Module 3 : Administration

des groupes
Vue d'ensemble

Cration de groupes
Administration de l'appartenance un groupe
Stratgies d'utilisation des groupes
Modification des groupes
Utilisation des groupes par dfaut
Recommandations relatives l'administration des
groupes
Leon : Cration de groupes

Description des groupes

Description des niveaux fonctionnels d'un domaine
Description des groupes globaux
Description des groupes universels
Description des groupes de domaine local
Description des groupes locaux
Emplacement de cration des groupes
Instructions d'attribution de noms aux groupes
Procdure de cration d'un groupe
Description des groupes

Les groupes simplifient l'administration par l'attribution

d'autorisations d'accs aux ressources

Groupe
Les groupes se caractrisent par l'tendue et le type
L'tendue d'un groupe dtermine si le groupe couvre plusieurs
domaines ou s'il est limit un seul domaine
Les trois tendues de groupe sont global, domaine local et universel
Type de groupe Description
Utilise pour attribuer des droits et des autorisations
Scurit d'utilisateur Utilisable uniquement sous forme
de liste de distribution de courrier lectronique
Utilisable uniquement avec les applications
Distribution de messagerie lectronique. Ne peut pas
tre utilise pour attribuer des autorisations
Description des niveaux fonctionnels d'un domaine

Windows 2000
Windows 2000 Windows
mixte
natif Server 2003
(par dfaut)
Contrleurs Windows NT
Microsoft
Server 4.0,
de domaine Windows 2000 Windows
Windows 2000,
pris Advanced Server 2003
Windows
en charge Server
Server 2003
tendues
Global, Global,
de groupe Global,
domaine local, domaine local,
prises domaine local
universel universel
en charge
 Description des groupes globaux

Rgles des groupes globaux

Mode mixte : Comptes d'utilisateurs et comptes
d'ordinateurs du mme domaine
Membres
Mode natif : Comptes d'utilisateurs, comptes
d'ordinateurs et groupes globaux du mme domaine
Mode mixte : Groupes de domaine local
Appartenance Mode natif : Groupes universel et de domaine local dans
un domaine quelconque et groupes globaux dans
le mme domaine
Tous les domaines de la fort et tous les domaines qui
tendue
approuvent
Tous les domaines de la fort et tous les domaines qui
Autorisations
approuvent
 Description des groupes universels

Rgles des groupes universels

Mode mixte : Sans objet
Membres Mode natif : Comptes d'utilisateurs, comptes
dordinateurs, groupes globaux et autres groupes
universels de n'importe quel domaine de la fort
Mode mixte : Sans objet
Appartenance Mode natif : Groupes de domaine local et universels
de n'importe quel domaine
Visible dans tous les domaines d'une fort et dans les
tendue
domaines qui approuvent
Autorisations Tous les domaines d'une fort
 Description des groupes de domaine local

Rgles des groupes de domaine local

Mode mixte : Comptes d'utilisateurs, comptes d'ordinateurs
et groupes globaux de nimporte quel domaine
Membres Mode natif : Comptes d'utilisateurs, comptes d'ordinateurs,
groupes globaux et groupes universels de n'importe quel
domaine de la fort ainsi que groupes de domaine local du
mme domaine
Mode mixte : Aucun
Appartenance
Mode natif : Groupes de domaine local du mme domaine
tendue Visible uniquement dans son propre domaine
Autorisations Domaine auquel appartient le groupe de domaine local
 Description des groupes locaux

Rgles des groupes locaux

Comptes d'utilisateurs locaux provenant de l'ordinateur,
Membre
des comptes de domaines et des groupes de domaines

Appartenance Aucun
Emplacement de cration des groupes

Vous pouvez crer des groupes dans le domaine racine

de la fort, dans un autre domaine de la fort ou dans
une unit d'organisation
Choisissez le domaine ou l'unit d'organisation dans
lequel vous voulez crer le groupe en fonction des
conditions d'administration associes au groupe
Par exemple :
Si votre annuaire possde plusieurs units
d'organisation dont chacune possde
un administrateur diffrent, vous pouvez y crer des
groupes globaux
 Instructions d'attribution de noms aux groupes

Pour les groupes de scurit :

Incorporez l'tendue la convention d'attribution de nom pour le nom
du groupe
Le nom doit reflter l'appartenance (nom de la division ou de l'quipe)
Placez les noms ou abrviations de domaine au dbut du nom
du groupe
Utilisez un descripteur pour identifier les autorisations maximales
possibles pour un groupe, comme DL IT London OU Admins

Pour les groupes de distribution :

Choisissez un alias court
N'incluez pas l'alias d'un utilisateur dans le nom d'affichage
Attribuez au maximum cinq copropritaires d'un mme groupe
de distribution
Procdure de cration d'un groupe

Le formateur va montrer comment effectuer les tches

suivantes :
crer un groupe dans un domaine
crer un groupe local sur un serveur membre
crer un groupe l'aide de la ligne de commande
supprimer un groupe
supprimer un groupe l'aide de la ligne de commande
Application pratique : Cration de groupes

