Approche pratique des services de domaine Active Directory, Partie 4 : Groupes et OUs d’AD

Une approche pratique des services de domaine Active Directory, Partie 4 : Groupes et OUs d’ADLes objets Active Directory (AD) sont rarement gérés comme des entités autonomes. Dans la troisième partie de cette série, nous avons abordé des exercices pratiques pour créer et gérer deux des objets AD les plus critiques (Groupes et OUs d’AD), à savoir les utilisateurs et les ordinateurs, après avoir configuré un environnement AD de laboratoire sur des machines virtuelles. Pour gérer AD efficacement, il est impératif d'avoir des connaissances et une expérience pratique des groupes AD et des unités d'organisation (OU). Dans cette quatrième partie de notre série, nous allons développer ce point.

Introduction aux groupes AD et aux unités d'organisation

Groupes AD : Les groupes sont des conteneurs qui contiennent d'autres objets AD tels que des utilisateurs, des ordinateurs ou même d'autres groupes. Les groupes contribuent à l'organisation et à la gestion efficaces des objets AD individuels. Les utilisateurs AD individuels sont souvent regroupés pour former des groupes AD afin de mieux les gérer. Le regroupement des utilisateurs en fonction d'un objectif spécifique garantit que les autorisations et les droits d'accès appropriés sont activés pour une meilleure organisation et un meilleur contrôle de l'identité de chaque utilisateur. Les administrateurs AD se concentrent généralement sur les groupes AD composés d'utilisateurs AD plutôt que d'ordinateurs ou d'autres objets, en raison de la nature dynamique et de la complexité des objets utilisateurs. Par exemple, les groupes dont les objets utilisateurs peuvent faire partie, le numéro de téléphone d'un utilisateur, ou l'accès de l'utilisateur à différentes ressources du réseau peuvent changer constamment. Ces changements doivent être effectués dans AD. Les groupes d'utilisateurs sont des objets AD dynamiques qui nécessitent des mises à jour et une attention constantes. Les groupes AD existent en deux variantes :
  • Les groupes de sécurité : Il s'agit de groupes AD concernés par l'attribution d'autorisations et de droits aux utilisateurs afin de garantir un contrôle efficace de l'accès aux ressources réseau partagées.
  • Les groupes de distribution : Ils sont utilisés en conjonction avec les services de courrier électronique et aident à créer et à gérer les listes de distribution de courrier électronique.
OUs : Les OU sont des conteneurs logiques utilisés pour mieux organiser les domaines AD. Comme nous l'avons vu dans la première partie de cette série, l'un des principaux avantages d'AD est que les administrateurs peuvent gérer de manière centralisée et administrer efficacement l'allocation des ressources dans l'environnement AD. Les paramètres de stratégie de groupe sont appliqués à un groupe logique d'objets AD afin de les gérer plus efficacement. Les OU sont ces groupes logiques, qui contiennent des utilisateurs, des ordinateurs et d'autres groupes. Ils permettent d'administrer les permissions et d'appliquer les paramètres de la stratégie de groupe. L'autorisation d'accéder à certaines applications et à certains systèmes de fichiers, le contrôle des paramètres des utilisateurs et des ordinateurs et le contrôle de la disponibilité et de la mise à jour des logiciels pour chaque utilisateur AD sont quelques-uns des paramètres qui peuvent être configurés par le biais des objets de stratégie de groupe dans AD. Grâce à eux, la maintenance et la gestion de l'environnement AD deviennent transparentes.

En quoi les groupes et les OU d'AD diffèrent-ils les uns des autres ?

Les groupes AD et les OU peuvent tous deux contenir d'autres objets AD ; tous deux aident à mieux gérer les objets AD, mais pourquoi n'utilisons-nous pas les deux ? La réponse réside dans la compréhension des deux catégories d'objets AD dans les moindres détails. Comparons et contrastons les deux ci-dessous :Similitudes :
  • Les groupes et OUs d’AD aident à gérer la structure du domaine. Les domaines étant assez peu flexibles à la création, l'utilisation des services AD au sein d'un domaine dépend de la manière dont les OU sont structurés et dont les groupes sont gérés à leur création.
  • Les groupes et OUs d’AD peuvent être créés en fonction de l'un des critères suivants :
➤ Les besoins de l'entreprise, c'est-à-dire la catégorisation des OU en fonction des départements ou un groupe AD uniquement pour les responsables des ventes d'un produit particulier. ➤ Les emplacements géographiques, c'est-à-dire une OU créée spécifiquement pour une région particulière ou un groupe AD pour les cadres du marketing d'une succursale particulière. ➤ Types d'objets, c'est-à-dire des OU individuels pour les comptes d'utilisateurs et d'ordinateurs. ➤ Selon les besoins, c'est-à-dire des OU distincts pour les serveurs pour une application de politique de groupe plus facile.Différences : 

