ActiveDirectory
Transcription
ActiveDirectory
ActiveDirectory Par THOREZ Nicolas V – Utilisateurs, Administrateurs et Groupes AD Un utilisateur qui possède un compte de domaine AD, peut se connecter sur n'importe quel poste du domaine en gardant les mêmes droits. Un poste appartenant à un domaine garde cependant la possibilité de tourner en local (déconnecté du domaine). Les administrateurs sont séparés en plusieurs groupes, créés à l'installation d'AD et correspondant à certaines fonctions : Groupes Administrateurs Fonctions Administrent les contrôleurs de domaine Administrateurs l'entreprise de Gèrent la structure de la forêt Administrateurs schéma du Peuvent modifier le schéma LDAP Administrateurs domaine du Administrent les postes du domaine Un administrateurs appartient obligatoirement à un ou plusieurs de ces groupes sachant que les groupes Administrateurs de l'entreprise et Administrateurs du domaine font partis du groupe Administrateurs. Administrateurs Admins de l'entreprise Admin Admins du domaine Admins du schéma Appartient à Peut appartenir à Dans AD, chaque ressource doit appartenir à un groupe AD en vus de l'application des droits et des GPO. On trouvera alors : • Ressources AD : • utilisateur (inetorgperson) • groupe d'utilisateurs • contact • ordinateur • partage • imprimante • Groupes AD : • Groupe global • Groupe universel • Domaine local Dans la console d'administration, les ressources sont groupées au sein de conteneurs ou unité d'organisation (OU). Chaque ressource est vu de manière différente selon le groupe AD : Utilisateur / Contact Domaine AD Poste / Imprimante Peut appartenir à Groupe global (GG) / Groupe universel (GU) / Domaine local (DL) Visible dans Groupe global GG GG Groupe universel GG GU GG GU GU Domaine local GG GU GG DL GU GU Une fois chaque ressource dans un conteneur, un administrateur est à même d'y apposer des droits, des autorisations et des stratégies de groupes (GPO). Selon la complexité des imbrications de groupes et la taille de la forêt, il est recommandé d'apposer les permissions (droits, autorisation et/ou GPO) selon les modèles suivants : • • • • • A : ressource AD GG : Groupe global GU : Groupe universelle DL : Domaine local P : Permissions • Forêt à un domaine A → GG → DL ← P • Forêt multi-domaines A → GG → GG → GU → DL ← P • Petit domaine A → DL ← P