[Active Directory] 4 Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs
4.2 Implémentation de comptes de groupe
Les groupes permettent de simplifier la gestion de l’accès des utilisateurs aux ressources du réseau. Les groupes permettent d’affecter en une seule action une ressource à un ensemble d’utilisateurs au lieu de répéter l’action pour chaque utilisateur. Un utilisateur peut être membre de plusieurs groupes. Les groupes se différencient de par leur type et de par leur étendue.
4.2.1 Le type de groupe
Il existe deux types de groupes dans Active Directory :
- Les groupes de sécurité : permettent d’affecter des utilisateurs et des ordinateurs à des ressources.
- Les groupes de distribution : exploitables entre autres via un logiciel de messagerie.
4.2.2 L’Etendue de groupe
Les deux types de groupes gèrent chacun trois niveaux d’étendue. Les fonctionnalités des étendues de groupe peuvent varier selon le niveau fonctionnel du domaine.
Les groupes globaux de sécurité :
|
Mode mixte
|
Mode natif
|
Membres
|
Comptes d’utilisateurs du même domaine
|
Comptes d’utilisateurs et groupes globaux du même domaine
|
Membres de
|
Groupes de domaine locaux de tous les domaines approuvés.
|
Groupes globaux, groupes universels du même domaine et groupes de domaine locaux de tous les domaines approuvés.
|
Etendue
|
Visibles dans tous les domaines approuvés.
|
Autorisations pour
|
Tous les domaines approuvés.
|
Les groupes locaux de domaine (ou groupes de domaine local) de sécurité :
|
Mode mixte
|
Mode natif
|
Membres
|
Comptes d’utilisateurs et groupes globaux de tous les domaines approuvés.
|
Comptes d’utilisateurs, groupes globaux et groupes universels de tous les domaines approuvés et groupes de domaine locaux du même domaine.
|
Membres de
|
Membres d’aucun autre groupe
|
Groupes de domaine locaux du même domaine.
|
Etendue
|
Visibles dans leur propre domaine
|
Autorisations pour
|
Le domaine dans lequel le groupe local de domaine existe.
|
Les groupes universels de sécurité :
|
Mode mixte
|
Mode natif
|
Membres
|
Non utilisables
|
Comptes d’utilisateurs, groupes globaux et autres groupes universels de tous les domaines approuvés.
|
Membres de
|
Non utilisables
|
Groupes locaux de domaine et universels de tous les domaines approuvés.
|
Etendue
|
Visibles dans tous les domaines approuvés.
|
Autorisations pour
|
Tous les domaines approuvés.
|
4.2.3 Stratégie d’utilisation de groupe dans un domaine
Diverses stratégies sont recommandées afin d’attribuer les autorisations sur les ressources du réseau (fichiers/dossiers/imprimantes partagées). La stratégie privilégiée au sein d’un domaine est la stratégie C G DL A :
Rassemblez des comptes d’utilisateur (C) dans des groupes globaux.
Ajoutez les groupes globaux à un groupe local de domaine (DL).
Affectez les autorisations (A) sur les ressources du domaine sur le groupe local de domaine.
Cette stratégie est aussi appelée A G DL P (pour Accounts Global group Domain Local group Permissions).
Il existe une évolution de cette stratégie qui permet à utilisateurs situés dans plusieurs domaines différents d’accéder à une ressource donnée. Cette stratégie fait intervenir les groupes d’étendue universelle et est nommée C G U DL A.