Logo PG Software
jeudi, 29 septembre 2022 09:09

Une approche pratique de l'Active Directory Domain Services, Partie 4 : Groupes AD et OU

Évaluer cet élément
(0 Votes)
Les objets Active Directory (AD) sont rarement gérés comme des entités autonomes. Dans la Partie 3 de cette série, nous avons abordé des exercices pratiques pour créer et gérer deux des objets AD les plus critiques, à savoir les utilisateurs et les ordinateurs, après avoir configuré un environnement AD sur des machines virtuelles.

Pour gérer l'AD efficacement, il est impératif d'avoir des connaissances et une expérience pratique des groupes AD et des unités d'organisation (OU). Dans cette quatrième partie de notre série, nous allons approfondir ce point.

Introduction aux groupes AD et aux unités d'organisation

Groupes AD : Les groupes sont des conteneurs qui contiennent d'autres objets AD tels que des utilisateurs, des ordinateurs ou même d'autres groupes. Les groupes contribuent à l'organisation et à la gestion efficaces des objets AD individuels.

Les utilisateurs AD individuels sont souvent regroupés pour former des groupes AD afin de mieux les gérer. Le regroupement des utilisateurs en fonction d'un objectif spécifique garantit que les autorisations et les droits d'accès appropriés sont activés pour une meilleure organisation et un meilleur contrôle de l'identité de chaque utilisateur.

Les administrateurs AD se concentrent généralement sur les groupes AD composés d'utilisateurs AD plutôt que d'ordinateurs ou d'autres objets, en raison de la nature dynamique et de la complexité des objets utilisateur. Par exemple, les groupes dont les objets utilisateur peuvent faire partie, le numéro de téléphone d'un utilisateur ou l'accès de l'utilisateur à différentes ressources du réseau peuvent changer constamment. Ces changements doivent être effectués dans l'AD. Les groupes utilisateur sont des objets AD dynamiques qui nécessitent des mises à jour et une attention constantes.

Les groupes AD existent en deux variantes :

  • Les groupes de sécurité : Il s'agit de groupes AD concernés par l'attribution d'autorisations et de droits aux utilisateurs afin de garantir un contrôle efficace de l'accès aux ressources réseau partagées.
  • Les groupes de distribution : Ils sont utilisés en conjonction avec les services de messagerie et aident à créer et à gérer les listes de distribution mail.

OULes OU sont des conteneurs logiques utilisés pour mieux organiser les domaines AD.

Comme nous l'avons vu dans la Partie 1 de cette série, l'un des principaux avantages de l'AD est que les administrateurs peuvent gérer de manière centralisée et administrer efficacement l'allocation des ressources dans l'environnement AD.

Les paramètres de stratégie de groupe sont appliqués à un groupe logique d'objets AD afin de les gérer plus efficacement. Les OU sont ces groupes logiques, qui contiennent des utilisateurs, ordinateurs et autres groupes. Ils permettent d'administrer les autorisations et d'appliquer les paramètres de la stratégie de groupe.

L'autorisation d'accéder à certaines applications et à certains systèmes de fichiers, le contrôle des paramètres utilisateur et ordinateur et le contrôle de la disponibilité et de la mise à jour des logiciels pour chaque utilisateur AD sont quelques-uns des paramètres qui peuvent être configurés par le biais des objets de stratégie de groupe dans l'AD. Grâce à eux, la maintenance et la gestion de l'environnement AD deviennent transparentes.

Quelle est la différence entre les groupes AD et les OU ?

Les groupes AD et les OU peuvent tous deux contenir d'autres objets AD ; ils aident à mieux gérer les objets AD, mais pourquoi n'utilisons-nous pas les deux ?

La réponse réside dans la compréhension des deux catégories d'objets AD dans les moindres détails. Comparons et contrastons les deux ci-dessous :

Similitudes :

  • Les OU et les groupes AD aident à gérer la structure du domaine. Les domaines étant assez peu flexibles à la création, l'utilisation des services AD au sein d'un domaine dépend de la manière dont les OU sont structurés et dont les groupes sont gérés à leur création.
  • Les OU et les groupes peuvent être créés en fonction de l'un des critères suivants :

➤ Les besoins de l'entreprise, c'est-à-dire la catégorisation des OU en fonction des départements ou un groupe AD uniquement pour les responsables des ventes d'un produit particulier.
➤ Les emplacements géographiques, c'est-à-dire une OU créée spécifiquement pour une région particulière ou un groupe AD pour les cadres marketing d'une succursale particulière.
➤ Les types d'objets, c'est-à-dire les OU individuels pour les comptes utilisateur et ordinateur.
➤ Selon les besoins, c'est-à-dire des OU distincts pour les serveurs pour une application de stratégie de groupe plus facile.

