Module 4

Gestion des groupes

Vue d'ensemble du module

Gestion d'une entreprise avec des groupes Administration des groupes

Pratiques recommandes pour la gestion des groupes

Leon 1 : Gestion d'une entreprise avec des groupes

Dmonstration : Cration d'un objet groupe Gestion des accs sans utiliser des groupes Simplification de la gestion par l'utilisation de groupes volutivit de l'utilisation des groupes Un seul type de groupe ne suffit pas Gestion base de rles : Groupes de rles et groupes de rgles Dfinition des conventions d'appellation pour les groupes

Type de groupe
tendue d'un groupe Groupes locaux Groupes globaux

Groupes universels
Rcapitulatif des possibilits de l'tendue des groupes Gestion des membres des groupes Dveloppement d'une stratgie de gestion des groupes (IGDLA) Gestion base de rles et stratgie de gestion des groupes Windows

Dmonstration : Cration d'un objet groupe

Objectifs de cette dmonstration :
Comment crer un groupe

Comment configurer les proprits d'un objet groupe

Gestion des accs sans utiliser des groupes

Identit

Gestion des accs

Ressource

Gestion des ajouts aux groupes

Identit

Groupe
Gestion des accs

Ressource

volutivit des ajouts au groupes

Identit

Groupe
Gestion des accs

Ressource

Un seul type de groupe ne suffit pas

Identit

Groupe

Gestion des accs

Ressource

Gestion base de rles : Groupes de rles et groupes de rgles

Identit

Groupe de rles Groupe de rgles

Gestion des accs

Ressource

Dfinition des conventions d'appellation pour les groupes

Proprits lies au nom

Nom de groupe. cn et nom de groupe -- unique dans l'UO

Nom de groupe (avant Windows 2000). sAMAccountName du groupe - unique dans le domaine
Utiliser le mme nom (unique dans le domaine) pour les deux proprits

Conventions d'appellation

Groupes de rles. Nom simple unique, tel que Sales ou Consultants

Groupes de gestion. Par exemple, ACL_Sales Folders_Read

Prfixe. Fonction de gestion du groupe, par exemple liste ACL Identificateur de ressource. lment grer, tel que Sales Folders Suffixe. Niveau d'accs, tel que Lecture Dlimiteur. Sparateur des lments du nom, tel que le trait de soulignement (_)

Type de groupe

Groupes de distribution
Utiliss uniquement avec les applications de messagerie Pas de scurit active (pas de SID) ; impossible d'accorder des autorisations

Groupes de scurit
Entit de scurit avec un SID ; des autorisations peuvent tre accordes
Peuvent prendre en charge la messagerie

tendue du groupe
Un groupe peut avoir 4 tendues

Locale

Globale
Locale de domaine Universelle

Caractristiques de chaque tendue

Rplication. O sont stocks le groupe et sa liste de membres ? Membres. Quels types d'objets, provenant de quels domaines, peuvent tre membres d'un groupe ?

Disponibilit (tendue). O le groupe peut-il tre utilis ? Dans quelles tendues le groupe peut-il se trouver ? Le groupe peut-il tre ajout une liste ACL ?

Groupes locaux
Rplication

Dfinition dans le Gestionnaire de comptes de scurit (SAM) d'un membre de domaine ou d'un ordinateur de groupe de travail Aucune rplication de l'appartenance

Membres : Un groupe local peut inclure :

tout type d'entit de scurit du domaine : utilisateurs (U), ordinateurs (O), groupes globaux (GG) ou groupes locaux de domaine (GLD) U, O, GG de tout domaine de la fort U, O, GG de tout domaine approuv groupes universels (GU) dfinis dans un domaine de la fort

Disponibilit / tendue

Limite l'ordinateur dans lequel le groupe est dfini. Peut-tre utilis pour les listes ACL sur l'ordinateur local uniquement

Ne peut pas appartenir un autre groupe

Groupes locaux de domaine

Rplication

Dfinition dans le contexte d'appellation du domaine

Groupe et membres rpliqus sur chaque CD du domaine

Membres : un groupe local de domaine peut inclure :

tout type d'entit de scurit du domaine : U, O, GG, GLD U, O, GG de tout domaine de la fort U, O, GG de tout domaine approuv GU dfinis dans un domaine de la fort

