2019-2020 Support de cours L2-GTR

1
Chapitre 3 : Gestion des objets du domaine AD
Les services de domaine Active Directory (AD DS) peuvent aider à gérer le réseau plus
efficacement de plusieurs manières. Par exemple, ils permettent de gérer les comptes
d'utilisateurs et d'ordinateurs dans le cadre de groupes au lieu de gérer un compte à la fois. Ils
fournissent également des moyens de déléguer des tâches administratives à diverses personnes
afin de répartir efficacement les charges de travail.
La gestion des identités des appareils devient de plus en plus complexe à mesure que de plus
en plus d'employés apportent leurs propres appareils sur le lieu de travail tel que BYOD (Bring
Your Own Device), vous gérerez les identités des appareils pour de nombreux types d'appareils
personnels et les différents systèmes d'exploitation qu'ils exécutent. AD DS possède de
nombreuses fonctionnalités qui peuvent vous faciliter la tâche.

3.1 - Gérer les comptes utilisateurs

Un objet utilisateur dans AD DS est bien plus que de simples propriétés liées à l'identité ou au
compte de sécurité de l'utilisateur. C'est la pierre angulaire de l'identité et de l'accès à AD DS.
Par conséquent, des processus cohérents, efficaces et sécurisés concernant l'administration des
comptes d'utilisateurs sont la pierre angulaire de la gestion de la sécurité d'entreprise.
3.1.1 - Outils d’administration AD DS
Avant de pouvoir commencer à créer et à gérer des comptes d'utilisateurs, de groupes et
d'ordinateurs, il est important de comprendre quels outils sont utilisés pour effectuer ces
différentes tâches de gestion.
Composants logiciels enfichables d'administration Active Directory
La majorité des tâches d’administration seront effectuées aves les composants logiciels
enfichables suivants:
 Utilisateurs et ordinateurs Active Directory. utilisé pour gérer les ressources
quotidiennes les plus courantes, y compris les utilisateurs, les groupes, les ordinateurs
et les unités d'organisation (OU).
 Sites et services Active Directory. Utilisé pour gérer la réplication, la topologie du
réseau et les services associés.
 Domaines et approbations Active Directory. Utilisé pour configurer et maintenir les
relations d'approbation et le niveau fonctionnel de la forêt.
 Schéma Active Directory. Utilisé pour examiner et modifier la définition des attributs
et des classes d'objets Active Directory. C'est le modèle d'AD DS. Il est rarelent utilisé
Centre d'administration Active Directory
Windows Server 2012 fournit une autre option pour gérer les objets AD DS. Le centre
d'administration Active Directory fournit une interface utilisateur graphique (GUI) basée sur
Windows PowerShell®. Vous pouvez utiliser cette interface améliorée pour effectuer la gestion
des objets AD DS en utilisant la navigation orientée tâche.
Les tâches que vous pouvez effectuer à l'aide du centre d'administration Active Directory
incluent :

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

 Créer et gérer des comptes d'utilisateurs, d'ordinateurs et de groupes

2
 Créer et gérer des unités d'organisation
 Connectez-vous à plusieurs domaines et gérez-les au sein d'une même instance du centre
d'administration Active Directory.
 Rechercher et filtrer les données Active Directory en créant des requêtes
 Gérer les paramètres de contrôle d'accès dynamique, tels que les stratégies d'accès
central et les règles d'accès central Toutes les actions effectuées par le centre
d'administration Active Directory sont des commandes Windows PowerShell, que vous
pouvez afficher dans la zone d'historique Windows PowerShell du centre
d'administration Active Directory.
Windows PowerShell
Vous pouvez utiliser le module Active Directory pour Windows PowerShell (module Active
Directory) pour créer et gérer des objets dans AD DS. Windows PowerShell n'est pas seulement
un langage de script; il vous permet également d'exécuter des commandes qui effectuent des
tâches administratives, telles que la création de nouveaux comptes d'utilisateurs, la
configuration de services, la suppression de boîtes aux lettres et des fonctions similaires.
Windows PowerShell 3.0 est installé par défaut sur Windows Server 2012 et Windows
PowerShell v4 est installé par défaut sur Windows Server 2012 R2.
Les applets de commande individuelles sont regroupées dans des modules Windows
PowerShell. Les modules doivent être installés sur un système pour les rendre disponibles dans
vos sessions Windows PowerShell. Lorsque vous utilisez une applet de commande Windows
PowerShell, le module correspondant est importé automatiquement. Par exemple, l'exécution
de l'applet de commande Get-ADDomain charge automatiquement le module Active Directory
dans cette session particulière. Le module Active Directory est installé et disponible pour
utilisation lorsque vous effectuez l'une des opérations suivantes :
 Installer le rôle de serveur AD DS ou Active Directory Lightweight Directory Services
(AD LDS)
 Installer RSAT
L'exécution de la commande Get-Module -ListAvailable répertorie tous les modules
installés disponibles qui peuvent être importés automatiquement ou importés manuellement à
l'aide de l'applet de commande Import-Module. Si vous avez besoin d'un module qui n'est pas
répertorié, vous devez installer le service de rôle approprié ou l'outil de gestion.
Outils de ligne de commande du service d'annuaire
Vous pouvez également utiliser les outils de ligne de commande du service d'annuaire, en
plus de Windows PowerShell. Ces outils vous permettent de créer, modifier, gérer et supprimer
des objets AD DS, tels que des utilisateurs, des groupes et des ordinateurs. Vous pouvez utiliser
les commandes suivantes :
 dsadd. Utilisez pour créer de nouveaux objets
 dsget. Utilisez pour afficher les objets et leurs propriétés
 dsmod. Utilisez pour modifier les objets et leurs propriétés
 dsmove. Utilisez pour déplacer des objets

