Comment gérer les groupes dans Active Directory : créer et supprimer (partie 1)
Dans les forêts AD moyennes, les groupes régissent l'autorisation des données sensibles. Les groupes peuvent distribuer du contenu ou aider à donner accès à des fichiers, des services ou même une délégation AD. Après l'installation, vous gagnerez plusieurs groupes intégrés tels que le groupe Admins du domaine ou les Opérateurs de compte.
Les utilisateurs et ordinateurs Active Directory (ADUC) et le centre d'administration Active Directory (ADAC) sont des programmes qui fournissent une interface utilisateur graphique pour interagir avec les groupes et aider à les gérer. ADAC diffère d'ADUC dans le sens où il dispose de l'historique PowerShell, ce qui permet de voir les applets de commande PowerShell derrière l'interface graphique.
Pour gérer les groupes, vous devez vous connecter à un contrôleur de domaine, à un serveur joint à un domaine ou à un appareil sur lequel les outils d'administration de serveur distant (RSAT) sont installés.
En parlant de niveau d'accès, vous devez avoir un compte d'administrateur de domaine, le compte d'opérateurs de compte, ou avoir le droit de créer des groupes dans certaines unités d'organisation via la délégation.
Étendues de groupe
Il existe trois portées de groupe :
- Groupes mondiaux
- Groupes universels
- Groupes locaux de domaine
Lorsque vous décidez quel groupe créer, vous devez savoir quels sont les types de groupe et en quoi ils diffèrent. Les groupes globaux et les groupes universels peuvent être imbriqués dans des groupes locaux de domaine et les groupes globaux peuvent être imbriqués dans des groupes universels. Par conséquent, il est très courant de créer des groupes globaux pour les départements, des groupes universels pour les groupes de distribution et des groupes locaux de domaine pour les droits d'accès.
Types de groupes
Il existe deux types de groupe :
- Groupes de distribution
- Groupes de sécurité
Les groupes de distribution n'ont pas d'identificateur de sécurité (SID) et, par conséquent, ne peuvent pas être utilisés pour autoriser l'accès aux ressources, à l'exception des ressources au sein de Microsoft Exchange Server. De l'autre côté, les groupes de sécurité ont des SID. Il est possible de convertir un groupe de distribution en groupe de sécurité et inversement.
Comment créer un groupe
Il existe plusieurs méthodes pour créer un groupe.
Créer un groupe avec l'ADUC
Ouvrez ADUC (dsa.msc). Accédez à l'UO ou au conteneur dans lequel vous souhaitez créer le groupe. Cliquez avec le bouton droit sur l'UO ou le conteneur dans lequel vous souhaitez créer un nouveau groupe et sélectionnez Nouveau-> Groupe.
Dans l'écran Nouvel objet - Groupe, spécifiez les valeurs suivantes :
- Spécifiez le nom du groupe.
- Spécifiez l'étendue du groupe ou acceptez l'étendue globale par défaut.
- Spécifiez le type de groupe ou acceptez le type de sécurité par défaut.
Cliquez sur OK pour créer le groupe.
Créer un groupe avec ADAC
Ouvrez ADAC (dsac.exe). Cliquez avec le bouton droit sur le nom de domaine et sélectionnez Nouveau->Groupe dans le menu.
Dans l'écran Créer un groupe, spécifiez les valeurs suivantes :
- Spécifiez le nom du groupe
- Spécifiez l'étendue du groupe ou acceptez l'étendue globale par défaut.
- Spécifiez le type de groupe ou acceptez le type de sécurité par défaut.
Cliquez sur OK pour créer le groupe.
Création d'un groupe à l'aide de l'invite de commande
Utilisez la commande cmd.exe suivante pour créer un groupe dans AD :
dsadd.exe group "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"Création d'un groupe à l'aide de Windows PowerShell
Utilisez le code PowerShell suivant :
Import-Module ActiveDirectoryNew-ADGroup -GroupCategory Security -GroupScope Global -Name "ITGroup" -Path "OU=OfficeCorp,DC=office,DC=local" -SamAccountName "ITGroupComment supprimer un groupe dans AD
Voici plusieurs méthodes pour le faire.
