🖥️ FICHE TP

IV. TP Guidé Partie 1 : Création et Gestion de Comptes Locaux (30 min)

Objectif

Créer 4 comptes utilisateurs locaux avec des rôles différents et comprendre les types de comptes.

---

Scénario

Vous êtes technicien chez TechPro SARL. On vous demande de créer les comptes pour 4 nouveaux employés :

1. Marie MARTIN - Directrice Générale (compte Administrateur)
2. Paul DUBOIS - Comptable (compte Utilisateur standard)
3. Sophie LEROUX - Développeuse (compte Utilisateur standard)
4. Thomas PETIT - Stagiaire Commercial (compte Utilisateur standard)

---

Étape 1 : Création des Comptes (Méthode Paramètres - 15 min)

Pour chaque compte, suivre ces étapes :

1. Ouvrir les Paramètres (Windows + I)
2. Comptes → Famille et autres utilisateurs
3. Ajouter un autre utilisateur sur ce PC
4. Je ne dispose pas des informations de connexion → Ajouter un utilisateur sans compte Microsoft
5. Remplir :
6. Compte 1 :
   • Nom : mmartin
   • Mot de passe : Azerty123!
   • Questions de sécurité : Au choix
7. Compte 2 :
   • Nom : pdubois
   • Mot de passe : Azerty123!
8. Compte 3 :
   • Nom : sleroux
   • Mot de passe : Azerty123!
9. Compte 4 :
   • Nom : tpetit
   • Mot de passe : Azerty123!
10. Clic sur Suivant pour chaque compte

✅ Validation : Les 4 comptes apparaissent dans la liste "Autres utilisateurs".

---

Étape 2 : Promouvoir mmartin en Administrateur (5 min)

1. Dans Paramètres → Comptes → Famille et autres utilisateurs
2. Clic sur mmartin
3. Modifier le type de compte
4. Sélectionner Administrateur
5. OK

✅ Validation : Badge "Administrateur" visible à côté de "mmartin".

---

Étape 3 : Vérification avec PowerShell (5 min)

1. Ouvrir PowerShell (Clic droit Démarrer → Windows PowerShell)
2. Taper :
   PowerShell

   Get-LocalUser
   

3. Vérifier que les 4 comptes apparaissent dans la liste

4. Voir les membres du groupe Administrateurs :

   PowerShell

   Get-LocalGroupMember -Group "Administrateurs"
   

   ✅ "mmartin" doit apparaître (+ votre compte initial)

5. Voir les membres du groupe Utilisateurs :

   PowerShell

   Get-LocalGroupMember -Group "Utilisateurs"
   

   ✅ "pdubois", "sleroux", "tpetit" doivent apparaître

---

Étape 4 : Test de Connexion (5 min)

1. Déconnexion (Ctrl+Alt+Suppr → Déconnexion)
2. Se connecter avec "pdubois" (mot de passe : Azerty123!)
3. Essayer d'ouvrir Gestion de l'ordinateur (compmgmt.msc)
4. ❌ Devrait demander un mot de passe administrateur (UAC)
5. Déconnexion
6. Se connecter avec "mmartin"
7. Ouvrir Gestion de l'ordinateur
8. ✅ Devrait s'ouvrir directement (ou avec simple confirmation UAC)

✅ TP Partie 1 terminé !

---

V. TP Guidé Partie 2 : Configuration des Permissions NTFS (60 min)

Objectif

Mettre en place une structure de dossiers avec permissions NTFS pour séparer les accès selon les services de l'entreprise.

---

Scénario

TechPro SARL a 4 services (Direction, Comptabilité, Commercial, Technique). Vous devez créer une structure de dossiers partagés avec des droits d'accès différenciés.

---

Étape 1 : Création de la Structure de Dossiers (5 min)

1. Se connecter en tant qu'Administrateur (mmartin ou votre compte initial)

2. Ouvrir Explorateur de fichiers

3. Créer à la racine de C: un dossier Data :

4. Aller sur C:\

5. Clic droit → Nouveau → Dossier → Nommer Data

6. Dans C:\Data\, créer 5 sous-dossiers :

7. Direction
8. Comptabilite
9. Commercial
10. Technique
11. Commun

Structure finale :

📋 Texte

C:\Data
  ├── Direction
  ├── Comptabilite
  ├── Commercial
  ├── Technique
  └── Commun

✅ Validation : Les 5 dossiers sont visibles dans C:\Data\

---

Étape 2 : Création des Groupes Locaux (10 min)

1. Ouvrir Gestion de l'ordinateur (compmgmt.msc)
2. Outils système → Utilisateurs et groupes locaux → Groupes
3. Clic droit zone vide → Nouveau groupe...

Créer 4 groupes :

Nom du groupe	Description	Membres à ajouter
GRP_Direction	Service Direction	mmartin
GRP_Comptabilite	Service Comptabilité	pdubois
GRP_Commercial	Service Commercial	tpetit
GRP_Technique	Service Technique	sleroux

Procédure pour chaque groupe : 1. Nom du groupe : GRP_Direction 2. Description : Service Direction 3. Clic sur Ajouter... 4. Taper mmartin → Vérifier les noms → OK 5. Clic sur Créer → Fermer

Répéter pour les 3 autres groupes.