Disponibilit / tendue

Peut tre sur les listes ACL de toute ressource ou membre du domaine
Peut tre membre des autres groupes locaux du domaine ou des groupes locaux de l'ordinateur

Bien adapt la dfinition de rgles de gestion d'entreprise

Groupes globaux
Rplication

Dfinition dans le contexte d'appellation du domaine

Groupe et membres rpliqus sur chaque CD du domaine

Membres : Un groupe global peut inclure :

Uniquement les entits de scurit du mme domaine : U, O, GG, GLD

Disponibilit / tendue

Peut tre utilis par tous les membres d'un domaine, tous les autres domaines de la fort et tous les domaines externes autoriss approuver.

Peut tre sur les listes ACL de toute ressource ou tout ordinateur de ces domaines
Peut tre membre de tout GLD ou GU de la fort, et de tout GLD d'un domaine externe autoris approuver

Bien adapt la dfinition de rles

Groupes universels
Rplication

Dfinis dans un seul domaine de la fort

Rpliqu sur le catalogue global ( l'chelle de la fort)

Membres : Un groupe universel peut inclure :

U, O, GG et GU de tout domaine de la fort

Disponibilit / tendue

Disponible pour chaque domaine et membre de domaine de la fort Peut tre sur les listes ACL de toute ressource sur tout systme de la fort Peut tre membre des autres GU ou GLD n'importe o dans la fort

Utile dans les forts multi-domaines

Dfinition de rles incluant des membres de plusieurs domaines Dfinition de rgles de gestion d'entreprise pour grer les ressources de plusieurs domaines de la fort

Rcapitulatif des possibilits de l'tendue des groupes

tendue du groupe Membres d'un mme domaine
Membres d'un domaine de la mme fort Membres d'un domaine externe approuv Attribution d'autorisations sur les ressources

Locale

U, O, GG, GLD, GU et utilisateurs locaux

U, O, GG, GU

U, O, GG

Dans l'ordinateur local uniquement

Locale de domaine
Universelle Globale

U, O, GG, GLD, GU
U, O, GG, GU U, O, GG

U, O, GG, GU
U, O, GG, GU S/O

U, O, GG
S/O S/O

N'importe o dans le domaine

N'importe o dans la fort N'importe o dans le domaine ou un domaine approuv

U O GG GLD GU

Utilisateur Ordinateur Groupe global Groupe local de domaine Groupe universel

Gestion des membres des groupes

Mthodes

Onglet "Membres" d'un groupe (Ajout/Suppression) Onglet "Membre de" d'un membre (Ajout/Suppression) Commande "Ajouter un groupe" d'un membre (Ajout)

Vous modifiez sans cesse l'attribut member

L'attribut memberOf est un attribut de lien prcdent mis jour par Active Directory

Les modifications de la liste des membres ne sont pas

appliques immdiatement

L'ouverture de session (utilisateur) ou le dmarrage (ordinateur) est ncessaire. Jeton dfini avec les SID des groupes de membre ce moment l Compte pour rplication de modification de la liste de membres sur le contrleur de domaine de l'utilisateur ou l'ordinateur Conseil : Modifiez les membres d'un groupe sur un CD du site de l'utilisateur

Dvelopper une stratgie de gestion de groupes (IGDLA)

Identits (utilisateurs ou ordinateurs)

membres de

Groupes Globaux

qui collectent des membres en fonction de leurs rles qui sont membres de

Groupes de Domaine

Locaux qui assurent des fonctions de gestion, telles que la gestion de l'accs aux ressources qui

ont Accs une ressource (par exemple, sur une liste ACL) constituent une fort multi-domaines : IGUDLA

Gestion base de rles et stratgie de gestion de groupes Windows

Identit Groupe de rles Groupe de rgles

Identit Globale Locale de domaine

Gestion des accs

Ressource
Accs

Leon 2 : Administration des groupes

Cration de groupes avec DSAdd Importation de groupes avec CSVDE

Importation de groupes avec LDIFDE

Conversion de l'tendue et du type de groupe Modification des membres des groupes avec DSMod