Suppression d'un utilisateur à l'aide de l'ADAC
Ouvrez ADUC (dsa.msc). Effectuez ces actions :
Accédez à l'unité d'organisation ou au conteneur où réside le groupe que vous avez l'intention de supprimer.
Dans le menu Action, sélectionnez Rechercher.... Dans le champ Nom, saisissez le nom du groupe que vous souhaitez supprimer, puis cliquez sur Rechercher maintenant. Dans la liste des résultats de la recherche, sélectionnez le groupe.
Cliquez avec le bouton droit sur le groupe et sélectionnez Supprimer dans la liste. Cliquez sur Oui dans la fenêtre de confirmation.
Suppression d'un groupe avec ADAC
Ouvrez l'ADAC (dsac.exe). Effectuez l'une de ces séries d'actions :
Accédez à l'unité d'organisation ou au conteneur où réside le groupe que vous avez l'intention de supprimer. Dans le volet du menu principal, sous Recherche globale, saisissez le nom du groupe que vous souhaitez supprimer et appuyez sur Entrée.
Dans la liste des résultats de la recherche globale, sélectionnez le groupe. Cliquez avec le bouton droit sur le groupe cette fois-ci, sélectionnez Supprimer dans la liste. Cliquez sur Oui dans la fenêtre contextuelle de confirmation de suppression.
Suppression d'un groupe à l'aide de l'invite de commande
Utilisez la commande suivante pour supprimer un groupe dans Active Directory :
dsrm.exe "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"Tapez "y" pour confirmation et appuyez sur Entrée.
Suppression d'un groupe à l'aide de Windows PowerShell
Utilisez le code PowerShell suivant :
Import-Module ActiveDirectoryRemove-ADObject -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"Tapez "y" pour confirmation et appuyez sur Entrée.
Conclusion
La gestion des groupes dans Active Directory est une tâche fondamentale pour administrer l'accès aux ressources d'un domaine. Dans ce tutoriel, vous avez appris à créer et supprimer des groupes à l'aide d'outils graphiques comme ADUC et ADAC, ainsi que d'utilitaires en ligne de commande comme l'invite de commande et PowerShell. Vous avez également exploré la différence entre les étendues de groupe (globale, universelle, locale de domaine) et les types de groupe (sécurité, distribution), essentiels pour organiser les utilisateurs et attribuer efficacement les autorisations. La maîtrise de ces bases vous permettra de développer des stratégies plus avancées de gestion des groupes AD et de contrôle d'accès.
QFP
- Q : Quelle est la différence entre les groupes de sécurité et de distribution dans AD ?
R : Les groupes de sécurité servent à attribuer des autorisations aux ressources et possèdent un SID unique. Les groupes de distribution sont principalement utilisés pour les listes de diffusion par e-mail et ne peuvent pas être utilisés pour sécuriser les ressources. - Q : Puis-je modifier un groupe de Distribution à Sécurité après sa création ?
R : Oui, vous pouvez convertir un groupe de distribution en groupe de sécurité et vice versa à l’aide d’ADUC ou de PowerShell. - Q : Dois-je être administrateur de domaine pour gérer des groupes ?
R : Pas nécessairement. Vous pouvez utiliser un compte délégué avec des autorisations spécifiques pour gérer des groupes au sein d'une unité organisationnelle particulière, mais les administrateurs de domaine et les opérateurs de compte ont un contrôle total. - Q : Quelle portée de groupe dois-je choisir : globale, universelle ou locale ?
R : Cela dépend de votre cas d'utilisation. Les groupes globaux sont généralement utilisés pour les utilisateurs d'un même domaine, les groupes universels pour l'appartenance à plusieurs domaines et les groupes locaux pour l'attribution d'autorisations aux ressources. - Q : Puis-je gérer des groupes AD à partir d’un contrôleur autre que celui de domaine ?
R : Oui, si les outils d’administration de serveur distant (RSAT) sont installés sur votre poste de travail et que vous disposez des autorisations requises.
700
300
700
300
700
300
700
300
