Module 3 : Administration des groupes

Vue d'ensemble Création de groupes Administration de l'appartenance à un groupe Stratégies d'utilisation des groupes Modification des groupes Utilisation des groupes par défaut Recommandations relatives à l'administration des groupes

Leçon : Création de groupes Description des groupes Description des niveaux fonctionnels d'un domaine Description des groupes globaux Description des groupes universels Description des groupes de domaine local Description des groupes locaux Emplacement de création des groupes  Instructions d'attribution de noms aux groupes Procédure de création d'un groupe

Description des groupes Les groupes simplifient l'administration par l'attribution d'autorisations d'accès aux ressources Groupe Les groupes se caractérisent par l'étendue et le type L'étendue d'un groupe détermine si le groupe couvre plusieurs domaines ou s'il est limité à un seul domaine Les trois étendues de groupe sont global, domaine local et universel Type de groupe Description Sécurité Utilisée pour attribuer des droits et des autorisations d'utilisateur Utilisable uniquement sous forme de liste de distribution de courrier électronique Distribution Utilisable uniquement avec les applications de messagerie électronique. Ne peut pas être utilisée pour attribuer des autorisations

Description des niveaux fonctionnels d'un domaine Windows 2000 mixte (par défaut) Windows 2000 natif Windows Server 2003 Contrôleurs de domaine pris en charge Windows NT Server 4.0, Windows 2000, Windows Server 2003 Microsoft Windows 2000 Advanced Server Windows Server 2003 Étendues de groupe prises en charge Global, domaine local Global, domaine local, universel

Description des groupes globaux Règles des groupes globaux Membres Mode mixte : Comptes d'utilisateurs et comptes d'ordinateurs du même domaine Mode natif : Comptes d'utilisateurs, comptes d'ordinateurs et groupes globaux du même domaine Appartenance Mode mixte : Groupes de domaine local Mode natif : Groupes universel et de domaine local dans un domaine quelconque et groupes globaux dans le même domaine Étendue Tous les domaines de la forêt et tous les domaines qui approuvent Autorisations

Description des groupes universels Règles des groupes universels Membres Mode mixte : Sans objet Mode natif : Comptes d'utilisateurs, comptes d‘ordinateurs, groupes globaux et autres groupes universels de n'importe quel domaine de la forêt Appartenance Mode natif : Groupes de domaine local et universels de n'importe quel domaine Étendue Visible dans tous les domaines d'une forêt et dans les domaines qui approuvent Autorisations Tous les domaines d'une forêt

Description des groupes de domaine local Règles des groupes de domaine local Membres Mode mixte : Comptes d'utilisateurs, comptes d'ordinateurs et groupes globaux de n’importe quel domaine Mode natif : Comptes d'utilisateurs, comptes d'ordinateurs, groupes globaux et groupes universels de n'importe quel domaine de la forêt ainsi que groupes de domaine local du même domaine Appartenance Mode mixte : Aucun Mode natif : Groupes de domaine local du même domaine Étendue Visible uniquement dans son propre domaine Autorisations Domaine auquel appartient le groupe de domaine local

Description des groupes locaux Règles des groupes locaux Membre Comptes d'utilisateurs locaux provenant de l'ordinateur, des comptes de domaines et des groupes de domaines Appartenance Aucun

Emplacement de création des groupes Vous pouvez créer des groupes dans le domaine racine de la forêt, dans un autre domaine de la forêt ou dans une unité d'organisation Choisissez le domaine ou l'unité d'organisation dans lequel vous voulez créer le groupe en fonction des conditions d'administration associées au groupe Par exemple : Si votre annuaire possède plusieurs unités d'organisation dont chacune possède un administrateur différent, vous pouvez y créer des groupes globaux

Instructions d'attribution de noms aux groupes Pour les groupes de sécurité : Incorporez l'étendue à la convention d'attribution de nom pour le nom du groupe Le nom doit refléter l'appartenance (nom de la division ou de l'équipe) Placez les noms ou abréviations de domaine au début du nom du groupe Utilisez un descripteur pour identifier les autorisations maximales possibles pour un groupe, comme DL IT London OU Admins Pour les groupes de distribution : Choisissez un alias court N'incluez pas l'alias d'un utilisateur dans le nom d'affichage Attribuez au maximum cinq copropriétaires d'un même groupe de distribution

Procédure de création d'un groupe Le formateur va montrer comment effectuer les tâches suivantes : créer un groupe dans un domaine  créer un groupe local sur un serveur membre  créer un groupe à l'aide de la ligne de commande  supprimer un groupe  supprimer un groupe à l'aide de la ligne de commande

Application pratique : Création de groupes Dans cette application pratique, vous effectuerez les tâches suivantes : créer des groupes à l'aide de la console Utilisateurs et ordinateurs Active Directory  créer des groupes à l'aide de la ligne de commandes dsadd

