ADMINISTRATION DES RESEAUX ET SERVICES

Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

Module 5 : GESTION DES OBJETS DES DOMAINES ACTIVE DIRECTORY

Outre les composants physiques et logiques, AD DS contient d’autres objets tels que des

utilisateurs, des groupes et des ordinateurs.

1- Les utilisateurs active directory

Les comptes d'utilisateur sont créés et stockés en tant qu'objets dans services de domaine Active

Directory. Les comptes d'utilisateur peuvent être utilisés par des utilisateurs humains ou des

programmes tels que les services système utilisés pour se connecter à un ordinateur.

En tant qu'administrateur système, vous autorisez les utilisateurs à accéder à diverses

ressources du réseau. Vous devez donc créer des comptes d'utilisateurs pour identifier et

authentifier les utilisateurs afin qu'ils puissent accéder au réseau.

1.1- Définition

Un compte d'utilisateur est un objet qui regroupe toutes les informations définissant

un utilisateur sur Windows Server 2016. Ce compte peut être un compte local ou un

compte de domaine. Il contient le nom d’utilisateur et le mot de passe avec lesquels

l'utilisateur ouvre une session, et les groupes dont le compte d'utilisateur est

membre.

Vous pouvez utiliser un compte d'utilisateur pour :

1
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

permettre à un utilisateur d'ouvrir une session sur un ordinateur en fonction

de l'identité du compte d'utilisateur ;

permettre aux processus et aux services de s'exécuter sous un contexte

de sécurité spécifique ;

administrer les accès d'un utilisateur à des ressources telles que des objets

Active Directory et à leurs propriétés, des dossiers partagés, des fichiers, des

répertoires et des files d'attente d'impression.

1.2- Les types de comptes utilisateurs

1.2.1- Les comptes utilisateurs locaux

Les comptes d’utilisateur locaux sont stockés localement sur l’appareil. Ces comptes

peuvent se voir attribuer des droits et des autorisations sur un appareil particulier, mais

uniquement sur cet appareil.

Les comptes d’utilisateur locaux par défaut sont des comptes intégrés qui sont créés

automatiquement lorsque le système d’exploitation est installé.

1.2.2- Les comptes utilisateurs de domaine

Les comptes d’utilisateur de domaine sont stockés dans Active Directory.

1.3.1- Les noms associés aux comptes d’utilisateurs de domaine

Les noms associés aux comptes d'utilisateurs de domaines sont :

2
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

o Nom d'ouverture de session d'utilisateur : Exemple : jayadam

o Nom principal d'ouverture de session d’utilisateur.

Exemple : [email protected]

o Nom unique relatif LDAP (Lightweight Directory Access Protocol)

Le nom unique relatif LDAP identifie de façon unique l'objet dans son conteneur

parent. Les utilisateurs ne se servent jamais de ce nom, mais les administrateurs

l'utilisent pour ajouter des utilisateurs au réseau à partir d'un script ou d'une

ligne de commandes. Tous les objets utilisent la même convention d'attribution de

noms LDAP ; tous les noms uniques relatifs LDAP doivent donc être uniques dans

une unité d'organisation.

Exemple : le nom unique relatif LDAP au nom [email protected] est :

CN=jayadam,CN=users,dc=tci,dc=local

2- Les groupes Active directory

Pour vous convaincre de l’importance et de l’intérêt qu’il y a à utiliser les groupes, voici un

exemple tout simple.

Je dispose d’un dossier partagé, accessible via le réseau aux utilisateurs du domaine. Ce

dossier se nomme « Comptabilité » et je souhaite que toutes les personnes du service

comptabilité de mon entreprise accèdent à ce dossier.

3
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

Plutôt que de donner les droits à chaque utilisateur du service comptabilité, tour à tour, on

va créer un groupe. De ce fait, je vais créer un groupe nommé « comptabilité » dont les

membres sont l’ensemble des utilisateurs correspondant aux collaborateurs du service

comptabilité.

Il suffira ensuite d’ajouter sur le dossier partagé les autorisations pour le groupe «

comptabilité », ce qui impliquera que les membres de ce groupe disposeront eux aussi

des droits (comme ils font partie du groupe).

Non seulement ça permet de simplifier la liste des autorisations sur le répertoire (il y a

moins d’éléments listés que si chaque utilisateur était ajouté de façon indépendante), mais

aussi ça simplifie l’administration, car si un utilisateur change de service, il suffit de le

changer de groupe. Il ne sera pas nécessaire de changer les autorisations de cet utilisateur

sur des dossiers partagés tel que celui de la « comptabilité ».

IL existe différentes étendues pour les groupes et différents types de groupe

4
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

2.1- L’étendue du groupe

L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active

Directory, les étendues peuvent aller d’une portée uniquement sur le domaine local, mais

aussi s’étendre sur la forêt entière.

5
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

Il existe trois étendues différentes :

- Domaine local

Un groupe qui dispose d’une étendue « domaine local » peut être utilisé uniquement dans

le domaine dans lequel il est créé. Avec ce type d’étendue, le groupe reste local au

domaine où il est créé.

Cependant, les membres d’un groupe à étendue locale peuvent être bien sûr des

utilisateurs, mais aussi d’autres groupes à étendues locales, globales ou universelles.

Cette possibilité offre là encore une flexibilité dans l’administration.

Il peut être défini pour contrôler l’accès aux ressources uniquement au niveau du domaine

local.

- Globale

Un groupe ayant une étendue « globale » pourra être utilisé dans le domaine local, mais

aussi dans tous les domaines approuvés par le domaine de base. Ainsi, si un « domaine

A » approuve via une relation un « domaine B », alors un groupe global créé dans le «

domaine A » pourra être utilisé dans le « domaine B ».