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

 requête. Utilisez pour interroger AD DS pour les objets qui correspondent aux critères
3
que vous fournissez
 dsrm. Utilisez pour supprimer des objets
3.1.2 – Création de comptes utilisateurs
Dans AD DS, tout utilisateur devant accéder aux ressources réseau doit disposer d’un compte
d'utilisateur. Avec ce compte d'utilisateur, les utilisateurs peuvent s'authentifier auprès du
domaine AD DS et accéder aux ressources réseau.
Dans Windows Server 2012, un compte d'utilisateur est un objet qui contient toutes les
informations qui définissent un utilisateur. Un compte d'utilisateur comprend le nom
d'utilisateur, le mot de passe utilisateur et les appartenances aux groupes. Un compte
d'utilisateur contient également de nombreux autres paramètres que vous pouvez configurer en
fonction de vos besoins organisationnels.
Avec un compte utilisateur, vous pouvez :
 Autoriser ou refuser aux utilisateurs l'autorisation de se connecter à un ordinateur en
fonction de l'identité de leur compte d'utilisateur.
 Accordez aux utilisateurs l'accès aux processus et services pour un contexte de sécurité
spécifique.
 Gérez l'accès des utilisateurs aux ressources telles que les objets AD DS et leurs
propriétés, les dossiers partagés, les fichiers, les répertoires et les files d'attente
d'imprimantes.
Un compte d'utilisateur permet à un utilisateur de se connecter aux ordinateurs et aux
domaines avec une identité que le domaine peut authentifier. Lorsque vous créez un compte
d'utilisateur, vous devez fournir un nom de connexion d'utilisateur, qui doit être unique dans le
domaine et la forêt dans lesquels le compte d'utilisateur est créé. Pour maximiser la sécurité,
vous devez éviter que plusieurs utilisateurs partagent un même compte et vous assurer que
chaque utilisateur qui se connecte au réseau possède un compte utilisateur et un mot de passe
uniques.
3.1.3 – Configuration des attributs du compte utilisateur
Lors de la création d’un compte d'utilisateur dans AD DS, il est nécessaire de configurer
toutes les propriétés ou attributs de compte associés. Lors de la création d’un nouvel objet
utilisateur, vous devez définir les attributs qui permettent à l'utilisateur de se connecter en
utilisant le compte en plus de quelques autres attributs. Étant donné que vous pouvez associer
un objet utilisateur à de nombreux attributs, il est important que vous compreniez ce que sont
ces attributs et comment vous pouvez les utiliser dans votre organisation.
Catégories d'attributs
Les attributs d'un objet utilisateur se répartissent en plusieurs grandes catégories. Ces catégories
apparaissent dans le volet de navigation de la boîte de dialogue Propriétés de l'utilisateur dans
le Centre d'administration Active Directory et incluent les éléments suivants :
 Compte. Outre les propriétés de nom de l'utilisateur (prénom, initiale du deuxième
prénom, nom, nom complet) et les différents noms de connexion de l'utilisateur, vous
pouvez configurer les propriétés supplémentaires suivantes:

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

o Connectez-vous aux heures. Cette propriété définit quand le compte peut être
4
utilisé pour accéder aux ordinateurs du domaine. Vous pouvez utiliser la vue de
style de calendrier hebdomadaire pour définir les heures d'ouverture de session
autorisées et les heures d'ouverture de session refusées.
o Connectez-vous à. Utilisez cette propriété pour définir les ordinateurs qu'un
utilisateur peut utiliser pour se connecter au domaine. Spécifiez le nom de
l'ordinateur et ajoutez-le à une liste d'ordinateurs autorisés.
o Le compte expire. Cette valeur est utile lorsque vous souhaitez créer des comptes
d'utilisateurs temporaires. Par exemple, vous souhaiterez peut-être créer des
comptes d'utilisateurs pour les stagiaires qui seront dans votre entreprise pendant
un an seulement. Vous pouvez définir la date d'expiration du compte à l'avance.
Le compte ne peut pas être utilisé après la date d'expiration tant qu'il n'est pas
reconfiguré manuellement par un administrateur.
o L'utilisateur doit changer de mot de passe à la prochaine connexion. Cette
propriété vous permet de forcer les utilisateurs à réinitialiser leur propre mot de
passe lors de leur prochaine connexion. C'est généralement quelque chose que
vous pouvez activer après avoir réinitialisé le mot de passe d'un utilisateur.
o Une carte à puce est requise pour une connexion interactive. Cette valeur
réinitialise le mot de passe de l'utilisateur en une séquence complexe et aléatoire
de caractères et définit une propriété qui requiert que l'utilisateur utilise une carte
à puce pour s'authentifier lors de la connexion.
o Le mot de passe n'expire jamais. Il s'agit d'une propriété que vous utilisez
normalement avec les comptes de service; c'est-à-dire les comptes qui ne sont
pas utilisés par des utilisateurs réguliers mais par des services. En définissant
cette valeur, vous devez vous rappeler de mettre à jour le mot de passe
manuellement sur une base périodique. Cependant, vous n'êtes pas obligé de le
faire à un intervalle prédéterminé. Par conséquent, le compte ne peut jamais être
verrouillé en raison de l'expiration du mot de passe, une fonctionnalité
particulièrement importante pour les comptes de service.
o L'utilisateur ne peut pas changer le mot de passe. Cette option est généralement
utilisée pour les comptes de service.
o Stockez le mot de passe en utilisant un cryptage réversible. Cette stratégie prend
en charge les programmes qui utilisent des protocoles qui nécessitent la
connaissance du mot de passe de l'utilisateur à des fins d'authentification. Le
stockage des mots de passe à l'aide du chiffrement réversible est essentiellement
le même que le stockage des versions en texte brut des mots de passe. Pour cette
raison, vous ne devez jamais activer cette stratégie à moins que les exigences du
programme ne l'emportent sur la nécessité de protéger les informations de mot
de passe. Cette stratégie est requise lorsque vous utilisez l'authentification
CHAP (Challenge Handshake Authentication Protocol) via l'accès à distance ou
le service d'authentification Internet (IAS). Il est également requis lors de
l'utilisation de l'authentification Digest dans les services Internet (IIS).
o Le compte est approuvé pour la délégation. Vous pouvez utiliser cette propriété
pour autoriser un compte de service à emprunter l'identité d'un utilisateur
standard pour accéder aux ressources réseau au nom d'un utilisateur.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

