Module 3 : Administration des groupes

Vue d'ensemble
Cration de groupes Administration de l'appartenance un groupe Stratgies d'utilisation des groupes Modification des groupes Utilisation des groupes par dfaut Recommandations relatives l'administration des groupes

Leon : Cration de groupes

Description des groupes Description des niveaux fonctionnels d'un domaine Description des groupes globaux Description des groupes universels Description des groupes de domaine local Description des groupes locaux Emplacement de cration des groupes Instructions d'attribution de noms aux groupes Procdure de cration d'un groupe

Description des groupes

Les groupes simplifient l'administration par l'attribution d'autorisations d'accs aux ressources

Groupe

Les groupes se caractrisent par l'tendue et le type L'tendue d'un groupe dtermine si le groupe couvre plusieurs domaines ou s'il est limit un seul domaine Les trois tendues de groupe sont global, domaine local et universel
Type de groupe Description
Scurit
Utilise pour attribuer des droits et des autorisations d'utilisateur Utilisable uniquement sous forme de liste de distribution de courrier lectronique Utilisable uniquement avec les applications de messagerie lectronique. Ne peut pas tre utilise pour attribuer des autorisations

Distribution

Description des niveaux fonctionnels d'un domaine

Windows 2000 mixte (par dfaut)

Windows 2000 natif

Windows Server 2003

Contrleurs de domaine pris en charge tendues de groupe prises en charge

Windows NT Server 4.0, Windows 2000, Windows Server 2003 Global, domaine local

Microsoft Windows 2000 Windows Advanced Server 2003 Server Global, Global, domaine local, domaine local, universel universel

Description des groupes globaux

Rgles des groupes globaux Mode mixte : Comptes d'utilisateurs et comptes d'ordinateurs du mme domaine Mode natif : Comptes d'utilisateurs, comptes d'ordinateurs et groupes globaux du mme domaine Mode mixte : Groupes de domaine local Mode natif : Groupes universel et de domaine local dans un domaine quelconque et groupes globaux dans le mme domaine Tous les domaines de la fort et tous les domaines qui approuvent Tous les domaines de la fort et tous les domaines qui approuvent

Membres

Appartenance

tendue Autorisations

Description des groupes universels

Rgles des groupes universels Mode mixte : Sans objet Mode natif : Comptes d'utilisateurs, comptes dordinateurs, groupes globaux et autres groupes universels de n'importe quel domaine de la fort Mode mixte : Sans objet Mode natif : Groupes de domaine local et universels de n'importe quel domaine Visible dans tous les domaines d'une fort et dans les domaines qui approuvent Tous les domaines d'une fort

Membres

Appartenance tendue Autorisations

Description des groupes de domaine local

Rgles des groupes de domaine local Mode mixte : Comptes d'utilisateurs, comptes d'ordinateurs et groupes globaux de nimporte quel domaine Mode natif : Comptes d'utilisateurs, comptes d'ordinateurs, groupes globaux et groupes universels de n'importe quel domaine de la fort ainsi que groupes de domaine local du mme domaine Mode mixte : Aucun Mode natif : Groupes de domaine local du mme domaine Visible uniquement dans son propre domaine Domaine auquel appartient le groupe de domaine local

Membres

Appartenance

tendue
Autorisations

Description des groupes locaux

Membre Appartenance

Rgles des groupes locaux Comptes d'utilisateurs locaux provenant de l'ordinateur, des comptes de domaines et des groupes de domaines Aucun

Emplacement de cration des groupes

Vous pouvez crer des groupes dans le domaine racine de la fort, dans un autre domaine de la fort ou dans une unit d'organisation
Choisissez le domaine ou l'unit d'organisation dans lequel vous voulez crer le groupe en fonction des conditions d'administration associes au groupe Par exemple : Si votre annuaire possde plusieurs units d'organisation dont chacune possde un administrateur diffrent, vous pouvez y crer des groupes globaux

Instructions d'attribution de noms aux groupes

Pour les groupes de scurit :
Incorporez l'tendue la convention d'attribution de nom pour le nom du groupe Le nom doit reflter l'appartenance (nom de la division ou de l'quipe) Placez les noms ou abrviations de domaine au dbut du nom du groupe Utilisez un descripteur pour identifier les autorisations maximales possibles pour un groupe, comme DL IT London OU Admins

Pour les groupes de distribution :

Choisissez un alias court N'incluez pas l'alias d'un utilisateur dans le nom d'affichage Attribuez au maximum cinq copropritaires d'un mme groupe de distribution

Procdure de cration d'un groupe

Le formateur va montrer comment effectuer les tches suivantes :

crer un groupe dans un domaine crer un groupe local sur un serveur membre crer un groupe l'aide de la ligne de commande supprimer un groupe supprimer un groupe l'aide de la ligne de commande

