Un groupe est un ensemble de comptes d’utilisateurs et d’ordinateurs, de contacts et d’autres groupes que vous pouvez gérer comme une seule unité. Les utilisateurs et les ordinateurs qui appartiennent à un groupe particulier représentent les membres du groupe.
Les groupes dans les services de domaine Active Directory (AD DS) sont des objets d’annuaire qui résident dans un domaine et dans des objets conteneur d’unité d’organisation. AD DS fournit un jeu de groupes par défaut à l’installation. Il fournit aussi une option pour créer des groupes.
Vous pouvez utiliser des groupes dans AD DS pour :
-
Simplifier l’administration en affectant des autorisations sur une ressource partagée à un groupe plutôt qu’à des utilisateurs individuels. L’affectation des autorisations à un groupe attribue le même accès à la ressource à tous les membres de ce groupe.
-
Déléguer l’administration en affectant des droits d’utilisateur à un groupe à l’aide de la stratégie de groupe. Vous pouvez ensuite ajouter au groupe les membres auxquels vous souhaitez attribuer les mêmes droits que le groupe.
-
Créer des listes de distribution électronique.
Les groupes se caractérisent par leur étendue et leur type. L’étendue d’un groupe détermine le degré d’application du groupe au sein d’un domaine ou d’une forêt. Le type de groupe détermine si vous pouvez utiliser un groupe pour attribuer des autorisations depuis une ressource partagée (pour les groupes de sécurité) ou pour réserver l’utilisation d’un groupe à des listes de distribution électronique (pour les groupes de distribution).
Il existe aussi des groupes dont vous ne pouvez pas modifier ou consulter les appartenances. Ces groupes s’appellent des identités spéciales. Ils représentent différents utilisateurs à des moments différents, selon les circonstances. Par exemple, le groupe Tout le monde est une identité spéciale qui représente tous les utilisateurs actuels du réseau, y compris les invités et les utilisateurs d’autres domaines.
Les sections suivantes fournissent des informations supplémentaires sur les comptes de groupes dans AD DS.
Groupes par défaut
Les groupes par défaut, tels que le groupe Admins du domaine, sont des groupes de sécurité créés automatiquement lorsque vous créez un domaine Active Directory. Vous pouvez utiliser ces groupes prédéfinis pour contrôler l’accès aux ressources partagées et déléguer les rôles administratifs spécifiques dans l’ensemble du domaine.
Un jeu de droits d’utilisateur qui autorise les membres d’un groupe à effectuer des actions spécifiques dans un domaine, par exemple se connecter à un système local ou sauvegarder des dossiers et des fichiers, est affecté automatiquement à de nombreux groupes par défaut. Par exemple, un membre du groupe Opérateurs de sauvegarde a le droit d’effectuer des opérations de sauvegarde pour tous les contrôleurs de domaine du domaine.
Si vous ajoutez un utilisateur à un groupe, l’utilisateur se voit attribuer les droits suivants :
-
Tous les droits d’utilisateurs affectés au groupe
-
Toutes les autorisations affectées au groupe sur toutes les ressources partagées
Les groupes par défaut sont situés dans le conteneur Intégré et le conteneur Utilisateurs. Les groupes par défaut dans le conteneur Intégré ont une étendue de groupe de Local intégré. Leur étendue de groupe et type de groupe ne peuvent pas être modifiés. Le conteneur Utilisateurs contient des groupes définis avec une étendue globale et des groupes définis avec une étendue de domaine local. Vous pouvez déplacer les groupes figurant dans ces conteneurs vers d’autres groupes ou unités d’organisation au sein du domaine, mais vous ne pouvez pas les déplacer vers d’autres domaines.
Pour plus d’informations sur les groupes par défaut, voir l’article qui leur est consacré (éventuellement en anglais) (
Étendue du groupe
Les groupes sont caractérisés par une étendue qui identifie le degré d’application du groupe dans la forêt ou l’arborescence de domaine. Il existe trois étendues de groupe : domaine local, global et universel.
Groupes de domaines locaux
Les membres des groupes de domaines locaux incluent d’autres groupes et comptes issus de domaines Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2. Les membres de ces groupes ne peuvent recevoir des autorisations qu’au sein d’un domaine.