 Organisation. Cela inclut des propriétés telles que le nom d'affichage de l'utilisateur, le
5
bureau, l'adresse e-mail, divers numéros de téléphone de contact, la structure de gestion,
les noms de service et de société, les adresses et autres propriétés.
 Membre de. Cette section vous permet de définir les appartenances aux groupes pour
l'utilisateur.
 Paramètres de mot de passe. Cette section comprend des paramètres de mot de passe
qui sont appliqués directement à l'utilisateur.
 Profil. Cette section vous permet de configurer un emplacement pour les données
personnelles de l'utilisateur et de définir un emplacement dans lequel enregistrer le
profil du bureau de l'utilisateur lorsqu'il se déconnecte.
 Extensions. Cette section expose de nombreuses propriétés utilisateur supplémentaires,
dont la plupart ne nécessite une configuration manuelle....
3.1.4 – Création de profil utilisateurs
Lorsque les utilisateurs se déconnectent, leurs paramètres de bureau et d'application sont
enregistrés dans un sous-dossier du dossier C:\Users sur le disque dur local qui correspond à
leur nom d'utilisateur. Ce dossier contient leur profil utilisateur.
Les sous-dossiers de ce dossier contiennent des documents et des paramètres qui
représentent le profil de l'utilisateur, y compris des documents, des vidéos, des images et des
téléchargements.
Si un utilisateur est susceptible de se connecter de manière interactive sur plusieurs postes
de travail clients, il est préférable que ces paramètres et documents soient disponibles sur ces
autres postes de travail clients. Il existe plusieurs façons de garantir que les utilisateurs peuvent
accéder à leurs profils à partir de plusieurs postes de travail.
Configuration des propriétés du compte utilisateur pour gérer les profils
Les propriétés suivantes du profil de bureau d'un utilisateur peuvent être configurées en utilisant
les paramètres de compte d'utilisateur dans le Centre d'administration Active Directory :
 Chemin du profil. Ce chemin est soit un chemin local, soit plus généralement un chemin
UNC (Universal Naming Convention). Les paramètres du bureau de l'utilisateur sont
stockés dans le profil. Si un profil utilisateur a un chemin UNC, l'utilisateur aura accès
à ses paramètres de bureau quel que soit l'ordinateur de domaine auquel il se connecte.
Il s'agit d'un profil itinérant.
 Script de connexion. Il s'agit d'un fichier batch qui contient des commandes qui
s'exécutent lorsque l'utilisateur se connecte. En règle générale, vous utilisez ces
commandes pour créer des mappages de lecteur. Plutôt que d'utiliser un fichier de
commandes de script d'ouverture de session, vous implémentez généralement des scripts
d'ouverture de session à l'aide des GPO ou des préférences de stratégie de groupe. Si
vous utilisez un script de connexion, le nom du script doit être un nom de fichier (avec
extension) uniquement. Les scripts doivent être stockés dans le dossier C: \ Windows \
SYSVOL \ domain \ scripts sur tous les contrôleurs de domaine.
 Dossier d'accueil. Il s'agit d'une zone de stockage dans laquelle les utilisateurs peuvent
enregistrer leurs documents personnels. Vous pouvez spécifier un chemin local ou, plus
généralement, un chemin UNC vers le dossier de l'utilisateur. Vous devez également
spécifier une lettre de lecteur utilisée pour mapper un lecteur réseau sur le chemin UNC

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

spécifié. Vous pouvez ensuite configurer les documents personnels d'un utilisateur dans
6
ce dossier d'accueil redirigé.
Utilisation de la stratégie de groupe pour gérer les profils
Au lieu d'utiliser les paramètres de compte d'utilisateur individuel, vous pouvez utiliser des
objets de stratégie de groupe pour gérer ces paramètres. Vous pouvez configurer les paramètres
de redirection de dossiers en utilisant l'Éditeur de gestion des stratégies de groupe pour ouvrir
un objet de stratégie de groupe pour modification, puis en accédant au nœud Configuration
utilisateur \ Stratégies \ Paramètres Windows.
Ces paramètres contiennent les sous-nœuds du tableau suivant :
Sous-nœuds dans le nœud Paramètres Windows
 AppData (Roaming)  Pictures  Downloads
 Desktop  Music  Links
 Start Menu  Videos  Searches
 Document  Favorites  Saved Games
 Contacts

3.2 - Gestion des groupes

Bien que l'attribution d’autorisations et de capacités à des comptes d'utilisateurs individuels
parait simple dans de petits réseaux, cela devient complexe et inefficace dans les réseaux de
grandes entreprises. Par exemple, si de nombreux utilisateurs ont besoin du même niveau
d'accès à un dossier, il est plus efficace de créer un groupe qui contient les comptes d'utilisateurs
requis, puis d'attribuer au groupe les autorisations requises. Cela présente l'avantage
supplémentaire de vous permettre de modifier les autorisations de fichier d'un utilisateur en les
ajoutant ou en les supprimant des groupes plutôt qu'en modifiant directement les autorisations
de fichier.
Avant d'implémenter des groupes dans votre organisation, vous devez comprendre l'étendue
des différents types de groupes Windows Server et la meilleure façon de les utiliser pour gérer
l'accès aux ressources ou pour attribuer des droits et des capacités de gestion.
3.2.1 – Types de groupes
Dans un réseau d'entreprise Windows Server 2012, il existe deux types de groupes
 Les groupes de sécurité
 Les groupes de distribution.
A la création d’un groupe, il est nécessaire de choisir le type et la portée de ce dernier.
Les groupes de distribution, qui ne sont pas sécurisés, sont principalement utilisés par les
applications de messagerie. Les groupes de distribution ont des identificateurs de sécurité (SID).
Cependant, étant donné qu'ils ont un attribut groupType Active Directory de 0x2
(ACCOUNT_GROUP), ils ne peuvent pas être autorisés à accéder aux ressources. L'envoi d'un
message électronique à un groupe de distribution envoie le message à tous les membres du
groupe.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