Différences :

OU

Groupes AD

Les OU permettent d'attribuer des privilèges d'administration.

Les groupes sont utilisés pour définir les autorisations d'accès et les droits des utilisateurs aux objets qu'ils contiennent.

Certains privilèges communs comprennent :
  • La délégation de l'autorité d'administration sur des tâches telles que la création et la gestion des utilisateurs.
  • La gestion des paramètres de configuration de l'ordinateur ou de l'utilisateur
  • La modification des liens entre les GPO et des domaines particuliers ou d'autres OU
  • La possibilité de modifier les stratégies et les préférences.

Ces autorisations comprennent les autorisations de lecture, d'écriture et de partage pour gérer l'accès et modifier les ressources réseau partagées telles que les imprimantes ou les fichiers communs dans un dossier partagé.

Il convient de noter ici que ces paramètres de stratégie de groupe ne peuvent être appliqués qu'aux OU et non aux groupes AD individuels.

Les utilisateurs sont généralement regroupés dans des groupes globaux, qui sont à leur tour ajoutés à des groupes locaux de domaine (surtout dans le cas d'entreprises multi-domaines) et finalement ajoutés à des listes de contrôle d'accès pour permettre la définition de ces autorisations.


Après une analyse approfondie, il est important de réaliser que pour mettre en place un environnement AD efficace, les groupes et les OU doivent être configurés de manière cohérente.

Bien que les groupes et les OU de l'AD soient différents, ils doivent être gérés ensemble, en tenant compte des besoins de gestion généraux et spécifiques.

Maintenant, pour commencer à travailler sur ces deux objets AD, divisons le contenu de ce blog en deux parties.

Partie 1 : Travailler avec les groupes AD

Comme dans la Partie 3 de cette série, nous utiliserons l'Active Directory Administrative Center (ADAC) et l'Active Directory Users and Computers (ADUC) comme deux outils principaux pour réaliser les exemples d'exercices.

Création de groupes utilisateur AD

Pour créer un groupe avec l'ADAC :

1. Choisissez le conteneur "Users" par défaut.
2. Dans le volet de droite du conteneur "Users", vous pouvez créer un nouveau groupe.
3. Attribuez un nom de groupe, qui remplira automatiquement le sAMAccountName.
4. Le type de groupe peut être sélectionné ici ainsi que la portée du groupe ; le type de groupe peut être défini comme universel (si vous avez une entreprise multi-domaine), local au domaine, ou global.

Une bonne pratique consiste à fournir une brève description du groupe au moment de sa création.

image
Figure 1. Un groupe de sécurité global appelé TestAD4Group est créé à l'aide de l'ADAC

Pour créer un groupe avec l'ADUC :

1. Cliquez avec le bouton droit de la souris sur le conteneur "Users" pour voir l'option permettant de créer un nouveau groupe.
2. Le reste des détails à fournir et les étapes suivantes sont similaires à ceux de l'ADAC.

Figure 2 1 1024x587
Figure 2. Un groupe de sécurité global appelé TestAD4Group est créé à l'aide de l'ADUC.

Appartenance à un groupe AD

Les propriétés du groupe fournissent des informations sur l'appartenance au groupe.

Pour ajouter de nouveaux membres via l'ADAC ou l'ADUC, les noms d'utilisateurs doivent être recherchés puis ajoutés.

Essayons ceci. Dans notre blog précédent, un utilisateur type appelé Test AD3.User a été créé.

Pour ajouter cet utilisateur au groupe TestAD4Group, vous pouvez utiliser l'ADAC ou l'ADUC.

Une capture d'écran de la fenêtre qui s'ouvre pendant cette opération est présentée ci-dessous.

Figure 3 1024x549
Figure 3. Ajout d'un utilisateur test à un groupe test créé à l'aide de l'ADAC

Vous pouvez également supprimer des membres du groupe via l'ADAC et l'ADUC en utilisant l'option de suppression.

Création de groupes ordinateur AD

Les groupes ordinateur peuvent être créés dans les conteneurs "Computer" sur l'ADAC et l'ADUC. Les ordinateurs créés peuvent être ajoutés à ces groupes ordinateur d'une manière similaire à celle suivie pour les utilisateurs.