Modification des membres des groupes avec LDIFDE

Extraction des membres des groupes avec DSGet Copie des membres des groupes

Dplacement des groupes et changement de leurs noms

Suppression de groupes

Cration de groupes avec DSAdd

dsadd group DNGroupe secgrp {yes|no}

scope {g | l | u}

DNGroupe. Nom unique du groupe crer -secgrp. Security-enabled (yes=scurit ; no=distribution) -scope. tendue (globale, locale du domaine, universelle) -samid. sAMAccountName (non ncessaire, par dfaut cn)

-desc Description. attribut description

-member MemberDN . Liste des membres (spars par un espace) ajouter lors de la cration du groupe -memberof DNGroupe . Liste des groupes (spars par un espace) auxquels ajouter ce groupe

dsadd group "CN=Marketing,OU=Role,OU=Groups, DC=contoso,DC=com" samid Marketing secgrp yes scope g

Importation de groupes avec CSVDE

Fichier CSV (valeurs spares par une virgule)
Liste d'attributs spars par une virgule Groupes crer, un par ligne et tous les attributs rpertoris sur la premire ligne

Exemple
objectClass,sAMAccountName,DN,member group,Marketing,"CN=Marketing,OU=Role,OU=Groups, DC=contoso,DC=com", "CN=Linda Mitchell,OU=Employees,OU=User Accounts, DC=contoso,DC=com;CN=Scott Mitchell,OU=Employees, OU=User Accounts,DC=contoso,DC=com"

csvde -i -f "nomfichier" [-k] -i. Importation (mode par dfaut : exportation) -f. Nom du fichier -k. Poursuivre en cas d'erreur (par exemple si un objet existe dj)

CSVDE permet de crer des groupes, pas de modifier les

groupes existants

Importation de groupes avec LDIFDE

Fichier LDIF (LDAP Data Interchange Format)
DN: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com changeType: add CN: Finance description: Finance Users objectClass: group SAMAccountName: Finance DN: CN=Research,OU=Role,OU=Groups,DC=contoso,DC=com changeType: add CN: Research description: Research Users objectClass: group SAMAccountName: Research

Ldifde -i -f "nomfichier" [-k]

-i. Importation (mode par dfaut : exportation) -f. Nom du fichier -k. Poursuivre en cas d'erreur (par exemple si un objet existe dj)

Conversion d'tendue et de type de groupe

Le composant Utilisateurs et ordinateurs Active Directory

permet de modifier le type d'un groupe

Scurit > distribution (* perte des autorisations attribues au groupe) Distribution > scurit

Le composant Utilisateurs et ordinateurs Active Directory

permet de modifier l'tendue d'un groupe :

Global en universel Locale de domaine > universelle Universelle > globale Universelle > locale de domaine Vous ne pouvez pas changer LD G ou G LD directement, mais vous pouvez changer LD U G ou G U LD. Modification impossible si les membres sont incorrects : corriger et essayer nouveau

dsmod group DNGroupe secgrp { yes | no }

scope { l | g | u }

Modification des membres des groupes avec DSMod

dsmod group "DNGroupe" [options]

-addmbr "Member DN"

-rmmbr "Member DN"

dsmod group "CN=Research,OU=Role,OU=Groups, DC=contoso,DC=com" -addmbr "CN=Mike Danseglio, OU=Employees,OU=User Accounts,DC=contoso,DC=com"

Modification des membres des groupes avec LDIFDE

Fichier LDIF
dn: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com changetype: modify add: member member: CN=April Stewart,OU=Employees,OU=User Accounts, dc=contoso,dc=com member: CN=Mike Fitzmaurice,OU=Employees,OU=User Accounts, dc=contoso,dc=com -

Changetype: modify 3e ligne : Quel type de modification ? Ajouter une valeur

un membre

Supprimer un membre, modifier pour supprimer : member

L'opration de modification se termine par une ligne

contenant uniquement

Extraction des membres des groupes avec DSGet

Aucune option pour obtenir la liste complte des membres

d'un groupe dans Utilisateurs et ordinateurs Active Directory membres imbriqus)

DSGet permet d'obtenir la liste complte (y compris des

dsget group "DNGroupe" members [-expand]

Liste des membres d'un groupe (DNGroupe), pouvant inclure les membres imbriqus (-expand)

dsget {user|computer} "DNObjet" memberof

[-expand]
Liste des appartenances d'un utilisateur ou un ordinateur

(DNObjet), pouvant inclure les appartenances des groupes imbriqus (-expand)

