Comment gérer les groupes dans AD. Partie 1 : Création et suppression de groupes.
Dans les forêts AD moyennes, les groupes régissent l'autorisation des données sensibles. Les groupes peuvent distribuer du contenu ou aider à donner accès à des fichiers, des services ou même une délégation AD. Après l'installation, vous gagnerez plusieurs groupes intégrés tels que le groupe Admins du domaine ou les Opérateurs de compte.
Les utilisateurs et ordinateurs Active Directory (ADUC) et le centre d'administration Active Directory (ADAC) sont programs qui fournissent une interface utilisateur graphique pour interagir avec les groupes et aider à les gérer. ADAC diffère d'ADUC en ce sens qu'il possède un historique PowerShell, ce qui permet de voir les applets de commande PowerShell derrière l'interface graphique.
Pour gérer les groupes, vous devez vous connecter à un contrôleur de domaine, à un serveur joint à un domaine ou à un appareil sur lequel les outils d'administration de serveur distant (RSAT) sont installés.
En parlant de niveau d'accès, vous devez avoir un compte d'administrateur de domaine, le compte d'opérateurs de compte, ou avoir le droit de créer des groupes dans certaines unités d'organisation via la délégation.
Étendues de groupe
Il existe trois portées de groupe :
- Groupes mondiaux
- Groupes universels
- Groupes locaux de domaine
Lorsque vous décidez quel groupe créer, vous devez savoir quels sont les types de groupe et en quoi ils diffèrent. Les groupes globaux et les groupes universels peuvent être imbriqués dans des groupes locaux de domaine et les groupes globaux peuvent être imbriqués dans des groupes universels. Par conséquent, il est très courant de créer des groupes globaux pour les départements, des groupes universels pour les groupes de distribution et des groupes locaux de domaine pour les droits d'accès.
Types de groupes
Il existe deux types de groupe :
- Groupes de distribution
- Groupes de sécurité
Les groupes de distribution n'ont pas d'identificateur de sécurité (SID) et, par conséquent, ne peuvent pas être utilisés pour autoriser l'accès aux ressources, à l'exception des ressources au sein de Microsoft Exchange Server. De l'autre côté, les groupes de sécurité ont des SID. Il est possible de convertir un groupe de distribution en groupe de sécurité et inversement.
Comment créer un groupe
Il existe plusieurs méthodes pour créer un groupe.
Créer un groupe avec l'ADUC
Ouvrez ADUC (dsa.msc). Accédez à l'unité d'organisation ou au conteneur dans lequel vous souhaitez créer le groupe. DroitecliCochez l'unité d'organisation ou le conteneur dans lequel vous souhaitez créer un nouveau groupe et sélectionnez Nouveau-> Groupe.
Dans l'écran Nouvel objet - Groupe, spécifiez les valeurs suivantes :
- Spécifiez le nom du groupe.
- Spécifiez l'étendue du groupe ou acceptez l'étendue globale par défaut.
- Spécifiez le type de groupe ou acceptez le type de sécurité par défaut.
CliCliquez sur OK pour créer le groupe.
Créer un groupe avec ADAC
Ouvrez ADAC (dsac.exe). DroitecliVérifiez le nom de domaine et sélectionnez Nouveau->Groupe dans le menu.
Dans l'écran Créer un groupe, spécifiez les valeurs suivantes :
- Spécifiez le nom du groupe
- Spécifiez l'étendue du groupe ou acceptez l'étendue globale par défaut.
- Spécifiez le type de groupe ou acceptez le type de sécurité par défaut.
CliCliquez sur OK pour créer le groupe.
Création d'un groupe à l'aide de l'invite de commande
Utilisez la commande cmd.exe suivante pour créer un groupe dans AD :
dsadd.exe group "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"Création d'un groupe à l'aide de Windows PowerShell
Utilisez le code PowerShell suivant :
Import-Module ActiveDirectoryNew-ADGroup -GroupCategory Security -GroupScope Global -Name "ITGroup" -Path "OU=OfficeCorp,DC=office,DC=local" -SamAccountName "ITGroupComment supprimer un groupe dans AD
Voici plusieurs méthodes pour le faire.
Suppression d'un utilisateur à l'aide de l'ADAC
Ouvrez ADUC (dsa.msc). Effectuez ces actions :
Accédez à l'unité d'organisation ou au conteneur où réside le groupe que vous avez l'intention de supprimer.
Dans le menu Action, sélectionnez Rechercher.... Dans le champ Nom, saisissez le nom du groupe que vous souhaitez supprimer, puis click Rechercher maintenant. Dans la liste des résultats de la recherche, sélectionnez le groupe.
Droiteclicochez le groupe et sélectionnez Supprimer dans la liste. Click Oui dans la fenêtre de confirmation.
Suppression d'un groupe avec ADAC
Ouvrez l'ADAC (dsac.exe). Effectuez l'une de ces séries d'actions :
Accédez à l'unité d'organisation ou au conteneur où réside le groupe que vous avez l'intention de supprimer. Dans le volet du menu principal, sous Recherche globale, saisissez le nom du groupe que vous souhaitez supprimer et appuyez sur Entrée.
Dans la liste des résultats de la recherche globale, sélectionnez le groupe. Droite-cliVérifiez le groupe cette fois, sélectionnez Supprimer dans la liste. Clicochez Oui dans la fenêtre contextuelle de confirmation de suppression.
Suppression d'un groupe à l'aide de l'invite de commande
Utilisez la commande suivante pour supprimer un groupe dans Active Directory :
dsrm.exe "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"Tapez "y" pour confirmation et appuyez sur Entrée.
Suppression d'un groupe à l'aide de Windows PowerShell
Utilisez le code PowerShell suivant :
Import-Module ActiveDirectoryRemove-ADObject -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"Tapez "y" pour confirmation et appuyez sur Entrée.
700
300
700
300
700
300
700
300