Application pratique : Cration de groupes

Dans cette application pratique, vous effectuerez les tches suivantes :

crer des groupes l'aide de la console Utilisateurs et ordinateurs Active Directory crer des groupes l'aide de la ligne de commandes dsadd

Leon : Administration de l'appartenance un groupe

Proprits Membres et Membre de Dmonstration : Proprits Membres et Membre de Procdure d'identification des groupes dont est membre un compte d'utilisateur Procdure d'ajout et de suppression de membres dans un groupe

Proprits Membres et Membre de

Groupe ou quipe Groupe global Groupe de domaine local

Tom, Jo et Kim
Membres Sans objet Membre de Denver Admins

Denver Admins Denver Admins

Membres Tom, Jo, Jo, Kim Kim Membre de Denver OU Admins

Denver OU Admins
Membres Denver Admins, Vancouver Admins Membre de Sans objet

Sam, Scott et Amy

Membres Sans objet Membre de Vancouver Admins

Vancouver Admins
Membres Sam, Scott, Amy Membre de Denver OU Admins

Dmonstration : Proprits Membres et Membre de

Dans cette dmonstration, le formateur va expliquer concrtement l'utilisation des proprits Membres et Membre de

Procdure d'identification des groupes dont est membre un compte d'utilisateur

Le formateur va montrer comment effectuer les tches suivantes :

identifier les groupes dont un utilisateur est membre identifier les groupes dont est membre un utilisateur l'aide de la ligne de commande

Procdure d'ajout et de suppression de membres dans un groupe

Le formateur va montrer comment ajouter des membres un groupe et comment en supprimer

Application pratique : Administration de l'appartenance un groupe

Dans cette application pratique, vous allez ajouter des utilisateurs un groupe global

Leon : Stratgies d'utilisation des groupes

Prsentation multimdia : Stratgie d'utilisation des groupes dans un seul domaine

Description de l'imbrication des groupes

Stratgies de groupes

Prsentation multimdia : Stratgie d'utilisation des groupes dans un seul domaine

Cette prsentation dcrit la stratgie CGDLA pour l'utilisation des groupes

Description de l'imbrication des groupes

L'imbrication consiste ajouter un groupe en tant que membre d'un autre groupe
Groupe Groupe Groupe Groupe

Groupe

Imbriquez des groupes pour consolider l'administration des groupes Les options d'imbrication sont diffrentes selon que le niveau fonctionnel du domaine Windows Server 2003 est Windows 2000 en mode natif ou Windows 2000 en mode mixte

Stratgies de groupes
Comptes Groupes C DL A Groupes d'utilisateurs Groupes globaux universels de Comptes Groupes Groupes
d'utilisateurs

CCCGDLAA GGGDLA A CUL

Groupes de domaine local

Comptes Comptes Comptes d'utilisateurs d'utilisateurs d'utilisateurs

globaux

GroupesGroupes de Groupes Groupes deGroupes globaux globaux locaux domaine local domaine local

universels

domaine local

Autorisations

Autorisations Autorisations Autorisations

C
C
Comptes d'utilisateurs

G
G
Groupes globaux

U
U DL

DL
A

Autorisations

Groupes locaux

Stratgies de groupe :
G DL CGA C DL A L DL C G DL A C G U DL A C GA A L A A

C
C A

C C
G

G L

Discussion de cours : Utilisation des groupes dans un seul domaine

Northwind Traders possde un seul domaine situ aux demandes duLes souhaite ragir plus rapidement Paris en France. march. L'entreprise veut que les donnes d'accder la base de donnes directeurs de Northwind Traders ont besoincomptablessoient accessibles l'ensemble du personnel du service Accounting. Northwind Traders Inventory pour structure de groupes Que faites-vous pour permettre aux dsire crer la effectuer leur travail. pour toute la division Accounting qui directeurs d'accder la base de Payable et Accounts Receivable. Que comprend les services Accounts donnes ? faites-vous pour que les directeurs disposent des accs ncessaires et rduire au minimum les tches d'administration ? Northwind Traders possdedansseul domaine situ Paris Placez tous les responsables un un groupe global.

en France. Les directeurs de Northwind Traders ont besoin trois groupes globaux local pour les accs Division, Crez un groupe de domaine nomms Accounting la base de d'accder Payable etde donnes Inventory pour effectuer leur Accounts la base donnes Inventaire. Accounts Receivable. travail. Que faites-vous pour permettre aux directeurs Placer Placez le groupe global Accounting Division dans lelocal et de dans le groupe de domaine groupe d'accder laautorisations utilisateurs pour les accs la base de domaine les pour de les ce dernier accordez localbase que donnes ? puissent accder aux
donnes Inventaire. comptables. Crer le groupe de domaine local Accounting Data. Octroyez ce groupe l'autorisation approprie pour accder au fichier des ressources comptables. Vrifier que le rseau fonctionne en mode natif.