Leçon : Administration de l'appartenance à un groupe Propriétés Membres et Membre de Démonstration : Propriétés Membres et Membre de Procédure d'identification des groupes dont est membre un compte d'utilisateur Procédure d'ajout et de suppression de membres dans un groupe

Propriétés Membres et Membre de Groupe ou équipe Groupe global Groupe de domaine local Tom, Jo et Kim Denver Admins Denver Admins Denver OU Admins Membres Membre de Denver Admins, Vancouver Admins Sans objet Membres Membre de Sans objet Denver Admins Membres Membre de Tom, Jo, Kim Denver OU Admins Membres Membre de Tom, Jo, Kim Denver OU Admins Sam, Scott et Amy Vancouver Admins Membres Membre de Sans objet Vancouver Admins Membres Membre de Sam, Scott, Amy Denver OU Admins

Démonstration : Propriétés Membres et Membre de Dans cette démonstration, le formateur va expliquer concrètement l'utilisation des propriétés Membres et Membre de

Procédure d'identification des groupes dont est membre un compte d'utilisateur Le formateur va montrer comment effectuer les tâches suivantes : identifier les groupes dont un utilisateur est membre  identifier les groupes dont est membre un utilisateur à l'aide de la ligne de commande

Procédure d'ajout et de suppression de membres dans un groupe Le formateur va montrer comment ajouter des membres à un groupe et comment en supprimer

Application pratique : Administration de l'appartenance à un groupe Dans cette application pratique, vous allez ajouter des utilisateurs à un groupe global

Leçon : Stratégies d'utilisation des groupes Présentation multimédia : Stratégie d'utilisation des groupes dans un seul domaine Description de l'imbrication des groupes Stratégies de groupes

Présentation multimédia : Stratégie d'utilisation des groupes dans un seul domaine Cette présentation décrit la stratégie CGDLA pour l'utilisation des groupes

Description de l'imbrication des groupes L'imbrication consiste à ajouter un groupe en tant que membre d'un autre groupe Groupe Groupe Groupe Groupe Groupe Imbriquez des groupes pour consolider l'administration des groupes Les options d'imbrication sont différentes selon que le niveau fonctionnel du domaine Windows Server 2003 est Windows 2000 en mode natif ou Windows 2000 en mode mixte

Stratégies de groupes C G U DL A C G DL A C DL A C G L A C G A Groupes de domaine local Autorisations Comptes d'utilisateurs C G U DL A C A Groupes de domaine local DL G Autorisations Groupes globaux Comptes d'utilisateurs Groupes universels U C G A C A G Groupes globaux Autorisations Comptes d'utilisateurs Comptes d'utilisateurs C Groupes globaux G Groupes universels U Groupes de domaine local DL Stratégies de groupe : C G A C DL A C G DL A C G U DL A C G L A Autorisations A Groupes locaux L C G DL A C A Groupes de domaine local DL G Autorisations Groupes globaux Comptes d'utilisateurs C G L A C A Groupes locaux L G Autorisations Groupes globaux Comptes d'utilisateurs

Discussion de cours : Utilisation des groupes dans un seul domaine Northwind Traders possède un seul domaine situé à Paris en France. Les directeurs de Northwind Traders ont besoin d'accéder à la base de données Inventory pour effectuer leur travail. Que faites-vous pour permettre aux directeurs d'accéder à la base de données ? Northwind Traders possède un seul domaine situé à Paris en France. Les directeurs de Northwind Traders ont besoin d'accéder à la base de données Inventory pour effectuer leur travail. Que faites-vous pour permettre aux directeurs d'accéder à la base de données ? Northwind Traders souhaite réagir plus rapidement aux demandes du marché. L'entreprise veut que les données comptables soient accessibles à l'ensemble du personnel du service Accounting. Northwind Traders désire créer la structure de groupes pour toute la division Accounting qui comprend les services Accounts Payable et Accounts Receivable. Que faites-vous pour que les directeurs disposent des accès nécessaires et réduire au minimum les tâches d'administration ? Placez tous les responsables dans un groupe global. Créez un groupe de domaine local pour les accès à la base de données Inventaire. Placez le groupe global dans le groupe de domaine local et accordez les autorisations à ce dernier pour les accès à la base de données Inventaire. Créez trois groupes globaux nommés Accounting Division, Accounts Payable et Accounts Receivable. Placer le groupe global Accounting Division dans le groupe de domaine local pour que les utilisateurs puissent accéder aux données comptables. Créer le groupe de domaine local Accounting Data. Octroyez à ce groupe l'autorisation appropriée pour accéder au fichier des ressources comptables. Vérifier que le réseau fonctionne en mode natif.

