Vous êtes sur la page 1sur 3

[Active Directory] 4 Implmentation de comptes d'utilisateurs, de groupes et d'ordina...

Page 1 sur 3

copyright 2011 Espace Microsoft - http://www.espace-microsoft.com - http://www.egilia.com

[Active Directory] 4 Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs


Publi le : 07/06/2011 vers 10h Mise jour le : 11/10/2011 vers 20h Catgories : Active directory Auteur(s) : Version imprimable Envoyez un amis Jaime

Loc THOBOIS (Membre depuis le 04/09/2007) Socit : EGILIA Fonction : Direction filire technologies Microsoft Contactez cet auteur - Affichez les ressources de cet auteur

Le service dannuaire Active Directory distingue trois types de comptes de scurit : Le compte dutilisateur permet un utilisateur physique douvrir une session unique sur le domaine et daccder aux ressources partages. Le compte dordinateur permet didentifier un ordinateur physique par le biais dun mcanisme dauthentification. Il est possible dactiver laudit de laccs dun compte dordinateur aux ressources du domaine. Le compte de groupe permet de simplifier ladministration en regroupant des comptes dutilisateurs, dordinateurs ou bien dautres comptes de groupes.

4.1 Implmentation de comptes dutilisateurs


4.1.1 Prsentation du nom dutilisateur principal
Un nom dutilisateur principal ou UPN (User Principal Name) est un nom douverture de session. Il doit tre unique au sein de la fort. Il se dcompose en deux parties spares par le caractre @ : Le prfixe UPN Le suffixe UPN Par exemple lutilisateur Loc THOBOIS situ dans le domaine egilia.com ouvre sa session en utilisant le nom dutilisateur principal suivant : loic.thobois@egilia.com o loic.thobois reprsente le prfixe UPN et egilia.com le suffixe UPN. Le nom dutilisateur principal nest pas modifi lors du dplacement du compte dutilisateur vers un autre domaine car ce nom est unique dans la fort. De plus Il peut tre utilis en tant quadresse lectronique car il a le mme format quune adresse de messagerie standard. Un utilisateur peut toujours ouvrir une session laide du nom douverture de session dutilisateur pr-windows 2000 (dans notre exemple EGILIA\loic.thobois). En outre, Active Directory autorise lassignation de suffixes UPN supplmentaires une foret Active Directory.

4.1.2 Le Routage des suffixes UPN


Il est possible dajouter ou de supprimer des suffixes UPN dans la fort grce la console Domaines et approbations (accessible en tapant domain.msc dans la boite de dialogue excuter) ou bien par le biais d'un script. Seul un membre du groupe administrateurs de lentreprise est autoris modifier les suffixes UPN.

La console Domaines et approbations permet aussi dactiver le routage des suffixes UPN. Le routage des suffixes UPN est un mcanisme fournissant une rsolution de noms UPN inter forts. Ainsi il est possible de dfinir quels suffixes UPN les utilisateurs de la fort 1 pourront utiliser pour sauthentifier dans la fort 2. Bien entendu, les relations dapprobations appropries (approbation de fort) doivent tre dfinies pour permettre le routage des suffixes UPN.

4.2 Implmentation de comptes de groupe


Les groupes permettent de simplifier la gestion de laccs des utilisateurs aux ressources du rseau. Les groupes permettent daffecter en une seule action une ressource un ensemble dutilisateurs au lieu de rpter laction pour chaque utilisateur. Un utilisateur peut tre membre de plusieurs groupes. Les groupes se diffrencient de par leur type et de par leur tendue.

4.2.1 Le type de groupe


Il existe deux types de groupes dans Active Directory : Les groupes de scurit : permettent daffecter des utilisateurs et des ordinateurs des ressources. Les groupes de distribution : exploitables entre autres via un logiciel de messagerie.

4.2.2 LEtendue de groupe


Les deux types de groupes grent chacun trois niveaux dtendue. Les fonctionnalits des tendues de groupe peuvent varier selon le niveau fonctionnel du domaine. Les groupes globaux de scurit :

Membres Membres de

Mode mixte Comptes dutilisateurs du mme domaine Groupes de domaine locaux de tous les domaines approuvs.

