservation des GUID lors de l’importation à partir de versions antérieures de
Mac OS X Server
307 Archivage du maître Open Directory
307 Importation de comptes à l’aide du Gestionnaire de groupe de travail
309 Exportation de comptes à l’aide du Gestionnaire de groupe de travail
310 Utilisation de fichiers XML créés avec Mac OS X Server 10.1 ou antérieur
311 Utilisation de fichiers XML créés avec AppleShare IP 6.3
Glossaire 313
Index 325
12 Table des matières
À propos de ce guide
Ce guide explique comment utiliser le Gestionnaire
de groupe de travail pour configurer et gérer les comptes
et les préférences des clients.
Mac OS X Server comprend le Gestionnaire de groupe de travail, un outil de gestion
des utilisateurs permettant de créer et de gérer des comptes.
Lorsque vous gérez des comptes, vous pouvez définir des réglages standard de compte
comme le nom, le mot de passe, l’emplacement du dossier de départ et l’appartenance
à un groupe. Vous pouvez également gérer les préférences afin de personnaliser l’expérience utilisateur, d’accorder ou de limiter l’accès aux réglages de l’ordinateur de l’utilisateur et aux ressources du réseau.
Le Gestionnaire de groupe de travail fonctionne en association étroite avec un domaine
d’annuaire. Les domaines d’annuaire agissent comme des bases de données mais sont
spécialement conçus pour stocker des informations sur les comptes et pour gérer
l’authentification.
Préface
Nouveautés du Gestionnaire de groupe de travail
 Comptes d’ordinateur et groupes d’ordinateurs. Vous pouvez créer des comptes
d’ordinateur pour des ordinateurs donnés. La gestion individuelle de comptes d’ordinateur vous permet de personnaliser entièrement les réglages de gestion des préférences
pour ces ordinateurs.
Vous pouvez créer des groupes d’ordinateurs composés de ces comptes d’ordinateur
individuels ou de groupe hiérarchiques. Les préférences gérées d’un groupe d’ordinateurs parents dans un groupe hiérarchique s’appliquent également aux groupes d’ordinateurs enfants.
L’ajout de comptes d’ordinateur et de groupes d’ordinateurs facilite l’administration
et accroît la flexibilité. Pour en savoir plus, consultez le chapitre 6, « Configuration
d’ordinateurs et de groupes d’ordinateurs ».
13
 Comptes mobiles améliorés. Les comptes mobiles sont désormais plus sécurisés,
plus efficaces et plus portables.
Vous pouvez protéger vos comptes mobiles à l’aide de FileVault. Vous pouvez définir
des options d’expiration de compte de telle façon que les dossiers de départ locaux
soient supprimés après une période d’inactivité. Vous pouvez également créer des
comptes mobiles sur un lecteur externe, afin que les utilisateurs puissent accéder
à un dossier de départ synchronisé avec les préférences gérées mises en cache
même lorsqu’ils ne disposent pas de leur ordinateur.
Vous pouvez activer ces fonctionnalités en gérant les préférences Mobilité. Pour en savoir
plus, consultez le chapitre 8, « Gestion d’ordinateurs portables ».
 Nouvelles préférences gérées. Les préférences vous permettent de gérer les Contrôles
parentaux, le Dashboard, Front Row et Time Machine. Les préférences existantes ont été
optimisées à l’aide de signatures intégrées et détachées pour empêcher le lancement
d’applications non approuvées, vous donner davantage de contrôle sur la fenêtre
d’ouverture de session et vous permettre de créer des bas de page pour les documents
imprimés. Pour en savoir plus, consultez le chapitre 10, « Gestion des préférences ».
Contenu de ce guide
Ce guide comprend les chapitres suivants :
 Le chapitre 1, « Vue d’ensemble de la gestion des utilisateurs » décrit des concepts
importants, présente les outils de gestion des utilisateurs et vous indique où trouver
des informations supplémentaires sur la gestion des utilisateurs et les sujets qui s’y
rapportent.
 Le chapitre 2, « Premiers contacts avec la gestion des utilisateurs » présente des infor-
mations de planification et de configuration en vue de la création d’un environnement de gestion des utilisateurs.
 Le chapitre 3, « Premiers contacts avec le Gestionnaire de groupe de travail » décrit la
configuration du Gestionnaire de groupe de travail et l’utilisation de ses principales
fonctionnalités.
 Les chapitres 4, 5 et 6 détaillent l’utilisation du Gestionnaire de groupe de travail
pour configurer des utilisateurs, des groupes de travail, des ordinateurs et des
groupes d’ordinateurs.
 Le chapitre 7, « Configuration des dossiers de départ » couvre la création de dossiers
de départ.
 Le chapitre 8, « Gestion d’ordinateurs portables » décrit les aspects à prendre en
considération pour la gestion d’ordinateurs portables.
 Le chapitre 9, « Vue d’ensemble de la gestion des clients » présente les outils et les con-
cepts de gestion de clients, notamment la personnalisation d’un environnement de travail des utilisateurs et la création d’un accès aux ressources du réseau par les utilisateurs.
14 Préface À propos de ce guide
 Le chapitre 10, « Gestion des préférences » décrit la façon dont le Gestionnaire de groupe
de travail doit être utilisé pour contrôler les réglages de préférences des utilisateurs, des
groupes de travail, des ordinateurs et des groupes d’ordinateurs exploitant Mac OS X.
 Le chapitre 11, « Résolution de problèmes » vous aide à résoudre les problèmes liés à
la création de comptes, à la maintenance du dossier de départ, à la gestion des préférences et à la configuration des clients. Il vous aide également à corriger les problèmes
rencontrés par les clients gérés.
En outre, l’annexe « Importation et exportation des informations sur les comptes »
fournit des informations dont vous avez besoin en cas de transfert des informations
de compte vers ou depuis un fichier externe.
Enfin, le glossaire définit les termes que vous rencontrerez lors de la lecture de ce guide.
Remarque : étant donné qu’Apple publie régulièrement de nouvelles versions et mises
à jour de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui s’affichent à l’écran.
Utilisation de l’aide à l’écran
L’application Visualisation Aide permet d’obtenir des instructions à l’écran pendant la gestion de Leopard Server. L’aide peut être affichée sur un serveur ou sur un ordinateur administrateur (Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé
le logiciel d’administration de serveur Leopard Server.)
Pour obtenir de l’aide dans le cas d’une configuration avancée de Leopard Server :
m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis :
 Utilisez le menu Aide pour rechercher une tâche à exécuter.
 Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe de travail
avant d’explorer les rubriques d’aide et d’effectuer des recherches.
L’Aide l’écran contient des instructions issues de Administration du serveur et d’autres gui-
des d’administration avancés décrits dans « Guides d’administration de Mac OS X Server ».
Pour visualiser les rubriques d’aide les plus récentes concernant les serveurs :
m Assurez-vous que le serveur ou l’ordinateur administrateur est connecté à Internet pendant
que vous consultez l’Aide.
Visualisation Aide extrait automatiquement les rubriques d’aide les plus récentes
depuis Internet et les stocke en mémoire cache. Lorsque vous n’êtes pas connecté
à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache.
Préface À propos de ce guide 15
Guides d’administration de Mac OS X Server
Premiers contacts traite de l’installation et de la configuration des configurations standard
et de groupe de travail de Mac OS X Server. Pour les configurations avancées, consultez
Administration du serveur, qui regroupe la planification, l’installation, la configuration et
l’administration du serveur en général. Une série de guides supplémentaires, énumérés cidessous, décrit la planification, la configuration, ainsi que la gestion avancée des services
individuels. Vous pouvez obtenir ces guides au format PDF sur le site web sur la documentation de Mac OS X Server à l’adresse :
www.apple.com/fr/server/documentation
Ce guide ... explique comment :
Premiers contacts et
Feuille d’opération d’installation
et de configuration
Administration de ligne
de commande
Administration des services de
fichier
Administration du service iCal Configurer et gérer le service de calendrier partagé d’iCal.
Administration du service iChat Configurer et gérer le service de messagerie instantanée d’iChat.
Configuration de la sécurité de
Mac OS X
Configuration de la sécurité de
Mac OS X Server
Administration du service
de messagerie
Administration des services de
réseau
Administration d’Open Directory Configurer et gérer les services d’annuaire et d’authentification
Administration de Podcast Producer Configurer et gérer le service Podcast Producer destiné à enregistrer,
Administration du service
d’impression
Administration de QuickTime
Streaming et Broadcasting
Administration du serveur Mettre en place l’installation et la configuration avancées du logiciel
Installer Mac OS X Server et le configurer pour la première fois.
Installer, configurer et gérer Mac OS X Server à l’aide de fichiers
de configuration et d’outils en ligne de commande UNIX.
Partager certains volumes ou dossiers de serveur entre les clients
du serveur, à l’aide des protocoles AFP, NFS, FTP et SMB.
Renforcer la sécurité des ordinateurs (clients) Mac OS X, comme
l’exigent les entreprises et les organismes publics.
Renforcer la sécurité de Mac OS X Server et de l’ordinateur
sur lequel il est installé, comme l’exigent les entreprises
et les organismes publics.
Configurer et gérer les services de messagerie IMAP, POP et SMTP
sur le serveur.
Installer, configurer et administrer les services DHCP, DNS, VPN, NTP,
coupe-feu IP, NAT et RADIUS sur le serveur.
et configurer les clients autorisés à accéder aux services d’annuaire.
traiter et distribuer des podcasts.
Héberger les imprimantes partagées et gérer les files d’attente
et travaux d’impression associés.
Capturer et encoder du contenu QuickTime. Configurer et gérer
le service QuickTime Streaming en vue de diffuser des données
multimédias en temps réel ou à la demande.
serveur et gérer des options qui s’appliquent à plusieurs services ou
à l’intégralité du serveur.
16 Préface À propos de ce guide
Ce guide ... explique comment :
Administration de Mise à jour de
logiciels et d’Imagerie système
Mise à niveau et migration Utiliser des réglages de données et de services correspondant
Gestion des utilisateurs Créer et gérer des comptes utilisateur, des groupes et des ordinateurs.
Administration des technologies
web
Informatique à haute performance et administration Xgrid
Glossaire Mac OS X Server Savoir à quoi correspondent les termes utilisés pour les produits
Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser
la gestion du système d’exploitation et des autres logiciels utilisés
par les ordinateurs clients.
à une version antérieure de Mac OS X Server ou de Windows NT.
Configurer les préférences gérées des clients Mac OS X.
Configurer et gérer des technologies web telles que les blogs,
WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV.
Configurer et gérer des grappes de calcul de systèmes Xserve
et d’ordinateurs Mac.
de serveur et les produits de stockage.
Visualisation de guides PDF à l’écran
Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez :
 Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour accéder
directement à la section correspondante.
 Rechercher un mot ou une phrase pour afficher une liste des endroits où ce mot ou cette
phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher la page
correspondante.
 Cliquer sur une référence croisée pour accéder directement à la rubrique référencée.
Cliquez sur un lien pour visiter le site web à partir de votre navigateur.
Impression des guides PDF
Si vous devez imprimer un guide, procédez comme suit pour économiser du papier
et de l’encre :
 Économisez de l’encre ou du toner en évitant d’imprimer la couverture.
 Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant
une option d’impression en niveaux de gris ou en noir et blanc dans une des sections de la zone de dialogue Imprimer.
 Réduisez le volume du document imprimé et économisez du papier en imprimant
plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur 115 %
(155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu local sans
titre. Si votre imprimante prend en charge l’impression recto verso (duplex), sélectionnez
l’une des options proposées. Sinon, choisissez 2 dans le menu local Pages par feuille et, si
vous le souhaitez, Simple extra fine dans le menu Bordure. (Si vous utilisez Mac OS X 10.4
ou antérieur, le réglage Échelle se trouve dans la zone de dialogue Format d’impression
et les réglages relatifs à la mise en page dans la zone de dialogue Imprimer.)
Préface À propos de ce guide 17
Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en recto
verso, car la taille des pages PDF est inférieure à celle du papier d’imprimante standard.
Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format d’impression,
essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui possède des pages
de la taille d’un CD).
Obtenir des mises à jour de documentation
Apple publie régulièrement des pages d’aide révisées ainsi que de nouvelles éditions
de ses guides. Certaines pages d’aide révisées sont des mises à jour des dernières éditions de ces guides.
 Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur,
assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à
Internet et cliquez sur le lien des dernières rubriques d’aide ou de mise à jour dans
la page d’aide principale de l’application.
 Pour télécharger les guides les plus récents au format PDF, rendez-vous sur le site
web de documentation sur Mac OS X Server à l’adresse :
www.apple.com/fr/server/documentation/
Pour obtenir des informations supplémentaires
Pour plus d’informations, consultez les ressources suivantes :
 Documents Ouvrez-moi : mises à jour importantes et informations spécifiques.
Recherchez-les sur les disques du serveur.
 Site web de Mac OS X Server (www.apple.com/fr/server/macosx) : passerelle vers
des informations détaillées sur de nombreux produits et technologies.
 Site web de service et d’assist. Mac OS X Server (www.apple.com/fr/support/macosxserver) :
accès à des centaines d’articles du service d’assistance d’Apple.
 Groupes de discussions Apple, en anglais, (discussions.apple.com) : un moyen de partager
questions, connaissances et conseils avec d’autres administrateurs.
 Site web des listes d’envoi Apple, en anglais, (www.lists.apple.com) : abonnez-vous
à des listes d’envoi afin de pouvoir communiquer par courrier électronique avec
d’autres administrateurs.
18 Préface À propos de ce guide
1 Vue d’ensemble de la gestion
des utilisateurs
1
Ce chapitre présente les concepts de gestion des utilisateurs
et décrit les applications servant à gérer les comptes
et les privilèges.
La gestion des utilisateurs recouvre tout de la configuration de comptes pour l’accès
au réseau à la création de dossiers de départ, en passant par l’affinement de l’expérience
utilisateur par la gestion des préférences et des réglages des utilisateurs, des groupes
de travail, des ordinateurs et des groupes d’ordinateurs. Mac OS X Server contient,
entre autres, des outils pour accomplir ces tâches.
Outils de gestion des utilisateurs
Les outils et les technologies de gestion des utilisateurs de Mac OS X Server incluent
le Gestionnaire de groupe de travail, Admin Serveur, NetBoot et NetInstall.
Gestionnaire de groupe de travail
Le Gestionnaire de groupe de travail est un outil puissant proposant des fonctionnalités
de gestion exhaustive des clients Macintosh.
Vous pouvez utiliser le Gestionnaire de groupe de travail sur un ordinateur où Mac OS X
ou Mac OS X Server est installé.
Le Gestionnaire de groupe de travail offre un moyen centralisé de gérer des ordinateurs
Mac OS X, de contrôler l’accès aux logiciels et aux supports amovibles et de fournir une
expérience personnalisée et cohérente aux utilisateurs de différents niveaux, qu’ils soient
débutants dans une salle de classe ou utilisateurs avancés dans un bureau.
Utilisez le Gestionnaire de groupe de travail pour créer des comptes utilisateur
et configurer des groupes pour fournir un accès pratique aux ressources. Vous pouvez :
 utiliser les réglages de compte et les préférences gérées pour définir le niveau
du contrôle d’administration dont vous avez besoin, tout en rendant l’expérience
utilisateur plus effective ;
19
 gérer les réglages du Finder, d’ouverture de session, d’accès aux supports
et d’impression ;
 contrôler l’accès aux ordinateurs et limiter les applications autorisées à s’exécuter
sur ceux-ci.
En utilisant le Gestionnaire de groupe de travail avec les services Mac OS X Server,
vous pouvez :
 personnaliser les environnements de travail des utilisateurs réseau en organisant
leurs ressources de bureau et leurs fichiers personnels ;
 activer les services qui requièrent des comptes utilisateur, tels que les services
de messagerie, de partage de fichiers, iChat et web ;
 partager les ressources système, telles que les imprimantes et les ordinateurs,
en optimisant leur disponibilité et en s’assurant que l’usage de l’espace disque
et des imprimantes reste équitablement partagé.
Pour commencer à utiliser le Gestionnaire de groupe de travail, reportez-vous
au chapitre 3, « Premiers contacts avec le Gestionnaire de groupe de travail ».
Admin Serveur
L’application Admin Serveur permet d’accéder aux différents outils et services qui jouent
un rôle dans la gestion des serveurs.
Après avoir installé le logiciel Mac OS X Server, utilisez Admin Serveur pour configurer
les services d’annuaire et établir votre réseau. Utilisez ensuite le Gestionnaire de groupe
de travail pour créer et gérer les comptes. Enfin, configurez à l’aide d’Admin Serveur
les services complémentaires de messagerie, pour héberger des sites web, pour partager des imprimantes et pour créer des points de partage (permettant aux utilisateurs
de partager des dossiers et des fichiers).
Pour en savoir plus sur la façon d’utiliser les nombreux services gérés à travers Admin
Serveur, consultez les guides d’administration des services en question. Le tableau
suivant répertorie les tâches courantes d’administration de serveur et inclut l’emplacement de la documentation associée.
Pour Consultez le document suivant
Attribuer des autorisations pour les dossiers
et les fichiers d’un point de partage
Partager des imprimantes entre plusieurs
utilisateurs
Installer des sites web ou la prise en charge
de WebDAV sur le serveur
Assurer un service de messagerie destiné aux
utilisateurs
Administration des services de fichiers
Administration du service d’impression
Administration de technologies web
Administration du service de messagerie
20 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs
Pour Consultez le document suivant
Diffuser du contenu multimédia depuis
le serveur en temps réel
Assurer un système d’exploitation et des
dossiers d’applications identiques entre
les ordinateurs client
Installer des applications à travers un réseau Administration des images système et de la mise
Partager des informations entre plusieurs systèmes Mac OS X Server ou ordinateurs Mac OS X
Administration de QuickTime Streaming Server
Administration des images système et de la mise
à jour des logiciels
à jour des logiciels
Administration d’Open Directory
Pour une liste complète de la documentation Mac OS X Server, consultez la rubrique
« Guides d’administration de Mac OS X Server » à la page 16.
Préférences serveur
Si vous utilisez la configuration standard ou de groupe de travail de Mac OS X Server,
vous pouvez utiliser les Préférences serveur pour configurer les fonctionnalités clés
de collaboration et de services de fichiers. Cette approche rationalisée permet aux
administrateurs système novices de configurer rapidement un serveur sans grandes
connaissances techniques.
Vous pouvez également utiliser les préférences Serveur pour configurer les comptes
utilisateur et de groupe (par exemple, pour définir des mots de passe, activer des services et assigner des membres à des groupes). Toutefois, vous ne pouvez pas utiliser
les préférences Serveur pour gérer les préférences.
Pour en savoir plus, reportez-vous au Premiers contacts et à l’Aide des préférences Serveur.
NetBoot
Les ordinateurs Mac OS X peuvent démarrer à partir d’une image NetBoot sur réseau, pour
configurer facilement et rapidement les systèmes d’un service ou d’une salle de classe
entière, ou encore des systèmes précis, ainsi que des serveurs d’application et web, le tout
à travers un réseau.
Lorsque vous mettez à jour une image NetBoot, tous les ordinateurs utilisant NetBoot
disposent d’un accès instantané à la nouvelle configuration. Pour personnaliser la configuration de l’ordinateur pour différents groupes de clients, vous pouvez configurer plusieurs images NetBoot. Ces fonctionnalités permettent une configuration rapide et une
expérience utilisateur personnalisée.
NetBoot simplifie l’administration et réduit l’assistance nécessaire généralement associées
aux déploiements à grande échelle d’ordinateurs Macintosh en réseau. Il s’agit de la solution idéale pour une entreprise dont les ordinateurs clients doivent être configurés de façon
identique. Par exemple, NetBoot peut s’avérer une solution puissante pour un centre de
données nécessitant plusieurs serveurs d’applications et web configurés de la même façon.
Chapitre 1 Vue d’ensemble de la gestion des utilisateurs 21
NetBoot permet de configurer et de mettre à jour rapidement les ordinateurs clients
en mettant à jour l’image NetBoot stockée sur le serveur. Les images NetBoot contiennent
le système d’exploitation et les dossiers d’applications pour tous les clients du serveur, afin
que les modifications apportées au serveur se reflètent sur les clients au démarrage suivant. Les systèmes endommagés ou altérés de quelque autre façon peuvent être restaurés
de manière instantanée par simple redémarrage.
Vous pouvez passer par l’Utilitaire d’images de système pour créer et modifier les images
NetBoot. Utilisez ensuite NetBoot pour déployer les images NetBoot.
Pour en savoir plus sur ces outils, ou sur l’installation d’un système d’exploitation à travers
un réseau, reportez-vous au document Administration des images système et de la mise à jour
des logiciels.
NetInstall
NetInstall est un service d’installation de logiciels centralisé qui vous permet d’utiliser
des images pour installer, restaurer ou mettre à niveau, automatiquement ou selon
votre choix, des systèmes réseau Macintosh. Ces images peuvent contenir la dernière
version de Mac OS X, une mise à jour de logiciels, des applications sous licence pour
un site, des applications personnalisées ou des scripts de configuration.
Vous pouvez utiliser NetInstall pour mettre à niveau des systèmes d’exploitation, installer
des mises à jour de logiciels et des paquets de logiciels personnalisés ou recréer l’image
d’ordinateurs portables ou de bureau. Au sein d’une entreprise, vous pouvez créer des
paquets d’installation personnalisés pour divers services : un pour le marketing, un pour
l’ingénierie et un pour les ventes, par exemple.
Grâce à NetInstall, il n’est pas nécessaire de passer par des CD ou des DVD pour configurer un ordinateur. Tous les fichiers et paquets d’installation résident sur le serveur.
Utilisez NetInstall pour exécuter des scripts pré et post-installation afin d’effectuer
des commandes système avant ou après l’installation d’un paquet de logiciels ou
d’une image système.
Pour créer des paquets NetInstall, servez-vous de l’Utilitaire d’images de système ou
de PackageMaker. Utilisez ensuite NetBoot pour déployer des paquets NetInstall. Pour
en savoir plus sur l’utilisation de ces outils à l’aide de NetInstall, reportez-vous au document Administration des images système et de la mise à jour des logicielAdministration
des images système et de la mise à jour des logiciels.
22 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs
Utilitaires de ligne de commande
Mac OS X Server 10.5 inclut plusieurs outils de gestion de clients en ligne de commande.
Par exemple, l’outil dscl vous permet d’afficher et de modifier les réglages de compte
et les préférences gérées, tandis que l’outil mcxquery indique quelles préférences gérées
sont les plus adaptés à un utilisateur en particulier.
Utilisez l’outil mcxquery pour passer en revue le mode d’interaction des préférences
gérées associées ou substituées au niveau de l’utilisateur, du groupe de travail, de l’ordinateur ou du groupe d’ordinateurs. L’outil détermine également le domaine d’annuaire
sur lequel ces réglages de préférences gérées sont stockées.
Pour en savoir plus sur les outils en ligne de commande, reportez-vous au document
Administration en ligne de commande.
Comptes
Pour gérer les comptes, vous devez utiliser un compte administrateur. Par le biais
d’un tel compte, vous pouvez configurer et gérer les types de comptes suivants :
 les comptes utilisateur,
 les comptes de groupe,
 les comptes d’ordinateur,
 les groupes d’ordinateurs.