Les groupes avec une étendue de domaine local vous permettent de définir et de gérer l’accès aux ressources dans un seul domaine. Ces groupes peuvent contenir les membres suivants :
-
Comptes de tout domaine
-
Groupes globaux de tout domaine
-
Groupes universels de tout domaine
-
Groupes de domaines locaux, mais uniquement du même domaine que le groupe de domaine local parent
-
Une combinaison des éléments ci-dessus
Par exemple, pour permettre à cinq utilisateurs d’accéder à une imprimante particulière, vous pouvez ajouter les cinq comptes d’utilisateurs à la liste des autorisations de l’imprimante. Cependant, si vous souhaitez ultérieurement octroyer l’accès aux cinq utilisateurs à une nouvelle imprimante, vous devez spécifier à nouveau les cinq comptes dans la liste des autorisations de la nouvelle imprimante.
Avec un minimum de planification, vous pouvez simplifier cette tâche d’administration de routine en créant un groupe avec une étendue de domaine local et en lui affectant l’autorisation d’accéder à l’imprimante. Placez les cinq comptes d’utilisateurs dans un groupe avec une étendue globale et ajoutez ce groupe au groupe avec une étendue de domaine local. Pour octroyer l’accès à une nouvelle imprimante aux cinq utilisateurs, affectez au groupe une autorisation d’étendue de domaine local pour accéder à la nouvelle imprimante. Tous les membres du groupe à étendue globale reçoivent automatiquement l’accès à la nouvelle imprimante.
Groupes globaux
Les membres des groupes globaux peuvent inclure des comptes et des groupes globaux du même domaine que celui du groupe global parent. Les membres de ces groupes peuvent recevoir des autorisations dans n’importe quel domaine de la forêt.
Utilisez les groupes à étendue globale pour gérer des objets d’annuaire qui nécessitent une maintenance quotidienne, tels que les comptes d’utilisateurs et d’ordinateurs. Étant donné que les groupes à étendue globale ne sont pas répliqués à l’extérieur de leur propre domaine, vous pouvez modifier fréquemment les comptes dans un groupe à étendue globale sans causer de trafic de réplication vers le catalogue global.
Même si les affectations de droit et d’autorisation sont valides uniquement dans leur domaine d’affectation, en appliquant uniformément des groupes avec une étendue globale sur les domaines appropriés, vous pouvez consolider les références aux comptes avec des objectifs similaires. Vous pouvez ainsi simplifier et rationaliser la gestion des groupes sur les domaines. Prenons le cas d’un réseau contenant deux domaines, Europe et UnitedStates, si le domaine UnitedStates contient un groupe à étendue globale appelé GLAccounting, le domaine Europe doit aussi contenir ce groupe (sauf si la fonction accounting n’existe pas dans le domaine Europe).
Important | |
Il est fortement recommandé d’utiliser les groupes globaux ou les groupes universels plutôt que les groupes de domaines locaux lorsque vous spécifiez des autorisations sur des objets d’annuaire qui sont répliqués vers le catalogue global. |
Groupes universels
Les membres des groupes universels peuvent contenir les membres suivants :
- Comptes de tout domaine au sein de la forêt dans laquelle ce groupe universel réside
- Groupes globaux de tout domaine au sein de la forêt dans laquelle ce groupe universel réside
- Groupes universels de tout domaine au sein de la forêt dans laquelle ce groupe universel réside
Les membres de ces groupes peuvent recevoir des autorisations dans n’importe quel domaine de la forêt ou de l’arborescence de domaine. Utilisez les groupes à étendue universelle pour consolider les groupes qui s’étendent sur plusieurs domaines. Pour ce faire, ajoutez les comptes aux groupes à étendue globale et insérez ces groupes dans des groupes à étendue universelle. Lorsque vous utilisez cette stratégie, les changements d’appartenance dans les groupes à étendue globale n’affectent pas les groupes à étendue universelle.