Les groupes de sécurité sont activés pour la sécurité et sont utilisés pour attribuer des
7
autorisations à diverses ressources. Les groupes de sécurité ont des SID, avec un attribut
groupType Active Directory de 0x80000002 (ACCOUNT_GROUP |
SECURITY_ENABLED). Vous pouvez donc utiliser ces groupes dans les entrées
d'autorisation des listes de contrôle d'accès (ACL) pour contrôler la sécurité de l'accès aux
ressources. Parce qu'ils incluent également le type de groupe de comptes, vous pouvez
également utiliser des groupes de sécurité comme moyen de distribution pour les applications
de messagerie. Si vous souhaitez utiliser un groupe pour gérer la sécurité, il doit s'agir d'un
groupe de sécurité.
Étant donné que vous pouvez utiliser des groupes de sécurité pour l'accès aux ressources et
la distribution des e-mails, de nombreuses organisations utilisent uniquement des groupes de
sécurité. Toutefois, il est recommandé de créer le groupe en tant que groupe de distribution si
vous utilisez un groupe uniquement pour la distribution des e-mails. Sinon, le groupe se voit
attribuer un SID et le SID est ajouté au jeton d'accès de sécurité de l'utilisateur, ce qui peut
rendre le jeton inutilement volumineux.
Un groupe de sécurité peut être converti à tout moment en groupe de distribution; lorsque
vous procédez ainsi, l'attribut groupType passe de 0x80000002 (ACCOUNT_GROUP |
SECURITY_ENABLED) à 0x2 (ACCOUNT_GROUP). Un groupe de sécurité qui a été
converti en groupe de distribution perd donc toutes les autorisations qui lui sont attribuées,
même si les ACL contiennent toujours le SID. Lorsqu'un groupe de distribution est converti en
groupe de sécurité, l'inverse se produit, l'attribut groupType passe de 0x2
(ACCOUNT_GROUP) à 0x80000002 (ACCOUNT_GROUP | SECURITY_ENABLED). Si le
groupe de distribution était un groupe de sécurité précédemment converti, vous pouvez par
inadvertance accorder aux utilisateurs l'accès aux droits et autorisations qui avaient été attribués
au groupe lorsqu'il était auparavant un groupe de sécurité.
3.2.2 – Portée d’un groupe
Windows Server 2012 prend en charge la portée de groupe. La portée d'un groupe détermine
à la fois la plage de capacités ou d'autorisations d'un groupe et l'appartenance au groupe. Il
existe quatre étendues de groupe :
 Local. Vous utilisez ce type de groupe pour des serveurs ou des postes de travail
autonomes, sur des serveurs membres de domaine qui ne sont pas des contrôleurs de
domaine ou sur des postes de travail membres de domaine. Les groupes locaux sont
vraiment locaux, ce qui signifie qu'ils ne sont disponibles que sur l'ordinateur où ils
existent. Les caractéristiques importantes d'un groupe local sont :
o Vous pouvez attribuer des capacités et des autorisations sur les ressources
locales uniquement, c'est-à-dire sur l'ordinateur local.
o Les membres peuvent provenir de n'importe où dans la forêt AD DS et peuvent
inclure :
 Tous les principaux de sécurité du domaine : utilisateurs, ordinateurs,
groupes globaux ou groupes locaux de domaine.
 Utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine
de la forêt.
 Utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine
approuvé.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

 Groupes universels définis dans n'importe quel domaine de la forêt.