✅ Validation : 4 groupes créés et visibles dans "Groupes", chacun avec au moins 1 membre.

---

Étape 3 : Configuration des Permissions du Dossier "Direction" (10 min)

Objectif : Seul le groupe GRP_Direction a accès en Modification. Tous les autres : aucun accès.

1. Clic droit sur C:\Data\Direction → Propriétés
2. Onglet Sécurité
3. Clic sur Avancé
4. Désactiver l'héritage → Supprimer toutes les permissions héritées
5. ⚠️ Le dossier n'a maintenant PLUS AUCUNE permission (même pas pour vous !)
6. Clic sur Ajouter
7. Sélectionner un principal → Taper Administrateurs → OK
8. Permissions de base → Cocher Contrôle total
9. OK
10. Répéter l'ajout pour GRP_Direction :
11. Ajouter → GRP_Direction → OK
12. Cocher Modification
13. OK
14. Appliquer → OK → OK

✅ Validation : - Propriétés → Sécurité du dossier Direction affiche : - Administrateurs (Contrôle total) - GRP_Direction (Modification)

---

Étape 4 : Configuration des Autres Dossiers (20 min)

Appliquer le même principe pour les 4 autres dossiers :

Dossier Comptabilite

1. Désactiver l'héritage → Supprimer tout
2. Ajouter Administrateurs (Contrôle total)
3. Ajouter GRP_Comptabilite (Modification)
4. Ajouter GRP_Direction (Lecture seule)

Dossier Commercial

1. Désactiver l'héritage → Supprimer tout
2. Ajouter Administrateurs (Contrôle total)
3. Ajouter GRP_Commercial (Modification)
4. Ajouter GRP_Direction (Lecture seule)

Dossier Technique

1. Désactiver l'héritage → Supprimer tout
2. Ajouter Administrateurs (Contrôle total)
3. Ajouter GRP_Technique (Modification)
4. Ajouter GRP_Direction (Lecture seule)

Dossier Commun

1. Désactiver l'héritage → Supprimer tout
2. Ajouter Administrateurs (Contrôle total)
3. Ajouter GRP_Direction (Modification)
4. Ajouter GRP_Comptabilite (Lecture)
5. Ajouter GRP_Commercial (Lecture)
6. Ajouter GRP_Technique (Lecture)

---

Étape 5 : Tests des Permissions (15 min)

Créer des fichiers de test dans chaque dossier (en tant qu'admin) :

1. Dans Direction : Créer StrategieConfidentielle.docx
2. Dans Comptabilite : Créer Bilan2024.xlsx
3. Dans Commercial : Créer Contrats.docx
4. Dans Technique : Créer Documentation.pdf
5. Dans Commun : Créer Procedures.txt

---

Test 1 : Connexion avec "pdubois" (Comptable)

1. Déconnexion → Se connecter avec pdubois
2. Aller dans C:\Data\
3. Tester :
4. ✅ Comptabilite : Double-clic → Doit s'ouvrir, on peut ouvrir et modifier Bilan2024.xlsx
5. ❌ Direction : Double-clic → "Vous n'avez pas les autorisations..." (accès refusé)
6. ❌ Commercial : Accès refusé
7. ❌ Technique : Accès refusé
8. ✅ Commun : Doit s'ouvrir, on peut lire Procedures.txt mais pas le modifier (erreur si on essaie de sauvegarder)

✅ Validation : Comportement conforme à la matrice de permissions.

---

Test 2 : Connexion avec "mmartin" (Directrice)

1. Déconnexion → Se connecter avec mmartin
2. Tester :
3. ✅ Direction : Accès complet (lecture + modification)
4. ✅ Comptabilite : Lecture seule (peut ouvrir Bilan2024.xlsx mais erreur si modification)
5. ✅ Commercial : Lecture seule
6. ✅ Technique : Lecture seule
7. ✅ Commun : Accès complet (modification)

✅ Validation : La Directrice a accès partout (sauf modification des dossiers métiers, par respect du moindre privilège).

---

Test 3 : Connexion avec "tpetit" (Stagiaire Commercial)

1. Déconnexion → Se connecter avec tpetit
2. Tester :
3. ❌ Direction : Accès refusé
4. ❌ Comptabilite : Accès refusé
5. ✅ Commercial : Accès complet
6. ❌ Technique : Accès refusé
7. ✅ Commun : Lecture seule

✅ TP Partie 2 terminé !

