Académique Documents
Professionnel Documents
Culture Documents
Office Training
Office Training
Type de groupe
tendue d'un groupe Groupes locaux Groupes globaux
Groupes universels
Rcapitulatif des possibilits de l'tendue des groupes Gestion des membres des groupes Dveloppement d'une stratgie de gestion des groupes (IGDLA) Gestion base de rles et stratgie de gestion des groupes Windows
Identit
Ressource
Identit
Groupe
Gestion des accs
Ressource
Identit
Groupe
Gestion des accs
Ressource
Identit
Groupe
Ressource
Identit
Ressource
Nom de groupe (avant Windows 2000). sAMAccountName du groupe - unique dans le domaine
Utiliser le mme nom (unique dans le domaine) pour les deux proprits
Conventions d'appellation
Prfixe. Fonction de gestion du groupe, par exemple liste ACL Identificateur de ressource. lment grer, tel que Sales Folders Suffixe. Niveau d'accs, tel que Lecture Dlimiteur. Sparateur des lments du nom, tel que le trait de soulignement (_)
Type de groupe
Groupes de distribution
Utiliss uniquement avec les applications de messagerie Pas de scurit active (pas de SID) ; impossible d'accorder des autorisations
Groupes de scurit
Entit de scurit avec un SID ; des autorisations peuvent tre accordes
Peuvent prendre en charge la messagerie
tendue du groupe
Un groupe peut avoir 4 tendues
Locale
Globale
Locale de domaine Universelle
Rplication. O sont stocks le groupe et sa liste de membres ? Membres. Quels types d'objets, provenant de quels domaines, peuvent tre membres d'un groupe ?
Disponibilit (tendue). O le groupe peut-il tre utilis ? Dans quelles tendues le groupe peut-il se trouver ? Le groupe peut-il tre ajout une liste ACL ?
Groupes locaux
Rplication
Dfinition dans le Gestionnaire de comptes de scurit (SAM) d'un membre de domaine ou d'un ordinateur de groupe de travail Aucune rplication de l'appartenance
tout type d'entit de scurit du domaine : utilisateurs (U), ordinateurs (O), groupes globaux (GG) ou groupes locaux de domaine (GLD) U, O, GG de tout domaine de la fort U, O, GG de tout domaine approuv groupes universels (GU) dfinis dans un domaine de la fort
Disponibilit / tendue
Limite l'ordinateur dans lequel le groupe est dfini. Peut-tre utilis pour les listes ACL sur l'ordinateur local uniquement
tout type d'entit de scurit du domaine : U, O, GG, GLD U, O, GG de tout domaine de la fort U, O, GG de tout domaine approuv GU dfinis dans un domaine de la fort
Disponibilit / tendue
Peut tre sur les listes ACL de toute ressource ou membre du domaine
Peut tre membre des autres groupes locaux du domaine ou des groupes locaux de l'ordinateur
Groupes globaux
Rplication
Disponibilit / tendue
Peut tre utilis par tous les membres d'un domaine, tous les autres domaines de la fort et tous les domaines externes autoriss approuver.