Copie des membres de groupes

Copie des membres d'un groupe dans un autre
dsget group "CN=Sales,OU=Role,OU=Groups,DC=contoso,DC=com" members | dsmod group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" addmbr

Copie des appartenances d'un utilisateur sur un autre

dsget user "DNUtilisateurSource" memberof | dsmod group addmbr "DNUtilisateurCible"

Dplacer et renommer des groupes

Utilisateurs et ordinateurs Active Directory

Cliquez avec le bouton droit sur le groupe, puis cliquez sur Dplacer ou Renommer

Commande DSMove

dsmove DNObjet [-newname NouveauNom] [-newparent DNUOcible]

DNObjet est le DN du groupe -newparent DNUOcible dplace le groupe dans une nouvelle UO -newname NouveauNom modifie le cn du groupe
- Il faut utiliser DSMod Group pour modifier sAMAccountName

dsmove "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com" newparent "OU=Marketing,DC=contoso,DC=com" dsmove "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" newname "Public Relations" dsmod group "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com" -samid "Public Relations"

Suppression de groupes
Utilisateurs et ordinateurs Active Directory : Clic droit, Supprimer Commande DSRm

dsrm DNObjet ... [-subtree [-exclude]] [-noprompt] [-c]

-noprompt vite les demandes de confirmation de chaque suppression -c permet de continuer en cas d'erreur (refus d'accs par exemple) -subtree supprime l'objet et tous les objets enfants -subtree -exclude supprime tous les objets enfants mais pas l'objet lui-mme

dsrm "CN=Public Relations,OU=Role,OU=Groups, DC=contoso,DC=com"

La suppression d'un groupe de scurit entrane des consquences

importantes

Le SID est perdu et ne peut plus tre rtabli mme si le groupe est nouveau cr Conseil : D'abord, enregistrez puis supprimez tous les membres durant une priode de test, pour valuer tous les effets indsirables possibles

Atelier pratique A : Administration des groupes

Exercice 1 : Implmenter la gestion base de rles en

utilisant des groupes commandes

Exercice 2 : Grer les membres des groupes via l'invite de Exercice 3 (facultatif avanc) : Analyse des outils de

gnration de rapports des membres des groupes autorisations Compte inconnu

Exercice 4 (facultatif avanc) : Comprhension des

Informations de connexion
Ordinateur virtuel 6238B-HQDC01-A Nom douverture de session utilisateur Pat.Coleman Nom dutilisateur administrateur Mot de passe Pat.Coleman_Admin Pa$$w0rd

Dure approximative : 15 minutes

Scnario de l'atelier pratique

Pour amliorer la gestion des accs aux ressources chez

Contoso, Ltd., vous avez dcid d'implmenter la gestion base de rles. La premire opration consistera dterminer les personnes autorises accder aux informations des ventes. Vous devez crer des groupes afin de grer l'accs ces informations confidentielles. Selon les rgles de l'entreprise, les employs des services Sales et Marketing et de l'quipe des Consultants sont autoriss consulter les dossiers des ventes (Sales). De plus, Bobby Moore ncessite un accs en lecture. Enfin, on vous a demand de rechercher un moyen de produire la liste des membres des groupes, y compris ceux des groupes imbriqus, et la liste des appartenances aux groupes d'un utilisateur, y compris les appartenances indirectes ou imbriques.

Rcapitulatif
Dcrivez la fonction des groupes globaux dans le cadre de

la gestion base de rles. global ?

Quels types d'objets peuvent appartenir un groupe Dcrivez la fonction des groupes locaux de domaine dans

le cadre de la gestion des accs aux ressources en fonction de rles. de domaine ?

Quels types d'objets peuvent appartenir un groupe local Vous avez implment la gestion base de rles et on

vous demande la liste des utilisateurs autoriss consulter les dossiers Sales. Quelle commande utilisez-vous ?

Leon 3 : Pratiques recommandes pour la gestion des groupes

Pratiques recommandes pour la documentation des groupes Protger les groupes contre la suppression accidentelle

Dlguer la gestion des membres avec l'onglet Gr par

Groupes par dfaut Identits spciales

Pratiques recommandes pour la documentation des groupes

Pourquoi dcrire les groupes ?