Par exemple, dans un réseau composé de deux domaines, Europe et UnitedStates, et un groupe à étendue globale intitulé GLAccounting dans chaque domaine, créez un groupe à étendue universelle intitulé UAccounting qui possède les deux groupes GLAccounting comme membres, UnitedStates\GLAccounting et Europe\GLAccounting. Vous pouvez ensuite utiliser le groupe UAccounting n’importe où dans l’entreprise. Tout changement affectant l’appartenance des groupes individuels GLAccounting n’entraîne pas la réplication du groupe UAccounting.
Ne modifiez pas fréquemment l’appartenance d’un groupe à étendue universelle. Tout changement apporté à l’appartenance de ce type de groupe entraîne la réplication de l’appartenance entière du groupe vers chaque catalogue global de la forêt.
Types de groupes
Il existe deux types de groupes dans AD DS : les groupes de distribution et les groupes de sécurité. Vous pouvez utiliser des groupes de distribution pour créer des listes de distribution électronique. Vous pouvez utiliser des groupes de sécurité pour affecter des autorisations à des ressources partagées.
Vous pouvez utiliser des groupes de distribution uniquement avec des applications de messagerie (Microsoft Exchange Server 2007, par exemple) pour envoyer du courrier électronique à des ensembles d’utilisateurs. Les groupes de distribution ne sont pas sécurisés, ce qui signifie qu’ils ne peuvent pas être répertoriés dans les listes de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List). Pour contrôler l’accès à des ressources partagées à l’aide d’un groupe, créez un groupe de sécurité.
S’ils sont utilisés avec précaution, les groupes de sécurité fournissent une méthode efficace pour autoriser l’accès aux ressources de votre réseau. Grâce aux groupes de sécurité, vous pouvez :
-
Assigner des droits d’utilisateurs à des groupes de sécurité dans AD DS.
Les droits d’utilisateurs sont affectés à un groupe de sécurité pour déterminer les actions des membres de ce groupe au sein de l’étendue d’un domaine (ou d’une forêt). Les droits d’utilisateurs sont affectés automatiquement à certains groupes de sécurité au moment de l’installation d’AD DS pour permettre aux administrateurs de définir le rôle administratif d’une personne dans un domaine. Par exemple, un utilisateur ajouté au groupe Opérateurs de sauvegarde dans AD DS a le droit d’effectuer des sauvegardes et des restaurations de fichiers et d’annuaires sur chaque contrôleur de domaine du domaine.
-
Affecter des autorisations aux groupes de sécurité sur des ressources.
Les autorisations sont différentes des droits d’utilisateurs. Les autorisations déterminent qui a la possibilité d’accéder à une ressource partagée. Elles déterminent également le niveau d’accès, par exemple Contrôle total. Vous pouvez faire appel aux groupes de sécurité pour gérer l’accès et les autorisations à une ressource partagée. Certaines autorisations définies sur les objets de domaine sont automatiquement affectées pour autoriser des niveaux d’accès divers aux groupes de sécurité par défaut, tels que les groupes Opérateurs de compte ou Admins du domaine.
Comme les groupes de distribution, les groupes de sécurité peuvent aussi servir d’entités de messagerie. L’envoi d’un message électronique à un groupe de sécurité permet d’envoyer le message à tous les membres du groupe.
Identités spéciales
En plus des groupes présents dans les conteneurs Utilisateurs et Intégré, les serveurs qui exécutent Windows Server 2008 R2, Windows Server 2008 ou Windows Server 2003 incluent plusieurs identités spéciales. Pour des raisons pratiques, ces identités s’appellent généralement des groupes. Ces groupes spéciaux ne possèdent pas d’appartenances spécifiques pouvant être modifiées. Cependant, ils peuvent représenter différents utilisateurs à des moments différents, selon les circonstances. Les groupes suivants représentent des identités spéciales :
-
Ouverture de session anonyme
Ce groupe représente les utilisateurs et les services qui accèdent à un ordinateur et à ses ressources par l’intermédiaire d’un réseau sans utiliser un nom de compte, un mot de passe ou un nom de domaine. Sur les ordinateurs qui exécutent Windows NT et des versions antérieures, le groupe Ouverture de session anonyme est un membre par défaut du groupe Tout le monde. Sur les ordinateurs qui exécutent Windows Server 2008 R2, Windows Server 2008 ou Windows Server 2003, le groupe Ouverture de session anonyme n’est pas un membre par défaut du groupe Tout le monde.