Peut tre sur les listes ACL de toute ressource ou tout ordinateur de ces domaines
Peut tre membre de tout GLD ou GU de la fort, et de tout GLD d'un domaine externe autoris approuver
Groupes universels
Rplication
Disponibilit / tendue
Disponible pour chaque domaine et membre de domaine de la fort Peut tre sur les listes ACL de toute ressource sur tout systme de la fort Peut tre membre des autres GU ou GLD n'importe o dans la fort
Dfinition de rles incluant des membres de plusieurs domaines Dfinition de rgles de gestion d'entreprise pour grer les ressources de plusieurs domaines de la fort
Locale
U, O, GG, GU
U, O, GG
Locale de domaine
Universelle Globale
U, O, GG, GLD, GU
U, O, GG, GU U, O, GG
U, O, GG, GU
U, O, GG, GU S/O
U, O, GG
S/O S/O
U O GG GLD GU
Onglet "Membres" d'un groupe (Ajout/Suppression) Onglet "Membre de" d'un membre (Ajout/Suppression) Commande "Ajouter un groupe" d'un membre (Ajout)
L'attribut memberOf est un attribut de lien prcdent mis jour par Active Directory
appliques immdiatement
L'ouverture de session (utilisateur) ou le dmarrage (ordinateur) est ncessaire. Jeton dfini avec les SID des groupes de membre ce moment l Compte pour rplication de modification de la liste de membres sur le contrleur de domaine de l'utilisateur ou l'ordinateur Conseil : Modifiez les membres d'un groupe sur un CD du site de l'utilisateur
membres de
Groupes Globaux
qui collectent des membres en fonction de leurs rles qui sont membres de
Groupes de Domaine
Locaux qui assurent des fonctions de gestion, telles que la gestion de l'accs aux ressources qui
ont Accs une ressource (par exemple, sur une liste ACL) constituent une fort multi-domaines : IGUDLA
Ressource
Accs
scope {g | l | u}
DNGroupe. Nom unique du groupe crer -secgrp. Security-enabled (yes=scurit ; no=distribution) -scope. tendue (globale, locale du domaine, universelle) -samid. sAMAccountName (non ncessaire, par dfaut cn)
Exemple
objectClass,sAMAccountName,DN,member group,Marketing,"CN=Marketing,OU=Role,OU=Groups, DC=contoso,DC=com", "CN=Linda Mitchell,OU=Employees,OU=User Accounts, DC=contoso,DC=com;CN=Scott Mitchell,OU=Employees, OU=User Accounts,DC=contoso,DC=com"
csvde -i -f "nomfichier" [-k] -i. Importation (mode par dfaut : exportation) -f. Nom du fichier -k. Poursuivre en cas d'erreur (par exemple si un objet existe dj)
groupes existants
-i. Importation (mode par dfaut : exportation) -f. Nom du fichier -k. Poursuivre en cas d'erreur (par exemple si un objet existe dj)
Scurit > distribution (* perte des autorisations attribues au groupe) Distribution > scurit
Global en universel Locale de domaine > universelle Universelle > globale Universelle > locale de domaine Vous ne pouvez pas changer LD G ou G LD directement, mais vous pouvez changer LD U G ou G U LD. Modification impossible si les membres sont incorrects : corriger et essayer nouveau
scope { l | g | u }
un membre
contenant uniquement
Liste des membres d'un groupe (DNGroupe), pouvant inclure les membres imbriqus (-expand)
[-expand]
Liste des appartenances d'un utilisateur ou un ordinateur
Cliquez avec le bouton droit sur le groupe, puis cliquez sur Dplacer ou Renommer
Commande DSMove
DNObjet est le DN du groupe -newparent DNUOcible dplace le groupe dans une nouvelle UO -newname NouveauNom modifie le cn du groupe
- Il faut utiliser DSMod Group pour modifier sAMAccountName
dsmove "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com" newparent "OU=Marketing,DC=contoso,DC=com" dsmove "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" newname "Public Relations" dsmod group "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com" -samid "Public Relations"
Suppression de groupes
Utilisateurs et ordinateurs Active Directory : Clic droit, Supprimer Commande DSRm
-noprompt vite les demandes de confirmation de chaque suppression -c permet de continuer en cas d'erreur (refus d'accs par exemple) -subtree supprime l'objet et tous les objets enfants -subtree -exclude supprime tous les objets enfants mais pas l'objet lui-mme
importantes
Le SID est perdu et ne peut plus tre rtabli mme si le groupe est nouveau cr Conseil : D'abord, enregistrez puis supprimez tous les membres durant une priode de test, pour valuer tous les effets indsirables possibles
Exercice 2 : Grer les membres des groupes via l'invite de Exercice 3 (facultatif avanc) : Analyse des outils de
Informations de connexion
Ordinateur virtuel 6238B-HQDC01-A Nom douverture de session utilisateur Pat.Coleman Nom dutilisateur administrateur Mot de passe Pat.Coleman_Admin Pa$$w0rd
Contoso, Ltd., vous avez dcid d'implmenter la gestion base de rles. La premire opration consistera dterminer les personnes autorises accder aux informations des ventes. Vous devez crer des groupes afin de grer l'accs ces informations confidentielles. Selon les rgles de l'entreprise, les employs des services Sales et Marketing et de l'quipe des Consultants sont autoriss consulter les dossiers des ventes (Sales). De plus, Bobby Moore ncessite un accs en lecture. Enfin, on vous a demand de rechercher un moyen de produire la liste des membres des groupes, y compris ceux des groupes imbriqus, et la liste des appartenances aux groupes d'un utilisateur, y compris les appartenances indirectes ou imbriques.
