Approche pratique des services de domaine Active Directory, Partie 4 : Groupes et OUs d’AD

Introduction aux groupes AD et aux unités d'organisation
Groupes AD : Les groupes sont des conteneurs qui contiennent d'autres objets AD tels que des utilisateurs, des ordinateurs ou même d'autres groupes. Les groupes contribuent à l'organisation et à la gestion efficaces des objets AD individuels. Les utilisateurs AD individuels sont souvent regroupés pour former des groupes AD afin de mieux les gérer. Le regroupement des utilisateurs en fonction d'un objectif spécifique garantit que les autorisations et les droits d'accès appropriés sont activés pour une meilleure organisation et un meilleur contrôle de l'identité de chaque utilisateur. Les administrateurs AD se concentrent généralement sur les groupes AD composés d'utilisateurs AD plutôt que d'ordinateurs ou d'autres objets, en raison de la nature dynamique et de la complexité des objets utilisateurs. Par exemple, les groupes dont les objets utilisateurs peuvent faire partie, le numéro de téléphone d'un utilisateur, ou l'accès de l'utilisateur à différentes ressources du réseau peuvent changer constamment. Ces changements doivent être effectués dans AD. Les groupes d'utilisateurs sont des objets AD dynamiques qui nécessitent des mises à jour et une attention constantes. Les groupes AD existent en deux variantes :- Les groupes de sécurité : Il s'agit de groupes AD concernés par l'attribution d'autorisations et de droits aux utilisateurs afin de garantir un contrôle efficace de l'accès aux ressources réseau partagées.
- Les groupes de distribution : Ils sont utilisés en conjonction avec les services de courrier électronique et aident à créer et à gérer les listes de distribution de courrier électronique.
En quoi les groupes et les OU d'AD diffèrent-ils les uns des autres ?
Les groupes AD et les OU peuvent tous deux contenir d'autres objets AD ; tous deux aident à mieux gérer les objets AD, mais pourquoi n'utilisons-nous pas les deux ? La réponse réside dans la compréhension des deux catégories d'objets AD dans les moindres détails. Comparons et contrastons les deux ci-dessous :Similitudes :- Les groupes et OUs d’AD aident à gérer la structure du domaine. Les domaines étant assez peu flexibles à la création, l'utilisation des services AD au sein d'un domaine dépend de la manière dont les OU sont structurés et dont les groupes sont gérés à leur création.
- Les groupes et OUs d’AD peuvent être créés en fonction de l'un des critères suivants :
OUs | Groupes AD |
Les OU permettent d'attribuer des privilèges administratifs. | Les groupes sont utilisés pour définir les autorisations d'accès et les droits des utilisateurs aux objets qu'ils contiennent. |
Certains privilèges courants comprennent : · La délégation de l'autorité administrative sur des tâches telles que la création et la gestion des utilisateurs. · La gestion des paramètres de configuration de l'ordinateur ou de l'utilisateur. · Modification des liens entre les GPO et des domaines particuliers ou d'autres OU. · La possibilité de modifier les politiques et les préférences | Ces autorisations comprennent les autorisations de lecture, d'écriture et de partage pour gérer l'accès et modifier les ressources réseau partagées telles que les imprimantes ou les fichiers communs dans un dossier partagé. |
Il convient de noter ici que ces paramètres de stratégie de groupe ne peuvent être appliqués qu'aux OU et non aux groupes AD individuels. | Les utilisateurs sont généralement regroupés dans des groupes globaux, qui sont à leur tour ajoutés à des groupes locaux de domaine (surtout dans le cas d'organisations multi-domaines) et finalement ajoutés à des listes de contrôle d'accès pour permettre la définition de telles permissions. |
Partie 1 : Travailler avec les groupes AD
Comme dans la troisième partie de cette série, nous utiliserons Active Directory Administrative Center (ADAC) et Active Directory Users and Computers (ADUC) comme deux outils principaux pour réaliser les exercices.Création de groupes d'utilisateurs AD Pour créer un groupe avec ADAC :- Choisissez le conteneur Utilisateurs par défaut.
- Dans le volet de droite du conteneur Utilisateurs, vous pouvez créer un nouveau groupe.
- Attribuez un nom de groupe, qui remplira automatiquement le sAMAccountName.
- Le type de groupe peut être sélectionné ici ainsi que la portée du groupe ; le type de groupe peut être défini comme universel (si vous avez une organisation multi-domaine), local au domaine, ou global.