Lorsque vous créez un compte utilisateur, vous devez spécifier un nom d’utilisateur
et un mot de passe, lesquels sont nécessaires pour prouver l’identité de l’utilisateur.
Vous pouvez également spécifier un numéro d’identification de l’utilisateur (l’identifiant
de l’utilisateur), utile pour les autorisations d’accès aux dossiers et aux fichiers. D’autres
données sur les comptes utilisateur sont exploitées par plusieurs services afin de déterminer ce que l’utilisateur a le droit de faire, et de personnaliser son environnement.
En plus des comptes que vous créez, Mac OS X Server contient également des comptes
utilisateur et de groupe prédéfinis, dont certains sont destinés exclusivement à l’utilisation par Mac OS X.
Chapitre 1 Vue d’ensemble de la gestion des utilisateurs 23
Comptes administrateurs
Les utilisateurs avec des privilèges d’administration de serveur ou de domaine d’annuaire
sont appelés des administrateurs. Un administrateur peut être un administrateur de ser-
veur, un administrateur de domaine, ou les deux.
Les privilèges d’administrateur de serveur déterminent si un utilisateur peut modifier
les réglages d’un serveur spécifique.
Les privilèges de l’administrateur de domaine déterminent dans quelle mesure
un administrateur peut modifier les réglages des comptes utilisateur, des groupes,
des ordinateurs et des groupes d’ordinateurs dans le domaine d’annuaire.
Administration de serveur
Les privilèges d’administration de serveur déterminent les fonctions disponibles à un
utilisateur lorsque celui-ci ouvre une session sur un système Mac OS X Server particulier. Par exemple, un administrateur serveur peut passer par l’Utilitaire d’annuaire
pour apporter des modifications à des règles de recherche sur un serveur.
Lorsque vous attribuez des privilèges d’administration serveur à un utilisateur, celui-ci
est ajouté au groupe « admin » du domaine d’annuaire local du serveur. Bon nombre
d’applications Mac OS X (tels qu’Admin Serveur, l’Utilitaire d’annuaire et les Préférences
Système) utilisent le groupe admin pour déterminer si un utilisateur particulier peut
procéder à des activités d’administration sur l’application.
Administration d’ordinateur local Mac OS X
Tout utilisateur appartenant au groupe admin du domaine d’annuaire local de n’importe
quel ordinateur Mac OS X possède des privilèges d’administrateur sur cet ordinateur.
Administration limitée
Vous pouvez contrôler dans quelle mesure un administrateur limité peut utiliser
le Gestionnaire de groupe de travail pour modifier des données de compte stockées
dans un domaine. Par exemple, vous pouvez configurer des privilèges de domaine
d’annuaire afin que votre administrateur système puisse ajouter ou supprimer
des comptes utilisateur, mais aussi autoriser des administrateurs limités à modifier
les informations sur des utilisateurs spécifiques. Vous pouvez aussi désigner plusieurs
administrateurs limités pour gérer différents groupes.
Pour en savoir plus, consultez la rubrique « Attribution de capacités d’administration
limitées à un utilisateur » à la page 77.
24 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs
Administration de domaine d’annuaire
Lorsque vous créez un domaine d’annuaire sous Mac OS X Server, un compte d’administrateur de domaine est créé et ajouté au groupe admin du domaine. Si vous envisagez
de connecter votre domaine d’annuaire à d’autres domaines d’annuaire, assurez-vous
de choisir un nom et un identifiant unique pour chaque domaine.
Lorsque vous attribuez des privilèges d’administration de domaine d’annuaire complets
à un utilisateur, celui-ci est ajouté au groupe « admin » dans le domaine d’annuaire.
Cette opération n’a pas pour effet d’accorder à l’utilisateur les privilèges locaux d’administrateur ni sur les serveurs hébergeant ce domaine d’annuaire, ni sur tout autre serveur
ou client lié à ce domaine d’annuaire.
Chaque domaine d’annuaire possède un compte d’administrateur de domaine et un administrateur de domaine peut créer des administrateurs de domaine supplémentaires dans
le même domaine. Tout utilisateur possédant un compte utilisateur dans un domaine
d’annuaire peut devenir un administrateur de domaine d’annuaire (administrateur
de ce domaine).
Pour en savoir plus, consultez la rubrique « Attribution de capacités d’administration
intégrales à un utilisateur » à la page 78.
Comptes d’utilisateur
Selon la façon dont vous avez configuré le serveur et les comptes utilisateur, vous pouvez
utiliser Mac OS X Server pour prendre en charge les utilisateurs qui se connectent par
le biais d’ordinateurs Mac OS X, Windows ou UNIX.
La plupart des utilisateurs possèdent un compte individuel permettant de les authentifier
et de contrôler leur accès aux services. Lorsque vous voulez personnaliser l’environnement
d’un utilisateur, vous devez définir les préférences d’utilisateur, de groupe, d’ordinateur
ou de groupe d’ordinateurs de cet utilisateur.
Le terme client géré ou utilisateur géré définit un utilisateur qui possèdent des préférences
contrôlées par l’administrateur, associées à son compte. Client géré est également utilisé
pour définir les ordinateurs ou les groupes d’ordinateurs qui possèdent des préférences
qui leur sont définies.
Pour en savoir plus sur la configuration de comptes utilisateur, reportez-vous au chapitre 4,
« Configuration des comptes utilisateur ». Pour spécifier les préférences des comptes utilisateur, reportez-vous au chapitre 10, « Gestion des préférences ».
Chapitre 1 Vue d’ensemble de la gestion des utilisateurs 25
Compte d’invité
Vous pouvez assurer des services aux utilisateurs qui ne peuvent pas être authentifiés
parce qu’ils ne possèdent pas de nom d’utilisateur ou de mot de passe valide. Ces utilisateurs sont appelés des utilisateurs invités. Si les ordinateurs dont vous avez la charge
fonctionnent sous Mac OS X 10.5 ou ultérieur, vous pouvez activer un compte d’invité
spécialement conçu pour les utilisateurs invités.
Le compte d’invité permet un accès anonyme à un ordinateur. Il possède un dossier
de départ local dont le contenu est effacé lorsque l’utilisateur ouvre ou ferme une session relative au compte d’invité.
Le compte d’invité est recommandé pour les ordinateurs en accès public, tels que ceux
d’une bibliothèque ou d’un laboratoire publics où vous devrez probablement surveiller
l’accès des utilisateurs et où l’utilisateur conserve ses fichiers sur un support autre que
l’ordinateur local.
Pour certains services, comme le protocole AFP (Apple Filing Protocol), vous pouvez permettre aux utilisateurs invités d’accéder aux fichiers. Plutôt que de s’authentifier à l’aide
du nom et du mot de passe d’un utilisateur enregistré, un utilisateur invité peut se connecter en tant qu’invité. L’accès des invités est limité aux fichiers et dossiers dont les autorisations sont définies sur Tout le monde.
Comptes de groupe
Pour faciliter l’administration des utilisateurs, vous pouvez créer des comptes de groupe.
Un groupe est un ensemble d’utilisateurs présentant des besoins similaires. Par exemple,
vous pouvez rassembler tous les professeurs d’anglais en un groupe et autoriser ce
groupe à accéder à certains fichiers ou dossiers d’un volume.
Les groupes simplifient l’administration de ressources partagées. Plutôt que d’accorder
l’accès aux différentes ressources à chaque utilisateur en nécessitant l’accès, vous pouvez ajouter des utilisateurs à un groupe puis accorder l’accès à toutes les personnes
composant le groupe.
Utilisez les réglages de comptes de groupe pour contrôler l’accès des utilisateurs aux dossiers et fichiers. Pour en savoir plus, consultez la rubrique « Accès aux dossiers et aux
fichiers par d’autres utilisateurs » à la page 30.
Un groupe peut être membre d’un autre groupe. Un groupe qui contient un autre
groupe est appelé groupe parent. Le groupe contenu dans le groupe parent est appelé
groupe hiérarchique. Les groupes hiérarchiques sont utiles pour hériter des autorisations d’accès et des préférences gérées.
Pour en savoir plus sur la configuration des comptes de groupe, reportez-vous au
chapitre 5, « Configuration des comptes de groupe ». Pour spécifier des préférences
pour les comptes de groupe, reportez-vous au chapitre 10, « Gestion des préférences ».
26 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs
Groupes de travail
Lorsque vous définissez des préférences pour un groupe, il devient un groupe de travail. Un
groupe de travail vous permet de gérer l’environnement de travail des membres du groupe.
Les préférences de groupe de travail sont stockées dans le compte de groupe.
Pour une description des préférences de groupe de travail, reportez-vous au
chapitre 10, « Gestion des préférences ».
Dossiers de groupe
Lorsque vous définissez un groupe, vous pouvez également spécifier un dossier
pour stocker les fichiers de votre choix afin que les membres du groupe les partagent.
L’emplacement du dossier est enregistré dans le compte du groupe.
Vous pouvez donner l’autorisation à des utilisateurs d’écrire vers le dossier d’un groupe
ou de modifier les attributs du dossier de groupe dans le Finder.
Comptes d’ordinateur
Les comptes d’ordinateur vous permettent d’identifier et de gérer des ordinateurs donnés.
Pour créer un compte d’ordinateur, vous avez besoin de l’identifiant Ethernet de l’ordinateur. Lorsque vous créez le compte, vous pouvez également l’associer à une adresse IP.
Après la création, vous pouvez gérer ses préférences ou l’ajouter à un groupe d’ordinateurs.
Pour en savoir plus sur la configuration des comptes d'ordinateur, reportez-vous au
chapitre 6, « Configuration d’ordinateurs et de groupes d’ordinateurs ». Pour spécifier
des préférences pour les comptes d'ordinateur Mac OS X, reportez-vous au chapitre 10,
« Gestion des préférences ».
Ordinateurs invités
La plupart des ordinateurs de votre réseau doivent disposer d’un compte d’ordinateur.
Si un ordinateur inconnu (c’est-à-dire un ordinateur ne possédant pas de compte d’ordinateur) se connecte à votre réseau et tente d’accéder aux services, il est alors considéré
comme un invité. Les réglages choisis pour les comptes d’ordinateur invité s’appliquent
aux ordinateurs invités inconnus.
Groupes d’ordinateurs
Un groupe d’ordinateurs est composé d’un ou de plusieurs comptes d’ordinateur ou
plusieurs groupes d’ordinateurs. En rassemblant ceux-ci en un seul groupe d’ordinateurs,
vous pouvez appliquer les mêmes préférences gérées à tous ses membres.
Pour en savoir plus sur la configuration des groupes d’ordinateurs pour les ordinateurs
clients Mac OS X, reportez-vous au chapitre 6, « Configuration d’ordinateurs et de groupes
d’ordinateurs ». Pour spécifier des préférences pour les groupes d’ordinateurs Mac OS X,
reportez-vous au chapitre 10, « Gestion des préférences ».
Chapitre 1 Vue d’ensemble de la gestion des utilisateurs 27
Interface utilisateur
Après avoir créé un compte pour un utilisateur, ce dernier peut accéder aux ressources
du serveur selon les autorisations que vous avez définies.
L’expérience utilisateur dépend du type d’utilisateur, des autorisations définies, du type
d’ordinateur client utilisé (tel que Windows ou UNIX), de l’appartenance de l’utilisateur
à un groupe et de la gestion des préférences mise en place au niveau de l’utilisateur,
du groupe ou de l’ordinateur.
Pour en savoir plus sur l’expérience utilisateur Mac OS X, reportez-vous au chapitre 9, « Vue
d’ensemble de la gestion des clients ». Les rubriques suivantes fournissent des informations
de base sur l’authentification, la validation d’identité et le contrôle d’accès aux informations.
Authentification et validation d’identité
Pour qu’un utilisateur puisse se connecter à (ou ouvrir une session sur) un ordinateur
Mac OS X, il doit saisir un nom et un mot de passe associés à un compte utilisateur
accessible par l’ordinateur.
Un ordinateur Mac OS X peut accéder aux comptes utilisateur stockés dans un domaine
d’annuaire des règles de recherche pour l’ordinateur :
 Un domaine d’annuaire stocke des informations relatives aux utilisateurs et aux ressour-
ces. Il agit comme une base de données à laquelle un ordinateur accède pour récupérer les données de configuration.
 Les règles de recherche correspondent à une liste des domaines d’annuaire dans lesquels
l’ordinateur effectue ses recherches lorsqu’il a besoin de données de configuration,
en commençant par le domaine d’annuaire local sur l’ordinateur de l’utilisateur.
L’illustration suivante montre un utilisateur se connectant à un compte dans un domaine
d’annuaire selon les règles de recherche de l’ordinateur.
Se connecter
à Mac OS X
28 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs
Domaines de répertoires
dans la politique de recherche
Une fois la session ouverte, l’utilisateur peut se connecter à un serveur distant pour accéder
à ses services (si le compte de l’utilisateur répond aux règles de recherche du serveur).
Se connecter à
Mac OS X Server
Domaines de répertoires
dans la politique de recherche
Si Mac OS X recherche un compte utilisateur contenant le nom saisi par l’utilisateur, il tente
de valider le mot de passe associé au compte. Si le mot de passe est validé, l’utilisateur est
authentifié et le processus d’ouverture de session ou de connexion peut avoir lieu.
Mac OS X Server valide les mots de passe à l’aide de Kerberos, du serveur de mot
de passe Open Directory, des mots de passe Shadow et des mots de passe chiffrés.
Pour en savoir plus sur les types de domaines d’annuaire et sur les instructions de configuration des règles de recherche, reportez-vous au document Administration d’Open Directory.
Ce guide traite également des méthodes d’authentification et fournit des instructions sur
la configuration des options d’authentification des utilisateurs.
Contrôle d’accès aux informations
Pour contrôler l’accès aux informations, un identifiant universel appelé identifiant global
unique (GUID, Globally Unique IDentifier) fournit l’identité de l’utilisateur ou du groupe
pour les autorisations de la liste de contrôle d’accès (ACL, Access Control List).
Une ACL est une liste d’entrées de contrôle d’accès (des ACE, Access Control Entry),
chaque entrée indiquant les autorisations à accorder ou à refuser à un groupe ou
à un utilisateur et la façon dont ces autorisations sont distribuées dans la structure
hiérarchique des dossiers. Le GUID spécifie également si un utilisateur appartient
à un groupe ou à un groupe hiérarchique.
Avant Mac OS X 10.4, Mac OS X utilisait l’identifiant d’utilisateur et les autorisations
POSIX pour contrôler les autorisations liées aux dossiers et aux fichiers. Sous Mac OS X,
les dossiers et les fichiers incluent les autorisations POSIX pour les entités suivantes :
 le « Propriétaire »,
 le « Groupe »,
 « Tous » les autres utilisateurs.
Chapitre 1 Vue d’ensemble de la gestion des utilisateurs 29
Les GUID étant des valeurs chiffrées sur 128 bits, les doublons sont extrêmement improbables. À la différence des autorisations ACL, les autorisations POSIX peuvent entraîner
des problèmes de propriété de fichiers et d’appartenance à un groupe lorsque plusieurs
utilisateurs possèdent un nom abrégé ou un identifiant utilisateur identique. En utilisant
des GUID, les utilisateurs possédant le même nom abrégé ou le même identifiant utilisateur peuvent disposer d’autorisations ACL différentes.
L’introduction des GUID ni ne modifie, ni ne supprime les autorisations POSIX, et n’affecte
donc pas l’interopérabilité de Mac OS X avec les systèmes de type UNIX ou d’autres systèmes d’exploitation.
Accès propriétaire aux dossiers et aux fichiers
Lorsqu’un dossier ou un fichier est créé, le système de fichiers enregistre l’identifiant d
e l’utilisateur qui l’a créé comme étant son propriétaire. Par défaut, lorsqu’un utilisateur
portant cet identifiant accède au dossier ou au fichier, il peut alors lire et écrire dans celuici librement. De plus, tout processus lancé par l’utilisateur qui créé le fichier ou le dossier
peut lire et écrire dans tous les fichiers associés à ce même identifiant d’utilisateur.
Si vous modifiez l’identifiant de l’utilisateur, il se peut que l’utilisateur ne soit plus
en mesure de modifier ou d’accéder aux fichiers et aux dossiers qu’il a créés. De même,
si l’utilisateur ouvre une session sous un autre identifiant que celui utilisé pour créer
les fichiers ou les dossiers, il ne bénéficie plus des autorisations de propriétaire pour
ces fichiers et ces dossiers.
Accès aux dossiers et aux fichiers par d’autres utilisateurs
L’utilisation des GUID en association avec les ACL détermine les fichiers auxquels les utilisateurs et les groupes peuvent accéder. De plus, l’identifiant de l’utilisateur, en conjonction
avec un identifiant de groupe, permet de contrôler l’accès.
Chaque utilisateur appartient à un groupe principal. L’identifiant du groupe principal
d’un utilisateur est stocké dans le compte de l’utilisateur. Lorsqu’un utilisateur accède
à un dossier ou à un fichier dont il n’est pas le propriétaire, le système de fichiers vérifie les autorisations de groupe du fichier, puis :
 Si l’identifiant de groupe principal de l’utilisateur correspond à l’identifiant du groupe
associé au fichier, l’utilisateur hérite des autorisations du groupe.
 Si l’identifiant de groupe principal de l’utilisateur ne correspond pas à celui du fichier,
Mac OS X recherche le compte de groupe disposant des autorisations d’accès au
fichier. Lorsque le groupe est trouvé, tous les membres de ce groupe et les groupes
hiérarchiques qui en découlent reçoivent l’autorisation d’accéder à ce fichier.
 Si aucun des cas ci-dessus ne s’applique, les autorisations d’accès de l’utilisateur
reviennent à leurs définitions par défaut, soit le générique « Tous ».
30 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs
Autorisations ACL et POSIX
Tous les fichiers et dossiers ont des autorisations POSIX. Sauf si un administrateur assigne des autorisations ACL, les autorisations POSIX continuent de définir l’accès de l’utilisateur. Si vous attribuez des autorisations ACL, celles-ci prévalent sur les autorisations
POSIX standard.
Si un fichier dispose d’autorisations ACL, mais qu’aucune ne s’applique à l’utilisateur,
ce sont les autorisations POSIX qui déterminent l’accès de l’utilisateur. Si un fichier
compte plusieurs ACE qui s’appliquent à un utilisateur, le premier ACE applicable
prévaut et les autres ACE sont ignorées.
Pour en savoir plus sur les autorisations ACL et POSIX, reportez-vous au document
Administration des services de fichiers.
Interopérabilité des SID et de Windows
Les ordinateurs Mac OS X fonctionnent sans problème avec les ordinateurs Windows car
Mac OS X attribue un identifiant de sécurité (SID, Security IDentifier) à un processus ou
à un fichier en même temps qu’il lui affecte un GUID. Un SID est un identifiant Windows
dont la fonction est similaire au GUID sur un ordinateur Mac OS X.
Lorsque les utilisateurs Windows accèdent à des points de partage à l’aide du protocole
SMB (Server Message Block), ils transfèrent des SID et non des GUID. Lorsque Mac OS X
Server reçoit des SID, il récupère les comptes utilisateur avec les GUID correspondants.
Les serveurs Windows utilisent Active Directory comme domaine d’annuaire. Si un compte
utilisateur est déplacé vers un autre domaine Active Directory, il reçoit un nouveau SID
mais pas un nouveau GUID. L’utilisateur possède toujours les autorisations d’accès assignés aux anciens SID car Active Directory garde une trace de l’historique des SID dans
les comptes utilisateur.
Chapitre 1 Vue d’ensemble de la gestion des utilisateurs 31
2 Premiers contacts avec la gestion
des utilisateurs
2
Ce chapitre fournit des informations sur la planification et la
configuration d’un environnement de gestion des utilisateurs.
Pour créer un environnement performant de gestion des utilisateurs, vous devez planifier
avec soin votre réseau. Lors de la phase de déploiement du réseau, vous devez configurer
vos ressources réseau de manière systématique et méthodique.
Vue d’ensemble de la configuration
Cette rubrique fournit un aperçu des tâches de configuration de la gestion des utilisateurs, notamment les différentes étapes suivies par l’administrateur pour créer un environnement géré. Toutes les étapes ne sont pas nécessaires à chaque cas.
Pour en savoir plus sur la planification, la sécurité, la configuration de serveur, l’installation et le déploiement, la gestion et le contrôle, voir Administration du serveur.
Étape 1 : Avant toute chose, planifiez
Analysez les besoins de vos utilisateurs afin de déterminer la configuration de service
d’annuaire et de dossier de départ la plus adaptée. Pour en savoir plus, consultez
la rubrique « Planification de stratégies pour la gestion des utilisateurs » à la page 37.
Étape 2 : Configurez l’infrastructure du serveur
Avant de déployer les ordinateurs clients, assurez-vous qu’un ou plusieurs ordinateurs
équipés de Mac OS X Server sont configurés pour l’hébergement de comptes et les points
de partage. Mac OS X Server est préinstallé sur les nouveaux serveurs.
Configurez le serveur de façon à ce qu’il héberge ou fournisse l’accès aux domaines
d’annuaires partagés. Les domaines d’annuaires partagés (également appelés annuaires
partagés) contiennent les informations utilisateur, de groupe et d’ordinateur que vous
souhaitez rendre accessibles à plusieurs ordinateurs. Les utilisateurs dont le compte résident dans un annuaire partagé sont appelés utilisateurs du réseau.
33
Il existe plusieurs sortes d’annuaires partagés. Vous pouvez utiliser le Gestionnaire
de groupe de travail pour ajouter ou modifier les comptes qui résident dans les domaines d’annuaire en lecture et écriture tels qu’un domaine Open Directory ou le domaine
d’annuaire local.
Assurez-vous que les domaines d’annuaire en lecture seule (tels que LDAPv2, LDAPv3
en lecture seule ou les fichiers plats BSD) sont configurés de manière à prendre en charge
Mac OS X Server et à fournir les données nécessaires sur les comptes. Pour que l’annuaire
soit compatible, vous pouvez ajouter, modifier et réorganiser les informations d’annuaire.
Mac OS X offre différentes options d’authentification des utilisateurs (y compris les utilisateurs Windows) dont les comptes sont stockés dans des domaines d’annuaire sur Mac OS X
Server. De plus, Mac OS X accède aux comptes se trouvant dans les annuaires existants sur
le réseau, tel qu’un Active Directory hébergé sur un serveur Windows.
Pour que les ressources soient visibles sur l’ensemble du réseau et que les utilisateurs
puissent y accéder à partir de différents ordinateurs, utilisez les services de fichier.
Les ressources qu’il est important de voir sur le réseau incluent les dossiers de départ,
les dossiers de groupe, ainsi que d’autres dossiers partagés.
Si certains utilisateurs se servent d’ordinateurs Windows, vous pouvez configurer le serveur
de façon à leur fournir les services de fichier, l’authentification pour l’accès au domaine et
les dossiers de départ.
Les guides d’administration suivants fournissent une description détaillée de la configuration de l’infrastructure :
 Pour en savoir plus sur la configuration requise et les instructions, consultez
Premiers contacts.
 Pour en savoir plus sur l’installation et la configuration avancées du logiciel serveur,
reportez-vous au document Administration du serveur.
