Les groupes Active Directory

Envoyer

Sommaire

 

 

Introduction

L’annuaire permet de gérer tout un ensemble d’objets dont les groupes. Ils permettent de rassembler des objets de type utilisateur, ordinateur ou contact. Bien entendu, un groupe permet de faciliter l’administration et la gestion des droits pour un ensemble d’objets.

Un groupe est une notion générale en informatique et les groupes Active Directory ne s’écartent pas de cette généralité. Cependant, certaines particularités sont à souligner concernant leur nature diverse au sein d’un annuaire Microsoft. Nous allons approfondir donc cette partie dans cet article.

Afin de simplifier la compréhension de cet article nous allons éluder les contraintes liées au niveau fonctionnel du domaine.

 

 

Les types de groupe

Lorsque l’on crée un groupe, il est possible de choisir entre deux types de groupes : « Sécurité » et « Distribution ». Chacun des deux types ne rempli pas les mêmes fonctions.

Type Distribution : comme son nom l’indique, la tâche d’un groupe de type distribution  et d’offrir une ressource ou un service mais avec la particularité de ne pas inclure de mécanisme de sécurité (en tout cas pas au niveau de l’annuaire). Le groupe de distribution servira par exemple à créer une liste de distribution pour une adresse électronique ( Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. ) ou l’utilisation d’une application à des fins autres que le contrôle d’accès.  En effet, le groupe de distribution ne dispose pas de SID. Sans cela, il sera impossible de gérer des droits d’accès depuis l’annuaire avec ce type de compte. L’avantage principal des groupes de distribution sera de limiter le jeton d’accès d’un utilisateur membre et donc de limiter les flux réseaux.

Type Sécurité : comme pour les groupes de distribution, le type sécurité porte bien son nom car il permet de gérer la sécurité. A la différence d’un groupe de distribution, le groupe de sécurité dispose d’un SID et permet de gérer les accès pour des ressources comme les droits sur un répertoire ou une imprimante partagée. Un utilisateur faisant parti d’un groupe de sécurité utilisera le SID de ce dernier pour accéder à une ressource, si bien entendu le groupe de sécurité à été définir dans l’ACL (Liste de contrôle d’accès). Lorsqu’un utilisateur rejoint un groupe de sécurité, il accède automatiquement et dynamiquement aux ressources disponibles à ce dit groupe. Suivant le vieille adage « qui peut le plus peut le moins », un groupe de sécurité peut être utilisé également comme un groupe de distribution mais sans profiter des avantages des groupes de distribution cités ci-dessus.

 

 

Les étendues de groupe

En plus du type de groupe, il est possible de définir l’étendue d’un groupe. On peut parler également de portée de groupe. L’étendue va dépendre de certains critères comme :

- Le niveau fonctionnel de la forêt et du domaine (Mode 2000 mixte ou Natif…)

- La complexité de l’architecture en place (Relation d’approbation entre domaines…)

- L’usage du groupe

 

Nous pouvons trouver 3 différents types d’étendue :

Local ou domaine : Utilisable uniquement dans le domaine local. Un groupe avec une étendue de domaine peut contenir des groupes locaux, globaux ou universels. Ils sont également utilisables sur des machines membres du domaine.

Global : Un groupe global peut être intégré dans tous les domaines approuvés quelques en soit la nature (Domaine Active Directory, Domaine WINNT, autres forêts…). Un groupe global ne peut contenir que des objets du domaine.

Universel : Un groupe universel peut contenir des membres de n’importe quel domaine de la forêt et être utilisé dans tout domaine de la forêt. La particularité des groupes universels est qu’ils sont stockés directement sur le catalogue global cependant seulement s’ils sont de type sécurité.

 

 

Les étendues par l’exemple

Imaginons le cas d’une entreprise installé sur 3 sites géographiques différents, disposant d’une seule et même forêt et de trois sous-domaines Active Directory.  Il existe une relation d’approbation entre chacun des domaines de la forêt.

Une partie des utilisateurs de New York et de Vancouver sont amenés à se déplacer régulièrement sur le site de Paris. Nous pourrons donc créer un groupe de type local sur le domaine de Paris avec comme membre les itinérants de New York et Vancouver que nous appellerons « Itinérants Amériques du Nord ».

 

 

 

 

 

 

Une partie des utilisateurs de Paris sont amenés à se déplacer ponctuellement sur les deux autres sites. Nous allons donc créer un groupe de type global que nous nommerons « Itinérants Paris », qui contiendra uniquement des utilisateurs de Paris et qui sera utilisable sur les deux autres domaines.

 

 

 

 

 

 

Enfin, nous avons une direction qui est composée de différentes personnes localisées indépendamment  sur un des trois sites de la société. Ces personnes naviguent régulièrement d’un site à un autre. Pour permettre une meilleure gestion nous devrons créer un groupe « Direction » de type universel, qui pourra contenir indifféremment des comptes des trois domaines et être utilisable sur l’ensemble de la forêt.

 

 

 

 

 

 

Les groupes prédéfinis, « Built-in » et spéciaux

Les groupes prédéfinis et intégrés (Built-in) sont générés automatiquement pour le système.

Les groupes intégrés : Ce sont des groupes permettant d’assigner des permissions aux utilisateurs nécessitant des droits d’administration sur le domaine comme par exemple la réalisation de sauvegarde ou de restauration. Les groupes intégrés sont stockés dans le dossier « builtin » accessible de la console « Utilisateurs et ordinateurs Active Directory ». Leur étendue est toujours de type local.

Les groupes prédéfinis : Stockés dans le dossier « Users » depuis la console « Utilisateurs et ordinateurs Active Directory », les groupes prédéfinis complètent les groupes intégrés à la différence qu’ils proposent en plus des étendues de type global voir universel et accueillent des nouveaux groupes prédéfinis  créés lors de l’installation de nouveaux services ou applicatifs.

Les groupes spéciaux : les groupes spéciaux sont gérés exclusivement par le système et regroupent  différents utilisateurs en fonction des circonstances (exemple le groupe « tout le monde »). Ils ne sont en aucun cas gérables depuis la console d’administration et ne peuvent être ajoutés dans un groupe. Ils peuvent par contre être utilisés pour du contrôle d’accès  aux ressources.

 

 

Conclusion

Nous avons vu dans les grandes lignes les différents types de comptes que nous pouvons trouver au sein d’un annuaire Active Directory  et leurs cadres d’utilisation.

Référence principale à cet article: http://technet.microsoft.com/en-us/library/bb727067.aspx

Mise à jour le Mardi, 21 Décembre 2010 08:36