8
 Domaine local. Vous utilisez ce type de groupe principalement pour gérer l'accès aux
ressources ou pour attribuer des responsabilités de gestion (droits). Les groupes locaux
de domaine existent sur les contrôleurs de domaine dans une forêt AD DS et, par
conséquent, la portée du groupe est localisée sur le domaine dans lequel ils résident. Les
caractéristiques importantes des groupes domaine-local sont :
o Vous pouvez attribuer des capacités et des autorisations sur les ressources
locales du domaine uniquement, ce qui signifie sur tous les ordinateurs du
domaine local.
o Les membres peuvent provenir de n'importe où dans la forêt AD DS et peuvent
inclure :
 Tous les principaux de sécurité du domaine : utilisateurs, ordinateurs,
groupes globaux ou groupes locaux de domaine.
 Utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine
de la forêt.
 Utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine
approuvé.
 Groupes universels définis dans n'importe quel domaine de la forêt.
 Global. Ce type de groupe est principalement utilisé pour consolider des utilisateurs
ayant des caractéristiques similaires. Par exemple, les groupes globaux sont souvent
utilisés pour consolider les utilisateurs qui font partie d'un département ou d'un
emplacement géographique. Les caractéristiques importantes des groupes globaux sont:
o Vous pouvez attribuer des capacités et des autorisations n'importe où dans la
forêt.
o Les membres peuvent appartenir au domaine local uniquement et peuvent
inclure :
 Utilisateurs, ordinateurs et groupes globaux du domaine local.
 Universel. Ce type de groupe est souvent utilisé dans les réseaux multi-domaines car il
combine les caractéristiques des groupes locaux de domaine et des groupes globaux.
Plus précisément, les caractéristiques importantes des groupes universels sont :
o Vous pouvez attribuer des capacités et des autorisations n'importe où dans la
forêt, comme avec les groupes globaux.
o Les membres peuvent provenir de n'importe où dans la forêt AD DS et peuvent
inclure:
 Utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine
de la forêt.
 Groupes universels définis dans n'importe quel domaine de la forêt.
o Les propriétés des groupes universels sont propagées au catalogue global et sont
mises à disposition sur le réseau d'entreprise sur tous les contrôleurs de domaine
qui hébergent le rôle de catalogue global. Cela rend les listes d'appartenance aux
groupes universels plus accessibles, ce qui est utile dans les scénarios multi-
domaines. Par exemple, si un groupe universel est utilisé à des fins de
distribution de courrier électronique, le processus de détermination de la liste
des membres est généralement plus rapide dans les réseaux multi-domaines
distribués.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

3.2.3 – Mise en place de la gestion de groupe

9
L'ajout de groupes à d'autres groupes est un processus appelé imbrication. L'imbrication crée
une hiérarchie de groupes qui prennent en charge les rôles d'entreprise et les règles de gestion.
Une meilleure pratique d'imbrication de groupe est connue sous le nom de IGDLA, qui est
l'acronyme de ce qui suit:
 Identités
 Groupes globaux
 Groupes de domaine local
 Accès
Ces parties d'IGDLA sont liées de la manière suivante :
 Les identités (comptes d'utilisateurs et comptes d'ordinateurs) sont membres de groupes
globaux, qui représentent des rôles commerciaux.
 Les groupes globaux (également appelés groupes de rôles) sont membres de groupes
locaux de domaine, qui représentent des règles de gestion, par exemple pour déterminer
qui a l'autorisation de lecture sur une collection spécifique de dossiers.
 Les groupes locaux de domaine (également appelés groupes de règles) ont accès aux
ressources. Dans le cas d'un dossier partagé, l'accès est accordé en ajoutant le groupe
local-domaine à la liste de contrôle d'accès du dossier, avec une autorisation qui fournit
le niveau d'accès approprié.
3.2.4 - Les groupes par défaut
Windows Server 2012 crée automatiquement un certain nombre de groupes. Ceux-ci sont
appelés groupes locaux par défaut et comprennent des groupes bien connus tels que les
administrateurs, les opérateurs de sauvegarde et les utilisateurs de bureau à distance. Il existe
des groupes supplémentaires créés dans un domaine, à la fois dans les conteneurs Builtin et
Users, y compris les administrateurs de domaine, les administrateurs d'entreprise et les
administrateurs de schéma.
Les groupes par défauts fournissant des privilèges administratifs
Il existe un sous-ensemble de groupes par défaut qui disposent d'autorisations et de droits
d'utilisateur importants liés à la gestion des services de domaine Active Directory. En raison
des droits que ces groupes ont, ce sont des groupes protégés.
La liste suivante résume les capacités de ces groupes:
 Administrateurs d'entreprise (dans le conteneur Utilisateurs du domaine racine de la
forêt). Ce groupe est membre du groupe Administrateurs dans chaque domaine de la
forêt, ce qui lui donne un accès complet à la configuration de tous les contrôleurs de
domaine. Il possède également la partition de configuration du répertoire et a le contrôle
total du contexte de dénomination de domaine dans tous les domaines de forêt.
 Administrateurs de schéma (conteneur d'utilisateurs du domaine racine de la forêt). Ce
groupe possède et a le contrôle total du schéma Active Directory.
 Administrateurs (conteneur intégré de chaque domaine). Les membres de ce groupe ont
un contrôle total sur tous les contrôleurs de domaine et les données dans le contexte de
dénomination de domaine. Ils peuvent modifier l'appartenance à tous les autres groupes