 Pour en savoir plus sur les services d’annuaire et l’authentification, consultez le document
Administration d’Open Directory.
 Pour en savoir plus sur la configuration des services de fichier, reportez-vous
au document Administration des services de fichiers.
Étape 3 : Configurez un ordinateur administrateur
Les serveurs étant habituellement conservés en lieu sûr et fermé à clé, les administrateurs
effectuent habituellement les tâches de gestion des utilisateurs à partir d’un ordinateur
Mac OS X distant. On appelle ce type d’ordinateur ordinateur administrateur.
Pour pouvoir utiliser un ordinateur administrateur afin de créer et de gérer des comptes
dans un annuaire partagé, ce dernier doit comporter un compte utilisateur et vous devez
être un administrateur de domaine. Un administrateur de domaine peut utiliser le Gestionnaire de groupe de travail pour ajouter et modifier des comptes dans un domaine Open
Directory ou dans un autre domaine d’annuaire en lecture et écriture.
34 Chapitre 2 Premiers contacts avec la gestion des utilisateurs
Pour configurer un ordinateur administrateur et créer des comptes d’administrateur de
domaine, reportez-vous au chapitre 3, « Premiers contacts avec le Gestionnaire de groupe
de travail ».
Étape 4 : Configurez un point de partage pour les dossiers de départ
Les dossiers de départ pour les comptes stockés dans des répertoires partagés peuvent
résider dans un point de partage réseau accessible par l’ordinateur de l’utilisateur.
Vous pouvez configurer des dossiers de départ réseau de façon à ce qu’ils soient accessibles à l’aide d’AFP ou de NFS, ou configurer des dossiers de départ exclusivement destinés
à un accès à travers SMB par les utilisateurs Windows.
Pour en savoir plus sur la configuration des dossiers de départ à l’aide d’AFP, de NFS
ou de SMB, consultez le chapitre 7, « Configuration des dossiers de départ ».
Étape 5 : Créez des comptes utilisateur et leur dossier de départ
Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer des comptes utilisateur
dans des annuaires résidant sous Mac OS X Server ou dans d’autres domaines d’annuaire
en lecture et écriture. Les rubriques suivantes fournissent les instructions de création des
comptes et des dossiers :
 Pour créer des comptes utilisateur, reportez-vous au chapitre 4, « Configuration des
comptes utilisateur ».
 Pour créer des comptes utilisateur mobiles, reportez-vous au chapitre 8, « Gestion
d’ordinateurs portables ».
 Pour configurer les dossiers de départ, consultez le chapitre 7, « Configuration des
dossiers de départ ».
Étape 6 : Configurez les ordinateurs clients
Mac OS X Server prend en charge l’utilisation d’ordinateurs clients Mac OS X, Windows
et UNIX.
Pour les ordinateurs Mac OS X, configurez les règles de recherche des ordinateurs
de manière à ce qu’elles trouvent les domaines d’annuaires partagés. Pour obtenir
les instructions, reportez-vous au document Administration d’Open Directory.
Pour obtenir les instructions de configuration des ordinateurs Mac OS X mobiles qui
utilisent AirPort pour communiquer avec Mac OS X Server, consultez Création de
réseaux AirPort Extreme à l’adresse http://www.apple.com/fr/support/manuals/airport/.
Vous pouvez relier les postes de travail Windows au contrôleur de domaine principal (PDC,
Primary Domain Controller) Mac OS X Server, de la même façon que vous configurez
les postes de travail Windows pour qu’ils accèdent à un domaine de serveur Windows NT.
Chapitre 2 Premiers contacts avec la gestion des utilisateurs 35
Si vous devez configurer un grand nombre d’ordinateurs clients Macintosh, pensez
à créer une image de système à l’aide de NetInstall afin d’automatiser la configuration
des ordinateurs clients. Pour obtenir les instructions, consultez le document Administra-
tion des images système et de la mise à jour des logiciels.
Pour empêcher les accès non autorisés aux ordinateurs clients, protégez-les des menaces
locales et réseau. Pour en savoir plus, consultez le document Configuration de la sécurité
Mac OS X.
Étape 7 : Définissez les préférences de compte utilisateur
Pour gérer l’environnement de travail des utilisateurs Macintosh dont le compte réside
dans un domaine partagé, vous devez définir des préférences de compte utilisateur.
Pour en savoir plus sur les préférences utilisateur Mac OS X, consultez le chapitre 9,
« Vue d’ensemble de la gestion des clients » et le chapitre 10, « Gestion des préférences ».
Étape 8 : Créez des comptes de groupe et des dossiers de groupe
Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer des comptes
de groupe dans des annuaires résidant sous Mac OS X Server et dans d’autres domaines d’annuaire en lecture et écriture.
Vous pouvez créer des dossiers de groupe pour distribuer des documents et organiser
les applications des membres d’un groupe. Vous pouvez également configurer des ACL
et d’autres privilèges d’accès pour restreindre l’accès d’un groupe aux dossiers et fichiers :
 Pour en savoir plus sur l’utilisation des comptes de groupe et des dossiers de groupe
Mac OS X, consultez le chapitre 5, « Configuration des comptes de groupe ».
 Pour savoir comment ajouter un dossier de groupe au Dock afin que les utilisateurs puis-
sent y accéder plus facilement, consultez le chapitre 10, « Gestion des préférences ».
 Pour en savoir plus sur la configuration des ACL, consultez le document Administration
des services de fichiers.
Étape 9 : Définissez les préférences de compte de groupe
Vous pouvez gérer les préférences d’un compte de groupe. Un compte de groupe associé
à des préférences gérées est appelé groupe de travail. Pour en savoir plus sur les groupes
de travail Mac OS X, consultez le chapitre 9, « Vue d’ensemble de la gestion des clients »
et le chapitre 10, « Gestion des préférences ».
Étape 10 : Définissez des comptes d’ordinateur, de groupe d’ordinateurs et leurs
préférences
Utilisez les comptes d’ordinateur ou les groupes d’ordinateurs pour gérer les ordinateurs
clients Macintosh.
 Pour en savoir plus sur la création de comptes d’ordinateur ou de groupes d’ordinateurs
Mac OS X, reportez-vous au chapitre 6, « Configuration d’ordinateurs et de groupes
d’ordinateurs ».
36 Chapitre 2 Premiers contacts avec la gestion des utilisateurs
 Pour en savoir plus sur les préférences de groupe d’ordinateurs, consultez le chapitre 9,
« Vue d’ensemble de la gestion des clients » et le chapitre 10, « Gestion des préférences ».
Étape 11 : Assurez en permanence la maintenance des comptes
En raison des nombreux mouvements d’utilisateurs et de l’évolution de vos serveurs,
vous devez constamment mettre à jour les informations des comptes :
 Pour en savoir plus sur l’affichage des comptes à l’aide du Gestionnaire de groupe
de travail, reportez-vous au chapitre 3, « Premiers contacts avec le Gestionnaire de
groupe de travail ».
 Pour en savoir plus sur la réalisation de tâches courantes telles que la création de comp-
tes, la désactivation de comptes, l’ajout et la suppression d’utilisateurs dans des groupes,
et la suppression de comptes, consultez du chapitre 4 au chapitre 6.
 Pour obtenir les solutions aux problèmes courants, reportez-vous au chapitre 11,
« Résolution de problèmes ».
Planification de stratégies pour la gestion des utilisateurs
Les actions de planification suivantes doivent être entreprises avant d’implémenter
la gestion des utilisateurs.
Analyse de votre environnement
Votre environnement définit vos réglages de gestion des utilisateurs, notamment
les réglages suivants :
 la taille et la répartition du réseau,
 le nombre d’utilisateurs ayant accès au réseau,
 le type d’ordinateurs utilisés (Mac OS X ou Windows),
 l’usage des ordinateurs clients,
 les ordinateurs mobiles,
 les utilisateurs devant bénéficier de privilèges administrateur,
 les utilisateurs devant avoir accès à des ordinateurs précis,
 les services et ressources nécessités par les utilisateurs (messagerie électronique
ou accès au stockage des données, par exemple),
 la répartition des utilisateurs en groupes (par discipline ou par fonction dans
l’entreprise, par exemple),
 le regroupement des ordinateurs (tous les ordinateurs d’une salle informatique
publique, par exemple).
Chapitre 2 Premiers contacts avec la gestion des utilisateurs 37
Identification de la configuration de services d’annuaire requise
Identifiez les annuaires dans lesquels vous comptez stocker les comptes utilisateur
et de groupe, les ordinateurs et les groupes d’ordinateurs :
 Configurez un maître et des répliques Open Directory pour héberger un annuaire
LDAP (Lightweight Directory Access Protocol) destiné au stockage d’autres comptes
utilisateur, comptes de groupe, ordinateurs et groupes d’ordinateurs sur votre réseau.
Pour en savoir plus sur les options de gestion des mots de passe, reportez-vous
au document Administration d’Open Directory.
 Si vous utilisez une version antérieure d’un serveur Apple, vous pourriez être en mesure
de faire migrer les fiches existantes. Pour connaître les options à votre disposition, reportez-vous au document Mise à jour et migration.
 Si vous disposez d’un serveur LDAP ou Active Directory, vous pourriez être en mesure
d’utiliser la fiche existante des comptes. Pour en savoir plus sur l’accès aux annuaires
existants, consultez le document Administration d’Open Directory.
Pour en savoir plus sur l’utilisation des groupes Open Directory et des groupes
d’ordinateurs, reportez-vous au chapitre 5, « Configuration des comptes de groupe »
et au chapitre 6, « Configuration d’ordinateurs et de groupes d’ordinateurs ».
Remarque : si tous les domaines ne sont pas finalisés lorsque vous êtes sur le point
d’ajouter des comptes utilisateur et de groupe, ajoutez ces comptes dans un des domaines d’annuaire présents sur le serveur (le domaine d’annuaire local est toujours disponible). Vous pouvez a posteriori déplacer les utilisateurs et les groupes vers un autre
domaine d’annuaire, à l’aide des fonctions d’exportation et d’importation du serveur.
Les mots de passe ne sont pas conservés lors de l’exportation et de l’importation
des informations de compte. Pour en savoir plus, reportez-vous à l’annexe
« Importation et exportation des informations sur les comptes ».
Détermination de la configuration de serveur et de stockage requise
Pour planifier les besoins en serveurs, vous devez d’abord vous munir des informations
suivantes :
 le nombre d’ordinateurs connectés simultanément (cette donnée a une incidence
sur le trafic réseau et sur les temps de réponse du serveur) ;
 le nombre de comptes utilisateur (en raison de son incidence sur l’espace requis
pour le stockage des fichiers utilisateur).
Les services d’annuaire, y compris d’authentification et de gestion des utilisateurs,
requièrent un maître ou une réplique Open Directory pour 1 000 ordinateurs, quel
que soit le nombre de comptes utilisateur total. Par exemple, pour 400 ordinateurs
et 2 000 utilisateurs, il vous faut un seul maître Open Directory pour l’authentification
et la gestion des comptes. Pour 1 800 ordinateurs et 2 500 utilisateurs, il vous faut un
maître Open Directory et une réplique Open Directory.
38 Chapitre 2 Premiers contacts avec la gestion des utilisateurs
Si vous utilisez des dossiers de départ réseau, ceux-ci requièrent un serveur de dossier
de départ dédié pour 150 connexions simultanées. Si vous utilisez des comptes mobiles
avec des répertoires de départ portables, il vous faut un serveur de dossier de départ
dédié pour 300 connexions simultanées.
Par exemple, si vous avez 400 ordinateurs et 2 000 utilisateurs sur des dossiers de départ
réseau, il vous faut trois serveurs de dossiers de départ dédiés. Si ces utilisateurs sont
déployés avec des dossiers de départ portables, il vous faut deux serveurs de dossiers
de départ dédiés.
Pour 1 800 ordinateurs et 2 500 utilisateurs, vous devez avoir 12 serveurs de dossiers
de départ dédiés aux dossiers de départ réseau et 6 serveurs dédiés aux répertoires
de départ portables.
Les dossiers de groupe requièrent un serveur pour 450 connexions simultanées.
Par exemple, si vous avez 400 ordinateurs, il vous faut un seul serveur de dossiers
de groupe. Pour 1 800 ordinateurs, il vous faut quatre serveurs de dossiers de groupe.
Les besoins en stockage varient en fonction des besoins des différents utilisateurs. Certains
utilisateurs peuvent ne stocker que très peu de fichiers dans leurs dossiers de départ, alors
que d’autres les remplissent. Une méthode simple consiste à commencer avec 1 giga-octet
(Go) de stockage par compte utilisateur et de permettre une extension.
N’établissez pas de quota d’espace disque ou d’autres restrictions d’espace tant que
vous n’avez pas examiné de près les besoins en stockage de vos utilisateurs. Par exemple,
2 000 comptes utilisateur peuvent ne nécessiter que 2 téraoctets (To) de stockage sur
plusieurs années. Toutefois, si vous équipez ces mêmes 2 000 utilisateurs d’un disque
de 60 Go sur leur ordinateur, ils pourraient utiliser jusqu’à 120 To de stockage. Dans ce
cas, chaque utilisateur remplit son disque et le processus de synchronisation des dossiers
de départ portables effectue une copie miroir des fichiers de son dossier de départ vers
le serveur de fichiers réseau.
Chapitre 2 Premiers contacts avec la gestion des utilisateurs 39
Choix d’une structure de dossiers de départ
L’une des décisions les plus cruciales lors du déploiement d’ordinateurs est le choix
du moment et du lieu d’hébergement des dossiers de départ.
Trois types de dossiers de départ sont proposés : un dossier de départ local, un dossier
de départ réseau et un répertoire de départ portable. Ces dossiers de départ sont,
en général, liés aux comptes locaux, réseau et mobiles, respectivement.
Lors de l’étude de la structure de vos dossiers de départ, prenez en compte les aspects
suivants :
 Les utilisateurs qui disposent d’un compte local possèdent en général un dossier
de départ local.
Lorsque les utilisateurs enregistrent des fichiers dans les dossiers de départ locaux,
ces fichiers sont stockés localement. Pour enregistrer les fichiers sur le réseau,
les utilisateurs doivent se connecter au réseau et y télécharger leurs fichiers.
L’utilisation de dossiers locaux est la méthode qui offre le moins de contrôle des préférences gérées d’un utilisateur, et elle n’est pas liée de façon inhérente à un compte réseau.
 Les utilisateurs qui disposent d’un compte réseau possèdent en général un dossier
de départ réseau.
Les fichiers que les utilisateurs enregistrent dans les dossiers de départ réseau sont
stockés sur le serveur. De plus, lorsque les utilisateurs accèdent aux dossiers de départ,
même pour des tâches courantes telles que la mise en cache de pages web, leur ordinateur doit récupérer ces fichiers du serveur.
L’utilisation de dossiers de départ réseau offre un contrôle total des préférences
gérées d’un utilisateur. Lorsque les utilisateurs ne sont pas connectés au réseau,
ils n’ont accès ni à leur compte, ni à leur dossier de départ.
 Les utilisateurs qui disposent d’un compte mobile possèdent des dossiers de départ
local et réseau, les deux se combinant pour former un répertoire de départ portable.
Les fichiers enregistrés par les utilisateurs sont stockés dans un dossier de départ
local. Le répertoire de départ portable est un sous-ensemble synchronisé des dossiers de départ local et réseau de l’utilisateur. Vous pouvez indiquer quels dossiers
synchroniser et à quelle fréquence.
Les comptes mobiles mettent également en cache les informations d’authentification
et les préférences gérées. Si vous synchronisez des dossiers essentiels, un utilisateur
peut alterner le travail en réseau et hors réseau sans altérer pour autant son environnement de travail.
Lors de la synchronisation des répertoires de départ portables, les comptes mobiles sont
fortement similaires aux comptes locaux sauf qu’ils présentent des préférences gérées.
40 Chapitre 2 Premiers contacts avec la gestion des utilisateurs
 Les utilisateurs disposant de comptes mobiles et qui accèdent à leur compte
sur des ordinateurs sous Mac OS X 10.5 ou ultérieur peuvent utiliser les répertoires de départ avec un disque externe.
Lorsque les utilisateurs connectent des disques durs externes à un ordinateur
(y compris aux ordinateurs hors réseau), ils peuvent toujours accéder à leur compte.
Ces types de comptes mobiles sont appelés comptes externes.
Le compte externe stocke son dossier de départ local sur le disque dur externe et
ne crée pas de dossier de départ local sur l’ordinateur à partir duquel l’utilisateur
accède au disque dur externe.
En dehors de l’emplacement du dossier de départ local, les comptes externes sont
traités comme des comptes mobiles, avec les mêmes avantages de synchronisation,
d’authentification en cache et de préférences gérées.
Remarque : si le compte mobile d’un utilisateur est hébergé dans un domaine Active
Directory, il ne dispose pas de répertoire de départ portable. Il dispose cependant
d’un dossier de départ local et d’un dossier de départ réseau, et met l’authentification
en mémoire cache.
Les comptes mobiles et les comptes externes sont décrits en détail au chapitre 8,
« Gestion d’ordinateurs portables ».
Définition d’une stratégie de distribution des dossiers de départ
Déterminez les utilisateurs qui ont besoin de dossiers de départ et identifiez les ordinateurs où vous souhaitez faire résider ces dossiers de départ. Pour des raisons de performances, évitez l’utilisation de dossiers de départ réseau sur les connexions réseau dont
le débit est inférieur à 100 mégabits par seconde (Mbit/s).
Il n’est pas nécessaire que le dossier de départ réseau d’un utilisateur soit stocké sur
le même serveur que l’annuaire qui contient le compte de cet utilisateur. La répartition
des domaines d’annuaire et de dossiers de départ entre plusieurs serveurs peut en réalité contribuer à équilibrer la charge réseau. Ce cas de figure est décrit à la rubrique
« Répartition des dossiers de départ entre plusieurs serveurs » à la page 130.
Il peut être judicieux de stocker les dossiers de départ des utilisateurs dont le nom commence par la lettre A à F sur un ordinateur, par la lettre G à J sur un autre, etc. Une autre
possibilité peut consister à stocker les dossiers de départ sur un ordinateur Mac OS X
Server et les comptes de groupe et utilisateurs sur un serveur LDAP ou Active Directory.
Avant de créer des utilisateurs, définissez une stratégie de distribution. Si votre stratégie de distribution échoue alors que vous l’utilisez, vous pouvez déplacer les dossiers
de départ, mais cela nécessite de modifier un grand nombre de fiches utilisateurs.
Chapitre 2 Premiers contacts avec la gestion des utilisateurs 41
Concernant le choix du protocole d’accès à utiliser pour les dossiers de départ, AFP
offre le meilleur niveau de sécurité. Si vous hébergez des dossiers de départ sur les serveurs UNIX qui ne prennent pas en charge AFP, il convient d’utiliser NFS. Si vous hébergez des dossiers de départ sur des serveurs Windows, utilisez SMB.
Pour en savoir plus sur l’utilisation de ces protocoles pour les dossiers de départ, consultez
la rubrique « À propos des dossiers de départ » à la page 127.
Identification des groupes
Identifiez les utilisateurs ayant des besoins communs et prévoyez leur affectation
à des groupes. Voir le chapitre 5, « Configuration des comptes de groupe ».
Détermination des besoins administrateur
Avec Mac OS X 10.5, vous n’avez pas besoin d’accorder les privilèges administrateur
de domaine complets aux utilisateurs qui ne nécessitent qu’une partie du contrôle
de l’administration. En fait, vous pouvez les doter de privilèges d’administration restreints.
Choisissez les utilisateurs bénéficiant d’un contrôle complet de l’administration
des comptes et ceux chargés de réaliser uniquement quelques tâches d’administration.
L’administrateur de domaine est l’utilisateur qui a le plus de contrôle sur les comptes
et sur les privilèges des autres utilisateurs. L’administrateur de domaine peut créer
des comptes utilisateur, des comptes de groupe, des comptes d’ordinateur et des groupes d’ordinateurs, et peut leur attribuer des réglages, des privilèges et des préférences
gérées. Il peut également créer d’autres comptes d’administrateurs serveur ou attribuer à certains utilisateurs (les enseignants ou le personnel technique, par exemple)
des privilèges administrateur dans certains domaines d’annuaire.
Les administrateurs restreints peuvent effectuer certaines tâches d’administration courantes pour des utilisateurs et des groupes spécifiques. Ils peuvent gérer les préférences utilisateurs, modifier les préférences gérées, les informations sur les utilisateurs et l’adhésion
aux groupes. En donnant des privilèges administrateur restreints aux utilisateurs, vous
les dotez d’une plus grande autonomie sans faire courir de risque quant à la sécurité
de votre entreprise.
Par exemple, vous pouvez permettre aux assistants des salles d’étudiants en informatique de gérer les mots de passe utilisateurs d’un petit groupe d’étudiants, tout en donnant aux enseignants la possibilité de gérer les mots de passe utilisateurs, de modifier
les informations sur les utilisateurs et les groupes pour toutes leurs classes.
42 Chapitre 2 Premiers contacts avec la gestion des utilisateurs
Sachant que des privilèges administrateur restreints peuvent être donnés aux utilisateurs,
identifiez les utilisateurs nécessitant des privilèges administrateur de domaine. Une hiérarchie bien étudiée d’administrateurs et d’utilisateurs dotés de privilèges administrateur
spéciaux vous permet de distribuer les tâches d’administration système et augmente
l’efficacité du processus et de la gestion du réseau.
Lorsque vous utilisez l’Assistant du serveur pour configurer votre serveur, spécifiez un mot
de passe pour le propriétaire/administrateur. Ce mot de passe devient également le mot
de passe root de votre serveur. Seuls quelques administrateurs de serveur ont besoin
de connaître le mot de passe root, mais il est parfois nécessaire pour utiliser les outils
en ligne de commande (CreateGroupFolder, par exemple).
Les administrateurs qui n’ont pas besoin d’un accès root peuvent utiliser le Gestionnaire
de groupe de travail pour créer un utilisateur administrateur avec un mot de passe différent du mot de passe root.
Utilisez le mot de passe root avec prudence et conservez-le en lieu sûr. L’utilisateur root
a accès à l’ensemble du système, y compris aux fichiers système. Vous pouvez utiliser
le Gestionnaire de groupe de travail pour modifier le mot de passe root, le cas échéant.
Chapitre 2 Premiers contacts avec la gestion des utilisateurs 43
3 Premiers contacts avec le
Gestionnaire de groupe de travail
3
Ce chapitre fournit des instructions pour configurer
le Gestionnaire de groupe de travail et utiliser ses
principales fonctionnalités.
Le Gestionnaire de groupe de travail est l’application principale permettant de gérer
les ordinateurs clients. Vous pouvez utiliser le Gestionnaire de groupe de travail pour
créer des comptes et gérer les préférences.
Configuration de l’ordinateur et du compte de l’administrateur
Pour utiliser le Gestionnaire de groupe de travail, vous devez d’abord installer les outils
d’administration de Mac OS X Server. Avant de pouvoir gérer les ordinateurs clients, vous
devez configurer un ordinateur pour l’utiliser comme un ordinateur administrateur
et créer un compte d’administrateur de domaine.