OUs

Groupes AD

Les OU permettent d'attribuer des privilèges administratifs.Les groupes sont utilisés pour définir les autorisations d'accès et les droits des utilisateurs aux objets qu'ils contiennent.
Certains privilèges courants comprennent : · La délégation de l'autorité administrative sur des tâches telles que la création et la gestion des utilisateurs. · La gestion des paramètres de configuration de l'ordinateur ou de l'utilisateur. · Modification des liens entre les GPO et des domaines particuliers ou d'autres OU. · La possibilité de modifier les politiques et les préférencesCes autorisations comprennent les autorisations de lecture, d'écriture et de partage pour gérer l'accès et modifier les ressources réseau partagées telles que les imprimantes ou les fichiers communs dans un dossier partagé.
Il convient de noter ici que ces paramètres de stratégie de groupe ne peuvent être appliqués qu'aux OU et non aux groupes AD individuels.Les utilisateurs sont généralement regroupés dans des groupes globaux, qui sont à leur tour ajoutés à des groupes locaux de domaine (surtout dans le cas d'organisations multi-domaines) et finalement ajoutés à des listes de contrôle d'accès pour permettre la définition de telles permissions.
Après une analyse attentive, il est important de réaliser que pour mettre en place un environnement AD réussi, les groupes et OUs d’AD doivent être configurés de manière cohérente. Bien que les groupes AD et les OU diffèrent, ils doivent être gérés ensemble, en tenant compte des besoins de gestion à la fois généraux et granulaires. Maintenant, pour commencer à travailler de manière pratique avec ces deux objets AD, divisons la portée de ce blog en deux parties.

Partie 1 : Travailler avec les groupes AD

Comme dans la troisième partie de cette série, nous utiliserons Active Directory Administrative Center (ADAC) et Active Directory Users and Computers (ADUC) comme deux outils principaux pour réaliser les exercices.Création de groupes d'utilisateurs AD Pour créer un groupe avec ADAC :
  1. Choisissez le conteneur Utilisateurs par défaut.
  2. Dans le volet de droite du conteneur Utilisateurs, vous pouvez créer un nouveau groupe.
  3. Attribuez un nom de groupe, qui remplira automatiquement le sAMAccountName.
  4. Le type de groupe peut être sélectionné ici ainsi que la portée du groupe ; le type de groupe peut être défini comme universel (si vous avez une organisation multi-domaine), local au domaine, ou global.
Une bonne pratique consiste à fournir une brève description du groupe au moment de sa création.

Figure 1. Un groupe de sécurité global appelé TestAD4Group est créé à l'aide d'ADAC

Pour créer un groupe avec ADUC :
  1. Cliquez avec le bouton droit de la souris sur le conteneur Utilisateurs pour voir l'option permettant de créer un nouveau groupe.
  2. Le reste des détails à fournir et les étapes suivantes sont similaires à ceux d'ADAC.

Figure 2.  Un groupe de sécurité global appelé TestAD4Group est créé à l'aide d'ADUC.

Appartenance à un groupe ADLes propriétés du groupe fournissent des informations sur l'appartenance au groupe. Pour ajouter de nouveaux membres via ADAC ou ADUC, les noms d'utilisateurs doivent être recherchés puis ajoutés. Essayons ceci. Dans notre blog précédent, un utilisateur type appelé Test AD3.User a été créé. Pour ajouter cet utilisateur au groupe TestAD4Group, vous pouvez utiliser ADAC ou ADUC. Une capture d'écran de la fenêtre qui s'ouvre pendant cette opération est présentée ci-dessous.Ajout d'un utilisateur test à un groupe test créé à l'aide d'ADAC

Figure 3. Ajout d'un utilisateur test à un groupe test créé à l'aide d'ADAC

Vous pouvez également supprimer des membres du groupe via ADAC et ADUC en utilisant l'option de suppression.Création de groupes d'ordinateurs AD Les groupes d'ordinateurs peuvent être créés dans les conteneurs d'ordinateurs sur ADAC et ADUC. Les ordinateurs créés peuvent être ajoutés à ces groupes d'ordinateurs d'une manière similaire à celle suivie pour les utilisateurs.Suppression de groupes AD Pour supprimer des groupes AD qui n'ont plus leur utilité, cliquez avec le bouton droit de la souris sur le groupe AD et choisissez l'option de suppression disponible dans le menu qui s'affiche.Gestion des groupes ADLes problèmes concernant les groupes AD concernent généralement des membres qui font partie de groupes incorrects. Les propriétés du groupe peuvent être examinées et les membres peuvent être ajoutés ou supprimés selon la procédure expliquée ci-dessus pour s'assurer que les groupes AD appropriés sont configurés pour le bon ensemble d'utilisateurs AD.