Suppression de groupes AD

Pour supprimer des groupes AD qui n'ont plus leur utilité, cliquez avec le bouton droit de la souris sur le groupe AD et choisissez l'option de suppression disponible dans le menu qui s'affiche.

Gestion des groupes AD

Tout problème concernant les groupes AD implique généralement que des membres font partie de groupes incorrects. Les propriétés des groupes peuvent être examinées et les membres peuvent être ajoutés ou supprimés selon la procédure expliquée ci-dessus afin de s'assurer que les groupes AD appropriés sont configurés pour le bon set d'utilisateurs AD.

Partie 2 : Travailler avec les OU

Les OU diffèrent des conteneurs par défaut par leur capacité à se voir appliquer une stratégie de groupe et par la possibilité de contenir d'autres OU. L'une ou l'autre de ces possibilités n'est pas possible avec les conteneurs.

Pour avoir une expérience concrète du travail avec les OU, l'ADAC ou l'ADUC peuvent être utilisés. Examinons quelques exercices AD simples sur les OU.

Création d'OU

Avant d'aborder le comment de la procédure de création des OU, il est essentiel de bien comprendre le pourquoi. Une fois que l'objectif de la nouvelle OU est clair d'un point de vue organisationnel et administratif, la procédure suivante peut être suivie pour la création.

Pour créer une OU avec l'ADAC :

1. On peut sélectionner soit un sous-domaine, soit un domaine parent pour y créer la nouvelle OU. Lors de la sélection, l'option "New" dans le volet des tâches à droite permet de créer une nouvelle OU.
2. Notez que le nom de l'OU à fournir doit être unique si l'OU est créé dans le domaine racine.
3. Les informations à fournir pour la création de l'OU sont assez simples comme le montre l'exemple TestADACOU créé ci-dessous.

Figure 4 1024x548
Figure 4. OU test créé avec l'ADAC

La procédure est similaire dans l'ADUC ; cliquez avec le bouton droit de la souris sur le domaine requis pour créer une nouvelle OU.

Figure 5 1 1024x398
Figure 5. Procédure de création d'une OU test à l'aide de l'ADUC

Comme les OU contiennent d'innombrables autres objets AD importants qui constituent la base de la gestion centralisée des ressources de l'entreprise, les administrateurs ont la possibilité de les protéger contre une suppression accidentelle. Cela permettra d'éviter la suppression inutile, malveillante ou injustifiée d'OU par d'autres personnes.

Modification des OU

1. La gestion des OU comprend le renommage par un clic droit qui liste l'option de renommage pour n'importe quelle OU individuelle.
2. L'ajout d'une description pour toutes les OU est toujours une bonne pratique. Cette option se trouve dans l'onglet "Properties" de chaque OU.
3. Un ou plusieurs utilisateurs peuvent être ajoutés sous l'onglet "Managed By" de chaque OU afin de désigner des utilisateurs spécifiques pour superviser la gestion des OU. Cette option est disponible pour ces utilisateurs ajoutés s'ils disposent des autorisations appropriées.
4. La suppression des OU peut également être effectuée en cliquant avec le bouton droit de la souris sur l'OU et en sélectionnant "Delete".

Prenons l'exemple d'un scénario dans lequel certains employés de l'entreprise sont transférés dans un nouveau département sur un nouveau site. Dans ce cas, le déplacement d'objets entre OU devient une tâche critique pour s'assurer que ce changement se reflète également dans la base de données AD. Tous les changements nécessaires dans les paramètres de la stratégie de groupe de l'employé doivent être configurés.

Bien que l'utilisation de commandes PowerShell pour déplacer des objets entre OU soit plus facile, plus rapide et nécessite moins d'intervention manuelle, vous pouvez utiliser l'ADAC et l'ADUC pour déplacer des objets si vous n'êtes pas encore habitué à écrire des scripts PowerShell.

Après avoir appris à connaître certaines des tâches pratiques les plus importantes associées aux groupes et aux OU de l'AD, vous pouvez maintenant être sûr que vos bases sur l'AD sont solides. L'objectif ultime de cette série est de vous aider à mettre à profit vos connaissances de l'Active Directory Domain Services pour comprendre une grande variété d'aspects de la gestion AD.

L'AD est un monde complexe en soi, utilisé à des fins très diverses. Cette série de blogs est une étape vers l'établissement d'une base de travail solide pour aborder l'AD, en commençant par les principes fondamentaux.

Informations supplémentaires

  • Logiciels AD: AD360
Lu 44 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.