Application pratique : Ajout de groupes globaux des groupes de domaine local

Dans cette application pratique, vous allez ajouter des groupes globaux aux groupes de domaine local

Leon : Modification des groupes

Description de la modification de l'tendue ou du type d'un groupe

Procdure de modification de l'tendue ou du type d'un groupe

Intrt de l'affectation d'un responsable un groupe

Procdure d'affectation d'un responsable un groupe

Description de la modification de l'tendue ou du type d'un groupe

Modification de l'tendue d'un groupe Global universel Domaine local universel Universel global Universel domaine local Modification du type d'un groupe Scurit distribution

Distribution scurit

Procdure de modification de l'tendue ou du type d'un groupe

Le formateur va montrer comme modifier l'tendue ou le type d'un groupe

Application pratique : Modification de l'tendue et du type d'un groupe

Dans cette application pratique, vous effectuerez les tches suivantes :
remplacer l'tendue de groupe globale par l'tendue de groupe de domaine local

convertir un groupe de scurit en groupe de distribution

Intrt de l'affectation d'un responsable un groupe

Responsable

Groupe

Vous pouvez alors : identifier le responsable des diffrents groupes dlguer au responsable du groupe l'autorisation d'ajouter et de supprimer des utilisateurs dans le groupe Vous pouvez distribuer la responsabilit administrative d'ajout d'utilisateurs des groupes aux personnes qui demandent le groupe

Procdure d'affectation d'un responsable un groupe

Le formateur va montrer comme affecter un responsable un groupe

Application pratique : Affectation d'un responsable un groupe

Dans cette application pratique, vous effectuerez les tches suivantes : crer un groupe global affecter un responsable un groupe tester les proprits du responsable du groupe

Leon : Utilisation des groupes par dfaut

Groupes par dfaut sur les serveurs membres Groupes par dfaut dans Active Directory Quand utiliser les groupes par dfaut Considrations relatives la scurit des groupes par dfaut

Groupes systme

Groupes par dfaut sur les serveurs membres

Groupes par dfaut dans Active Directory

Quand utiliser les groupes par dfaut

Les groupes par dfaut sont : crs pendant l'installation du systme d'exploitation ou lorsque des services comme Active Directory ou DHCP sont ajouts automatiquement affects d'un ensemble de droits d'utilisateur Utilisez les groupes par dfaut pour : contrler l'accs aux ressources partages

dlguer une administration spcifique l'chelle d'un domaine

Considrations relatives la scurit des groupes par dfaut

Placez un utilisateur dans un groupe par dfaut uniquement lorsque vous tes certain de vouloir lui accorder tous les droits et autorisations d'utilisateur affects ce groupe dans Active Directory ; sinon, crez un groupe de scurit Pour des raisons de scurit, il est recommand que les membres des groupes par dfaut utilisent Excuter en tant que

Groupes systme
Les groupes systme reprsentent diffrents utilisateurs des moments diffrents

Vous pouvez accorder des droits utilisateur et des autorisations aux groupes systme, mais vous ne pouvez ni modifier ni consulter l'appartenance ces groupes Les tendues de groupe ne s'appliquent pas aux groupes systme
Les utilisateurs sont affects automatiquement aux groupes systme ds qu'ils ouvrent une session ou qu'ils accdent une ressource

Discussion de cours : Utilisation des groupes par dfaut et cration de groupes

Northwind Traders dispose de plus de 100 serveurs dans le monde. Vous vous rendez une runion pour discuter des tches que les administrateurs doivent accomplir et du niveau minimum d'accs dont les utilisateurs ont besoin pour accomplir leurs tches. Vous devez aussi dterminer si vous pouvez utiliser les groupes par dfaut ou si vous devez crer des groupes et affecter des droits utilisateur et des autorisations spcifiques aux groupes pour accomplir les tches

Recommandations relatives l'administration des groupes

Crez des groupes selon les besoins d'administration Utilisez des groupes locaux sur un ordinateur qui n'est pas membre d'un domaine

Ajoutez des comptes d'utilisateurs au groupe le plus restrictif

Plutt que de crer un groupe, utilisez dans la mesure du possible le groupe intgr Utilisez le groupe Utilisateurs authentifis au lieu du groupe Tout le monde pour accorder la plupart des droits utilisateurs et des autorisations Limitez le nombre d'utilisateurs du groupe Administrateurs Approuvez toutes les personnes membres des groupes Administrateurs, Utilisateurs avec pouvoir, Oprateurs d'impression et Oprateurs de sauvegarde

Atelier A : Cration et administration des groupes

Dans cet atelier, vous allez effectuer les tches suivantes :
crer des groupes locaux et globaux nommer des groupes selon une convention d'attribution de noms ajouter des membres aux groupes