Faciliter leur identification lors des recherches Mieux comprendre comment et quand utiliser un groupe

tablir et respecter une convention

d'appellation stricte

Un prfixe, par exemple, permet de diffrencier APP_Budget et ACL_Budget_Edit Un prfixe facilite la recherche d'un groupe dans la bote de dialogue de slection

Indiquer la fonction d'un groupe avec son

attribut de description

Apparat dans le volet d'informations du composant Utilisateurs et ordinateurs Active Directory

Dtailler la fonction d'un groupe dans la

zone des commentaires

Protection des groupes contre la suppression accidentelle

1.

Dans le composant Utilisateurs et ordinateurs Active Directory, cliquez sur le menu Affichage et slectionnez Fonctionnalits avances.

2.
3. 4.

Ouvrez la bote de dialogue Proprits d'un groupe.

Dans l'onglet Objet, cochez la case Protger l'objet des suppressions accidentelles. Cliquez sur OK.

Dlgation de la gestion des membres avec l'onglet Gr par

L'onglet Gr par a deux fonctions :

Fournir des informations de contact indiquant qui gre le groupe

L'utilisateur (ou le groupe) indiqu peut modifier les membres des groupes si l'option "Le gestionnaire peut mettre jour la liste des membres" est slectionne

Conseil

Il faut cliquer sur OK (et pas uniquement sur Appliquer) pour changer l'ACL du groupe
Pour dfinir un groupe dans la zone Nom, cliquez sur Modifier, puis sur Types d'objet, puis sur Groupes

Groupes par dfaut

Groupes locaux par dfaut dans les conteneurs BUILTIN et Utilisateurs

Administrateurs de l'entreprise, Administrateurs du schma, Administrateurs, Admins du domaine, Oprateurs de serveur, Oprateurs de compte, Oprateurs de sauvegarde, Oprateurs d'impression

Indiquez que leurs droits et privilges sont dcrits dans le manuel du

stagiaire

Ces droits sont connatre pour les examens de certification

Problmes lis ces groupes

Excs de dlgation

Les oprateurs de compte, par exemple, peuvent ouvrir des sessions sur un contrleur du domaine (CD).

Protg

Les utilisateurs appartenant ces groupes sont protgs et le restent lorsqu'ils sont supprims

Recommandation : Laisser ces groupes vides et crer des groupes

personnaliss avec les droits et privilges ncessaires

Identits spciales
L'appartenance aux groupes est gre par Windows :

Impossible de les afficher, les modifier ni les ajouter d'autres groupes Peuvent tre utilises sur les listes ACL

Exemples

Ouverture de session anonyme. Reprsente les connexions un ordinateur sans nom d'utilisateur ni mot de passe Utilisateurs authentifis. Reprsente les identits authentifies, mais n'inclut pas l'identit Invit Tout le monde. Inclut Utilisateurs authentifis et Invit (mais pas Ouverture de session anonyme par dfaut dans Windows Server 2003/2008) Interactif. Utilisateurs connects en session locale ou Bureau distance Rseau. Utilisateurs accdant une ressource par le rseau

Atelier pratique B : Pratiques recommandes pour la gestion des groupes

Exercice 1 : Implmenter les pratiques recommandes

pour la gestion des groupes

Informations de connexion
Ordinateur virtuel 6238B-HQDC01-A Nom douverture de session utilisateur Pat.Coleman Nom dutilisateur administrateur Mot de passe Pat.Coleman_Admin Pa$$w0rd

Dure approximative : 15 minutes

Scnario de l'atelier pratique

Votre implmentation de la gestion base de rles chez

Contoso est trs efficace. Le nombre de groupes ayant augment dans le domaine, vous constatez qu'il est important de les documenter soigneusement et d'empcher les administrateurs d'en supprimer accidentellement. Enfin, vous voulez permettre aux propritaires des ressources de l'entreprise de grer les accs leurs ressources en leur dlgant le droit de modifier les membres des groupes.

Rcapitulatif
Citez des avantages de l'utilisation des champs Description

et Commentaires d'un groupe.

Quels sont les avantages et les inconvnients de la

dlgation des membres des groupes ?