Dans cette application pratique, vous

effectuerez les tches suivantes :
crer des groupes l'aide de la console
Utilisateurs et ordinateurs
Active Directory
crer des groupes l'aide de la ligne
de commandes dsadd
Leon : Administration de l'appartenance un groupe

Proprits Membres et Membre de

Dmonstration : Proprits Membres et Membre de
Procdure d'identification des groupes dont est membre
un compte d'utilisateur
Procdure d'ajout et de suppression de membres dans
un groupe
 Proprits Membres et Membre de

Groupe ou quipe Groupe global Groupe de domaine local

Tom, Jo et Kim Denver Admins

Denver Admins Denver OU Admins

Membres Membre de Membres Membre de Membres Membre de

Sans Denver Admins Tom, Jo, Denver OU Admins Denver Admins, Sans objet
objet Jo,
KimKim Vancouver
Admins

Sam, Scott et Amy Vancouver Admins

Membres Membre de Membres Membre de

Sans Vancouver Admins Sam, Denver OU
objet Scott, Amy Admins
Dmonstration : Proprits Membres et Membre de

Dans cette dmonstration, le formateur

va expliquer concrtement l'utilisation des
proprits Membres et Membre de
Procdure d'identification des groupes dont est membre
un compte d'utilisateur

Le formateur va montrer comment effectuer les tches

suivantes :
identifier les groupes dont un utilisateur est membre
identifier les groupes dont est membre un utilisateur
l'aide de la ligne de commande
Procdure d'ajout et de suppression de membres
dans un groupe

Le formateur va montrer comment ajouter des

membres un groupe et comment en supprimer
Application pratique : Administration
de l'appartenance un groupe

Dans cette application pratique, vous allez

ajouter des utilisateurs un groupe global
Leon : Stratgies d'utilisation des groupes

Prsentation multimdia : Stratgie d'utilisation des

groupes dans un seul domaine
Description de l'imbrication des groupes
Stratgies de groupes
Prsentation multimdia : Stratgie d'utilisation des
groupes dans un seul domaine

Cette prsentation dcrit la stratgie CGDLA

pour l'utilisation des groupes
Description de l'imbrication des groupes

L'imbrication consiste ajouter un groupe en tant que

membre d'un autre groupe
Groupe Groupe
Groupe Groupe
Groupe

Imbriquez des groupes pour consolider l'administration

des groupes
Les options d'imbrication sont diffrentes selon que
le niveau fonctionnel du domaine Windows Server 2003
est Windows 2000 en mode natif ou Windows 2000
en mode mixte
Stratgies de groupes

Comptes
CCG UGDL
CCGG DL
LAAAA
Groupes C DL A Groupes Groupes de
d'utilisateurs Groupes globaux
Comptes Groupes universels
Groupes de domaine local
Autorisations
d'utilisateurs globaux universels domaine local
Comptes
Comptes
Comptes Groupesde
Groupes Groupes Groupes
Groupes de Autorisations
Autorisations
Autorisations
d'utilisateurs
d'utilisateurs
d'utilisateurs globaux
globauxdomaine locallocaux
domaine local

C G U DL
C G U DL A
Autorisations
Comptes
Groupes locaux
Groupes
Stratgies de groupe :
d'utilisateurs globaux
CGA C G U DL A
CC G
DL C DL A C GAAL A
C G L A
C GDL
DL A
C A G L
Discussion de cours : Utilisation des groupes dans
un seul domaine

Northwind Traders possde

souhaite un ragir
seulplus rapidement
domaine situ aux demandes
Paris duLes
en France.
march. L'entreprise
directeurs de NorthwindveutTraders
que lesont
donnes
besoincomptables
d'accder soient
la baseaccessibles
de donnes
l'ensemble du personnel du service Accounting. Northwind Traders
Inventory pour
dsire crer effectuer de
la structure leurgroupes
travail. Que
pourfaites-vous pour permettre
toute la division aux
Accounting qui
directeurs
comprend d'accder
les services laAccounts
base de Payable
donneset? Accounts Receivable. Que
faites-vous pour que les directeurs disposent des accs ncessaires et
rduire au minimum les tches d'administration ?
Northwind Traders
Placez tous possdedans
les responsables un seul domaine
un groupe global.situ Paris
en France. Les
trois
directeurs
groupes
de Northwind
globaux nomms
Traders ont besoin
Crez un groupe de domaine local pourAccounting
les accs Division,
la base de
d'accder
AccountsInventaire.
donnes la baseetde
Payable donnes
Accounts Inventory pour effectuer leur
Receivable.
travail.
PlacerQue faites-vous
le groupe pour permettre
global Accounting Division aux
dansdirecteurs
lelocal
groupe
Placez dans le groupe de domaine et de
d'accder
domaine local
accordez laautorisations
les base de donnes
pour que ? pour
lesutilisateurs
ce dernier puissent accder
les accs laaux
base de
donnes Inventaire.
comptables.
Crer le groupe de domaine local Accounting Data. Octroyez ce
groupe l'autorisation approprie pour accder au fichier des
ressources comptables. Vrifier que le rseau fonctionne en mode
natif.
Application pratique : Ajout de groupes globaux des
groupes de domaine local