-
Tout le monde
Ce groupe représente tous les utilisateurs actuels du réseau, y compris les invités et les utilisateurs d’autres domaines. Chaque fois qu’un utilisateur se connecte au réseau, l’utilisateur est ajouté automatiquement au groupe Tout le monde.
-
Réseau
Ce groupe représente les utilisateurs qui accèdent à une ressource donnée sur le réseau, par opposition aux utilisateurs qui accèdent à une ressource en se connectant localement à l’ordinateur contenant la ressource. Chaque fois qu’un utilisateur accède à une ressource donnée sur le réseau, l’utilisateur est ajouté automatiquement au groupe Réseau.
-
Interactif
Ce groupe représente tous les utilisateurs qui sont actuellement connectés à un ordinateur particulier et qui accèdent à une ressource donnée sur cet ordinateur, par opposition aux utilisateurs qui accèdent à la ressource sur le réseau. Chaque fois qu’un utilisateur accède à une ressource donnée sur l’ordinateur auquel il est connecté, celui-ci est ajouté automatiquement au groupe Interactif.
Même si les identités spéciales peuvent recevoir des droits et des autorisations d’accès aux ressources, leurs appartenances ne peuvent pas être modifiées ni consultées. Les étendues de groupe ne s’appliquent pas aux identités spéciales. Les utilisateurs sont affectés automatiquement à ces identités spéciales à chaque fois qu’ils se connectent ou accèdent à une ressource particulière.
Emplacement de création des groupes
Dans AD DS, les groupes sont créés dans des domaines. Vous pouvez utiliser le Centre d’administration Active Directory pour créer des groupes. Lorsque vous possédez les autorisations nécessaires, vous pouvez créer des groupes dans le domaine racine de la forêt, dans n’importe quel autre domaine de la forêt ou dans une unité d’organisation.
Outre le domaine dans lequel il est créé, un groupe est aussi caractérisé par son étendue. L’étendue d’un groupe détermine les informations suivantes :
-
Le domaine à partir duquel les membres sont ajoutés
-
Le domaine dans lequel les droits et les autorisations affectés au groupe sont valides
Sélectionnez le domaine ou l’unité d’organisation spécifique où créer un groupe basé sur l’administration nécessaire pour le groupe. Par exemple, si votre annuaire comporte plusieurs unités d’organisation, chacune possédant un administrateur différent, vous pouvez créer des groupes à étendue globale dans ces unités d’organisation pour permettre aux administrateurs de gérer l’appartenance aux groupes pour les utilisateurs dans leurs unités d’organisation respectives. Si les groupes nécessitent un contrôle de l’accès à l’extérieur de l’unité d’organisation, vous pouvez insérer les groupes de l’unité d’organisation dans des groupes à étendue universelle (ou d’autres groupes à étendue globale) que vous pouvez utiliser ailleurs dans la forêt.
Si le niveau fonctionnel du domaine est défini sur Windows 2000 natif ou ultérieur, que le domaine contient une hiérarchie d’unités d’organisation, et que l’administration est déléguée aux administrateurs de chaque unité d’organisation, il est peut-être plus efficace d’insérer les groupes à étendue globale. Par exemple, si l’unité d’organisation 1 contient les unités d’organisation 2 et 3, un groupe à étendue globale dans l’unité d’organisation 1 peut avoir comme membres des groupes à étendue globale dans les unités d’organisation 2 et 3. Dans l’unité d’organisation 1, l’administrateur peut ajouter ou supprimer des membres de groupe de l’unité d’organisation 1, et les administrateurs des unités d’organisation 2 et 3 peuvent ajouter ou supprimer des membres de groupe pour les comptes de leurs propres unités d’organisation sans avoir les droits administratifs pour le groupe à étendue globale de l’unité d’organisation 1.
Remarques | |
Vous pouvez déplacer des groupes dans un domaine. Cependant, seuls les groupes à étendue universelle peuvent être déplacés d’un domaine à l’autre. Les droits et les autorisations affectés à un groupe à étendue universelle sont perdus si le groupe est déplacé vers un autre domaine et des nouvelles affectations sont à effectuer. |