15/11/2024

Les différents types de groupe de l’Active Directory

Jusqu’ici, nous avons évoqué vaguement la notion de groupe, il va être temps de s’y mettre ! Comme je le disais précédemment, un groupe permet de regrouper plusieurs objets au sein d’un même objet.

Pour vous convaincre de l’importance et de l’intérêt qu’il y a à utiliser les groupes, voici un exemple tout simple.

Je dispose d’un dossier partagé, accessible via le réseau aux utilisateurs du domaine. Ce dossier se nomme « Comptabilité » et je souhaite que toutes les personnes du service comptabilité de mon entreprise accèdent à ce dossier.

Plutôt que de donner les droits à chaque utilisateur du service comptabilité, tour à tour, nous allons créer un groupe. De ce fait, ce groupe devra porter un nom, par exemple « comptabilité », et les membres de ce groupe seront l’ensemble des utilisateurs correspondant aux collaborateurs du service comptabilité.

Il suffira ensuite d’ajouter sur le dossier partagé les autorisations pour le groupe « comptabilité », ce qui impliquera que les membres de ce groupe disposeront, eux aussi, des droits (comme ils font partie du groupe).

Remarque : dans la pratique, c'est un peu plus complexe si l'on souhaite respecter les bonnes pratiques pour la gestion des permissions sur les partages. En effet, il faut adopter la méthode nommée "AGDLP" qui implique une imbrication de groupes.

L'utilisation des groupes simplifie l’administration au quotidien et le suivi des permissions dans le temps. Si un utilisateur change de service, il suffit de le changer de groupe. Il ne sera pas nécessaire de changer les autorisations de cet utilisateur sur des dossiers partagés tel que celui de la « comptabilité ». Adoptez cette logique de gestion par groupe de sécurité dès le départ, même si la permission doit être associée à un seul utilisateur dans un premier temps : qu'en sera-t-il demain ?

Sachez qu’il existe différentes étendues pour les groupes et différents types de groupe. L'image ci-dessous illustre les choix offerts par l'Active Directory.

Assistant de création d'un groupe
Assistant de création d'un groupe

I. L’étendue du groupe

L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active Directory. Les étendues peuvent aller d’une portée uniquement sur le domaine local, mais aussi s’étendre sur la forêt entière. Cette notion de portée joue un rôle important dans la sécurité des environnements Active Directory.

Pour ceux qui ne se souviennent plus de ce que sont une forêt et un domaine, retournez au troisième chapitre du premier module.

Il existe trois étendues différentes :

  • Domaine local

Un groupe qui dispose d’une étendue « domaine local » peut être utilisé exclusivement dans le domaine dans lequel il est créé. Avec ce type d’étendue, le groupe reste local au domaine où il est créé.

Cependant, les membres d’un groupe avec une étendue locale peuvent être bien sûr des utilisateurs, mais aussi d’autres groupes avec une étendue locale, globale ou universelle. Cette possibilité offre là encore une flexibilité dans l’administration. Il peut être défini pour contrôler l’accès aux ressources uniquement au niveau du domaine local.

  • Globale

Un groupe ayant une étendue « globale » pourra être utilisé dans le domaine local, mais aussi dans tous les domaines approuvés par le domaine racine. Ainsi, si un « domaine A » approuve un « domaine B » via une relation d'approbation, alors un groupe global créé dans le « domaine A » pourra être utilisé dans le « domaine B ».

Un groupe global pourra contenir d’autres objets du domaine, et être utilisé pour contrôler l’accès aux ressources sur le domaine local et tous les domaines approuvés.

  • Universelle

Un groupe disposant de l’étendue « universelle » à une portée maximale puisqu’il est accessible dans l’ensemble de la forêt, ce qui signifie qu’il est disponible sur tous les domaines de la forêt.

Un groupe universel peut contenir des groupes et des objets provenant de n’importe quel domaine de la forêt. De la même manière, il est possible de l’utiliser pour définir l’accès aux ressources sur tous les domaines de la forêt. Ainsi, avec cette étendue, nous pourrons consolider plusieurs groupes qui doivent avoir une portée maximale sur l’ensemble du système.

Une particularité de ce type de groupe, c’est qu’il est défini au sein d’un catalogue global.

  • Précisions sur les étendues

Les étendues sont dépendantes du niveau fonctionnel de la forêt et du domaine, ainsi que de la complexité de l’architecture en place, notamment au niveau des relations d’approbations entre les différents domaines et arbres. Si vous créez un groupe à étendue universelle, mais qu’il n’y a pas de relation avec un autre domaine ou une autre forêt, cela n’aura pas d’intérêt.

Exemple

Reprenons l’arborescence que nous avions définie dans le chapitre « Domaine, forêt et arbre », avec les deux domaines « it-connect.local » et « learn-online.local » contenant tous les deux des sous-domaines.