Dans cette application pratique, vous allez

ajouter des groupes globaux aux groupes
de domaine local
Leon : Modification des groupes

Description de la modification de l'tendue ou du type

d'un groupe
Procdure de modification de l'tendue ou du type d'un
groupe
Intrt de l'affectation d'un responsable un groupe
Procdure d'affectation d'un responsable un groupe
Description de la modification de l'tendue ou du type
d'un groupe

Modification de l'tendue d'un groupe

Global universel
Domaine local universel
Universel global
Universel domaine local
Modification du type d'un groupe
Scurit distribution
Distribution scurit
Procdure de modification de l'tendue
ou du type d'un groupe

Le formateur va montrer comme modifier l'tendue

ou le type d'un groupe
Application pratique : Modification de l'tendue
et du type d'un groupe

Dans cette application pratique, vous

effectuerez les tches suivantes :
remplacer l'tendue de groupe globale
par l'tendue de groupe de domaine local
convertir un groupe de scurit en groupe
de distribution
Intrt de l'affectation d'un responsable un
groupe

Responsable Groupe

Vous pouvez alors :

identifier le responsable des diffrents groupes
dlguer au responsable du groupe l'autorisation d'ajouter
et de supprimer des utilisateurs dans le groupe
Vous pouvez distribuer la responsabilit administrative
d'ajout d'utilisateurs des groupes aux personnes qui
demandent le groupe
Procdure d'affectation d'un responsable un groupe

Le formateur va montrer comme affecter un responsable

un groupe
Application pratique : Affectation d'un responsable
un groupe

Dans cette application pratique, vous

effectuerez les tches suivantes :
crer un groupe global
affecter un responsable un groupe
tester les proprits du responsable
du groupe
Leon : Utilisation des groupes par dfaut

Groupes par dfaut sur les serveurs membres

Groupes par dfaut dans Active Directory
Quand utiliser les groupes par dfaut
Considrations relatives la scurit des groupes par
dfaut
Groupes systme
Groupes par dfaut sur les serveurs membres
Groupes par dfaut dans Active Directory
Quand utiliser les groupes par dfaut

Les groupes par dfaut sont :

crs pendant l'installation du systme d'exploitation
ou lorsque des services comme Active Directory
ou DHCP sont ajouts
automatiquement affects d'un ensemble de droits
d'utilisateur
Utilisez les groupes par dfaut pour :
contrler l'accs aux ressources partages
dlguer une administration spcifique l'chelle
d'un domaine
Considrations relatives la scurit des groupes
par dfaut

Placez un utilisateur dans un groupe par dfaut

uniquement lorsque vous tes certain de vouloir lui
accorder tous les droits et autorisations d'utilisateur
affects ce groupe dans Active Directory ; sinon,
crez un groupe de scurit
Pour des raisons de scurit, il est recommand que
les membres des groupes par dfaut utilisent Excuter
en tant que
Groupes systme

Les groupes systme reprsentent diffrents utilisateurs

des moments diffrents
Vous pouvez accorder des droits utilisateur et des
autorisations aux groupes systme, mais vous
ne pouvez ni modifier ni consulter l'appartenance
ces groupes
Les tendues de groupe ne s'appliquent pas aux
groupes systme
Les utilisateurs sont affects automatiquement aux
groupes systme ds qu'ils ouvrent une session
ou qu'ils accdent une ressource
Discussion de cours : Utilisation des groupes par dfaut
et cration de groupes

Northwind Traders dispose de plus de 100 serveurs dans

le monde. Vous vous rendez une runion pour discuter
des tches que les administrateurs doivent accomplir et
du niveau minimum d'accs dont les utilisateurs ont
besoin pour accomplir leurs tches. Vous devez aussi
dterminer si vous pouvez utiliser les groupes par dfaut
ou si vous devez crer des groupes et affecter des droits
utilisateur et des autorisations spcifiques aux groupes
pour accomplir les tches
Recommandations relatives l'administration
des groupes

Crez des groupes selon les besoins d'administration

Utilisez des groupes locaux sur un ordinateur qui n'est pas membre
d'un domaine
Ajoutez des comptes d'utilisateurs au groupe le plus restrictif
Plutt que de crer un groupe, utilisez dans la mesure du possible
le groupe intgr
Utilisez le groupe Utilisateurs authentifis au lieu du groupe Tout
le monde pour accorder la plupart des droits utilisateurs et des
autorisations
Limitez le nombre d'utilisateurs du groupe Administrateurs
Approuvez toutes les personnes membres des groupes
Administrateurs, Utilisateurs avec pouvoir, Oprateurs d'impression
et Oprateurs de sauvegarde
Atelier A : Cration et administration des groupes

Dans cet atelier, vous allez effectuer les

tches suivantes :
crer des groupes locaux et globaux
nommer des groupes selon une
convention d'attribution de noms
ajouter des membres aux groupes