Configuration d’un ordinateur administrateur
Lorsque vous installez le Gestionnaire de groupe de travail et d’autres outils d’administration sur un ordinateur administrateur distant, vous n’avez pas besoin d’accéder physiquement au serveur. Utilisez plutôt cet ordinateur administrateur pour vous
connecter au serveur et exécutez les tâches d’administration à distance.
L’ordinateur doit disposer de Mac OS X 10.5 ou ultérieur, d’au moins 512 Mo de RAM
et d’1 Go d’espace disque disponible.
Pour en savoir plus sur la configuration serveur et les besoins en stockage requis, reportez-vous à la rubrique « Détermination de la configuration de serveur et de stockage
requise » à la page 38.
Pour créer et modifier des comptes, vous devez également disposer d’un compte
d’administrateur de domaine.
45
Pour configurer un ordinateur administrateur :
1 Insérez le disque Outils d’administration, puis lancez le programme d’installation
ServerAdministrationSoftware.mpkg situé dans le dossier /Installers.
Assurez-vous que les outils d’administration de serveur que vous installez sont de même
version que le logiciel Mac OS X Server installé sur vos serveurs. Si vous utilisez des outils
d’administration de serveur plus anciens avec une version serveur plus récente, les outils
peuvent générer des erreurs et corrompre des données.
2 Suivez les instructions à l’écran.
3 Si vous gérez des préférences utilisant des chemins spécifiques pour rechercher des fichiers
(tels que les préférences du Dock), assurez-vous que l’ordinateur administrateur possède
la même structure de système de fichiers que chacun des ordinateurs client gérés.
En d’autres termes, le nom des dossiers, les volumes, l’emplacement des applications,
etc., doivent être identiques.
Création d’un compte d’administrateur de domaine
Avant de créer et de modifier des comptes dans un annuaire partagé, vous devez disposer
d’un compte d’administrateur de domaine dans l’annuaire. Un administrateur de domaine
peut utiliser le Gestionnaire de groupe de travail pour ajouter et modifier des comptes résidant dans un domaine Open Directory, dans le domaine d’annuaire local ou dans un autre
domaine d’annuaire en lecture/écriture.
Pour créer un compte d’administrateur de domaine :
1 Sur l’ordinateur administrateur, ouvrez le Gestionnaire de groupe de travail, puis authenti-
fiez-vous sous l’identité de l’administrateur créé pendant la configuration du serveur.
2 Accédez à l’annuaire partagé en cliquant sur l’icône représentant un globe et choisissez
le domaine d’annuaire.
Si vous n’êtes pas authentifié, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
3 Cliquez sur Nouvel utilisateur, sur Élémentaires, puis indiquez les informations de base
sur l’administrateur.
4 Cliquez sur Privilèges, puis dans le menu local Capacités d’administration, choisissez
Intégral.
5 Cliquez sur Enregistrer.
À partir de la ligne de commande
Vous pouvez également créer un compte d’administrateur de domaine à l’aide
des commandes dscl et pwpolicy dans Terminal. Pour en savoir plus, reportez-vous
aux chapitres relatifs aux utilisateurs et aux groupes dans le document Administration
en ligne de commande.
46 Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail
Utilisation du Gestionnaire de groupe de travail
Après avoir installé le logiciel Mac OS X Server et configuré un compte d’administrateur
de domaine, vous pouvez accéder au Gestionnaire de groupe de travail et l’utiliser pour
gérer les utilisateurs.
Cette rubrique constitue une introduction au Gestionnaire au groupe de travail.
Utilisation de Mac OS X Server 10.5 pour gérer les versions antérieures de Mac OS X
Les serveurs sous Mac OS X Server 10.3 ou 10.4 peuvent être gérés à l’aide des outils
d’administration de Mac OS X Server 10.5. Vous pouvez utiliser le Gestionnaire de
groupe de travail sur un ordinateur sous Mac OS X Server 10.5 pour gérer les clients
Mac OS X sous Mac OS X 10.3.9 ou ultérieur.
Connexion et authentification aux domaines d’annuaire dans le Gestionnaire de groupe de travail
Lorsque vous installez votre serveur ou configurez un ordinateur administrateur,
le Gestionnaire de groupe de travail s’installe dans /Applications/Server/. Utilisez
le Finder pour ouvrir l’application ou cliquez sur son icône dans le Dock ou dans
la barre d’outils de l’application Admin Serveur.
Vous pouvez afficher un domaine d’annuaire sans vous authentifier en choisissant
Serveur > Afficher les répertoires dans le Gestionnaire de groupe de travail. Par défaut,
vous disposez d’un accès en lecture seule aux informations affichées dans le Gestionnaire
de groupe de travail. Pour effectuer des modifications dans un annuaire, vous devez vous
authentifier à l’aide du compte d’un administrateur de domaine. Cette approche est très
utile lorsque vous gérez différents serveurs et manipulez plusieurs domaines d’annuaire.
Pour vous connecter et vous authentifier aux domaines d’annuaire :
1 Ouvrez le Gestionnaire de groupe de travail. Lorsque la fenêtre Connexion de Gestionnaire
de groupe de travail apparaît, cliquez sur Parcourir ou saisissez l’adresse IP ou le nom DNS
d’un serveur pouvant se connecter aux domaines d’annuaire.
2 Saisissez le nom d’utilisateur et le mot de passe d’un administrateur de domaine,
puis cliquez sur Se connecter.
3 Pour modifier les domaines d’annuaire tout en étant connecté à un serveur, cliquez sur
l’icône de globe (voir ci-dessous) pour sélectionner un domaine, puis authentifiez-vous
en tant qu’administrateur de domaine en cliquant sur l’icône représentant le cadenas.
Cliquez sur l’icône représentant un globe
pour sélectionner un domaine d’annuaire
4 Pour vous connecter à un autre serveur, choisissez Serveur > Se connecter.
Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail 47
Cliquez sur le cadenas
pour vous identifier
a
Principales tâches du Gestionnaire de groupe de travail
Une fois la session ouverte, la sous-fenêtre Comptes apparaît (voir ci-dessous), affichant
une liste des comptes utilisateur. Initialement, les comptes utilisateur répertoriés sont ceux
stockés dans le dernier domaine d’annuaire issu des règles de recherche sur le serveur.
Bouton Groupes
Cliquez sur l’icône repré-
sentant un globe pour
sélectionner un domaine
Bouton Utilisateurs
Saisissez ici les éléments
recherchés ou appliquez
un filtre à la liste
ci-dessous
Liste Comptes
Bouton
Ordinateurs
Bouton Groupes
d’ordinateur
Domaine
sélectionné
Cliquez sur le caden
pour vous identifier
Voici comment débuter avec les principales tâches du Gestionnaire de groupe de travail :
 Pour spécifier l’annuaire dans lequel stocker les comptes à exploiter, cliquez
sur l’icône représentant un globe.
 Pour travailler simultanément avec des comptes sous différents annuaires ou pour
utiliser différentes présentations pour des comptes issus d’un annuaire donné,
ouvrez plusieurs fenêtres de Gestionnaire de groupe de travail en cliquant sur l’icône
Nouvelle fenêtre dans la barre d’outils ou en choisissant Serveur > Nouvelle fenêtre
Gestionnaire de groupe de travail.
 Pour administrer des comptes dans l’annuaire sélectionné, cliquez sur l’icône Comptes
de la barre d’outils. Cliquez ensuite sur le bouton Utilisateurs, Groupes ou Groupes
d’ordinateurs à gauche de la fenêtre pour répertorier les comptes présents dans les
annuaires que vous exploitez.
 Pour filtrer la liste des comptes qui s’affiche, utilisez le menu local de recherche situé
au-dessus de la liste des comptes.
 Pour modifier les préférences gérées, sélectionnez un compte (ou plusieurs comptes),
puis cliquez sur l’icône Préférences dans la barre d’outils.
48 Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail
 Pour importer ou exporter des comptes utilisateur ou de groupe, choisissez
Serveur > Importer ou Serveur > Exporter.
 Pour afficher l’aide à l’écran, utilisez le menu Aide. Le menu Aide vous donne accès
à l’aide des tâches d’administration disponibles dans le Gestionnaire de groupe
de travail, ainsi qu’à d’autres sujets relatifs à Mac OS X Server.
 Pour ouvrir Admin Serveur pour pouvoir contrôler et manipuler les services sur
un serveur, cliquez sur l’icône Admin Serveur dans la barre d’outils du Gestionnaire
de groupe de travail.
Pour en savoir plus sur Admin Serveur, reportez-vous au document Administration
du serveur.
Modification des préférences du Gestionnaire de groupe de travail
Vous pouvez modifier les préférences du Gestionnaire de groupe de travail afin
de personnaliser la visualisation des fiches et pour activer l’Inspecteur, un éditeur
de domaine d’annuaire avancé.
Le Gestionnaire de groupe de travail inclut les préférences suivantes.
Préférence Description
Convertir les noms DNS
si possible
Afficher l’onglet « Toutes
les fiches » et l’inspecteur
Limiter les résultats
aux fiches requises
Lister un maximum
de # enregistrements
(Par défaut : activée) En désactivant cette préférence, le Gestionnaire
de groupe de travail ne résout plus les noms DNS lors de l’écriture
de données. Si vous rencontrez des problèmes de DNS, cette désactivation peut vous aider à minimiser ces types de problèmes de DNS
(sans les résoudre néanmoins).
(Par défaut : désactivée) En désactivant cette préférence, vous activez l’Inspecteur. L’Inspecteur vous permet d’afficher et de modifier
les données d’annuaire qui ne sont pas visibles autrement dans
le Gestionnaire de groupe de travail. Pour en savoir plus, reportezvous au document Administration d’Open Directory.
(Par défaut : désactivée) Lorsque vous ne saisissez rien dans
le champ de recherche, par défaut, le Gestionnaire de groupe
de travail répertorie toutes les fiches utilisateur dans le domaine
d’annuaire sélectionné.
Si vous désactivez cette préférence, vous devez saisir « * » (sans
les guillemets) pour répertorier toutes les fiches, ce qui peut accélérer la manipulation de domaines d’annuaire volumineux dans
le Gestionnaire de groupe de travail (car le Gestionnaire de groupe
de travail ne répertorie pas automatiquement toutes les fiches).
(Par défaut : désactivée) En désactivant cette préférence,
vous limitez le nombre maximal de résultats de la recherche
à un nombre que vous spécifiez.
Si vous activez cette préférence et définissez un nombre maximal raisonnable, vous pouvez améliorer les performances du Gestionnaire
de groupe de travail. Toutefois, en définissant un nombre trop faible,
il se peut que vous négligiez le nombre total de correspondances.
Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail 49
Pour définir les préférences du Gestionnaire de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, choisissez
Gestionnaire de groupe de travail > Préférences.
2 Sélectionnez les préférences que vous voulez modifier.
3 Pour réinitialiser les messages d’avertissement pour lesquels vous avez indiqué
« Ne plus afficher », cliquez sur « Réinitialiser les messages “Ne plus afficher” ».
4 Cliquez sur OK.
Recherche et liste des comptes
Le Gestionnaire de groupe de travail offre de nombreuses méthodes pour rechercher et
lister les comptes utilisateur, les comptes de groupe, les comptes d’ordinateur et les
groupes d’ordinateurs.
Utilisation des listes de comptes dans le Gestionnaire de groupe de travail
Dans le Gestionnaire de groupe de travail, les comptes utilisateur, les comptes de groupe
et les groupes d’ordinateurs sont répertoriés à gauche de la fenêtre Gestionnaire de groupe
de travail.
Les réglages suivants déterminent le contenu et l’apparence de la liste :
 Les préférences de Gestionnaire de groupe de travail contrôlent le nombre maximal
de fiches affichées et l’activation de l’Inspecteur (qui vous permet d’afficher ou de
modifier les données d’annuaire brutes). Pour configurer les préférences du Gestionnaire de groupe de travail, choisissez Gestionnaire de groupe de travail > Préférences.
 La liste reflète l’annuaire que vous avez choisi par l’icône représentant un globe.
Si vous vous déconnectez du serveur d’annuaire, les comptes du domaine d’annuaire
parent sont répertoriés. Si vous ne vous connectez pas au serveur d’annuaire, ce sont
les comptes locaux qui sont répertoriés.
Les domaines répertoriés sont le domaine d’annuaire local, tous les domaines d’annuaire
issus des règles de recherche sur le serveur et tous les domaines d’annuaires disponibles
(le serveur est configuré pour accéder à ces domaines, même s’ils ne figurent pas dans
les règles de recherche). Pour des instructions sur la configuration de l’accès d’un serveur
aux domaines d’annuaires, reportez-vous au document Administration d’Open Directory.
Après avoir choisi les domaines d’annuaires, tous les comptes résidant dans ces
domaines sont répertoriés.
 Vous pouvez lister des utilisateurs, des groupes, des ordinateurs ou des groupes d’ordi-
nateurs en cliquant sur les boutons Utilisateurs, Groupes, Ordinateurs ou Groupes
d’ordinateurs, situés au-dessus du filtre de recherche.
 Pour trier une liste, cliquez sur l’en-tête d’une colonne. Une flèche indique le sens
du tri (ascendant ou descendant) que vous pouvez inverser en cliquant à nouveau
sur l’en-tête de la colonne.
50 Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail
 Vous pouvez rechercher des éléments spécifiques dans la liste en les saisissant dans
le champ au-dessus de la liste des comptes. Pour choisir les critères de recherche, utilisez
le menu local Rechercher (loupe).
Pour manipuler des comptes, sélectionnez-les. Les réglages des comptes sélectionnés
apparaissent dans la sous-fenêtre à droite de la liste. Les réglages présentés s’adaptent
en fonction de la sous-fenêtre affichée.
Liste des comptes dans le domaine d’annuaire local
Répertorier les comptes du domaine d’annuaire local revient à répertorier tous les comptes
locaux. Seuls les utilisateurs de l’ordinateur ou du serveur local peuvent accéder à ces
comptes locaux, les utilisateurs des ordinateurs clients ne le pouvant pas.
Les services et les programmes s’exécutant sur un serveur peuvent accéder au domaine
d’annuaire local du serveur. Les programmes s’exécutant sur un ordinateur client
(la fenêtre d’ouverture de session de l’ordinateur client, par exemple) ne peuvent
pas accéder au domaine d’annuaire local du serveur.
Si un serveur héberge des services de fichiers, les utilisateurs disposant de comptes sur
le domaine d’annuaire local du serveur peuvent s’authentifier avec les services de fichiers.
Les comptes utilisateur du domaine d’annuaire local du serveur ne peuvent pas être
utilisés pour s’identifier dans la fenêtre d’ouverture de session des ordinateurs clients,
car la fenêtre d’ouverture de session est un processus s’exécutant sur l’ordinateur client.
Pour lister les comptes dans le domaine d’annuaire local d’un serveur :
1 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur hébergeant
le domaine, puis cliquez sur l’icône représentant un globe et choisissez Local.
Pour les serveurs sous Mac OS X Server 10.5 ou ultérieur, le domaine d’annuaire local
est repris dans /Local/Default.
2 Faites votre choix parmi les suivants :
 Pour afficher les comptes utilisateur, cliquez sur le bouton Utilisateurs.
 Pour afficher les comptes de groupe, cliquez sur le bouton Groupes.
 Pour afficher les comptes d’ordinateur, cliquez sur le bouton Ordinateurs.
 Pour afficher les groupes d’ordinateurs, cliquez sur le bouton Groupes d’ordinateurs.
3 Pour utiliser un compte en particulier, sélectionnez-le.
La modification des réglages et des préférences de compte requiert des privilèges
administrateur ; il se peut par conséquent que vous deviez cliquer sur le cadenas
pour vous authentifier.
Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail 51
Liste des comptes dans les domaines d’annuaire des règles de recherche
Les règles de recherche sur un ordinateur spécifient les domaines d’annuaires qu’Open
Directory peut accéder. Elles indiquent également l’ordre de leur accès par Open Directory. Répertorier les comptes dans les règles de recherche revient à reprendre les comptes sur tous les domaines d’annuaire des règles de recherche.
Vous ne pouvez pas modifier les comptes qui sont répertoriés dans les règles de recherche.
Pour en savoir plus sur la configuration des règles de recherche, reportez-vous au document Administration d’Open Directory.
Pour répertorier les comptes des domaines des règles de recherche sur le serveur
que vous utilisez :
1 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur dont les règles
de recherche contiennent les domaines d’annuaire qui vous intéressent.
2 Cliquez sur l’icône représentant un globe et choisissez Règles de recherche.
3 Faites votre choix parmi les suivants :
 Pour afficher les comptes utilisateur, cliquez sur le bouton Utilisateurs.
 Pour afficher les comptes de groupe, cliquez sur le bouton Groupes.
 Pour afficher les comptes d’ordinateur, cliquez sur le bouton Ordinateurs.
 Pour afficher les groupes d’ordinateurs, cliquez sur le bouton Groupes d’ordinateurs.
Liste des comptes dans les domaines d’annuaire disponibles
À l’aide du Gestionnaire de groupe de travail, vous pouvez répertorier les comptes utilisateur, de groupe, d’ordinateur et les groupes d’ordinateurs résidant dans tout domaine
d’annuaire disponible et accessible depuis le serveur auquel vous êtes connecté.
Les domaines d’annuaire disponibles ne sont pas les mêmes que ceux de règles de recherche. Les règles de recherche se composent de domaines d’annuaire dans lesquels un serveur effectue ses recherches de routine lorsqu’il doit récupérer des comptes. Néanmoins,
le même serveur peut être configuré pour accéder aux domaines d’annuaire qui n’ont pas
été ajoutés à ses règles de recherche.
Pour en savoir plus sur la configuration de l’accès aux domaines d’annuaire, reportez-vous
au document Administration d’Open Directory.
52 Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail
Pour répertorier les comptes dans un domaine d’annuaire accessible depuis un serveur :
1 Dans le Gestionnaire de groupe de travail, connectez-vous à un serveur depuis lequel
vous pouvez accéder aux domaines d’annuaire.
2 Cliquez sur l’icône représentant un globe, puis choisissez le domaine sur lequel réside
le compte utilisateur.
Si le domaine d’annuaire n’est pas répertorié, ajoutez-le au menu local en choisissant
Autre. Dans la boîte de dialogue qui s’affiche, sélectionnez le domaine puis cliquez sur OK.
3 Faites votre choix parmi les suivants :
 Pour afficher les comptes utilisateur, cliquez sur le bouton Utilisateurs.
 Pour afficher les comptes de groupe, cliquez sur le bouton Groupes.
 Pour afficher les comptes d’ordinateur, cliquez sur le bouton Ordinateurs.
 Pour afficher les groupes d’ordinateurs, cliquez sur le bouton Groupes d’ordinateurs.
4 Pour utiliser un compte en particulier, sélectionnez-le.
La modification du compte requiert des privilèges administrateur de domaine ;
il se peut par conséquent que vous deviez cliquer sur le cadenas pour vous authentifier.
Actualisation des listes de comptes
Si plus d’un administrateur effectue des modifications sur les domaines d’annuaire,
assurez-vous que la liste des comptes utilisateur, de groupe, d’ordinateur et la liste
des groupes d’ordinateurs affichée est la plus à jour, en actualisant les listes.
Pour actualiser les listes de comptes, cliquez sur Actualiser dans la barre d’outils.
Vous pouvez également cliquer sur l’icône représentant un globe. Choisissez ensuite
dans le menu local le domaine d’annuaire que vous voulez utiliser.
Recherche de comptes spécifiques dans une liste
Après avoir affiché une liste des comptes dans le Gestionnaire de groupe, vous pouvez
filtrer la liste pour rechercher des utilisateurs ou des groupes particuliers.
Vous pouvez faire votre choix parmi plusieurs filtres :
 Le nom contient
 Le nom commence par
 Le nom se termine par
 Le nom est
 L’identifiant est
 L’identifiant est supérieur à
 L’identifiant est inférieur à
 Le commentaire contient
 Le mot-clé contient
Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail 53
Pour filtrer des éléments dans la liste des comptes :
1 Après avoir répertoriés les comptes, cliquez sur le bouton Utilisateurs, Groupes, Ordinateurs
ou Groupes d’ordinateurs.
2 Cliquez sur le menu local Rechercher (loupe), choisissez une option pour décrire ce que
vous recherchez, puis saisissez les termes de la recherche dans le champ de recherche.
La liste d’origine est remplacée par des éléments qui correspondent à vos critères de recherche. Si vous saisissez un nom d’utilisateur, les noms complet et abrégé des utilisateurs sont
tous deux recherchés. Si vous saisissez un nom de groupe, les noms abrégés de groupe
sont recherchés.
3 Lorsque les domaines que vous utilisez contiennent plusieurs milliers de comptes,
choisissez Gestionnaire de groupe de travail > Préférences et procédez comme suit :
Objectif Opération
Ne pas répertorier de comptes avant
d’indiquer un filtre
Répertorier tous les comptes dans
le domaine d’annuaire sélectionné
Indiquer le nombre maximal de comptes
à répertorier
Sélectionnez « Limiter les résultats aux fiches requises ».
Tapez « * » (sans les guillemets) dans le champ de recherche.
Sélectionnez « Lister un maximum de n enregistrements »,
puis saisissez un nombre inférieur à 32 767.
Utilisation de la recherche avancée
Utilisez le bouton Rechercher dans la barre d’outils pour localiser des utilisateurs ou des
groupes spécifiques en recherchant plusieurs champs qui les concernent. Vous pouvez
ensuite modifier par lot les résultats de la recherche. Pour en savoir plus sur la modification par lot, reportez-vous à la rubrique « Modification simultanée de plusieurs
comptes » à la page 56.
Vous pouvez effectuer votre recherche sur plusieurs champs :
 Nom de fiche
 Nom réel
 Id. d’utilisateur
 Commentaire
 Mot-clé
 Identifiant de groupe
Plusieurs options existent dans les champs :
 Est inférieur à
 Est supérieur à
 Est
 Contient
54 Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail
Pour localiser les utilisateurs ou les groupes dans la sous-fenêtre Comptes
ou Préférences :
1 Dans la barre d’outils Gestionnaire de groupe de travail, cliquez sur Rechercher.
Vous pouvez également cliquer sur le bouton Rechercher (loupe) dans le champ
de recherche au-dessus de la liste de comptes, puis choisissez Recherche avancée.
2 Choisissez un champ dans lequel effectuer la recherche, une option de champ, puis saisis-
sez le texte que vous voulez rechercher.
3 Cliquez sur le bouton Ajouter (+) pour ajouter des critères de recherche.
4 Enregistrez, renommez ou supprimez un préréglage à l’aide du menu local
« Préréglages de la recherche ».
5 Après avoir défini votre recherche, cliquez sur Rechercher.
Après avoir obtenu les résultats de la recherche, vous pouvez effacer la recherche pour
revenir à votre affichage par défaut ou modifier la recherche pour l’affiner. Lorsque vous
modifiez la recherche, vous pouvez enregistrer la recherche sous un préréglage en vue
d’une utilisation ultérieure.
Tri des utilisateurs et des groupes
Après avoir affiché une liste des comptes dans le Gestionnaire de groupe de travail,
cliquez sur l’en-tête d’une colonne pour trier les entrées à l’aide des valeurs de cette
colonne. Cliquez sur l’en-tête à nouveau pour inverser l’ordre de tri.