Application pratique : Ajout de groupes globaux à des groupes de domaine local Dans cette application pratique, vous allez ajouter des groupes globaux aux groupes de domaine local

Leçon : Modification des groupes Description de la modification de l'étendue ou du type d'un groupe Procédure de modification de l'étendue ou du type d'un groupe Intérêt de l'affectation d'un responsable à un groupe Procédure d'affectation d'un responsable à un groupe

Description de la modification de l'étendue ou du type d'un groupe Modification de l'étendue d'un groupe Global à universel Domaine local à universel Universel à global Universel à domaine local Modification du type d'un groupe Sécurité à distribution Distribution à sécurité

Procédure de modification de l'étendue ou du type d'un groupe Le formateur va montrer comme modifier l'étendue ou le type d'un groupe

Application pratique : Modification de l'étendue et du type d'un groupe Dans cette application pratique, vous effectuerez les tâches suivantes : remplacer l'étendue de groupe globale par l'étendue de groupe de domaine local  convertir un groupe de sécurité en groupe de distribution

Intérêt de l'affectation d'un responsable à un groupe Vous pouvez alors : identifier le responsable des différents groupes  déléguer au responsable du groupe l'autorisation d'ajouter et de supprimer des utilisateurs dans le groupe Vous pouvez distribuer la responsabilité administrative d'ajout d'utilisateurs à des groupes aux personnes qui demandent le groupe

Procédure d'affectation d'un responsable à un groupe Le formateur va montrer comme affecter un responsable à un groupe

Application pratique : Affectation d'un responsable à un groupe Dans cette application pratique, vous effectuerez les tâches suivantes : créer un groupe global  affecter un responsable à un groupe  tester les propriétés du responsable du groupe

Leçon : Utilisation des groupes par défaut Groupes par défaut sur les serveurs membres Groupes par défaut dans Active Directory Quand utiliser les groupes par défaut Considérations relatives à la sécurité des groupes par défaut Groupes système

Groupes par défaut sur les serveurs membres

Groupes par défaut dans Active Directory

Quand utiliser les groupes par défaut Les groupes par défaut sont : créés pendant l'installation du système d'exploitation ou lorsque des services comme Active Directory ou DHCP sont ajoutés  automatiquement affectés d'un ensemble de droits d'utilisateur Utilisez les groupes par défaut pour : contrôler l'accès aux ressources partagées  déléguer une administration spécifique à l'échelle d'un domaine

Considérations relatives à la sécurité des groupes par défaut Placez un utilisateur dans un groupe par défaut uniquement lorsque vous êtes certain de vouloir lui accorder tous les droits et autorisations d'utilisateur affectés à ce groupe dans Active Directory ; sinon, créez un groupe de sécurité Pour des raisons de sécurité, il est recommandé que les membres des groupes par défaut utilisent Exécuter en tant que

Groupes système Les groupes système représentent différents utilisateurs à des moments différents Vous pouvez accorder des droits utilisateur et des autorisations aux groupes système, mais vous ne pouvez ni modifier ni consulter l'appartenance à ces groupes Les étendues de groupe ne s'appliquent pas aux groupes système Les utilisateurs sont affectés automatiquement aux groupes système dès qu'ils ouvrent une session ou qu'ils accèdent à une ressource

Discussion de cours : Utilisation des groupes par défaut et création de groupes Northwind Traders dispose de plus de 100 serveurs dans le monde. Vous vous rendez à une réunion pour discuter des tâches que les administrateurs doivent accomplir et du niveau minimum d'accès dont les utilisateurs ont besoin pour accomplir leurs tâches. Vous devez aussi déterminer si vous pouvez utiliser les groupes par défaut ou si vous devez créer des groupes et affecter des droits utilisateur et des autorisations spécifiques aux groupes pour accomplir les tâches

Recommandations relatives à l'administration des groupes Créez des groupes selon les besoins d'administration Utilisez des groupes locaux sur un ordinateur qui n'est pas membre d'un domaine Ajoutez des comptes d'utilisateurs au groupe le plus restrictif Plutôt que de créer un groupe, utilisez dans la mesure du possible le groupe intégré Utilisez le groupe Utilisateurs authentifiés au lieu du groupe Tout le monde pour accorder la plupart des droits utilisateurs et des autorisations Limitez le nombre d'utilisateurs du groupe Administrateurs Approuvez toutes les personnes membres des groupes Administrateurs, Utilisateurs avec pouvoir, Opérateurs d'impression et Opérateurs de sauvegarde

Atelier A : Création et administration des groupes Dans cet atelier, vous allez effectuer les tâches suivantes : créer des groupes locaux et globaux  nommer des groupes selon une convention d'attribution de noms  ajouter des membres aux groupes