Figure 1. Un groupe de sécurité global appelé TestAD4Group est créé à l'aide d'ADAC
Pour créer un groupe avec ADUC :- Cliquez avec le bouton droit de la souris sur le conteneur Utilisateurs pour voir l'option permettant de créer un nouveau groupe.
- Le reste des détails à fournir et les étapes suivantes sont similaires à ceux d'ADAC.

Figure 2. Un groupe de sécurité global appelé TestAD4Group est créé à l'aide d'ADUC.
Appartenance à un groupe ADLes propriétés du groupe fournissent des informations sur l'appartenance au groupe. Pour ajouter de nouveaux membres via ADAC ou ADUC, les noms d'utilisateurs doivent être recherchés puis ajoutés. Essayons ceci. Dans notre blog précédent, un utilisateur type appelé Test AD3.User a été créé. Pour ajouter cet utilisateur au groupe TestAD4Group, vous pouvez utiliser ADAC ou ADUC. Une capture d'écran de la fenêtre qui s'ouvre pendant cette opération est présentée ci-dessous.
Figure 3. Ajout d'un utilisateur test à un groupe test créé à l'aide d'ADAC
Vous pouvez également supprimer des membres du groupe via ADAC et ADUC en utilisant l'option de suppression.Création de groupes d'ordinateurs AD Les groupes d'ordinateurs peuvent être créés dans les conteneurs d'ordinateurs sur ADAC et ADUC. Les ordinateurs créés peuvent être ajoutés à ces groupes d'ordinateurs d'une manière similaire à celle suivie pour les utilisateurs.Suppression de groupes AD Pour supprimer des groupes AD qui n'ont plus leur utilité, cliquez avec le bouton droit de la souris sur le groupe AD et choisissez l'option de suppression disponible dans le menu qui s'affiche.Gestion des groupes ADLes problèmes concernant les groupes AD concernent généralement des membres qui font partie de groupes incorrects. Les propriétés du groupe peuvent être examinées et les membres peuvent être ajoutés ou supprimés selon la procédure expliquée ci-dessus pour s'assurer que les groupes AD appropriés sont configurés pour le bon ensemble d'utilisateurs AD.Partie 2 : Travailler avec les OUs
Les OU diffèrent des conteneurs par défaut par leur capacité à se voir appliquer une stratégie de groupe et par la possibilité de contenir d'autres OU. L'une ou l'autre de ces possibilités n'existe pas dans les conteneurs. Pour avoir une expérience pratique du travail avec les OUs, ADAC ou ADUC peuvent être utilisés. Examinons quelques exercices AD simples sur les OU.Création d'OUsAvant d'aborder le comment de la procédure de création des OU, il est essentiel de bien comprendre le pourquoi. Une fois que l'objectif du nouveau OU est clair d'un point de vue organisationnel et administratif, la procédure suivante peut être suivie pour la création. Pour créer un OU avec ADAC :- On peut sélectionner soit un sous-domaine, soit un domaine parent pour y créer la nouvelle OU. Lors de la sélection, l'option Nouveau dans le volet des tâches à droite permet de créer une nouvelle OU.
- Notez que le nom de l'OU à fournir doit être unique si l'OU est créé dans le domaine racine.
- Les informations à fournir pour la création de l'OU sont assez simples comme le montre l'exemple de TestADACOU créé ci-dessous.

Figure 4. OU de test créé avec ADAC
La procédure est similaire dans ADUC ; cliquez avec le bouton droit de la souris sur le domaine requis pour créer une nouvelle OU.
Figure 5. Procédure de création d'une OU de test à l'aide d'ADUC
Comme les OU contiennent d'innombrables autres objets AD importants qui constituent la base de la gestion centralisée des ressources de l'organisation, les administrateurs ont la possibilité de les protéger contre une suppression accidentelle. Cela permettra d'éviter la suppression inutile, malveillante ou injustifiée d'OU par d'autres personnes.Modification des OUs- La gestion des OUs comprend le renommage par un clic droit qui liste l'option de renommage pour n'importe quel OU individuel.
- L'ajout d'une description pour tous les OU est toujours une bonne pratique. Cette option se trouve dans l'onglet Propriétés de chaque OU.
- Un ou plusieurs utilisateurs peuvent être ajoutés sous l'onglet Géré par de chaque OU afin de désigner des utilisateurs spécifiques pour superviser la gestion des OU. Cette option est disponible pour ces utilisateurs ajoutés s'ils disposent des autorisations appropriées.
- La suppression des OU peut également être effectuée en cliquant avec le bouton droit de la souris sur l'OU et en sélectionnant Supprimer.
Comments