Imaginons trois groupes et leurs étendues :

- Comptabilité : étendue « domaine local » sur « paris.it-connect.local ».
- Direction : étendue « globale » sur « learn-online.local » qui approuve tous les sous-domaines.
- Informatique : étendue « universelle » sur la forêt.

Ainsi, la portée de ces groupes pourra être schématisée comme ceci au sein de la forêt :

cours-active-directory-15

II. Le type du groupe

Maintenant que vous êtes opérationnel sur la compréhension des étendues, nous allons voir le second paramètre proposé lors de la création d’un groupe : le type de groupe.

Il y a 2 types de groupe différents :

  • Sécurité

Les groupes de sécurité sont les plus utilisés et ceux que vous manipulerez le plus souvent. Ils permettent d’utiliser les groupes pour gérer les autorisations d’accès aux ressources.

Par exemple, si vous avez un partage sur lequel vous souhaitez donner des autorisations d’accès, vous pourrez utiliser un « groupe de sécurité » pour donner des autorisations à tous les membres de ce groupe.

En résumé, ces groupes sont utilisés pour le contrôle d’accès, ce qui implique que chaque groupe de ce type dispose d’un identifiant de sécurité.

  • Distribution

L’objectif de ce type de groupe n’est pas de faire du contrôle d’accès, mais plutôt des listes de distribution. Par exemple, créer une liste de distribution d’adresses e-mail en ajoutant des contacts. De ce fait, ces groupes sont utilisés principalement par des serveurs de messagerie, comme la solution Microsoft Exchange.

Comme il n’y a pas de notion de sécurité, ce type de groupe ne dispose pas d’identifiant de sécurité.

Finalement, vous ne devez pas être étonné des définitions données ci-dessus quant aux deux types de groupe disponibles, car les noms sont assez explicites.

cours-active-directory-16

Il est à noter qu’il est possible de convertir à tout moment un groupe de sécurité en groupe de distribution, et vice-versa. Cependant, le niveau fonctionnel du domaine doit être au minimum « Windows Server 2000 natif » : il y a peu de chance que votre domaine n'utilise pas un niveau fonctionnel supérieur.

III. Les groupes par défaut

Lors de la création d’un domaine et de la création de l’annuaire Active Directory, différents groupes sont déjà présents. Mais, alors, à quoi servent-ils ? Intéressons-nous aux groupes intégrés, spéciaux et prédéfinis.

  • Les groupes intégrés (« Built-in »)

Ce sont des groupes qui permettent d’assigner des autorisations d’administration, de façon générale ou sur des fonctionnalités précises, afin de gérer la sécurité. Ces groupes sont directement intégrés et stockés dans l’annuaire Active Directory au sein du container « Builtin » accessible de la console « Utilisateurs et ordinateurs Active Directory ». Leur étendue est toujours de type local.

Par exemple, le groupe « Utilisateurs du Bureau à distance » donnera les droits nécessaires pour ouvrir une session à distance (RDP). Autre exemple, le groupe « Opérateurs de sauvegarde » permet d’accéder aux fonctionnalités de sauvegarde et de restauration des fichiers.

Console Utilisateurs et ordinateurs Active Directory
Console Utilisateurs et ordinateurs Active Directory
  • Les groupes spéciaux

Seul le système à la main sur ces groupes, qui permettent d’englober les utilisateurs à différentes échelles. Nous avons notamment les groupes « Tout le monde » et « Utilisateurs authentifiés ». Le groupe de sécurité « Utilisateurs authentifiés » contient tous les utilisateurs et tous les ordinateurs de l'Active Directory, ce qui correspond à tous les accès authentifiés.

Sachez qu'il n’est pas possible de gérer les membres de ces groupes, car le système détient l'exclusivité sur l'administration de ces groupes.

  • Les groupes prédéfinis

Il existe des groupes prédéfinis, qui sont des groupes par défaut intégrés à tout annuaire Active Directory. Ils sont visibles dans le container "Users". Ces groupes prédéfinis complètent les groupes intégrés, mais contrairement à ces derniers, ils disposent de différents niveaux d'étendues prédéfinies, qui ne peuvent pas être modifiées. L'administrateur de l'annuaire Active Directory peut ajouter ou supprimer des membres de ces groupes.

Par exemple :

  • Les membres du groupe "Admins du domaine" disposent d'un accès complet (administrateur) sur tous les postes de travail et tous les serveurs intégrés à l'Active Directory. C'est un groupe sensible.
  • Les membres du groupe "Admnistrateurs du schéma" disposent des autorisations nécessaires pour modifier le schéma du domaine Active Directory.

Rendez-vous dans le prochain module pour continuer votre découverte de l'AD.

Chapitre Précédent
Retour au Module
Module Suivante
author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Windows 10 : Astuces pour personnaliser le menu Démarrer

Florian BURNEL 84

Microsoft : Windows gratuit sur téléphone et tablette, pas sur PC

Florian BURNEL 0

Apple corrige une faille zero-day qui affecte macOS, watchOS et tvOS

Florian BURNEL 0