Formation M2i - Comprendre les neurosciences pour développer son leadership
Chap 3-Gestion Des Groupes.pdf
1. 1
CHAPITRE 3 : Gestion Des Groupes
1.Introduction
Les groupes, sous Windows Server 2008, sont des objets dans Active Directory ou des objets
locaux(sur l’ordinateur local), lesquels contiennent des utilisateurs, des ordinateurs ou
d’autres groupes.
En général, un groupe contient des comptes utilisateur. Les groupes simplifient
l’administration : au lieu d’affecter des droits et des autorisations à chaque utilisateur
individuel, l’administrateur les affecte à des groupes.
Les groupes sont caractérisés par un type et une étendue
2. Types de groupe
Windows Server 2008 gère deux types de groupes :
Les groupes de sécurité :Presque tous les groupes employés par Windows Server
2008 sont des groupes de sécurité, car ce sont les seuls groupes par le biais desquels
sont affectés les privilèges. Chaque groupe de sécurité dispose d’une étendue de
groupe, qui définit la façon dont les autorisations sont affectées à ses membres.
Les groupes de distribution : ne disposent pas de fonctionnalités de sécurité, et l’on
ne peut pas leur affecter de privilèges. Un groupe de distribution par exemple peut
être utilisé dans un environnement de messagerie comme Exchange pour envoyer
des messages à un groupe d’utilisateurs (Exchange sera traité en S4).
3. Etendues de groupe
Lors de la création d’un groupe, on doit préciser son étendue qui définit les modalités
d’affectation des autorisations. Il existe trois types d’étendues : globale(G), de domaine
locale (DL) et universelle(U)
Étendue globale : Un groupe ayant une étendue globale est appelé groupe global en
ce sens que l’on peut lui accorder des autorisations pour accéder à des ressources
situées dans tous les domaines de la foret (une forêt est constituée de plusieurs
2. 2
domaines liés entre eux d’une façon hiérarchique à l’aide de relations de type
parent/enfant dans la majorité des cas). Toutefois, les membres de ce groupe
peuvent uniquement être issus du domaine dans lequel il a été créé,comme par
exempledes utilisateurs du même domaine ou d’autres groupes globaux du même
domaine.
Étendue de domaine local : Un groupe de domaine local est l’inverse d’un groupe
global : ses membres peuvent être issus de n’importe quel domaine, mais ils
bénéficient uniquement d’autorisations sur les ressources du domaine dans lequel le
groupe a été créé.
Un groupe de domaine local peut avoir les membres suivants : Des comptes
utilisateur issus de n’importe quel domaine ; Des groupes globaux issus de n’importe
quel domaine.
Étendue universelle : Un groupe de sécurité universel peut contenir des membres
provenant de tous les domaines et se voir doter d’autorisations sur les ressources de
tous les domaines.
4. Convention de nommage des groupes
Il est conseillé de toujours identifier l’étendue de groupe en ajoutant une lettre au début du
nom du groupe.
Exemple :
G_nom : Groupe global
U_nom : Groupe Universel
DL_nom : Groupe de domaine local
5. Stratégie d’utilisation des groupes dans un domaine unique
La stratégie recommandée pour les groupes globaux et locaux dans un domaine est la
suivante :
Ajoutez les comptes d’utilisateur aux groupes globaux.
Ajoutez les groupes globaux à un groupe de domaine local.
Affectez les autorisations sur les ressources au groupe de domaine local.
Cette stratégie est aussi appelée C G DL A. (C :Compte ;G :Groupe global ;DL :Groupe de
domaine local ;A :Autorisation).
3. 3
Exemple :
Si j’ai une imprimante dans mon domaine et je veux donner l’autorisation d’imprimer à
l’utilisateur U1 alors je procède comme suit :
1) Créer un groupe global par exemple G1
2) Créer un groupe de domaine local par exemple DL_Imp
3) Ajouter U1 au groupe G1
4) Ajouter G1 au groupe DL1
5) Donner l autorisation d’imprimer uniquement à DL_Imp
6. Créer des groupes
Utilisez la console « Utilisateurs et ordinateurs Active Directory » pour créer et supprimer
des groupes. Créez vos groupes dans le conteneur Users ou dans une OU que vous aurez
créée spécialement pour y placer des groupes.
Voici comment créer un groupe :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory (ou utilisez la commande « dsa.msc »)
2. Développez le domaine dans lequel créer le groupe.
3. Cliquez droit sur l’ OU appropriée, pointez sur Nouveau et choisissez Groupe dans le menu
contextuel pour ouvrir la boîte de dialogue
4. Complétez les informations demandées :
4. 4
Le nom du groupe doit être unique dans le domaine.
Dans la section Étendue de groupe, choisissez Domaine local, Globale ou Universelle.
Dans la section Type de groupe, choisissez Sécurité ou Distribution.
5. Lorsque vous avez terminé, cliquez sur OK. Le nouveau groupe apparaît dans l’OU
sélectionnée.
Remarque : Nous pouvons aussi créer des groupes à l’aide de la commande DSADD qui sera
traitée en TP.
7. Ajouter des utilisateurs à un groupe
Une fois le groupe créé, on lui ajoute des membres. Comme précédemment mentionné dans
ce chapitre, un groupe peut contenir des utilisateurs, d’autres groupes et des ordinateurs.
Voici comment ajouter des membres à un groupe :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory.
2. Dans l’arborescence, cliquez droit sur le conteneur qui contient les objets à ajouter au
groupe.
3. Sélectionnez les comptes à ajouter (servez-vous des touches MAJ et CTRL pour
sélectionner plusieurs comptes).
4. Cliquez droit sur votre sélection et choisissez Ajouter à un groupe dans le menu
contextuel. Dans la boîte de dialogue Sélectionnez Groupes, utilisez Sélectionnez le type de
cet objet et À partir de cet emplacement pour restreindre la recherche.
5. Saisissez le nom du groupe et cliquez sur Vérifier les noms puis sur OK.
Vous pouvez aussi envisager une autre méthode pour l’ajout d’utilisateurs à un groupe en
suivant ces étapes :
1. Cliquez droit sur un nom de groupe et choisissez Propriétés.
2. Cliquez sur l’onglet Membres puis sur Ajouter. Vérifiez que les champs Sélectionnez le
type de cet objet et À partir de cet emplacement pointent vers les bons emplacements.