Mode natif Comptes dutilisateurs et groupes globaux du mme domaine

http://www.espace-microsoft.com/fr/print/?res=28074

20/05/2012

[Active Directory] 4 Implmentation de comptes d'utilisateurs, de groupes et d'ordina... Page 2 sur 3

Groupes globaux, groupes universels du mme domaine et groupes de domaine locaux de tous les domaines approuvs. Etendue Autorisations pour Visibles dans tous les domaines approuvs. Tous les domaines approuvs.

Les groupes locaux de domaine (ou groupes de domaine local) de scurit :

Membres

Mode mixte Comptes dutilisateurs et groupes globaux de tous les domaines approuvs. Membres daucun autre groupe Visibles dans leur propre domaine Le domaine dans lequel le groupe local de domaine existe.

Membres de Etendue Autorisations pour


Les groupes universels de scurit :

Mode natif Comptes dutilisateurs, groupes globaux et groupes universels de tous les domaines approuvs et groupes de domaine locaux du mme domaine. Groupes de domaine locaux du mme domaine.

Membres Membres de Etendue Autorisations pour

Mode mixte Non utilisables Non utilisables Visibles dans tous les domaines approuvs. Tous les domaines approuvs.

Mode natif Comptes dutilisateurs, groupes globaux et autres groupes universels de tous les domaines approuvs. Groupes locaux de domaine et universels de tous les domaines approuvs.

4.2.3 Stratgie dutilisation de groupe dans un domaine


Diverses stratgies sont recommandes afin dattribuer les autorisations sur les ressources du rseau (fichiers/dossiers/imprimantes partages). La stratgie privilgie au sein dun domaine est la stratgie C G DL A : Rassemblez des comptes dutilisateur (C) dans des groupes globaux. Ajoutez les groupes globaux un groupe local de domaine (DL). Affectez les autorisations (A) sur les ressources du domaine sur le groupe local de domaine. Cette stratgie est aussi appele A G DL P (pour Accounts Global group Domain Local group Permissions). Il existe une volution de cette stratgie qui permet utilisateurs situs dans plusieurs domaines diffrents daccder une ressource donne. Cette stratgie fait intervenir les groupes dtendue universelle et est nomme C G U DL A.

4.3 Outils dadministration et tches administratives


4.3.1 Les outils dadministration
Divers outils sont mis disposition de ladministrateur afin de lui faciliter la gestion des comptes dutilisateurs, dordinateurs et de groupes : Utilisateurs et ordinateurs Active Directory : Console permettant dajouter, modifier et supprimer des comptes dutilisateurs, dordinateurs et de groupe en mode graphique.

Centre dadministration Active Directory : Complment la console Utilisateurs et ordinateurs Active Directory, cette console permet dagir facilement sur un nombre important dobjets quelques soit leurs emplacements de stockage en se basant sur la logique de fonctionnement de PowerShell.

PowerShell: Interface de scripting spcialement concu pour l'administration, elle dispose depuis Windows Server 2008 R2 d'un modeul de gestion du contenu d'Active Directory. Dsadd, dsmod, dsrm, : Commandes permettant respectivement de crer, de modifier ou de supprimer des objets dans Active Directory. csvde : Outil en ligne de commande permettant de crer des objets partir dun fichier au format csv (champs dlimits par des virgules). ldifde : Outil en ligne de commande permettant de crer, modifier, supprimer des objets partir dun fichier au format ldif (champs dlimits par des sauts de ligne). WSH : Environnement permettant dexcuter des scripts en VBS ou en JScript.

http://www.espace-microsoft.com/fr/print/?res=28074

20/05/2012

[Active Directory] 4 Implmentation de comptes d'utilisateurs, de groupes et d'ordina... Page 3 sur 3

copyright 2011 Espace Microsoft - http://www.espace-microsoft.com - http://www.egilia.com - Retrouvez : FAQ Microsoft, Astuces, Actualits, Articles, Lexique, Fonds d'cran, Divertissements, Tutoriaux, ...

http://www.espace-microsoft.com/fr/print/?res=28074

20/05/2012