Rcapitulatif
Dcrivez la fonction des groupes globaux dans le cadre de
Quels types d'objets peuvent appartenir un groupe Dcrivez la fonction des groupes locaux de domaine dans
Quels types d'objets peuvent appartenir un groupe local Vous avez implment la gestion base de rles et on
vous demande la liste des utilisateurs autoriss consulter les dossiers Sales. Quelle commande utilisez-vous ?
Faciliter leur identification lors des recherches Mieux comprendre comment et quand utiliser un groupe
d'appellation stricte
Un prfixe, par exemple, permet de diffrencier APP_Budget et ACL_Budget_Edit Un prfixe facilite la recherche d'un groupe dans la bote de dialogue de slection
attribut de description
Dans le composant Utilisateurs et ordinateurs Active Directory, cliquez sur le menu Affichage et slectionnez Fonctionnalits avances.
2.
3. 4.
L'utilisateur (ou le groupe) indiqu peut modifier les membres des groupes si l'option "Le gestionnaire peut mettre jour la liste des membres" est slectionne
Conseil
Il faut cliquer sur OK (et pas uniquement sur Appliquer) pour changer l'ACL du groupe
Pour dfinir un groupe dans la zone Nom, cliquez sur Modifier, puis sur Types d'objet, puis sur Groupes
Administrateurs de l'entreprise, Administrateurs du schma, Administrateurs, Admins du domaine, Oprateurs de serveur, Oprateurs de compte, Oprateurs de sauvegarde, Oprateurs d'impression
stagiaire
Excs de dlgation
Les oprateurs de compte, par exemple, peuvent ouvrir des sessions sur un contrleur du domaine (CD).
Protg
Les utilisateurs appartenant ces groupes sont protgs et le restent lorsqu'ils sont supprims
Identits spciales
L'appartenance aux groupes est gre par Windows :
Impossible de les afficher, les modifier ni les ajouter d'autres groupes Peuvent tre utilises sur les listes ACL
Exemples
Ouverture de session anonyme. Reprsente les connexions un ordinateur sans nom d'utilisateur ni mot de passe Utilisateurs authentifis. Reprsente les identits authentifies, mais n'inclut pas l'identit Invit Tout le monde. Inclut Utilisateurs authentifis et Invit (mais pas Ouverture de session anonyme par dfaut dans Windows Server 2003/2008) Interactif. Utilisateurs connects en session locale ou Bureau distance Rseau. Utilisateurs accdant une ressource par le rseau
Informations de connexion
Ordinateur virtuel 6238B-HQDC01-A Nom douverture de session utilisateur Pat.Coleman Nom dutilisateur administrateur Mot de passe Pat.Coleman_Admin Pa$$w0rd
Contoso est trs efficace. Le nombre de groupes ayant augment dans le domaine, vous constatez qu'il est important de les documenter soigneusement et d'empcher les administrateurs d'en supprimer accidentellement. Enfin, vous voulez permettre aux propritaires des ressources de l'entreprise de grer les accs leurs ressources en leur dlgant le droit de modifier les membres des groupes.
Rcapitulatif
Citez des avantages de l'utilisation des champs Description