Partie 2 : Travailler avec les OUs

Les OU diffèrent des conteneurs par défaut par leur capacité à se voir appliquer une stratégie de groupe et par la possibilité de contenir d'autres OU. L'une ou l'autre de ces possibilités n'existe pas dans les conteneurs. Pour avoir une expérience pratique du travail avec les OUs, ADAC ou ADUC peuvent être utilisés. Examinons quelques exercices AD simples sur les OU.Création d'OUsAvant d'aborder le comment de la procédure de création des OU, il est essentiel de bien comprendre le pourquoi. Une fois que l'objectif du nouveau OU est clair d'un point de vue organisationnel et administratif, la procédure suivante peut être suivie pour la création. Pour créer un OU avec ADAC :
  1. On peut sélectionner soit un sous-domaine, soit un domaine parent pour y créer la nouvelle OU. Lors de la sélection, l'option Nouveau dans le volet des tâches à droite permet de créer une nouvelle OU.
  2. Notez que le nom de l'OU à fournir doit être unique si l'OU est créé dans le domaine racine.
  3. Les informations à fournir pour la création de l'OU sont assez simples comme le montre l'exemple de TestADACOU créé ci-dessous.
Groupes et OUs d’AD : OU de test créé à l'aide d'ADUC

Figure 4. OU de test créé avec ADAC

La procédure est similaire dans ADUC ; cliquez avec le bouton droit de la souris sur le domaine requis pour créer une nouvelle OU.Groupes et OUs d’AD : Procédure de création d'une OU de test à l'aide d'ADUC

Figure 5. Procédure de création d'une OU de test à l'aide d'ADUC

Comme les OU contiennent d'innombrables autres objets AD importants qui constituent la base de la gestion centralisée des ressources de l'organisation, les administrateurs ont la possibilité de les protéger contre une suppression accidentelle. Cela permettra d'éviter la suppression inutile, malveillante ou injustifiée d'OU par d'autres personnes.Modification des OUs
  1. La gestion des OUs comprend le renommage par un clic droit qui liste l'option de renommage pour n'importe quel OU individuel.
  2. L'ajout d'une description pour tous les OU est toujours une bonne pratique. Cette option se trouve dans l'onglet Propriétés de chaque OU.
  3. Un ou plusieurs utilisateurs peuvent être ajoutés sous l'onglet Géré par de chaque OU afin de désigner des utilisateurs spécifiques pour superviser la gestion des OU. Cette option est disponible pour ces utilisateurs ajoutés s'ils disposent des autorisations appropriées.
  4. La suppression des OU peut également être effectuée en cliquant avec le bouton droit de la souris sur l'OU et en sélectionnant Supprimer.
Prenons l'exemple d'un scénario dans lequel certains employés de l'organisation sont transférés vers un nouveau département dans un nouveau lieu. Dans ce cas, le déplacement d'objets entre OUs devient une tâche critique pour s'assurer que ce changement se reflète également dans la base de données AD. Toutes les modifications nécessaires dans les paramètres de la stratégie de groupe de l'employé doivent être configurées. Bien que l'utilisation des commandes PowerShell pour déplacer des objets entre OUs soit plus facile, plus rapide et nécessite moins d'intervention manuelle, vous pouvez utiliser ADAC et ADUC pour déplacer des objets si vous n'êtes pas encore familiarisé avec l'écriture de scripts PowerShell. Après avoir appris à connaître certaines des tâches pratiques les plus importantes associées aux groupes et OUs d’AD, vous pouvez maintenant être sûr que vos bases sur AD sont solides. L'objectif ultime de cette série est de vous aider à mettre à profit vos connaissances des services de domaine Active Directory pour comprendre une grande variété d'aspects de la gestion d'AD. AD est un monde complexe en soi, utilisé à des fins très diverses. Cette série de blogs est une étape vers l'établissement d'une base de travail solide pour aborder AD, en commençant par les principes fondamentaux.Source : A practical approach to Active Directory Domain Services, Part 4: AD groups and OUs