---

VI. Vocabulaire Clé à Maîtriser pour l'Examen

Terme	Définition
Système d'exploitation (OS)	Logiciel assurant la liaison entre matériel et applications, gérant ressources et utilisateurs
Noyau (Kernel)	Cœur de l'OS, s'exécutant en mode privilégié avec accès direct au matériel
CLI (Command Line Interface)	Interface en ligne de commande (texte uniquement) - Ex: PowerShell, Bash
GUI (Graphical User Interface)	Interface graphique (fenêtres, icônes, souris) - Ex: Windows 10, macOS
Compte utilisateur	Identité numérique permettant de s'authentifier et d'accéder à des ressources
Compte local	Compte créé sur une machine spécifique, valable uniquement sur cette machine
Compte de domaine	Compte créé dans Active Directory, valable sur toutes les machines du domaine
Administrateur	Compte avec droits complets sur le système (installation, modification, gestion utilisateurs...)
Utilisateur standard	Compte avec droits limités (usage normal, sans modification système)
Groupe	Ensemble d'utilisateurs partageant les mêmes droits (facilite la gestion)
UAC (User Account Control)	Mécanisme Windows demandant confirmation avant actions sensibles
Active Directory (AD)	Service d'annuaire Microsoft pour gestion centralisée des comptes, machines, stratégies
NTFS	New Technology File System, système de fichiers Windows avec permissions avancées
ACL (Access Control List)	Liste des permissions associées à un fichier/dossier (qui peut faire quoi)
Permissions NTFS	Droits d'accès sur fichiers/dossiers : Lecture, Écriture, Modification, Contrôle total...
Héritage des permissions	Mécanisme de transmission automatique des permissions du parent aux enfants
Deny (Refuser)	Permission de refus explicite (prioritaire sur Autoriser)
Allow (Autoriser)	Permission d'autorisation explicite
Permissions effectives	Droits réels d'un utilisateur tenant compte de tous ses groupes et héritages
Principe du moindre privilège	Donner uniquement les droits strictement nécessaires (sécurité maximale)
SAM (Security Account Manager)	Base de données locale Windows stockant les comptes et mots de passe (hashés)
GPO (Group Policy Object)	Stratégie de groupe permettant de configurer automatiquement des paramètres (domaine AD)
RGPD	Règlement Général sur la Protection des Données, impose gestion stricte des droits d'accès

---

VII. Questions de Réflexion (Pour aller plus loin)

1. Pourquoi est-il dangereux d'utiliser un compte Administrateur au quotidien ?

2. Piste : Malwares, fausses manipulations, principe moindre privilège

3. Un employé quitte l'entreprise. Vaut-il mieux supprimer son compte ou le désactiver ?

4. Réponse : Désactiver d'abord (garder traçabilité, récupération fichiers), supprimer après 3-6 mois

5. Comment gérer 200 employés sans créer 200 comptes locaux ?

6. Réponse : Active Directory (comptes de domaine centralisés)

7. Pourquoi utiliser des groupes plutôt que donner des permissions individuellement ?

8. Réponse : Gain temps, cohérence, moins d'erreurs, scalabilité

9. Un utilisateur a Lecture via le groupe A, Modification via le groupe B, et Deny Écriture via le groupe C. Quel est son accès réel ?

10. Réponse : Lecture seule (Deny annule l'autorisation Modification)

11. Pourquoi NTFS est-il obligatoire pour les permissions Windows ?

12. Réponse : FAT32 ne supporte pas les ACL (permissions)

13. Comment un ransomware peut-il chiffrer tous les fichiers d'une entreprise si les utilisateurs sont en comptes standards ?

14. Réponse : Il chiffre les fichiers accessibles par l'utilisateur (ses documents + dossiers partagés avec Modification). D'où l'importance de sauvegardes offline !

---

VIII. Ressources pour Approfondir

Documentation Microsoft : - Gestion des comptes utilisateurs locaux - Comprendre les permissions NTFS - Principe du moindre privilège

Vidéos YouTube : - "Créer des utilisateurs Windows 10" - Tutoriel complet - "Permissions NTFS expliquées simplement" - Vulgarisation - "Active Directory pour débutants" - Introduction

Outils avancés (pour aller plus loin) : - Process Monitor (Sysinternals) : Voir les accès fichiers en temps réel (détection de permissions manquantes) - icacls (CLI) : Gérer les permissions NTFS en ligne de commande - whoami /groups : Voir tous les groupes dont on est membre

---

✅ Auto-évaluation : Suis-je Prêt ?

Après avoir terminé cette séance, je suis capable de :

• Expliquer les 5 rôles principaux d'un système d'exploitation
• Différencier Windows, Linux et macOS (avantages, inconvénients, usages)
• Créer un compte utilisateur local dans Windows (GUI et PowerShell)
• Expliquer la différence entre compte Administrateur et Utilisateur standard
• Distinguer compte local et compte de domaine
• Créer un groupe local et y ajouter des membres
• Expliquer les 6 permissions NTFS (Lecture, Écriture, Lecture et exécution, Modification, Contrôle total, Spéciales)
• Configurer des permissions NTFS sur un dossier
• Comprendre le principe d'héritage des permissions
• Tester les permissions en me connectant avec différents comptes
• Appliquer le principe du moindre privilège dans un scénario réel

---