Raccourcis pour l’utilisation des comptes
Le Gestionnaire de groupe de travail fournit des raccourcis pour appliquer les mêmes
réglages aux comptes, qu’ils soient nouveaux ou existants. Vous pouvez également
importer des informations de comptes utilisateur et de groupe à partir d’un fichier.
Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail 55
Utilisation de préréglages
Vous pouvez sélectionner les réglages pour un compte utilisateur ou de groupe
et les enregistrer sous forme de préréglages. Les préréglages fonctionnent comme
des modèles et vous permettent d’appliquer des réglages prédéfinis à un nouveau
compte. À l’aide de préréglages, vous pouvez facilement configurer plusieurs comptes
avec des réglages similaires.
Vous pouvez uniquement utiliser les préréglages lors de la création de comptes. Vous
ne pouvez pas les utiliser pour modifier un compte. Vous pouvez utiliser les préréglages lorsque vous créez des comptes manuellement ou lorsque vous les importez à
partir d’un fichier.
Si vous modifiez un préréglage après qu’il a été utilisé pour créer un compte, les comptes déjà créés à l’aide du préréglage ne sont pas mis à jour pour refléter ces modifications.
Pour en savoir plus sur la création de préréglages, reportez-vous à la rubrique
« Création d’un préréglage pour les comptes utilisateur » à la page 65.
Modification simultanée de plusieurs comptes
Vous pouvez modifier les réglages (s’ils ne sont pas uniques) de plusieurs comptes utilisateur, comptes de groupe ou groupes d’ordinateurs à la fois. La modification simultanée de plusieurs comptes est aussi connue sous le nom de modification par lot.
Il existe deux moyens pour modifier des comptes simultanément : sélectionnez plusieurs
comptes dans la liste des comptes ou utilisez la fonctionnalité de modification par lot
dans la zone de dialogue Recherche avancée.
Contrairement à la sélection de plusieurs comptes, la fonctionnalité de modification
par lot vous permet de prévisualiser et de modifier les résultats de la recherche avant
d’y appliquer des modifications ; vous pouvez également voir les modifications et
les erreurs après avoir appliqué d’autres modifications.
Il existe différents moyens pour sélectionner plusieurs comptes :
 Pour sélectionner une plage de comptes, maintenez la touche Maj enfoncée tout
en cliquant.
 Pour sélectionner des comptes séparément, maintenez la touche Commande enfoncée
tout en cliquant.
 Pour désélectionner des comptes, choisissez Édition > Tout sélectionner, puis, tout
en maintenant la touche Commande enfoncée, cliquez sur les comptes.
Si vous pouvez simultanément modifier la plupart des réglages de compte pour plusieurs
utilisateurs, certains réglages doivent être effectués indépendamment pour des utilisateurs.
Par exemple, vous ne pouvez pas assigner le même nom, nom abrégé ou identifiant utilisateur à plusieurs utilisateurs. Le Gestionnaire de groupe de travail désactive les champs dans
lesquels vous devez fournir des valeurs uniques.
56 Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail
Si un réglage n’est pas le même pour plusieurs comptes, un curseur d’état mixte, un bouton radio, une case à cocher, un champ de texte, un menu local ou une liste apparaît :
Élément de l’interface Apparence d’état mixte
Curseurs, boutons radio
et cases à cocher
Champs de texte Le terme « Varié » ou « ... » apparaît dans le champ de texte
Menu local Le terme « Varié » apparaît dans le menu local
Listes Le terme « Données variables » apparaît dans la liste
Un trait indiquant que le réglage n’est pas le même pour tous
les comptes sélectionnés
L’élément de l’interface d’état mixte apparaît également lorsque vous :
 modifiez les préférences gérées définies à l’origine sous Mac OS X 10.4 ou antérieure ;
 modifiez une préférence dans l’éditeur de préférences qui correspond à un élément
de l’interface.
Si vous choisissez un nouveau réglage pour un réglage d’état mixte, chaque compte
acquiert le nouveau réglage.
Par exemple, supposons que vous sélectionnez trois comptes de groupe qui possèdent
chacun des réglages différents selon la taille du Dock. Lorsque vous consultez la préférence d’affichage du Dock pour ces comptes, le curseur Taille du Dock se situe au centre
et présente un trait au-dessus. Si vous modifiez l’emplacement du curseur Taille du Dock
sur Grande, tous les comptes sélectionnés voient leur Dock s’afficher en grande taille.
Pour modifier en lot les comptes correspondant à des critères de recherche spécifiques :
1 Dans le Gestionnaire de groupe de travail, sélectionnez Comptes ou Préférences.
2 Cliquez sur l’icône représentant un globe sous la barre d’outils, puis choisissez
le domaine d’annuaire contenant les comptes que vous voulez modifier.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans la barre d’outils, cliquez sur Rechercher.
Vous pouvez également cliquer sur la loupe dans le champ de recherche au-dessus
de la liste de comptes, puis choisissez Recherche avancée.
5 Pour entrer des critères de recherche, choisissez le champ de la recherche et l’option
de champ, saisissez le texte à rechercher, puis cliquez sur le bouton Ajouter (+) pour
ajouter des critères de recherche supplémentaires.
6 Sélectionnez « Effectuer une modification par lot sur les résultats de la recherche ».
7 Pour créer une liste de comptes affectés lorsque vous enregistrez les modifications par lot,
sélectionnez « Afficher un aperçu et modifier les résultats de la recherche avant d’appliquer
les changements ».
Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail 57
8 Pour créer une liste de comptes et des modifications appliquées à chacun de ces comptes
après avoir enregistré les modifications par lot, sélectionnez « Afficher le rendu des modifications et des erreurs ».
9 Cliquez sur Continuer.
10 Modifiez les informations de compte ou les réglages des préférences, puis cliquez
sur Appliquer.
Si un champ est désactivé, vous ne pouvez pas le modifier lorsque plusieurs comptes
utilisateur sont sélectionnés.
11 Si vous sélectionnez « Afficher un aperçu et modifier les résultats de la recherche avant
d’appliquer les changements », une zone de dialogue apparaît reprenant tous les comptes
affectés par la modification par lot. Pour supprimer un compte, sélectionnez-le, puis cliquez
sur Supprimer l’élément. Lorsque la zone de dialogue répertorie uniquement les comptes
que vous voulez modifier, cliquez sur Appliquer.
Si vous effectuez davantage de modifications par lot à l’aide de la même requête,
le compte supprimé réapparaît dans cette liste.
12 Si vous avez sélectionné « Afficher le rendu des modifications et des erreurs », une zone
de dialogue apparaît pour dresser la liste des résultats des modifications par lot, incluant
les fiches et les champs modifiés. Pour enregistrer un historique textuel des résultats des
modifications par lot, cliquez sur Enregistrer. Cliquez sur OK.
13 Pour arrêter la modification par lot, cliquez sur Effacer.
Importation et exportation des informations sur les comptes
Vous pouvez utiliser des fichiers XML ou texte délimité par des caractères pour importer et exporter des informations de comptes utilisateur et de groupe. L’importation d’informations peut accélérer la configuration simultanée de plusieurs comptes. L’exportation
d’informations vers un fichier est utile pour conserver des fiches. Pour sauvegarder les
informations sur les comptes tout en conservant les mots de passe, archivez l’annuaire.
Pour en savoir plus, reportez-vous à l’annexe « Importation et exportation des informations
sur les comptes. »
58 Chapitre 3 Premiers contacts avec le Gestionnaire de groupe de travail
4 Configuration des
comptes utilisateur
4
Ce chapitre explique comment configurer, modifier et gérer
les comptes utilisateur.
Les comptes utilisateur donnent aux utilisateurs une identité unique à travers votre
réseau et vous permettent de gérer ces utilisateurs.
Vous pouvez utiliser le Gestionnaire de groupe de travail pour afficher, créer, modifier
et supprimer des comptes utilisateur.
Pour afficher les comptes utilisateur dans le Gestionnaire de groupe de travail, cliquez
sur le bouton Utilisateurs au-dessus de la liste des comptes.
À propos des comptes utilisateur
Un compte utilisateur stocke les données que Mac OS X Server utilise pour valider
l’identité d’un utilisateur et pour lui fournir des services.
Emplacement de stockage des comptes utilisateur
Les comptes utilisateur, de groupe, d’ordinateur et les groupes d’ordinateurs sont stockés
dans un domaine d’annuaire, disponible sur n’importe quel ordinateur Mac OS X. Un
domaine d’annuaire peut résider sur un ordinateur Mac OS X (par exemple, un domaine
Open Directory ou un autre domaine d’annuaire en lecture/écriture) ou sur un serveur
non Apple (par exemple, un serveur LDAP non Apple ou Active Directory).
Pour le service de fichiers Windows et d’autres services, vous pouvez stocker les comptes
utilisateur dans n’importe quel domaine d’annuaire accessible depuis le serveur se chargeant d’authentifier les utilisateurs pour un service.
Si le compte utilisateur est utilisé pour l’accès au domaine Windows à partir d’un ordinateur
Windows, vous devez le stocker dans l’annuaire LDAP de Mac OS X Server qui est le contrôleur de domaine principal (PDC) ou dans une copie de l’annuaire LDAP sur un contrôleur
de domaine secondaire (BDC).
59
Un compte utilisateur Windows qui n’est pas stocké dans l’annuaire LDAP du serveur
PDC peut être utilisé pour accéder à d’autres services. Par exemple, Mac OS X Server
peut authentifier les utilisateurs disposant d’un compte dans le domaine d’annuaire
local du serveur pour le service de fichiers Windows du serveur.
Mac OS X Server authentifie également les utilisateurs avec des comptes sur d’autres
systèmes d’annuaire, tel que le serveur maître Open Directory sur un autre système
Mac OS X Server ou Active Directory sur un serveur Windows.
Pour tout savoir sur les différents types de domaines Open Directory, consultez le document Administration d’Open Directory.
Comptes utilisateur prédéfinis
Le tableau suivant décrit les comptes utilisateur qui sont créés lorsque vous installez
Mac OS X Server (sauf indication contraire). Pour obtenir la liste complète, ouvrez
le Gestionnaire de groupe de travail et choisissez Présentation > Afficher les utilisateurs et groupes du système.
Identi-
fiant
Nom d’utilisateur
prédéfini
Serveur MySQL mysql 74 Utilisateur du serveur de base de données MySQL
Séparation
des privilèges sshd
Administrateur système root 0 Utilisateur sans protection ou restriction.
Services système daemon 1 Utilisateur UNIX hérité.
Utilisateur inconnu unknown 99 Utilisateur sans nom d’utilisateur ou mot
Utilisateur
sans privilège
Serveur web www 70 Utilisateur sans privilège, utilisé par Apache
Nom
abrégé
sshd 75 Utilisateur pour les processus enfants sshd
nobody -2 Utilisateur créé à l’origine pour que les services
d’utilisa-
teur
Utilisation
pour ses processus de traitement des requêtes.
de traitement des données réseau.
de passe. Si les fichiers ou les volumes n’ont
pas de véritable propriétaire, un leur est assigné
par défaut sous le nom d’unknown (inconnu).
système n’aient pas besoin de s’exécuter sous
l’identité d’un administrateur système. Désormais,
les utilisateurs spécifiques à un service, tel qu’un
serveur web, sont souvent utilisés dans ce but.
pour ses processus de traitement des requêtes.
60 Chapitre 4 Configuration des comptes utilisateur
Administration des comptes utilisateur
Vous pouvez afficher, créer, modifier et supprimer des comptes utilisateur stockés
dans différents types de domaines d’annuaire.
Création de comptes utilisateur
Pour créer un compte utilisateur dans un domaine d’annuaire, vous devez disposer
des privilèges administrateur pour le domaine.
Pour créer des comptes utilisateur dans un annuaire LDAPv3 sur un serveur non Apple,
utilisez l’Utilitaire d’annuaire pour mapper les attributs de l’annuaire LDAPv3 aux attributs de l’utilisateur et du groupe Open Directory. Pour en savoir plus sur les éléments
de compte utilisateur qui doivent être mappés, reportez-vous à la rubrique « Éléments
pouvant être importés et exportés » à la page 305.
Pour créer des utilisateurs dans un domaine Active Directory, utilisez les outils d’administration d’Active Directory à partir d’un ordinateur Windows. Vous ne pouvez pas utiliser le Gestionnaire de groupe de travail pour créer des comptes utilisateur, de groupe,
d’ordinateur ou des groupes d’ordinateurs dans un domaine Active Directory standard.
Si vous étendez le schéma du domaine Active Directory, vous pouvez créer des groupes d’ordinateur dans Active Directory.
Pour créer des comptes utilisateur pour les utilisateurs Windows, créez-les sur un contrôleur de domaine principal Mac OS X Server qui se charger de les créer à son tour dans
l’annuaire LDAP du serveur. Les utilisateurs Windows possédant un compte sur le serveur
PDC peuvent ouvrir une session sur le domaine Windows à partir d’une station de travail
Windows. Ces comptes utilisateur peuvent être utilisés pour s’authentifier auprès de services de fichiers Windows et d’autres services, pour les ordinateurs Mac OS X sur le réseau.
`Vous pouvez créer des comptes utilisateur dans l’annuaire LDAP du contrôleur
de domaine principal Mac OS X Server mais pas dans un annuaire LDAP de contrôleur
de domaine secondaire en lecture seule. Si vous disposez d’un BDC, le serveur PDC
réplique les nouveaux comptes vers celui-ci.
Si vous créez des comptes utilisateur dans le domaine d’annuaire local d’un serveur, vous
pouvez uniquement vous authentifier pour les services fournis par ce serveur. Vous ne pouvez pas utiliser ces comptes pour ouvrir une session sur un ordinateur Mac OS X client ou
pour accéder au domaine Windows. Toutefois, les utilisateurs Windows peuvent s’authentifier pour les services de fichiers Windows, de messagerie et d’autres services indépendants
des plates-formes utilisées.
Pour retrouver les instructions sur le mappage des attributs LDAPv3 ou la connexion à
un annuaire Active Directory, reportez-vous au document Administration d’Open Directory.
Chapitre 4 Configuration des comptes utilisateur 61
Pour créer un compte utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Assurez-vous que les services d’annuaire de l’ordinateur Mac OS X Server que vous utilisez
sont configurés pour accéder au domaine d’annuaire.
Pour obtenir les instructions, reportez-vous au document Administration d’Open Directory.
3 Cliquez sur l’icône représentant un globe puis choisissez le domaine où vous souhaitez
que le compte utilisateur réside.
Pour Mac OS X Server 10.5 ou ultérieur, Local et /Local/Default se réfèrent au domaine
d’annuaire local.
4 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe d’un
administrateur du domaine d’annuaire.
5 Sélectionnez Serveur > Nouvel utilisateur ou cliquez sur Nouvel utilisateur dans la barre
d’outils.
6 Dans les sous-fenêtres qui s’affichent, précisez les réglages de l’utilisateur.
Pour de plus amples détails, reportez-vous aux rubriques allant de « Gestion des réglages élémentaires » à la page 68 à « Utilisation des réglages Windows » à la page 94.
Vous pouvez également utiliser un préréglage ou un fichier importé pour créer un compte
utilisateur. Pour en savoir plus, reportez-vous aux rubriques « Utilisation des préréglages
pour créer des comptes » à la page 66 et « Importation de comptes à l’aide du Gestionnaire
de groupe de travail » à la page 307.
À partir de la ligne de commande
Vous pouvez également créer des comptes utilisateur à l’aide de la commande dscl
dans Terminal. Pour en savoir plus, reportez-vous au chapitre relatif aux utilisateurs
et aux groupes dans le document Administration en ligne de commande.
Modification des informations de compte utilisateur
Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier un compte utilisateur résidant dans un domaine Open Directory, le domaine d’annuaire local ou tout autre
domaine d’annuaire en lecture et écriture.
Vous pouvez modifier les comptes dans un domaine Open Directory si vous êtes autorisé
à administrer le domaine d’annuaire. Vous n’avez pas besoin des privilèges administrateur
serveur mais votre identifiant utilisateur doit posséder des privilèges administratif complets
ou limités (qui sont définis dans le Gestionnaire de groupe de travail, section Comptes,
sous-fenêtre Privilèges). Pour en savoir plus, consultez la rubrique « Utilisation de
privilèges » à la page 76.
62 Chapitre 4 Configuration des comptes utilisateur
Pour apporter des modifications à un compte utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Assurez-vous que les services d’annuaire de l’ordinateur Mac OS X Server que vous utilisez
sont configurés pour un accès au domaine d’annuaire voulu.
Pour obtenir les instructions, reportez-vous au document Administration d’Open Directory.
3 Cliquez sur l’icône représentant un globe, puis choisissez le domaine sur lequel réside
le compte utilisateur.
Si le domaine d’annuaire n’est pas répertorié, ajoutez-le au menu local en choisissant
Autre. Dans la boîte de dialogue qui s’affiche, sélectionnez le domaine puis cliquez sur OK.
4 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
5 Cliquez sur le bouton Utilisateurs et sélectionnez le compte utilisateur.
6 Dans les sous-fenêtres qui s’affichent, modifiez les réglages du compte utilisateur.
Pour de plus amples détails, reportez-vous aux rubriques allant de « Gestion des réglages
élémentaires » à la page 68 à « Utilisation des réglages Windows » à la page 94.
À partir de la ligne de commande
Vous pouvez également modifier les informations de compte utilisateur à l’aide de la commande dscl dans Terminal. Pour en savoir plus, reportez-vous au chapitre relatif aux utilisateurs et aux groupes dans le document Administration en ligne de commande.
Gestion des comptes utilisateur en lecture seule
Utilisez le Gestionnaire de groupe de travail pour consulter les informations relatives aux
comptes utilisateur stockés dans des domaines d’annuaire en lecture seule. Les domaines
d’annuaire en lecture seule incluent les domaines LDAPv2, les domaines LDAPv3 qui ne
sont pas configurés pour un accès en écriture et les fichiers de configuration BSD.
Pour gérer un compte utilisateur en lecture seule :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Assurez-vous que les services d’annuaire de l’ordinateur Mac OS X Server que vous utilisez
sont configurés pour un accès au domaine d’annuaire hébergeant le compte.
Pour en savoir plus sur la configuration de connexions serveur à l’aide de l’Utilitaire
d’annuaire, reportez-vous au document Administration d’Open Directory. Pour en savoir
plus sur les éléments de compte utilisateur devant faire l’objet d’un mappage, consultez l’annexe « Importation et exportation des informations sur les comptes. »
3 Cliquez sur l’icône représentant un globe, puis choisissez le domaine d’annuaire sur lequel
réside le compte utilisateur.
4 Dans les sous-fenêtres à l’écran, modifiez les réglages du compte utilisateur.
Pour de plus amples détails, reportez-vous aux rubriques allant de « Gestion des réglages élémentaires » à la page 68 à « Utilisation des réglages Windows » à la page 94.
Chapitre 4 Configuration des comptes utilisateur 63
Gestion des utilisateurs invités
Vous pouvez configurer certains services pour prendre en charge les utilisateurs invités, lesquels ne sont pas authentifiés car ils n’ont pas de nom d’utilisateur ou de mot
de passe valide. Vous n’avez pas besoin de créer un compte utilisateur pour prendre
en charge les utilisateurs invités.
Les services suivants peuvent être configurés pour prendre en charge l’accès des invités :
 Service de fichiers Apple. Voir Administration des services de fichiers.
 Service FTP. Voir Administration des services de fichiers.
 Service web. Voir Administration de technologies web.
 Services Windows. Voir Administration d’Open Directory.
Les utilisateurs qui se connectent à un serveur de façon anonyme sont limités aux fichiers,
dossiers et sites web dont les autorisations sont définies sur Tous.
Parmi les autres types de compte utilisateur invité, le compte utilisateur géré permet
de configurer facilement des ordinateurs publics ou des kiosques informatisés. Pour
en savoir plus sur ces types de comptes utilisateur, reportez-vous au chapitre 10,
« Gestion des préférences »
Gestion des comptes utilisateur Windows
Utilisez le Gestionnaire de groupe de travail pour modifier les mots de passe, les règles
d’établissement de mots de passe et d’autres réglages relatifs aux comptes utilisateur
Windows.
Les comptes utilisateur peuvent résider sur le domaine d’annuaire local d’un serveur,
un annuaire LDAP PDC Mac OS X Server ou tout autre système d’annuaire qui permet
un accès en lecture/écriture (et non pas un accès en lecture seule) tel qu’un annuaire
LDAP maître Open Directory ou Active Directory sur un serveur Windows.
Vous pouvez modifier les réglages de compte utilisateur dans l’annuaire LDAP PDC
Mac OS X Server, mais pas dans un annuaire LDAP en lecture seule BDC. Si vous
disposez d’un BDC, le serveur PDC réplique les modifications vers celui-ci.
Suppression d’un compte utilisateur
Vous pouvez utiliser le Gestionnaire de groupe de travail pour supprimer un compte
utilisateur stocké dans un domaine Open Directory, le domaine d’annuaire local ou
tout autre domaine d’annuaire en lecture et écriture.
AVERTISSEMENT : cette action est irréversible.
La suppression d’un compte utilisateur supprime également tous les courriers électroniques de l’utilisateur.
64 Chapitre 4 Configuration des comptes utilisateur
Pour supprimer un compte utilisateur à l’aide du Gestionnaire de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur à supprimer.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Sélectionnez Serveur > Supprimer les utilisateurs sélectionnés ou cliquez sur l’icône
Supprimer de la barre d’outils.
À partir de la ligne de commande
Vous pouvez également supprimer un compte utilisateur à l’aide de la commande dscl
dans le Terminal. Pour en savoir plus, reportez-vous au chapitre relatif aux utilisateurs
et aux groupes dans le document Administration en ligne de commande.
Désactivation d’un compte utilisateur
Pour désactiver un compte utilisateur, vous pouvez :
 désélectionner l’option « L’utilisateur peut accéder au compte » dans la sous-fenêtre
Élémentaires du Gestionnaire de groupe de travail ;
 supprimer le compte ;
 modifier le mot de passe de l’utilisateur pour une valeur inconnue ;
 définir les options de mot de passe pour désactiver l’accès. Celles-ci s’appliquent
aux comptes utilisateur avec un mot de passe de type Open Directory ou Shadow.
À partir de la ligne de commande
Vous pouvez également désactiver un compte utilisateur à l'aide des commandes dscl
et pwpolicy dans Terminal. Pour en savoir plus, reportez-vous au chapitre relatif aux
utilisateurs et aux groupes dans le document Administration en ligne de commande.
Gestion des préréglages
Les préréglages sont des modèles utilisés pour définir des attributs qui s’appliquent
aux nouveaux comptes utilisateur, de groupe ou de groupe d’ordinateurs.
Création d’un préréglage pour les comptes utilisateur
Vous pouvez créer des préréglages à utiliser lorsque vous créez des comptes utilisateur
dans un domaine d’annuaire.
Les préréglages sont stockés dans le domaine d’annuaire que vous consultez. Si vous
changez de domaine d’annuaire, les préréglages que vous avez créés dans le premier
domaine d’annuaire ne sont pas disponibles.