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

administratifs du domaine et le groupe Administrateurs du domaine racine de la forêt

10
peut modifier l'appartenance aux administrateurs d'entreprise, aux administrateurs de
schéma et aux administrateurs de domaine. Le groupe Administrateurs du domaine
racine de la forêt est généralement considéré comme le groupe d'administration de
services le plus puissant de la forêt.
 Administrateurs de domaine (conteneur d'utilisateurs de chaque domaine). Ce groupe
est ajouté au groupe Administrateurs de son domaine. Il hérite donc de toutes les
capacités du groupe Administrateurs. Il est également, par défaut, ajouté au groupe
Administrateurs local de chaque ordinateur membre du domaine, donnant ainsi aux
administrateurs de domaine la propriété de tous les ordinateurs du domaine.
 Opérateurs de serveur (conteneur intégré de chaque domaine). Les membres de ce
groupe peuvent effectuer des tâches de maintenance sur les contrôleurs de domaine. Ils
ont le droit de se connecter localement, de démarrer et d'arrêter des services, d'effectuer
des opérations de sauvegarde et de restauration, de formater des disques, de créer ou de
supprimer des partages et d'arrêter des contrôleurs de domaine. Par défaut, ce groupe
n'a aucun membre.
 Opérateurs de compte (conteneur intégré de chaque domaine). Les membres de ce
groupe peuvent créer, modifier et supprimer des comptes pour les utilisateurs, les
groupes et les ordinateurs situés dans n'importe quelle unité d'organisation du domaine
(à l'exception de l'unité d'organisation Contrôleurs de domaine) et dans les conteneurs
Utilisateurs et ordinateurs. Les membres du groupe Opérateur de compte ne peuvent pas
modifier les comptes qui sont membres des groupes Administrateurs ou Administrateurs
de domaine, ni modifier ces groupes. Les membres du groupe d'opérateurs de compte
peuvent également se connecter localement aux contrôleurs de domaine. Par défaut, ce
groupe n'a aucun membre.
 Opérateurs de sauvegarde (conteneur intégré de chaque domaine). Les membres de ce
groupe peuvent effectuer des opérations de sauvegarde et de restauration sur les
contrôleurs de domaine, se connecter localement et arrêter les contrôleurs de domaine.
Par défaut, ce groupe n'a aucun membre.
 Opérateurs d'impression (conteneur intégré de chaque domaine). Les membres de ce
groupe peuvent gérer des files d'attente d'impression sur les contrôleurs de domaine. Ils
peuvent également se connecter localement et arrêter les contrôleurs de domaine.
Gestion des groupes pour four,ir des privilèges administratifs
Les groupes par défaut qui fournissent des privilèges administratifs doivent être gérés avec
précaution, car ils disposent généralement de privilèges plus étendus que ceux nécessaires à la
plupart des environnements délégués et parce qu'ils appliquent souvent une protection à leurs
membres.
Le groupe Opérateurs de compte est un bon exemple. Si vous examinez les capacités du
groupe Opérateurs de compte dans la liste précédente, vous pouvez voir que les membres de ce
groupe ont des droits très étendus - ils peuvent même se connecter localement à un contrôleur
de domaine. Dans les très petits réseaux, ces droits peuvent être attribués à une ou deux
personnes qui sont généralement des administrateurs de domaine de toute façon. Cependant,
dans les grandes entreprises, les droits et autorisations accordés aux opérateurs de compte sont
généralement beaucoup trop larges.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

