Gestion des groupes
Présentation des groupes
Les groupes permettent de simplifier la gestion de l’accès des utilisateurs aux ressources du réseau. Les groupes permettent d’affecter en une seule action une ressource à un ensemble d’utilisateurs au lieu de répéter l’action pour chaque utilisateur. Un utilisateur peut être membre de plusieurs groupes.
Il y a deux emplacements où l’on peut trouver les groupes :
Groupes sur un ordinateur local
Ils permettent d’accorder des permissions uniquement au niveau de la machine. Dans le cas d’une machine non-reliée à un domaine, il est possible d’inclure uniquement les comptes locaux.
Les groupes locaux sont créés à l’aide de l’outil Gestion de l’ordinateur, puis dans le composant enfichable Utilisateurs et groupes locaux.
Groupes sur un contrôleur de domaine
Ils sont utilisables sur l’ensemble des machines du domaine et permettent d’avoir une gestion centralisée de la hiérarchie des groupes. Ils peuvent contenir des utilisateurs du domaine et même d’autres domaines.
Les groupes de domaine sont créés à l’aide de l’outil d’administration Utilisateurs et ordinateurs Active Directory et cela dans n’importe quelle unité d’organisation présente ou à l’aide de l’outil en ligne de commande dsadd group GroupDN -samid SAMName -secgrp yes | no -scope l | g | u.
1. Type de groupe
Il existe deux types de groupes dans Active Directory :
Les groupes de sécurité : permettent d’affecter des utilisateurs et des ordinateurs à des ressources. Peuvent aussi être utilisés comme groupes de distribution.
Les groupes de distribution : exploitables entre autres via un logiciel de messagerie. Ils ne permettent pas d’affecter des permissions sur des ressources aux utilisateurs.
2. Etendue des groupes
Les deux types de groupes dans Active Directory gèrent chacun 3 niveaux d’étendue. Leur fonctionnement va dépendre du niveau fonctionnel du domaine qui peut varier entre mixte, natif 2000 et natif 2003