Module7 : Gestion de l’accès aux objets dans des unités organisationnelles.
7.1 Le rôle de l’unité organisationnelle.
Unité organisationnelle ou en anglais "Organizational Unit" (OU).
Une "OU" est un conteneur qui nous permet de placer des objets d’Actives Directory comme les
comptes d’utilisateurs, les groupes, les comptes d’ordinateurs et d’autres OU pour faciliter
l’organisation et la gestion d’un réseau de type Microsoft.
La structure logique des OU doit représenter la structure organisationnelle de l’entreprise ou encore
son modèle de gestion du réseau, ou l’emplacement géographique des sites d’une entreprise, ses
branches et filiales, etc. La hiérarchie des OU peut s’étendre sur plusieurs niveaux, mais ce n’est
pas conseillé d’utiliser plusieurs niveaux pour une gestion simple et efficace.
Les "OU" doivent contenir des objets ayant les mêmes besoins administratifs. On n’utilise pas
les "OU" pour classer les utilisateurs mais plutôt les groupes.
Une "OU" contient les objets uniquement d’un seul domaine.
On utilise les "OU" pour appliquer (Linking Group Policies) les GPOs (donc la "OU" permet de
regrouper les objets de nature identique).
On utilise les "OU" pour déléguer des droits administratifs à des utilisateurs pour ne pas leur
donner des droits sur tout le domaine.
7.2 Modification des permissions des objets Active Directory :
Il est possible de modifier les permissions des objets d’Active Directory comme les OU, les
comptes d’utilisateurs, les groupes et les comptes d’ordinateurs, mais il est conseillé de ne pas le
faire, car on risque de perturber ou d’endommager tout Active Directory.
Si on veut faire des changements à ces objets, il est préférable de la faire avec des outils comme les
GPO (on va les étudier prochainement) et la délégation d’administration par exemple.
Pour afficher l’onglet "Sécurité" de ces objets :
À partir de l’outil "Utilisateurs et ordinateurs Active Directory", faire un clic droit sur le nom de
domaine et sélectionner "Affichage" et ensuite sélectionner "Fonctionnalitées avancées"
�Si vous faites un clic droit sur l’un des objets de AD, vous aller trouver l’onglet "Sécurité".
�Vous avez accès même aux permissions NTFS par le bouton "Avancé".
Il est aussi recommandé de ne pas laisser l’affichage des "Fonctionnalitées avancées" actif.
7.3 Délégation de contrôle des OU :
La délégation de contrôle nous permet d’attribuer des droits à des comptes d’utilisateurs ou des
groupes pour des taches d’administration.
Un clic droit sur une "OU" permet de lancer l’assistant de délégation de contrôle.
��La fenêtre suivante nous permet d’ajouter les utilisateurs ou les groupes désignés comme délégués.
La fenêtre suivante permet d’assigner les différentes taches, comme créer, gérer et supprimer les
comptes, réinitialiser les mots de passes, etc.
�Voici la liste des tâches disponibles en anglais:
• Create, delete an manage user accounts
• Reset user passwords and force password change at next logon
• Read all user informaiton
• Create, delete and manage groups
• Modify the membership of a group
• Manage Group Policy links
• Generate Resultant Set of Policy (Planning and Logging)
• Create, delete and manage inetOrgPerson acocounts
• Reset inetOrgPerson password an force password change at next logon
• Read all inetOrgPerson information
Pour révoquer les taches, il faut aller dans l’onglet "Sécurité", le bouton Avancé et supprimer le
compte ou le groupe ayant les droits.
On peut configurer une délégation sur une "OU", un conteneur ou toute la racine du domaine AD.
�7.4 Déplacer des objets dans Active Directory.
On peut déplacer les objets AD comme les comptes d’utilisateurs, les comptes d’ordinateurs et les
OU dans d’autres OU.
Il suffit de sélectionner l’objet en question et choisir le menu Déplacer.