Un groupe global pourra contenir d’autres objets du domaine, et être utilisé pour contrôler

l’accès aux ressources sur le domaine local et tous les domaines approuvés.

6
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

- Universelle

Un groupe disposant de l’étendue « universelle » à une portée maximale puisqu’il est

accessible dans l’ensemble de la forêt, ce qui implique qu’il soit disponible sur tous les

domaines de la forêt.

Un groupe universel peut contenir des groupes et objets provenant de n’importe quel

domaine de la forêt. De la même manière, il est possible de l’utiliser pour définir l’accès

aux ressources sur tous les domaines de la forêt.

Ainsi, avec ce type d’étendue on pourra consolider plusieurs groupes qui doivent avoir une

portée maximale sur l’ensemble du système.

Une particularité de ce type de groupe, c’est qu’il est défini au sein d’un catalogue global.

- Précisions sur les étendues

Les étendues sont dépendantes du niveau fonctionnel de la forêt et du domaine, ainsi que

de la complexité de l’architecture en place, notamment au niveau des relations

d’approbations entre les différents domaines et arbres. Si vous créez un groupe à étendue

universelle, mais qu’il n’y a pas de relation avec un autre domaine ou une autre forêt, cela

n’aura pas d’intérêt.

7
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

- Exemple

Reprenons l’arborescence que nous avions définie, avec les deux domaines

« it-connect.local » et « learn-online.local » contenant tous les deux des sous-

domaines.

Imaginons trois groupes et leurs étendues cohérentes :

- Comptabilité : étendue « domaine local » sur « paris.it-connect.local »

- Direction : étendue « globale » sur « learn-online.local » qui approuve tous les sous-

domaines

- Informatique : étendue « universelle » sur la forêt

Ainsi, la portée de ces groupes pourra être schématisée comme ceci au sein de la forêt :

8
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

2.2- Les types du groupe

Il existe deux types :

- Sécurité

Les groupes de sécurité sont les plus utilisés et ceux que vous manipulerez le plus

souvent. Ils permettent d’utiliser les groupes pour gérer les autorisations d’accès aux

ressources.

9
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

Par exemple, si vous avez un partage sur lequel vous souhaitez donner des

autorisations d’accès, vous pourrez utiliser un « groupe de sécurité » pour donner des

autorisations à tous les membres de ce groupe.

En résumé, ces groupes sont utilisés pour le contrôle d’accès, ce qui implique que

chaque groupe de ce type dispose d’un identifiant de sécurité « SID ».

- Distribution

L’objectif de ce type de groupe n’est pas de faire du contrôle d’accès, mais plutôt des

listes de distribution. Par exemple, créer une liste de distribution d’adresses e-mail en

ajoutant des contacts.

De ce fait, ces groupes sont utilisés principalement par des applications de messagerie,

comme Microsoft Exchange.

Comme il n’y a pas de notion de sécurité, ce type de groupe ne dispose pas d’identifiant

de sécurité « SID ».

- Conclusion

Finalement, vous ne devez pas être étonné des définitions données ci-dessus quant aux

deux types de groupe disponibles, car les noms sont assez explicites.

10
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

Il est à noter qu’il est possible de convertir à tout moment un groupe de sécurité en

groupe de distribution, et vice-versa. Cependant, le niveau fonctionnel du domaine doit

être au minimum « Windows Server 2000 natif » mais de nos jours, il est quasiment «

impossible » de ne pas l’être.

2.3- Les groupes par défaut

Lors de la création d’un domaine et de la création de l’annuaire Active Directory,

différents groupes sont déjà présents, mais alors, à quoi servent-ils ? Intéressons-nous

aux groupes intégrés, spéciaux et prédéfinis.

- Les groupes intégrés (« Built-in ») : Ce sont des groupes qui permettent d’assigner

des autorisations d’administration, de façon générale ou sur des fonctionnalités précises

afin de gérer la sécurité finement. Ces groupes sont directement intégrés et stockés

dans l’annuaire Active Directory au sein du container « Builtin » accessible de la console

« Utilisateurs et ordinateurs Active Directory ». Leur étendue est toujours de type local.

11
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

Par exemple, le groupe « Administrateurs Hyper-V » donnera un accès complet et illimité

à toutes les fonctionnalités liées à Hyper-V. Autre exemple, le groupe « Opérateurs de

sauvegarde » permet d’accéder aux fonctionnalités de sauvegarde et de restauration des

fichiers.

- Les groupes spéciaux : Seul le système à la main sur ces groupes, qui sont

pratique et qui permettent d’englober les utilisateurs à différentes échelles. On trouve

par exemple les groupes « Tout le monde » et « Utilisateurs authentifiés ».

12
 ADMINISTRATION DES RESEAUX ET SERVICES
Instructeur : M. TRAORE, Ingénieur certifié MICROSOFT (MCSA 2016)

Ces groupes peuvent être utilisés pour définir du contrôle d’accès (exemple : donner

accès aux utilisateurs authentifiés l’accès à un partage).

Par ailleurs, il n’est pas possible de gérer les membres de ces groupes, le système gère

ces groupes en exclusivité.

- Les groupes prédéfinis : On les trouve dans l’unité d’organisation « Users » au sein

de la console « Utilisateurs et ordinateurs Active Directory ». Ces groupes prédéfinis sont

là en complément des groupes intégrés, sauf que pour eux il y a différents niveaux

d’étendues qui sont prédéfinies et qu’on ne peut pas modifier.

13