ActiveDirectory

ActiveDirectory
Par THOREZ Nicolas
V – Utilisateurs, Administrateurs et Groupes AD
Un utilisateur qui possède un compte de domaine AD, peut se connecter sur n'importe
quel poste du domaine en gardant les mêmes droits. Un poste appartenant à un domaine
garde cependant la possibilité de tourner en local (déconnecté du domaine). Les
administrateurs sont séparés en plusieurs groupes, créés à l'installation d'AD et correspondant
à certaines fonctions :
Groupes
Administrateurs
Fonctions
Administrent les contrôleurs de domaine
Administrateurs
l'entreprise
de Gèrent la structure de la forêt
Administrateurs
schéma
du Peuvent modifier le schéma LDAP
Administrateurs
domaine
du Administrent les postes du domaine
Un administrateurs appartient obligatoirement à un ou plusieurs de ces groupes sachant
que les groupes Administrateurs de l'entreprise et Administrateurs du domaine font partis du
groupe Administrateurs.
Administrateurs
Admins de
l'entreprise
Admin
Admins du
domaine
Admins du
schéma
Appartient à
Peut appartenir à
Dans AD, chaque ressource doit appartenir à un groupe AD en vus de l'application des
droits et des GPO. On trouvera alors :
•
Ressources AD :
• utilisateur (inetorgperson)
• groupe d'utilisateurs
• contact
• ordinateur
• partage
• imprimante
•
Groupes AD :
• Groupe global
• Groupe universel
• Domaine local
Dans la console d'administration, les ressources sont groupées au sein de conteneurs ou
unité d'organisation (OU). Chaque ressource est vu de manière différente selon le groupe AD :
Utilisateur / Contact
Domaine AD
Poste / Imprimante
Peut appartenir à
Groupe global (GG) /
Groupe universel (GU) /
Domaine local (DL)
Visible dans
Groupe global
GG
GG
Groupe universel
GG
GU
GG
GU
GU
Domaine local
GG
GU
GG
DL
GU
GU
Une fois chaque ressource dans un conteneur, un administrateur est à même d'y
apposer des droits, des autorisations et des stratégies de groupes (GPO). Selon la complexité
des imbrications de groupes et la taille de la forêt, il est recommandé d'apposer les
permissions (droits, autorisation et/ou GPO) selon les modèles suivants :
•
•
•
•
•
A : ressource AD
GG : Groupe global
GU : Groupe universelle
DL : Domaine local
P : Permissions
•
Forêt à un domaine
A → GG → DL ← P
•
Forêt multi-domaines
A → GG → GG → GU → DL ← P
•
Petit domaine
A → DL ← P