Chapitre 4 Configuration des comptes utilisateur 65
Pour créer un préréglage pour les comptes utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Cliquez sur l’icône représentant un globe, puis choisissez le domaine sur lequel réside
le compte utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Pour créer un préréglage utilisant des données d’un compte utilisateur existant, ouvrez
ce compte ; pour créer un préréglage entièrement nouveau, créez un compte utilisateur.
5 Si vous fondez le préréglage sur un compte existant, remplissez les champs avec les valeurs
dont vous voulez que les nouveaux comptes utilisateur héritent, puis supprimez les valeurs
que vous ne voulez pas spécifier d’avance.
Les attributs suivants peuvent être définis dans un préréglage de compte utilisateur :
ouverture de session simultanée, shell par défaut, commentaire, identifiant de groupe
principal, affichage d’une liste des membres d’un groupe, réglages de dossier de
départ, quota de disque, réglages de messagerie et réglages d’impression.
6 Cliquez sur Préférences.
7 Configurez les réglages que vous voulez que les préréglages définissent, puis cliquez
sur Comptes.
Une fois que vous avez configuré les réglages de préférences pour un préréglage,
vous devez revenir aux réglages Comptes pour enregistrer le préréglage.
8 Dans le menu local Préréglages, choisissez Enregistrer, saisissez un nom pour le préréglage,
puis cliquez sur OK.
Le préréglage est enregistré dans le domaine d’annuaire actif.
Utilisation des préréglages pour créer des comptes
Les préréglages fournissent un moyen rapide pour appliquer des réglages à un nouveau
compte. Après avoir appliqué le préréglage, vous pouvez continuer à modifier les réglages du nouveau compte, le cas échéant.
Vous pouvez utiliser des préréglages avec les comptes d’utilisateur, de groupe et de groupe
d’ordinateurs.
Les préréglages sont stockés dans le domaine d’annuaire que vous consultez. Si vous
changez de domaine d’annuaire, les préréglages que vous avez créés dans le premier
domaine d’annuaire ne sont pas disponibles.
Lorsque vous importez des comptes, vous pouvez appliquer un préréglage au compte
importé. Pour en savoir plus, consultez la rubrique « Importation de comptes à l’aide du
Gestionnaire de groupe de travail » à la page 307.
66 Chapitre 4 Configuration des comptes utilisateur
Pour créer un compte à l’aide d’un préréglage :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Cliquez sur l’icône représentant un globe puis choisissez le domaine d’annuaire où vous
souhaitez que le nouveau compte réside.
Assurez-vous que le domaine d’annuaire que vous choisissez contient le préréglage
que vous voulez utiliser.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur le bouton Utilisateurs, Groupes ou Groupes d’ordinateurs.
5 Dans le menu local Préréglages, choisissez un préréglage.
6 Pour créer des comptes, cliquez sur Nouvel utilisateur, Nouveau groupe ou Nouveau groupe
d’ordinateurs.
7 Ajoutez ou mettez à jour les valeurs des attributs.
Changement de nom des préréglages
Vous pouvez attribuer un nom aux préréglages pour vous aider à vous souvenir des réglages d’un modèle ou pour identifier le type de compte (utilisateur, de groupe ou d’ordinateurs) pour lequel le préréglage est le plus adapté.
Pour renommer un préréglage :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Cliquez sur l’icône représentant un globe, puis choisissez le domaine d’annuaire dont
vous voulez renommer le préréglage.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans le menu local Préréglages, choisissez Renommer le préréglage.
5 Choisissez un préréglage dans le menu local Renommer le préréglage, saisissez un nom,
puis cliquez sur OK.
Modification des préréglages
Si vous modifiez un préréglage, les modifications ne sont pas répercutées sur les comptes
qui ont été créés avec ce préréglage.
Pour modifier un préréglage, utilisez-le pour créer un compte, modifiez les champs
définis par le préréglage, puis enregistrez-le.
Pour modifier un préréglage :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Cliquez sur l’icône représentant un globe puis choisissez le domaine d’annuaire avec
le préréglage à modifier.
Chapitre 4 Configuration des comptes utilisateur 67
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur le bouton Utilisateurs, Groupes ou Groupes d’ordinateurs.
5 Dans le menu local Préréglages, choisissez un préréglage.
6 Pour créer des comptes, cliquez sur Nouvel utilisateur, Nouveau groupe ou Nouveau
groupe d’ordinateurs.
7 Modifiez les réglages de compte que vous voulez enregistrer dans le préréglage.
8 Après avoir effectué vos modifications, choisissez Enregistrer dans le menu local Prérégla-
ges, saisissez le nom du préréglage à modifier, cliquez sur OK puis sur Remplacer.
Suppression d’un préréglage
Si vous n’avez plus besoin d’un préréglage en particulier, vous pouvez le supprimer.
Pour supprimer un préréglage :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Cliquez sur l’icône représentant un globe puis choisissez le domaine d’annuaire avec
le préréglage à supprimer.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans le menu local Préréglages, choisissez Supprimer.
5 Sélectionnez le préréglage à supprimer, puis cliquez sur Supprimer.
Gestion des réglages élémentaires
Les réglages élémentaires sont un ensemble d’attributs qui doivent être définis pour tous
les utilisateurs.
Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Élémentaires du compte
utilisateur pour gérer les réglages de base.
Modification du nom des utilisateurs
Le nom d’utilisateur est le nom complet d’un utilisateur, Michel Durand par exemple
ou Anne Martin. (Le nom de l’utilisateur est parfois appelé nom complet ou nom réel.)
Les utilisateurs peuvent ouvrir une session à l’aide du nom d’utilisateur ou d’un nom
abrégé associé à leur compte.
Un nom d’utilisateur ne doit pas être composé de plus de 255 octets. Les noms d’utilisateur
complets pouvant prendre en charge différents jeux de caractères, le nombre maximal
de caractères qu’ils peuvent comporter va de 255 caractères romains à 63 caractères seulement (pour les jeux de caractères dont chaque caractère occupe jusqu’à 4 octets).
68 Chapitre 4 Configuration des comptes utilisateur
Utilisez le Gestionnaire de groupe de travail pour modifier le nom d’utilisateur d’un compte
stocké dans un domaine Open Directory, le domaine d’annuaire local ou sur un autre
domaine d’annuaire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire
de groupe de travail pour consulter le nom d’utilisateur dans tout domaine d’annuaire
accessible à partir du serveur que vous utilisez.
Pour manipuler le nom des utilisateurs à l’aide du Gestionnaire de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans le champ Nom (de la sous-fenêtre Élémentaires), vérifiez ou modifiez le nom
de l’utilisateur.
Par défaut, la valeur du nom est « Sans titre # » », où # est le numéro séquentiel généré
d’après le dernier numéro généré pour un utilisateur sans titre existant.
N’assignez pas le même nom à plusieurs utilisateurs. Le Gestionnaire de groupe de travail
ne vous permet pas d’assigner le même nom à plusieurs utilisateurs dans n’importe quel
domaine ou dans un domaine des règles de recherche. Toutefois, il ne peut pas détecter
si des doublons existent dans d’autres domaines.
Modification des noms abrégés
Un nom abrégé est un nom d’utilisateur qui a été réduit à une forme plus condensée,
telle que « mdurand » ou « annedurand ». Les utilisateurs peuvent ouvrir une session
à l’aide d’un nom abrégé ou du nom d’utilisateur associé à son compte. Mac OS X utilise le nom abrégé pour les dossiers de départ.
Lorsque Mac OS X créé un dossier de départ AFP réseau ou local pour l’utilisateur, il donne
au répertoire le nom abrégé de l’utilisateur. Pour en savoir plus sur les dossiers de départ,
reportez-vous au chapitre 7, « Configuration des dossiers de départ »
Vous pouvez posséder jusqu’à 16 noms abrégés associés à un compte utilisateur.
Par exemple, il peut s’avérer judicieux d’utiliser plusieurs noms abrégés comme
des alias pour les comptes de messagerie. Le premier nom abrégé est le nom utilisé
pour les dossiers de départ et les listes de membres de groupe hérités. Veillez à ne
pas réaffecter ce nom après avoir enregistré le compte utilisateur.
Le nom d’utilisateur abrégé peut contenir jusqu’à 255 caractères romains.Toutefois,
pour les clients exécutant Mac OS X 10.1.5 et antérieur, le premier nom du nom d’utilisateur
abrégé ne doit contenir que huit caractères tout au plus.
Chapitre 4 Configuration des comptes utilisateur 69
Pour le premier nom du nom abrégé de l’utilisateur, utilisez uniquement les caractères
suivants (les autres noms abrégés peuvent contenir n’importe quel caractère romain) :
 a à z
 A à Z
 0 à 9
 _ (trait de soulignement)
 - (trait d’union)
Généralement, les noms abrégés contiennent huit caractères maximum.
Par défaut, la valeur du premier nom abrégé est « Sans titre_# », où # est le numéro
séquentiel généré après le dernier numéro généré pour un utilisateur sans titre existant.
N’assignez pas le même nom à plusieurs utilisateurs. Le Gestionnaire de groupe de travail
ne vous permet pas d’assigner le même nom à plusieurs utilisateurs dans un domaine
ou dans les règles de recherche dans un domaine. Toutefois, il ne peut pas détecter si
des doublons existent dans d’autres domaines.
Une fois que le compte de l’utilisateur est enregistré, vous ne pouvez pas modifier
le premier nom abrégé mais vous pouvez modifier tous les autres noms abrégés.
Utilisez le Gestionnaire de groupe de travail pour modifier le nom abrégé d’un compte
stocké dans un domaine Open Directory, le domaine d’annuaire local ou sur un autre
domaine d’annuaire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire
de groupe de travail pour consulter le nom abrégé dans tout domaine d’annuaire
accessible à partir du serveur que vous utilisez.
Pour manipuler le nom abrégé d’un utilisateur à l’aide du Gestionnaire de groupe
de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans le champ Noms abrégés de la sous-fenêtre Élémentaires, passez en revue
ou modifiez les noms abrégés.
Objectif Opération
Modifier un nom abrégé Double-cliquez sur le nom abrégé, puis remplacez-le.
Ajouter un nom abrégé Double-cliquez sur l’entrée vide dans la partie inférieure
de la liste des noms abrégés, puis saisissez un nom abrégé.
70 Chapitre 4 Configuration des comptes utilisateur
Choix de noms abrégés stables
Lorsque vous créez un compte d’utilisateur, affectez à celui-ci un nom abrégé peu susceptible d’être modifié. Une fois que le compte de l’utilisateur est créé, vous ne pouvez
pas utiliser la sous-fenêtre Élémentaires du Gestionnaire de groupe de travail pour
modifier le premier nom du nom abrégé d’un utilisateur.
Pour modifier le premier nom, créez un compte pour l’utilisateur dans le même
domaine d’annuaire contenant le nouveau premier nom abrégé et reprenez toutes
les autres informations du compte (identifiant utilisateur, groupe principal, dossier
de départ, etc.). Assurez-vous que vous utilisez le même GUID pour le nouveau compte.
Désactivez ensuite l’accès à l’ancien compte utilisateur.
Après avoir désactivé l’accès de l’ancien compte, l’utilisateur peut ouvrir une session
à l’aide du nom modifié et dispose toujours du même accès aux fichiers et aux autres
ressources réseau qu’avant et est alors membre des mêmes groupes.
Pour en savoir plus, reportez-vous aux rubriques « Utilisation des GUID » à la page 97
et « Désactivation d’un compte utilisateur » à la page 65.
Problèmes liés aux noms dupliqués
Le nom abrégé d’un utilisateur est utilisé dans la fenêtre d’ouverture de session. En d’autres
termes, si plusieurs utilisateurs ont le même nom abrégé, des conflits surviennent. Même
si vous ne pouvez pas créer plusieurs utilisateurs avec le même nom abrégé dans la sousfenêtre Élémentaires du Gestionnaire de groupe de travail, il est toujours possible de créer
plusieurs utilisateurs avec le même nom abrégé lorsque vous utilisez les outils en ligne de
commande ou l’inspecteur.
Si plusieurs comptes utilisateur présentent le même nom d’utilisateur complet sur un
ordinateur Mac OS X, la fenêtre d’ouverture de session affiche une liste des utilisateurs
parmi lesquels choisir.
Si deux utilisateurs possèdent le même premier nom du nom abrégé, la fenêtre
d’ouverture de session ne reconnaît et n’authentifie que le premier compte utilisateur
correspondant trouvé dans la séquence de domaines d’annuaire spécifiés par les règles
de recherche de l’ordinateur, comme défini dans l’Utilitaire d’annuaire.
Si un utilisateur local et un utilisateur réseau possèdent le même premier nom d’utilisateur abrégé, l’utilisateur local prévaut toujours et l’utilisateur réseau ne peut alors plus
ouvrir de session sur l’ordinateur.
Dans des groupes créés à l’aide de versions antérieures à 10.4 de Mac OS X, l’appartenance à un groupe est déterminée par le premier nom abrégé de l’utilisateur et l’identifiant du groupe (GID). Si plusieurs utilisateurs présentent le même premier nom du nom
abrégé, ils doivent alors appartenir au même groupe.
Chapitre 4 Configuration des comptes utilisateur 71
Dans des groupes créés à l’aide de Mac OS X 10.4 ou ultérieur, l’appartenance à un
groupe est déterminée par le GUID ainsi que l’association du premier nom abrégé
de l’utilisateur et l’identifiant du groupe GID.Pour en savoir plus sur les GUID, reportezvous à la rubrique « Utilisation des GUID » à la page 97.
Si vous ne mettez pas à niveau les groupes hérités, les groupes déterminent néanmoins l’appartenance en fonction du premier nom dans le nom abrégé de l’utilisateur
et en fonction du GID. Pour retrouver les instructions sur la mise à niveau des groupes
hérités, reportez-vous à la rubrique « Mise à niveau des groupes hérités » à la page 105.
Pour vous assurer que les utilisateurs se voient hériter du groupe adéquat, n’utilisez
pas de noms abrégés d’utilisateur en double.
Modification des identifiants d’utilisateur
Un identifiant d’utilisateur est un nombre qui identifie un utilisateur de façon unique.
Les ordinateurs Mac OS X utilisent l’identifiant d’utilisateur pour contrôler que des
dossiers et des fichiers sont détenus par un utilisateur.
Lorsqu’un utilisateur crée un dossier ou un fichier, son identifiant est stocké de façon
à indiquer que l’utilisateur est celui qui a créé le fichier ou le dossier. Cet identifiant
d’utilisateur se voit attribué des autorisations en lecture et en écriture sur le dossier
ou le fichier par défaut.
L’identifiant doit correspondre à une chaîne unique composée de chiffres compris
entre 500 et 2 147 483 647. Assigner le même identifiant d’utilisateur à plusieurs utilisateurs peut s’avérer risqué, car deux utilisateurs avec le même identifiant d’utilisateur
bénéficient alors des autorisations identiques sur les répertoires et les fichiers.
Les identifiants entre 0 et 100 sont réservés à l’utilisation du système et ne doivent pas être
supprimés ou modifiés sauf pour modifier le mot de passe de l’utilisateur root. Les comptes
présentant un identifiant d’utilisateur inférieur à 100 ne sont pas répertoriés dans la fenêtre
d’ouverture de session.
En général, une fois que les identifiants d’utilisateur sont assignés et que les utilisateurs
commencent à créer des fichiers et des dossiers, les identifiants ne devraient pas être
modifiés. Toutefois, il existe un cas où vous pouvez être amené à modifier un identifiant
d’utilisateur : lorsque vous fusionnez des utilisateurs qui ont été créés sur plusieurs serveurs avec ceux d’un autre serveur ou d’une autre grappe de serveurs. Il se peut que
le même identifiant d’utilisateur soit associé à deux utilisateurs différents entre le serveur
choisi et le précédent.
Lorsque vous créez un compte utilisateur dans un domaine d’annuaire partagé, le Gestionnaire de groupe de travail affecte un identifiant d’utilisateur. La valeur assignée est un identifiant d’utilisateur non utilisé (1025 ou plus) dans les règles de recherche du serveur.
(Les utilisateurs créés à l’aide de la sous-fenêtre Comptes des Préférences Système se voient
assigner un identifiant d’utilisateur à partir de 501.)
72 Chapitre 4 Configuration des comptes utilisateur
Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier l’identifiant
d’utilisateur d’un compte stocké dans un domaine Open Directory ou dans le domaine
d’annuaire local. Vous pouvez également utiliser le Gestionnaire de groupe de travail
pour consulter l’identifiant d’utilisateur dans tout domaine d’annuaire accessible à partir du serveur que vous utilisez.
Pour modifier un identifiant d’utilisateur à l’aide du Gestionnaire de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner un compte, cliquez sur l’icône représentant un globe au-dessus
de la liste de comptes, choisissez le domaine d’annuaire sur lequel réside le compte
de l’utilisateur, puis sélectionnez l’utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans la sous-fenêtre Élémentaires, spécifiez une valeur dans le champ Identifiant
d’utilisateur.
Assurez-vous que la valeur est unique pour tous les domaines d’annuaire définis dans
les règles de recherche des ordinateurs auxquels l’utilisateur accède. Le Gestionnaire
de groupe de travail vous avertit si vous remplacez la valeur par un identifiant d’utilisateur existant dans le même domaine d’annuaire. Pour rechercher rapidement tous
les identifiants d’utilisateur existants, sélectionnez Présentation > Afficher les utilisateurs et groupes du système, cliquez sur l’en-tête de la colonne UID dans la liste
des comptes pour trier les comptes par identifiant d’utilisateur.
Affectation d’un mot de passe à un utilisateur
Lorsque vous créez un compte utilisateur, vous devez affecter un mot de passe à l’utilisateur. Vous pouvez réinitialiser le mot de passe de l’utilisateur en remplaçant le champ
de mot de passe par un nouveau mot de passe.
Pour en savoir plus sur le choix de mots de passe sécurisés, reportez-vous au document
Configuration de la sécurité Mac OS X.
Lorsque vous exportez les comptes utilisateur à l’aide du Gestionnaire de groupe de travail, les informations relatives aux mots de passe ne sont pas exportées. Si vous voulez
définir des mots de passe, vous pouvez modifier le fichier d’exportation avant de l’importer ou vous pouvez définir des mots de passe après l’importation. Vous pouvez également
créer manuellement un fichier d’importation (sous forme de texte délimité) et y inclure
des mots de passe.
Pour en savoir plus sur l’importation de comptes utilisateur, reportez-vous à la rubrique
« Éléments pouvant être importés et exportés » à la page 305.
Chapitre 4 Configuration des comptes utilisateur 73
Pour affecter un mot de passe :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner un compte, cliquez sur l’icône représentant un globe au-dessus de la liste
de comptes, choisissez le domaine d’annuaire sur lequel réside le compte de l’utilisateur,
puis sélectionnez l’utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans la sous-fenêtre Élémentaires, saisissez un mot de passe dans le champ Mot
de passe, saisissez-le à nouveau dans le champ Confirmer, puis cliquez sur Enregistrer.
Affectation de privilèges administrateur sur un serveur
Un utilisateur disposant de privilèges d’administrateur sur un serveur contrôle la plupart
des réglages de configuration de ce dernier et peut utiliser les applications (telles qu’Admin
Serveur) nécessitant qu’un utilisateur soit membre du groupe d’administrateurs du serveur.
Vous pouvez utiliser le Gestionnaire de groupe de travail pour assigner des privilèges
d’administrateur sur un serveur à un utilisateur disposant d’un compte stocké dans
un domaine Open Directory. Vous pouvez également utiliser le Gestionnaire de groupe
de travail pour vérifier les privilèges administrateur sur le serveur dans n’importe quel
domaine d’annuaire accessible à partir du serveur que vous utilisez.
Pour définir les privilèges administrateur sur un serveur dans le Gestionnaire
de groupe de travail :
1 Ouvrez le Gestionnaire de groupe de travail en spécifiant le nom ou l’adresse IP du serveur
pour lequel vous voulez accorder des privilèges administrateur.
2 Cliquez sur Comptes.
3 Cliquez sur l’icône représentant un globe et choisissez Local.
4 Cliquez sur le cadenas et saisissez le nom et le mot de passe d’un administrateur local.
5 Cliquez sur l’icône représentant un globe, puis choisissez le domaine d’annuaire sur lequel
réside le compte utilisateur.
6 Cliquez sur le cadenas et saisissez le nom et le mot de passe d’un administrateur
de domaine d’annuaire.
7 Pour accorder des privilèges administrateur sur le serveur, dans la sous-fenêtre Élémentai-
res, sélectionnez « L’utilisateur peut administrer ce serveur ».
À partir de la ligne de commande
Vous pouvez également définir les privilèges administrateur sur le serveur à l’aide de
la commande
dscl dans Terminal. Pour en savoir plus, reportez-vous au chapitre relatif
aux utilisateurs et aux groupes dans le document Administration en ligne de commande.
74 Chapitre 4 Configuration des comptes utilisateur
Choix de la photo d’ouverture de session d’un utilisateur
Vous pouvez modifier l’image d’ouverture de session d’un utilisateur à l’aide du
Gestionnaire de groupe de travail. Cette image représente l’utilisateur dans la fenêtre
d’ouverture de session, dans l’application Annuaire et dans les services web du groupe,
elle est aussi l’icône de contact de l’utilisateur dans iChat.
Bien qu’il vous soit théoriquement possible d’utiliser un fichier image de n’importe quelle
taille, il est recommandé que l’image soit de 64 x 64 pixels. Si vous utilisez une image de
taille supérieure, redimensionnez-la et rognez-la dans le Gestionnaire de groupe de travail.
Pour modifier une image d’ouverture de session d’un utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner un compte, cliquez sur l’icône représentant un globe au-dessus de la liste
de comptes, choisissez le domaine d’annuaire sur lequel réside le compte de l’utilisateur,
puis sélectionnez l’utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans la sous-fenêtre Élémentaires, cliquez sur la zone de l’image dans la partie supérieure
droite, puis choisissez « Modifier l’image » pour ouvrir la fenêtre « Photo de l’utilisateur ».
5 Dans la fenêtre « Photo de l’utilisateur », cliquez sur Choisir, sélectionnez un fichier
image, puis cliquez sur Ouvrir.
Vous pouvez également faire glisser un fichier image depuis le Finder ou Safari et le relâchez dans la zone d’image dans le Gestionnaire de groupe de travail ou dans la zone
principale de la fenêtre « Photo de l’utilisateur ».
Si vous disposez d’une iSight, vous pouvez cliquer sur le bouton représentant un appareil
photo pour prendre un instantané.
6 Utilisez le curseur pour effectuer un zoom avant et arrière de votre photo et faites glisser
votre photo afin que le point focal soit placé dans le carré central, puis cliquez sur Définir.
La photo de l’utilisateur correspond alors à l’image située dans le carré central.
7 Cliquez sur Enregistrer.
Chapitre 4 Configuration des comptes utilisateur 75
Utilisation de privilèges
Vous pouvez donner à un compte utilisateur le contrôle intégral ou limité sur l’administration du domaine. Lorsque vous disposez d’un contrôle administratif limité, vous pouvez choisir quels utilisateurs et quels groupes l’utilisateur peut administrer, et le type
de contrôle dont il bénéficie sur ces utilisateurs et ces groupes.