De plus, le groupe Opérateurs de compte est, comme les autres groupes administratifs, un
11
groupe protégé.
Les groupes protégés
Les groupes protégés sont définis par le système d'exploitation et ne peuvent pas être non
protégés. Les membres d'un groupe protégé deviennent protégés par association et n'héritent
plus des autorisations (ACL) de leur unité d'organisation, mais reçoivent plutôt une copie d'une
ACL du groupe protégé. Ce groupe protégé ACL offre une protection considérable aux
membres. Par exemple, si vous ajoutez Jeff Ford au groupe Opérateurs de compte, son compte
est protégé et le service d'assistance, qui peut réinitialiser tous les autres mots de passe
utilisateur dans l'unité d'organisation Employés, ne peut pas réinitialiser le mot de passe de Jeff
Ford.
Les groupes personalisés
Il est déconseillé d’ajouter des utilisateurs aux groupes qui n’ont pas de membres par
défaut (opérateurs de compte, opérateurs de sauvegarde, opérateurs de serveur et opérateurs
d’impression).
Il est recommandé de créer des groupes personnalisés auxquels sont attribuées des
autorisations et des droits d'utilisateur qui répondent aux besoins commerciaux et
administratifs.
Par exemple, si Scott Mitchell doit être en mesure d'effectuer des opérations de sauvegarde
sur un contrôleur de domaine, mais ne doit pas être en mesure d'effectuer des opérations de
restauration qui pourraient entraîner une restauration ou une corruption de la base de données,
et ne doit pas être en mesure d'arrêter un contrôleur de domaine, ne le faites pas. placez Scott
dans le groupe Opérateurs de sauvegarde. Au lieu de cela, créez un groupe et attribuez-lui
uniquement le droit d'utilisateur Sauvegarder les fichiers et les répertoires, puis ajoutez Scott
en tant que membre.
Groupes Identités spéciales
Windows et AD DS prennent également en charge les identités spéciales, qui sont des
groupes dont l'appartenance est contrôlée par le système d'exploitation. Vous ne pouvez pas
afficher les groupes dans aucune liste (dans Utilisateurs et ordinateurs Active Directory, par
exemple), vous ne pouvez pas afficher ou modifier l'appartenance de ces identités spéciales et
vous ne pouvez pas les ajouter à d'autres groupes. Vous pouvez cependant utiliser ces groupes
pour attribuer des droits et des autorisations.
Les identités spéciales les plus importantes - souvent appelées groupes (pour plus de
commodité) - sont décrites dans la liste suivante :
 Ouverture de session anonyme (anonymous logon). Cette identité représente les
connexions à un ordinateur et ses ressources qui sont effectuées sans fournir de nom
d'utilisateur et de mot de passe. Avant Windows Server 2003, ce groupe était membre
du groupe Tout le monde. À partir de Windows Server 2003, ce groupe n'est plus un
membre par défaut du groupe Tout le monde.
 Utilisateurs authentifiés. Cela représente des identités authentifiées. Ce groupe n'inclut
pas Guest, même si le compte Guest a un mot de passe.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

 Tout le monde. Cette identité inclut les utilisateurs authentifiés et le compte Invité. (Sur
12
les ordinateurs qui exécutent des versions du système d'exploitation Windows Server
qui précèdent Windows Server 2003, ce groupe comprend la connexion anonyme.)
 Interactif. Cela représente les utilisateurs qui accèdent à une ressource lorsqu'ils sont
connectés localement à l'ordinateur qui héberge la ressource, par opposition à l'accès à
la ressource sur le réseau. Quand un utilisateur accède à une ressource donnée sur un
ordinateur auquel l'utilisateur est connecté localement, l'utilisateur est ajouté
automatiquement au groupe interactif pour cette ressource. Interactive inclut également
les utilisateurs qui se connectent via une connexion Bureau à distance.
 Réseau. Cela représente les utilisateurs qui accèdent à une ressource sur le réseau, par
opposition aux utilisateurs qui sont connectés localement sur l'ordinateur qui héberge la
ressource. Lorsqu'un utilisateur accède à une ressource donnée sur le réseau, l'utilisateur
est automatiquement ajouté au groupe Réseau pour cette ressource.
 Propriétaire créateur. Cela représente le principal de sécurité qui a créé un objet.
L'importance de ces identités spéciales est que vous pouvez les utiliser pour fournir un accès
aux ressources en fonction du type d'authentification ou de connexion, plutôt que du compte
d'utilisateur. Par exemple, vous pouvez créer un dossier sur un système qui permet aux
utilisateurs d'afficher son contenu lorsqu'ils sont connectés localement au système, mais cela ne
permet pas aux mêmes utilisateurs d'afficher le contenu d'un lecteur mappé sur le réseau. Vous
pouvez y parvenir en attribuant des autorisations à l'identité spéciale interactive.

Administration des Serveurs @mail : USTH-GTR@outlook.com