Présentation
Dans cette leçon, nous allons voir les groupes Active Directory.
Les groupes sont des objets Active Directory, qui peuvent contenir d’autre objets de l’annuaire comme des utilisateurs, ordinateurs et même d’autres groupes.
Les groupes sont principalement utilisés pour gérer des autorisations d’accès des droits comme :
- Autorisations sur les partages
- Autorisations NTFS sur les dossiers et fichiers
- Filtres sur les stratégies de groupe
- Rôles sur des applications et des ordinateurs
- ….
Lors de la création d’un groupe dans l’annuaire Active Directory, il faut choisir le type de groupe et son étendue.
Type de groupe
Il existe deux types de groupe Sécurité et Distribution.
Groupe de sécurité
Les groupes de sécurité permettent de gérer les autorisations (attribut de droits NTFS, filtrage sur les stratégies de groupe …), ce qui en fait le type de groupe le plus utilisé.
Les groupes de sécurité dispose d’un SID (Identifiant de sécurité).
Groupe de distribution
Les groupes de distribution contrairement au groupe de sécurité ne disposent pas de SID et ne peuvent donc pas être utilisés pour des autorisations.
Ce type de groupe est principalement utilisé par des applications de messagerie type Exchange pour créer des listes de diffusion.
Étendue des groupes
Il existe 3 étendues de groupe, qui ont chacun une portée différente sur la forêt Active Directory.
Domaine local
Principalement utilisé pour gérer les autorisations d’accès à des ressources (autorisation NTFS, accès bureau à distance, filtrage GPO ….) dans le domaine où il a été créé. Un groupe a étendu local ne peut pas être utiliser dans un autre domaine.
Un groupe d’étendue domaine local peut contenir des utilisateurs, ordinateurs et d’autres groupes de son domaine, forêt et domaine externe approuvé.
Globale
Ce type de groupe peut être utiliser pour gérer des autorisations dans le domaine où il a été créé ou dans un autre domaine approuvé.
Un groupe d’étendue globale ne peut contenir que des objets (utilisateurs, ordinateurs et groupes) du domaine où il a été créé.
Universelle
Ce type d’étendue à une portée maximale, il est accessible sur l’ensemble de la forêt et peut contenir des objets (utilisateurs, ordinateurs, groupes (universel, globale) de la forêt.
Ce type de groupe est répliqué sur les contrôleurs de domaine ayant catalogue global (GC).
Ce type de groupe est utilisé principalement dans les forêts multi-domaine.
Les groupes intégrés – Builtin
Lors de la création d’un environnement Active Directory, dans les consoles d’administration Utilisateurs et ordinateurs Active Directory et ADAC, on retrouve un conteneur nommé Builtin qui contient plusieurs groupes.
Les groupes présents dans ce conteneur sont les mêmes groupes par défaut dans la base SAM d’un ordinateur.
L’ajout d’un utilisateur dans un des groupes ne donnera des droits que sur les contrôleurs de domaine. Si on ajoute un utilisateur dans le groupe BUITIN\Administrateurs Hyper-V, celui-ci ne sera pas administrateur de l’ensemble des serveurs Hyper-V présent dans le domaine.
La seule exception est le groupe BUITIN\ Administrateurs car celui-ci est membre du groupe Admins du domaine et Administrateurs de l’entreprise.
Les groupes Active Directory par défaut
Lors de la création de l’environnement Active Directory, plusieurs groupes sont créés par défaut, il se trouve le conteneur Users.
Voici quelques explications détails sur les groupes :
Administrateurs de l’entreprise : les membres du groupes sont administrateurs de l’ensemble des domaines de la forêt.
Administrateurs du schéma : les membres du groupes peuvent effectuer des modifications sur le schéma Active Directory. Ce groupe est sensible.
Admins du domaine : les membres du groupes sont administrateurs du domaine. Dans les environnements mono-domaine les droits sont similaires au groupe Administrateurs de l’entreprise. Ce groupe est ajouté au groupe local Administrateurs des ordinateurs membres du domaine.
Ordinateurs du domaine : ce groupe contient l’ensemble des ordinateurs qui sont membres du domaine.
Utilisateurs du domaine : ce groupe contient l’ensemble des utilisateurs du domaine. Ce groupe est ajouté au groupe local Utilisateurs des ordinateurs membres du domaine.
Cas concret d’utilisation des groupes dans un environnement Active Directory
Dans votre entreprise, on vous demande de créer un dossier partagé pour le service Communication, qui est composé de 7 personnes. Sur les 7 utilisateurs, 5 doivent ont le droit d’écrire et de modifier le contenu et les 2 autres n’ont le droit que de lecture.
Pour répondre à cette problématique, il faut :
- Créer 2 groupes dans l’AD.
- Ajouter les utilisateurs dans les groupes
- Configurer les autorisations NTFS sur le dossier Communisation en fonction des groupes.
Les avantages de procéder de cette manière sont :
- Regroupement logique des objets par rapport à un accès.
- Droits NTFS rapide à mettre en place et facile à maintenir
- Il est facile de changer les droits d’un utilisateur.
- Cette gestion facilite le maintien des droits et de la sécurité, si la personne change de service, il suffit de la retirer du groupe, si on met les droits de façon nominative, il faut penser à modifier les droits NTFS.
- …
Compléments :