Vous pouvez modifier les privilèges de domaine d’un utilisateur pour les domaines
Open Directory. Vous ne pouvez pas modifier les privilèges d’un compte utilisateur
local ou un compte stocké dans des domaines qui ne sont pas Open Directory.
Les administrateurs intégraux et limités doivent utiliser le Gestionnaire de groupe
de travail pour administrer et gérer les utilisateurs.
Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Privilèges du compte
utilisateur pour définir les privilèges.
Suppression des privilèges d’un utilisateur pour l’administration
Les utilisateurs sans privilèges d’administration peuvent passer par le Gestionnaire
de groupe de travail pour afficher (et non pour modifier) les comptes dans un domaine
d’annuaire.
Vous pouvez modifier les privilèges de domaine d’un utilisateur pour les domaines LDAPv3.
Vous ne pouvez pas modifier les privilèges d’un compte utilisateur local ou un compte
stocké dans un domaine d’annuaire non-LDAPv3.
Pour retirer des privilèges d’administration à un utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner un compte, cliquez sur l’icône représentant un globe au-dessus de la liste
de comptes, choisissez le domaine d’annuaire sur lequel réside le compte de l’utilisateur,
puis sélectionnez l’utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans Privilèges, choisissez Aucun dans le menu local Capacités d’administration,
puis cliquez sur Enregistrer.
76 Chapitre 4 Configuration des comptes utilisateur
Attribution de capacités d’administration limitées à un utilisateur
Vous pouvez offrir à des utilisateurs, qui n’ont pas besoin d’un contrôle d’administration complet, la capacité d’effectuer des tâches d’administration courantes en leur
donnant un contrôle administratif limité.
Par exemple, vous cherchez à permettre aux étudiants d’une salle informatique de réinitialiser le mot de passe d’autres étudiants sans modifier les groupes auxquels ils appartiennent.
De la même façon, vous voulez autoriser le personnel scolaire à modifier les informations
d’utilisateur des étudiants mais pas leurs préférences gérées.
Lorsqu’un utilisateur possède un contrôle limité de l’administration, après s’être
authentifié dans le Gestionnaire de groupe de travail, l’interface du Gestionnaire
de groupe de travail n’autorise que les utilisateurs à effectuer des tâches assignées
à l’administrateur limité.
Les tâches suivantes peuvent être assurées par les administrateurs limités :
Tâche Description
Gestion du mot de passe
des utilisateurs
Modification
des préférences gérées
Modification des informations
sur l’utilisateur
Modification de l’appartenance
à un groupe
Modifiez le mot de passe d’un utilisateur dans la sous-fenêtre
Élémentaires du compte utilisateur. Un administrateur limité
ne peut pas modifier le mot de passe d’un administrateur complet.
Modifiez les réglages de préférences gérées.
Modifiez les données dans sous-fenêtre Infos du compte
de l’utilisateur.
Modifiez les données dans la sous-fenêtre Groupes d’un compte utilisateur ou dans la sous-fenêtre Membres d’un compte de groupe.
Si vous donnez à un utilisateur plusieurs capacités d’administration sur des niveaux
de compte différents, ces capacités sont fusionnées.
Par exemple, admettons qu’un utilisateur nommé Anne Martin est membre du groupe
Algebra 101 et que le groupe Algèbre 101 est membre du groupe Toutes les classes.
Admettons aussi que vous donnez à un autre utilisateur, Michel Durand, le contrôle
administratif suivant :
 les droits « Gérer les mots de passe des utilisateurs » pour tous les utilisateurs
et tous les groupes ;
 les droits « Modifier les préférences gérées » pour le groupe Toutes les classes ;
 les droits « Modifier les informations sur les utilisateurs » pour le groupe Algèbre 101 ;
 les droits « Modifier les adhésions de groupe » pour le compte utilisateur d’Anne Martin.
Michel Durand possède les quatre capacités du compte utilisateur d’Anne Martin.
Vous pouvez modifier les privilèges de domaine d’un utilisateur pour les domaines
LDAPv3. Vous ne pouvez pas modifier les privilèges d’un compte utilisateur local
ou un compte stocké dans un domaine d’annuaire non-LDAPv3.
Chapitre 4 Configuration des comptes utilisateur 77
Pour ajouter des capacités limitées en administration :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner un compte, cliquez sur l’icône représentant un globe au-dessus
de la liste de comptes, choisissez le domaine d’annuaire sur lequel réside le compte
de l’utilisateur, puis sélectionnez l’utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans Privilèges, choisissez Limité puis dans le menu local Capacités d’administration.
5 Pour contrôler le niveau d’administration d’utilisateurs ou de groupe, cliquez sur
le bouton Ajouter (+) et faites glisser les utilisateurs et les groupes du volet vers la liste
« L’utilisateur peut administrer ».
6 Sélectionnez un utilisateur ou un groupe dans la liste « L’utilisateur peut administrer »,
puis sélectionnez les capacités d’administration que vous voulez que l’administrateur
limité possède.
Pour accorder le contrôle de l’administration à tous les utilisateurs et à tous les groupes,
sélectionnez « Tous les utilisateurs et groupes », puis sélectionnez les capacités d’administration.
7 Cliquez sur Enregistrer.
Attribution de capacités d’administration intégrales à un utilisateur
Un utilisateur bénéficiant de capacités d’administration est également appelé un administrateur de domaine d’annuaire. Les administrateurs de domaine d’annuaire peuvent modi-
fier toutes les fiches du domaine d’annuaire et sont les seuls utilisateurs qui peuvent
modifier les mots de passe d’autres administrateurs de domaine d’annuaire.
Vous pouvez modifier les privilèges de domaine d’un utilisateur pour les domaines
LDAPv3. Vous ne pouvez pas modifier les privilèges d’un compte utilisateur local
ou un compte stocké dans un domaine d’annuaire non-LDAPv3.
Pour modifier les privilèges d’administration d’un utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner un compte, cliquez sur l’icône représentant un globe au-dessus
de la liste de comptes, choisissez le domaine d’annuaire sur lequel réside le compte
de l’utilisateur, puis sélectionnez l’utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans Privilèges, choisissez Intégral dans le menu local Capacités d’administration,
puis cliquez sur Enregistrer.
78 Chapitre 4 Configuration des comptes utilisateur
Utilisation de réglages avancés
Les réglages avancés incluent les réglages d’ouverture de session, les mots-clés, le type de
mot de passe et les commentaires sur lesquels vous pouvez effectuer des recherches. Dans
le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Avancés du compte utilisateur
pour utiliser les réglages avancés.
Activation du calendrier d’un utilisateur
Si votre serveur iCal active des calendriers utilisateur spécifiques, vous pouvez configurer des comptes utilisateur pour utiliser le serveur iCal. Lorsque des utilisateurs utilisent
iCal pour ouvrir une session sur le serveur, ils peuvent accéder à leurs calendriers.
Pour activer le calendrier d’un utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner un compte, cliquez sur l’icône représentant un globe au-dessus
de la liste de comptes, choisissez le domaine d’annuaire sur lequel réside le compte
de l’utilisateur, puis sélectionnez l’utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans Avancé, sélectionnez « Activer l’échange de données de calendrier sur »,
choisissez un serveur dans le menu local, puis cliquez sur Enregistrer.
Autorisation d’un utilisateur à ouvrir une session sur plusieurs d’un ordinateur simultanément
Vous pouvez autoriser un utilisateur géré à ouvrir une session sur plus d’un ordinateur
géré simultanément, ou vous pouvez au contraire l’en empêcher.
Remarque : l’ouverture de session simultanée n’est pas recommandée à la plupart
des utilisateurs. Il peut s’avérer judicieux de réserver des privilèges d’ouverture de
session simultanée aux techniciens, enseignants et autres utilisateurs bénéficiant
de privilèges administrateur. (Si un utilisateur dispose d’un dossier de départ sur
le réseau, il s’agit de l’emplacement où les préférences d’application et les documents
de l’utilisateur sont stockés. L’ouverture de session simultanée peut modifier ces éléments, et bon nombre d’applications ne prennent pas en charge de telles modifications lorsque les applications sont ouvertes.)
Vous pouvez uniquement désactiver l’ouverture de session simultanée pour les utilisateurs
avec des dossiers de départ AFP.
Chapitre 4 Configuration des comptes utilisateur 79
Pour autoriser un utilisateur à ouvrir une session sur plus d’un ordinateur
simultanément :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Avancé.
5 Sélectionnez « Autoriser des ouvertures de session simultanées sur des ordinateurs gérés ».
Choix d’un shell par défaut
Vous pouvez modifier le shell par défaut dont l’utilisateur se sert pour les interactions
en ligne de commande avec Mac OS X, /bin/tcsh ou /bin/bash par exemple (par défaut).
Le shell par défaut est utilisé par l’application Terminal sur l’ordinateur sur lequel l’utilisateur a ouvert une session, mais Terminal intègre une préférence qui vous permet
de remplacer le shell par défaut. Le shell par défaut est utilisé par le protocole SSH
(secure shell) lorsque l’utilisateur ouvre une session sur un ordinateur Mac OS X distant.
Remarque : Terminal présente une préférence qui permet à l’utilisateur de remplacer
le shell par défaut.
Pour choisir un shell par défaut :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Pour spécifier le shell par défaut de l’utilisateur lorsqu’il ouvre une session sur un ordina-
teur Mac OS X, choisissez un shell dans le menu local Shell de connexion.
Pour spécifier un shell qui n’apparaît pas dans la liste, choisissez Personnalisé, puis saisissez
le chemin vers le shell.
Pour vous assurer qu’un utilisateur n’a pas accès au serveur distant à l’aide de la ligne
de commande, choisissez Aucun.
80 Chapitre 4 Configuration des comptes utilisateur
Choix d’un type de mot de passe et définition des options de mot de passe
Pour les comptes utilisateur dans l’annuaire LDAP d’un serveur Open Directory, vous pouvez définir un mot de passe de type Open Directory ou Crypté (chiffré). Les comptes utilisateur dans le domaine d’annuaire local disposent d’un mot de passe de type Shadow.
Lorsque vous définissez le type de mot de passe sur « Mot de passe Shadow » ou sur
Open Directory, vous pouvez définir plusieurs options de règles de mot de passe, notamment désactiver l’ouverture de session après une période d’inactivité ou après un certain
nombre de tentatives d’authentification échouées, ou encore définir des restrictions
applicables aux mots de passe (par exemple, une certaine longueur de mot de passe
ou que celui-ci soit modifié à la prochaine ouverture de session).
Si vous définissez le type de mot de passe sur « Mot de passe Shadow », vous pouvez
également définir les options de sécurité pour contrôler quels modes d’authentification sont utilisés lors de la validation du mot de passe de l’utilisateur.
Vous pouvez également assigner le type Open Directory au mot de passe si le compte
administrateur d’annuaire avec lequel vous vous authentifiez exploite également ce type
de mot de passe.
Les utilisateurs Windows doivent posséder un mot de passe Open Directory pour l’ouverture de session d’un domaine Windows.
Pour des explications détaillées sur les types de mots de passe, les options de règles
d’établissement de mots de passe et les options relatives à la sécurité, reportez-vous
au document Administration d’Open Directory.
Pour choisir un type de mot de passe utilisateur et définir les options de mot de passe :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Avancé.
5 Dans le menu local « Type du mot de passe », choisissez « Mot de passe Shadow »,
Open Directory ou Crypté (chiffré).
Lorsque vous choisissez un type de mot de passe, une invite peut apparaître et vous
demander de saisir un mot de passe, selon que vous avez déjà saisi un mot de passe
dans la sous-fenêtre Élémentaires.
Chapitre 4 Configuration des comptes utilisateur 81
Si vous choisissez Open Directory ou « Mot de passe Shadow », vous pouvez définir
des règles de mot de passe pour les utilisateurs sélectionnés en cliquant sur Options,
en choisissant parmi les options, puis en cliquant sur OK.
Si vous choisissez « Mot de passe Shadow », vous pouvez également sélectionner
les modes d’authentification en cliquant sur Sécurité.
6 Cliquez sur Enregistrer.
Création d’une liste principale de mots-clés
Vous pouvez définir des mots-clés permettant une recherche rapide et le tri des comptes
utilisateur. L’utilisation de mots-clés permet de simplifier des tâches telles que la création
de groupes ou la modification de plusieurs comptes utilisateur.
Avant de pouvoir ajouter des mots-clés aux fiches utilisateur, vous devez créer une liste
principale de mots-clés. La liste des mots-clés affichés dans la sous-fenêtre Avancé pour
un utilisateur sélectionné s’applique uniquement à cet utilisateur.
Chaque domaine d’annuaire dispose de sa propre liste principale de mots-clés. Par exemple, si vous ajoutez un mot-clé à la liste principale de mots-clés du domaine d’annuaire
local, il ne peut pas être disponible dans un autre domaine d’annuaire à moins que vous
l’ajoutiez à la liste principale de mots-clés de celui-ci.
Pour modifier la liste principale des mot-clés :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Avancé et faites votre choix :
Objectif Opération
Afficher la liste principale
de mots-clés, qui répertorie
tous les termes disponibles
servant de mots-clés
Ajouter un mot-clé à la liste
de maîtres
82 Chapitre 4 Configuration des comptes utilisateur
Cliquez sur le bouton Modifier (représentant un crayon).
Vous pouvez accéder et modifier la liste des mots-clés
maîtres depuis n’importe quel compte utilisateur sélectionné.
Cliquez sur le bouton Ajouter (+) et saisissez le mot-clé
dans le champ de texte.
Objectif Opération
Supprimer un mot-clé de la liste
de maîtres et de tous les comptes
utilisateur et d’ordinateur dans
lesquels il apparaît
Supprimer un mot-clé
uniquement de la liste
de maîtres
Sélectionnez le mot-clé, puis « Effacer les mots-clés supprimés
des utilisateurs et des ordinateurs », puis cliquez sur
le bouton Supprimer (–).
Désélectionnez l« Effacer les mots-clés supprimés des utilisateurs
et des ordinateurs », sélectionnez le mot-clé que vous voulez
supprimer, puis cliquez sur le bouton Supprimer (–).
5 Lorsque vous avez terminé de modifier la liste principale, cliquez sur OK.
Application de mots-clés aux comptes utilisateur
Vous pouvez supprimer un mot-clé de tous les comptes utilisateur qui le contiennent.
Toutefois, vous pouvez uniquement ajouter des mots-clés à un compte utilisateur à la fois.
Pour utiliser des mots-clés pour un compte utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Avancé et faites votre choix :
Objectif Opération
Ajouter un mot-clé au compte
sélectionné
Supprimer un mot-clé d’un
compte utilisateur donné
Cliquez sur le bouton Ajouter (+) pour afficher la liste des mots-clés
disponibles, sélectionnez des mots-clés dans la liste, puis cliquez
sur OK.
Sélectionnez le mot-clé que vous voulez supprimer et cliquez
sur le bouton Supprimer (–).
5 Une fois terminé d’ajouter ou de supprimer des mots-clés pour le compte utilisateur
sélectionné, cliquez sur Enregistrer.
Modification de commentaires
Vous pouvez enregistrer un commentaire dans le compte d’un utilisateur pour fournir
des informations utiles pour en assurer l’administration. Un commentaire ne peut
se constituer de plus de 32 767 octets.
Remarque : certains jeux de caractères utilisent des caractères qui occupent jusqu’à
4 octets. Cela réduit le nombre total de caractères que vous pouvez utiliser.
Chapitre 4 Configuration des comptes utilisateur 83
Vous pouvez utiliser le Gestionnaire de groupe de travail pour ajouter un commentaire
à un compte stocké dans un domaine Open Directory, le domaine d’annuaire local
ou tout autre domaine d’annuaire en lecture et écriture. Vous pouvez également utiliser le gestionnaire de groupe de travail pour consulter le commentaire dans tout
domaine d’annuaire accessible à partir du serveur que vous utilisez.
Pour manipuler un commentaire à l’aide du Gestionnaire de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Avancé et modifiez ou vérifiez le contenu du champ Commentaire.
Utilisation de réglages de groupe
Les réglages de groupe identifient les groupes auxquels un utilisateur appartient.
Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Réglages de groupe
dans le compte de l’utilisateur pour manipuler les réglages de groupe.
Pour en savoir plus sur l’administration des comptes de groupe, reportez-vous
au chapitre 5, « Configuration des comptes de groupe ».
Choix du groupe principal d’un utilisateur
Un groupe principal constitue le moyen le plus rapide pour déterminer si un utilisateur dispose d’autorisations de groupe pour un fichier. L’identifiant de groupe principal est utilisé
par le système de fichier lorsque l’utilisateur accède à un fichier dont il n’est pas le propriétaire. Le système de fichiers vérifie les autorisations de groupe du fichier et, si l’identifiant
de groupe principal de l’utilisateur correspond à celui du groupe associé au fichier, l’utilisateur hérite des autorisations d’accès du groupe.
Important : ne comptez pas sur l’adhésion au groupe principal lors de l’assignation
des autorisations de fichier. Même si vous pouvez transformer un groupe principal
en groupe hiérarchique ou en parent de groupes hiérarchiques, les autorisations liées
aux fichiers du groupe principal ne se propagent pas. Si le groupe principal d’un utilisateur est un groupe hiérarchique ou le parent d’un groupe hiérarchique, l’utilisateur se voit
attribuer des autorisations relatives aux fichiers uniquement pour le groupe principal.
Si l’utilisateur n’appartient à aucun autre groupe, le groupe principal prévaut. S’il sélectionne un autre groupe de travail lors de l’ouverture de session, il conserve les autorisations d’accès du groupe principal.
84 Chapitre 4 Configuration des comptes utilisateur
L’identifiant de groupe principal doit correspondre à une chaîne unique composée
de chiffres. Par défaut, l’identifiant de groupe principal est 20 (qui identifie le groupe
comme étant du « personnel »), mais vous pouvez modifier cette valeur. La valeur
maximale d’un identifiant de groupe est 2 147 483 647.
Utilisez le Gestionnaire de groupe de travail pour définir l’identifiant de groupe principal
d’un compte stocké dans un domaine Open Directory, le domaine d’annuaire local ou
sur un autre domaine d’annuaire en lecture/écriture. Vous pouvez également utiliser
le Gestionnaire de groupe de travail pour vérifier les informations de groupe principal
pour n’importe quel domaine d’annuaire accessible depuis le serveur que vous utilisez.
Pour définir un identifiant de groupe principal à l’aide du Gestionnaire de groupe
de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Groupes, puis modifiez ou vérifiez le champ « Id. du groupe principal ».
Le Gestionnaire de groupe de travail affiche les noms complets et abrégés composant
le groupe après que vous avez saisi un identifiant du groupe principal (si le groupe
existe et est accessible à travers les règles de recherche du serveur sur lequel vous
avez ouvert une session).
Vérification des adhésions aux groupes d’un utilisateur
Vous pouvez utiliser le Gestionnaire de groupe de travail pour passer en revue les groupes
auxquels un utilisateur appartient si le compte utilisateur réside dans un domaine
d’annuaire accessible depuis le serveur que vous utilisez.
Vous pouvez afficher tous les groupes auxquels l’utilisateur appartient et les groupes
parents de ces groupes.
Pour passer en revue les adhésions aux groupes à l’aide du Gestionnaire de groupe
de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
Chapitre 4 Configuration des comptes utilisateur 85
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Groupes.
À l’exception du groupe principal, tous les autres groupes auxquels l’utilisateur appartient
sont répertoriés dans la liste Autres groupes.
5 Pour afficher les groupes parents, cliquez sur « Afficher les groupes hérités ».
Les groupes parents s’affichent en italique.
Ajout d’un utilisateur à un groupe
Ajoutez un utilisateur à un groupe lorsque vous voulez que plusieurs utilisateurs disposent
des mêmes autorisations de fichiers, ou lorsque vous gérez leurs préférences Mac OS X
à l’aide des groupes de travail ou des groupes d’ordinateurs.
Par exemple, vous pouvez avoir des groupes pour des étudiants d’une salle de classe qui
ne sont pas autorisés à utiliser une imprimante en particulier, ou pour l’équipe du contrôle
qualité d’une usine qui requiert un accès aux rapports internes de différents groupes.
Les groupes peuvent inclure des utilisateurs et des groupes faisant partie d’un domaine
Open Directory ou du domaine d’annuaire local. Si vous utilisez un annuaire NFS, une
limite de 16 groupes s’applique.
Vous pouvez également ajouter des utilisateurs à un groupe à l’aide de la sous-fenêtre
Membres dans le compte de groupe.
Si un utilisateur est un membre direct de plusieurs groupes, il peut choisir le groupe pouvant acquérir des préférences gérées à partir de l’ouverture de session. Vous pouvez gérer
des préférences d’ouverture de session de façon à ce que les préférences soient combinées à partir de celles de tous les groupes de travail accessibles par l’utilisateur.
Remarque : il n’existe aucune limite au nombre de groupes auxquels un utilisateur peut
appartenir.
Pour ajouter un utilisateur dans un groupe à l’aide du Gestionnaire de groupe
de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
86 Chapitre 4 Configuration des comptes utilisateur
4 Cliquez sur Groupes, puis sur le bouton Ajouter (+).
Cette opération permet d’ouvrir un volet répertoriant les groupes définis dans
le domaine d’annuaire que vous utilisez.
5 Sélectionnez le groupe et faites-le glisser dans la liste Autres groupes de la sous-fenê-
tre Groupes.
Retrait d’un utilisateur d’un groupe
Vous pouvez utiliser le Gestionnaire de groupe de travail pour retirer un utilisateur
d’un groupe si les comptes utilisateur et de groupe résident dans un domaine
Open Directory ou dans le domaine d’annuaire local.
Pour retirer un utilisateur d’un groupe à l’aide du Gestionnaire de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur
dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Groupes.
5 Sélectionnez les groupes desquels vous voulez retirer l’utilisateur, puis cliquez sur
le bouton Supprimer (–).
Vous pouvez également retirer des utilisateurs d’un groupe à l’aide de la sous-fenêtre
Membres du compte des groupes.Pour en savoir plus, consultez la rubrique
« Suppression de membres d’un groupe » à la page 112.
Utilisation des réglages de dossier de départ
Les réglages de dossier de départ décrivent les attributs du dossier de départ d’un utilisateur. Si aucun point de partage n’est configuré pour héberger les dossiers de départ, vous
devez en configurer un. Pour configurer des points de partage, utilisez Admin Serveur.
Pour configurer des dossiers de départ, passez par le Gestionnaire de groupe de travail.
Pour en savoir plus sur la configuration des points de partage et des dossiers de départ,
reportez-vous au chapitre 7, « Configuration des dossiers de départ ».
Chapitre 4 Configuration des comptes utilisateur 87
Utilisation des réglages de messagerie
Vous pouvez créer un compte de messagerie en spécifiant les réglages de messagerie
dans le compte utilisateur. Pour utiliser le compte de service de messagerie, l’utilisateur
configure un client de messagerie pour identifier le nom de l’utilisateur, le mot de passe,
le service de messagerie et le protocole de messagerie que vous spécifiez dans les réglages de messagerie.
Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Courrier dans
le compte utilisateur pour utiliser les réglages de messagerie.
Pour plus d’informations sur la configuration et la gestion du service de messagerie
de Mac OS X Server, reportez-vous au document Administration du service de messagerie.
Activation des options de compte du service de messagerie
Vous pouvez utiliser le Gestionnaire de groupe de travail pour activer le service de messagerie et définir les options de messagerie d’un compte utilisateur stocké dans un domaine
Open Directory ou sur un autre domaine d’annuaire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour passer en revue les réglages de messagerie des comptes stockés dans un domaine d’annuaire accessible depuis le serveur que
vous utilisez.
Pour utiliser les options de compte de messagerie d’un utilisateur à l’aide
du Gestionnaire de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur
dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Courrier.
5 Pour autoriser l’utilisateur à utiliser le service de messagerie, sélectionnez Activé.
6 Dans les champs Serveur de messagerie, saisissez un nom ou une adresse de serveur
de messagerie valide pour le nom DNS ou saisissez l’adresse IP du serveur vers lequel
le courrier de l’utilisateur doit être dirigé.
Le Gestionnaire de groupe de travail ne vérifie pas ces informations.
7 Dans le champ Quota de courrier, saisissez une valeur pour spécifier l’espace maximal
en mégaoctets que peut occuper la boîte à lettres de l’utilisateur.
La valeur 0 (zéro) ou le champ laissé vide signifie qu’aucun quota n’est utilisé.
88 Chapitre 4 Configuration des comptes utilisateur
Lorsque l’espace du message de l’utilisateur approche ou dépasse le quota de courrier
que vous avez spécifié, le service affiche un message invitant l’utilisateur à supprimer
des messages pour libérer de l’espace. Le message affiche les informations sur le quota
en mégaoctets (Mo).
8 Pour identifier le protocole utilisé pour le compte de messagerie de l’utilisateur, sélection-
nez un réglage Accès au courrier : Post Office Protocol (POP), Internet Message Access
Protocol (IMAP) ou les deux.
9 Cliquez sur Enregistrer.
Désactivation du service de messagerie d’un utilisateur
Vous pouvez utiliser le Gestionnaire de groupe de travail pour désactiver le service
de messagerie des utilisateurs dont les comptes sont stockés dans un domaine Open
Directory, dans le domaine d’annuaire local ou dans un autre domaine d’annuaire
en lecture/écriture.
Pour désactiver le service de messagerie d’un utilisateur à l’aide du Gestionnaire
de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Courrier, sélectionnez Aucun, puis cliquez sur Enregistrer.
Réexpédition du courrier d’un utilisateur
Vous pouvez utiliser le Gestionnaire de groupe de travail pour configurer la réexpédition
du courrier des utilisateurs dont les comptes sont stockés dans un domaine Open Directory
ou dans le domaine d’annuaire local.
Pour réexpédier le courrier d’un utilisateur à l’aide du Gestionnaire de groupe
de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
Chapitre 4 Configuration des comptes utilisateur 89
4 Cliquez sur Courrier, sélectionnez Réexpédier, puis saisissez l’adresse de messagerie
de réexpédition dans le champ Réexpédier à.
Assurez-vous de saisir la bonne adresse. Le Gestionnaire de groupe de travail ne vérifie
pas si l’adresse existe.
5 Cliquez sur Enregistrer.
Utilisation des réglages Quota d’impression
Les réglages d’impression de l’utilisateur définissent la capacité de celui-ci à imprimer
vers les listes d’attente d’impression Mac OS X Server qui lui sont accessibles.
Pour en savoir plus sur la configuration de files d’attente d’impression, reportez-vous
au document Administration du service d’impression.
Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Quota d’impression
dans le compte utilisateur pour utiliser les réglages de quota d’impression.
Activation de l’accès d’un utilisateur à toutes les listes d’attente d’impression disponibles
Vous pouvez utiliser le Gestionnaire de groupe de travail pour autoriser un utilisateur
à imprimer toutes ou certaines des files d’attente d’impression Mac OS X accessibles
respectant ces quotas. Pour utiliser le Gestionnaire de groupe de travail afin de permettre l’accès aux files d’attente d’impression, le compte de l’utilisateur doit être stocké
dans un domaine Open Directory ou dans le domaine d’annuaire local.
Pour définir une file d’attente d’impression d’un utilisateur pour tous les quotas
régissant les files d’attente d’impression disponibles :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans Quota d’impression, sélectionnez « Toutes les files d’attente ».
5 Saisissez des valeurs pour le nombre maximal de pages que l’utilisateur peut imprimer
en un nombre de jours donné.
Pour que les réglages prennent effet, la file d’attente du service d’impression doit respecter ces quotas.
6 Cliquez sur Enregistrer.
90 Chapitre 4 Configuration des comptes utilisateur
Activation de l’accès d’un utilisateur à des listes d’attente d’impression données
Vous pouvez utiliser le Gestionnaire de groupe de travail pour autoriser un utilisateur
à imprimer toutes ou certaines des files d’attente d’impression Mac OS X accessibles
respectant ces quotas. Pour utiliser le Gestionnaire de groupe de travail afin de permettre l’accès aux files d’attente d’impression, le compte de l’utilisateur doit être stocké
dans un domaine Open Directory ou dans le domaine d’annuaire local.
Pour définir une file d’attente d’impression d’un utilisateur pour des quotas régissant
des files d’attente d’impression précises :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Dans Quota d’impression, sélectionnez « Par file d’attente ».
5 Si la file d’attente d’impression que vous voulez spécifier ne figure pas dans le menu
local « Nom de la file d’attente », cliquez sur Ajouter, saisissez le nom de la file d’attente,
puis spécifiez l’adresse IP ou le nom DNS du serveur sur lequel la liste d’attente est définie dans le champ Serveur d’impression.
Pour que vos réglages prennent effet, la file d’attente du service d’impression doit respecter ces quotas.
6 Pour donner à l’utilisateur des droits d’impression illimités, sélectionnez « Impression
illimitée » ; sinon, sélectionnez « Limiter à » et spécifiez le nombre maximal de pages
que l’utilisateur peut imprimer en un nombre de jours donné.
7 Cliquez sur Enregistrer.
Suppression d’un quota d’impression pour une file d’attente
Si vous n’avez plus besoin d’un quota d’impression pour une file d’attente, vous pouvez utiliser le Gestionnaire de groupe de travail pour supprimer le quota d’utilisateurs spécifiques.
Pour supprimer des quotas d’impression spécifiques, vous devez gérer les réglages
d’impression par file d’attente.
Pour supprimer le quota d’impression d’un utilisateur à l’aide du Gestionnaire
de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Chapitre 4 Configuration des comptes utilisateur 91
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez l’utilisateur
dans la liste.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Quota d’impression, puis sélectionnez « Par file d’attente ».
5 Choisissez la file d’attente d’impression que vous voulez supprimer pour un utilisateur
depuis le menu local « Nom de la file d’attente ».
6 Cliquez sur Supprimer, puis sur Enregistrer.
Réinitialisation du quota d’impression d’un utilisateur
Il arrive qu’un utilisateur dépasse son quota d’impression et qu’il ait besoin d’imprimer
d’autres pages. Par exemple, un administrateur peut avoir besoin d’imprimer un manuel
de 200 pages, mais le quota d’impression est fixé à 150 pages. De la même façon, un étudiant peut dépasser son quota en imprimant plusieurs versions révisées d’un même devoir.
Vous pouvez utiliser le Gestionnaire de groupe de travail pour réinitialiser le quota
d’impression d’un utilisateur et autoriser l’utilisateur à continuer d’imprimer.
Vous pouvez également étendre la limite de pages d’un utilisateur sans réinitialiser le délai
du quota en modifiant le nombre de pages autorisé pour l’utilisateur. Ainsi, le délai du
quota reste le même et n’est pas réinitialisé, mais le nombre de pages que l’utilisateur peut
imprimer pendant cette durée est ajusté à celles présente et future du quota d’impression.
Pour redémarrer le quota d’impression d’un utilisateur à l’aide du Gestionnaire
de groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Quota d’impression.
5 Si vous gérez « Toutes les files d’attente », cliquez sur « Redémarrer Quota d’impression ».
6 Si vous gérez « Par file d’attente », choisissez une file d’attente d’impression dans le menu
local « Nom de la file d’attente », puis cliquez sur « Redémarrer Quota d’impression ».
7 Pour augmenter ou réduire la limite de pages d’un utilisateur, saisissez un autre nombre
dans le champ « Limiter à ___ pages ».
8 Cliquez sur Enregistrer.
92 Chapitre 4 Configuration des comptes utilisateur
Désactivation de l’accès d’un utilisateur à toutes les listes d’attente
d’impression respectant les quotas
Vous pouvez utiliser le Gestionnaire de groupe de travail pour empêcher un utilisateur
d’imprimer vers des files d’attente d’impression Mac OS X accessibles respectant ces quotas.
Pour utiliser le Gestionnaire de groupe de travail afin de désactiver l’accès aux files
d’attente d’impression, le compte de l’utilisateur doit être stocké dans un domaine
Open Directory ou dans le domaine d’annuaire local.
Pour empêcher l’accès d’un utilisateur aux listes d’attente d’impression respectant
les quotas :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Quota d’impression, puis sélectionnez Aucun.
Utilisation des réglages Infos
Si le compte d’un utilisateur réside dans un domaine d’annuaire LDAPv3, il peut contenir
des informations importées du Carnet d’adresses.
Les attributs qui sont suivis dans la sous-fenêtre Infos incluent :
 Nom
 Adresse
 Numéro de téléphone
 Adresse électronique
 Noms de conversation
 URL du dossier de départ
 URL du journal web
Les autres utilisateurs peuvent voir les informations contenues dans cette sous-fenêtre
lorsqu’ils affichent le compte utilisateur dans le Gestionnaire de groupe de travail ou
dans l’annuaire.
Chapitre 4 Configuration des comptes utilisateur 93
Pour modifier les infos d’un utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Sélectionnez le compte utilisateur pour lequel vous souhaitez définir un quota de disque.
Pour sélectionner le compte, cliquez sur l’icône représentant un globe, choisissez
le domaine d’annuaire sur lequel réside le compte, puis sélectionnez le compte utilisateur dans la liste des comptes.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Infos, saisissez ou modifiez des valeurs, puis, une fois terminé, cliquez
sur Enregistrer.
Utilisation des réglages Windows
Les utilisateurs Windows disposent de réglages pour un dossier de départ Windows,
un profil utilisateur itinérant et un script d’ouverture de session Windows. Vous pouvez
modifier ces réglages dans la sous-fenêtre Windows du Gestionnaire de groupe de travail.
Vous pouvez modifier les réglages de compte utilisateur dans l’annuaire LDAP PDC
Mac OS X Server, mais pas dans un annuaire LDAP en lecture seule BDC. Si vous disposez
d’un BDC, le serveur PDC réplique les modifications vers celui-ci.
Modification de l’emplacement du profil d’un utilisateur Windows
Vous pouvez modifier l’emplacement dans lequel les réglages de profil d’un utilisateur
Windows sont stockés. Le profil inclut le dossier Mes documents de l’utilisateur, les favoris (les signets du navigateur web), les réglages de préférences (tels que le fond d’écran
et les événements sonores), etc.
Les profils des utilisateurs sont stockés dans le dossier /utilisateurs/Profiles/ du serveur
PDC. Il s’agit d’un point de partage SMB, bien qu’il ne s’affiche pas comme tel dans
le Gestionnaire de groupe de travail.
Vous pouvez désigner un autre emplacement pour un profil utilisateur, qui peut être
un point de partage sur le serveur PDC ou sur un serveur membre de domaine Windows.
Le point de partage doit être configuré de façon à utiliser le protocole SMB.
Les profils utilisateur peuvent être situés dans un point de partage ou dans un dossier
de point de partage. Le point de partage ou le dossier utilisé pour les profils utilisateur
doivent disposer des privilèges d’accès adéquats.
Définissez « root » en tant que propriétaire et attribuez-lui les autorisations en lecture
et écriture. Définissez le groupe comme groupe principal de l’utilisateur (généralement
le groupe correspondant au « personnel ») et affectez à ce groupe les autorisations
en lecture et écriture. Définissez les autorisations de tous les autres groupes sur Aucun.
94 Chapitre 4 Configuration des comptes utilisateur
Pour obtenir des instructions, consultez la rubrique « Configuration d’un point de partage SMB » à la page 136.
Plutôt que de stocker un profil itinérant dans un point de partage sur un serveur,
vous pouvez spécifier l’emplacement d’un profil local stocké sur l’ordinateur Windows.
Pour modifier l’emplacement du profil itinérant Windows pour un compte utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Ouvrez le compte utilisateur dont vous voulez l’emplacement du profil.
Pour ouvrir un compte utilisateur dans le PDC, cliquez sur l’icône représentant un globe
et choisissez l’annuaire LDAP du serveur PDC.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Windows et saisissez le nouvel emplacement du profil dans le champ
« Chemin du profil d’utilisateur ».
 Pour utiliser le point de partage par défaut des profils d’utilisateurs, laissez ce champ vide.
 Pour un profil itinérant stocké dans un autre point de partage, saisissez l’emplacement
du point de partage à l’aide du format de conventions de noms universelles (UNC) :
\\NomServeur\NomPartage\NomUtilisateurAbrégé
Remplacez NomServeur par le nom NetBIOS du serveur PDC ou d’un serveur membre
du domaine Windows sur lequel se trouve le point de partage.
Pour connaître le nom NetBIOS du serveur, ouvrez Admin Serveur, sélectionnez SMB
dans la liste Serveurs, cliquez sur Réglages, sur Général et consultez le champ « Nom
de l’ordinateur ».
Remplacez NomPartage par le nom du point de partage.
Remplacez NomUtilisateurAbrégé par le premier nom abrégé du compte utilisateur
que vous êtes en train de configurer.
 Pour un profil local stocké sur l’ordinateur Windows, saisissez la lettre du lecteur
et le chemin d’accès au dossier au format UNC comme dans l’exemple suivant :
C:\Documents and Settings\juan
5 Cliquez sur Enregistrer.
Chapitre 4 Configuration des comptes utilisateur 95
Modification de l’emplacement du script d’ouverture de session d’un utilisateur Windows
Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier l’emplacement
du dossier du script d’ouverture de session Windows d’un utilisateur dans le dossier
/etc/netlogon/ sur le serveur PDC.
Pour modifier l’emplacement du script d’ouverture de session Windows pour un compte
utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Ouvrez le compte utilisateur dont vous voulez modifier l’emplacement du script
d’ouverture de session Windows.
Pour ouvrir un compte utilisateur dans le PDC, cliquez sur l’icône représentant un globe
et choisissez l’annuaire LDAP du serveur PDC.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Windows et saisissez le nouvel emplacement du script dans le champ
« Script d’ouverture de session ».
Saisissez le chemin relatif vers un script placé dans /etc/netlogon/ sur le serveur PDC.
Par exemple, si un administrateur place un script appelé setup.bat dans /etc/netlogon/,
le champ « Script d’ouverture de session » doit reprendre « setup.bat ».
5 Cliquez sur Enregistrer.
Changement de la lettre de lecteur du dossier de départ d’un utilisateur Windows
Vous pouvez utiliser le Gestionnaire de groupe de travail pour changer la lettre de lecteur
Windows vers lequel le dossier de départ d’un utilisateur est mappé.
Pour changer la lettre du lecteur du dossier de départ Windows pour un compte
utilisateur :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Ouvrez le compte utilisateur dont vous voulez changer la lettre de lecteur relative
au dossier de départ Windows.
Pour ouvrir un compte utilisateur dans le PDC, cliquez sur l’icône représentant un globe
et choisissez l’annuaire LDAP du serveur PDC.
3 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
4 Cliquez sur Windows et choisissez la lettre du lecteur dans le menu local Disque dur.
La lettre du lecteur par défaut est H. Windows se sert de la lettre d’unité pour identifier
le dossier de départ monté.
5 Cliquez sur Enregistrer.
96 Chapitre 4 Configuration des comptes utilisateur
Modification de l’emplacement du dossier de départ d’un utilisateur Windows
Vous pouvez modifier l’emplacement dans lequel le dossier de départ réseau d’un utilisateur Windows est stocké.Par défaut, ce dossier est le même pour Windows que pour
Mac OS X et son emplacement est mentionné dans la sous-fenêtre Départ.
Pour en savoir plus, consultez la rubrique « Configuration d’un dossier de départ pour un
utilisateur Windows » à la page 145.
Utilisation des GUID
Même si vous pouvez afficher ou modifier la plupart des attributs des comptes utilisateur à l’aide de la sous-fenêtre Comptes dans le Gestionnaire de groupe de travail,
vous devez utiliser l’inspecteur pour afficher et modifier les GUID.
Affichage des GUID
Les GUID sont stockés dans le domaine d’annuaire et ne sont pas immédiatement visibles
dans le Gestionnaire de groupe de travail. Pour les afficher, vous devez d’abord activer l’inspecteur dans le Gestionnaire de groupe de travail. Pour retrouver les instructions sur l’utilisation de l’inspecteur, reportez-vous au document Administration d’Open Directory.
AVERTISSEMENT : même si l’inspecteur vous permet de modifier les GUID, cette opé-
ration n’est pas recommandée. Cette opération a pour effet de détruire les adhésions
aux groupes de travail et les autorisations de fichiers existantes pour l’identifiant
d’utilisateur indiqué.
Pour afficher le GUID d’un utilisateur ou d’un groupe de travail :
1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes.
2 Assurez-vous que les services d’annuaire de l’ordinateur Mac OS X Server que vous utilisez
sont configurés pour accéder au domaine d’annuaire.
3 Cliquez sur l’icône représentant un globe, puis choisissez le domaine sur lequel réside
le compte.
4 Pour vous identifier, cliquez sur le cadenas puis saisissez les nom et mot de passe
d’un administrateur du domaine d’annuaire.
5 Cliquez sur le bouton Utilisateurs, Groupes, Ordinateurs ou Groupes d’ordinateurs,
puis sélectionnez le groupe.
Vous ne pouvez afficher le GUID que de comptes précis.
Chapitre 4 Configuration des comptes utilisateur 97
6 Cliquez sur le bouton Inspecteur sous le cadenas de la partie complètement à droite.
Si aucun bouton Inspecteur ne s’y trouve, assurez-vous que l’inspecteur est affiché
en choisissant Gestionnaire de groupe de travail > Préférences, puis sélectionnez
l’onglet « Afficher l’onglet ’Toutes les fiches’ et l’inspecteur ».
7 Sélectionnez le champ GeneratedUID, puis cliquez sur Modifier.
8 Cliquez sur Annuler pour vous assurer de ne pas modifier le GUID.
À partir de la ligne de commande
Vous pouvez également afficher le GUID d’un utilisateur ou d’un groupe de travail à l’aide
de la commande dscl dans Terminal. Pour en savoir plus, reportez-vous au chapitre relatif aux utilisateurs et aux groupes dans le document Administration en ligne de commande.
98 Chapitre 4 Configuration des comptes utilisateur
5 Configuration des comptes
de groupe
5
Ce chapitre explique comment configurer, modifier et gérer
les comptes de groupe.
Les comptes de groupe permettent de gérer facilement un ensemble d’utilisateurs
aux besoins similaires. Vous pouvez également créer des dossiers de groupe pour offrir
aux membres d’un groupe un moyen aisé de partager leurs fichiers entre eux.
Vous pouvez utiliser le Gestionnaire de groupe de travail pour afficher, créer, modifier
et supprimer des comptes de groupe.
Pour afficher les comptes de groupe dans le Gestionnaire de groupe de travail, cliquez
sur le bouton Groupes situé au-dessus de la liste des comptes.
À propos des comptes de groupe
Les comptes de groupe stockent l’identité des utilisateurs qui appartiennent à un groupe
ainsi que des informations vous permettant de personnaliser l’environnement de travail
des membres de ce groupe. Lorsque vous définissez des préférences pour un groupe,
ce groupe est appelé groupe de travail.
On appelle groupe principal le groupe par défaut de l’utilisateur. Les groupes principaux
peuvent accélérer la validation effectuée par le système de fichiers Mac OS X lorsqu’un
utilisateur accède à un fichier.
Suivi d’adhésion par les comptes de groupe
Mac OS X Server utilise les GUID et une combinaison du nom abrégé de l’utilisateur
et de l’identifiant de groupe pour déterminer l’adhésion de groupe. Dans les versions
antérieures à Mac OS X 10.4, l’adhésion de groupe reposait uniquement sur la combinaison du nom abrégé de l’utilisateur et de l’identifiant de groupe.
Il est désormais possible d’avoir des groupes composés d’utilisateurs de toutes les versions de Mac OS X. Lorsque vous utilisez le Gestionnaire de groupe de travail sous
Mac OS X Server 10.5 pour ajouter un membre dans un groupe, vous ajoutez le nom
abrégé et le GUID de l’utilisateur, ce qui garantit la compatibilité descendante.
99
Emplacement de stockage des comptes de groupe
Les comptes de groupe peuvent être stockés dans tout domaine Open Directory. Un
domaine d’annuaire peut résider sur un ordinateur Mac OS X (par exemple, un domaine
Open Directory) ou sur un serveur non Apple (par exemple, un serveur LDAP ou Active
Directory). Le Gestionnaire de groupe de travail peut utiliser les comptes stockés dans
n’importe lequel de ces domaines d’annuaire.
Les comptes de groupe doivent être stockés dans un domaine d’annuaire accessible
par le serveur qui en a besoin :
 Pour les services fournis par un serveur de membre de domaine Mac OS X Server
PDC (Contrôleur de domaine principal) ou Windows, les comptes de groupe peuvent
être stockés dans l’annuaire LDAP du PDC.
 Pour les services fournis par un membre de domaine Active Directory, les comptes
de groupe peuvent être stockés dans le domaine Active Directory.
 Pour les services fournis par un serveur autonome Windows, les comptes de groupe
peuvent être stockés dans le domaine d’annuaire local du serveur.
 Si un serveur est configuré pour accéder à plusieurs domaines d’annuaire, les comptes
de groupe peuvent être stockés dans n’importe lequel de ces domaines.
Pour en savoir plus sur les différents types de domaines Open Directory, consultez
le document Administration d’Open Directory.
Comptes de groupe prédéfinis
Le tableau suivant décrit la plupart des comptes de groupe créés lors de l’installation
de Mac OS X Server. Pour obtenir la liste complète, ouvrez le Gestionnaire de groupe
de travail et choisissez Présentation > Afficher les utilisateurs et groupes du système.
Nom prédéfini du groupe
admin 80 Groupe auquel les utilisateurs dotés de privilèges administrateur
bin 7 Groupe détenant tous les fichiers binaires.
daemon 1 Groupe utilisé par les services système.
dialer 68 Groupe destiné au contrôle des accès aux modems sur un serveur.
kmem 2 Groupe hérité utilisé pour contrôler l’accès en lecture à la mémoire
mail 6 Groupe historiquement utilisé pour accéder à la messagerie
_mysql 74 Groupe utilisé par le serveur de base de données MySQL pour
network 69 Groupe sans signification particulière.
nobody -2 Groupe utilisé par les services système.
Identifiant du
groupe
Utilisation
appartiennent.
du noyau.
électronique locale UNIX.
ses processus de traitement des requêtes.
100 Chapitre 5 Configuration des comptes de groupe
Loading...