1. Présentation des groupes
Les groupes dans Active Directory vous permettront de regrouper tout type d’objet (compte utilisateur,
compte ordinateur, groupe) dans une seule et unique entité dans le but de simplifier le travail d’administration dans une forêt
Active Directory. De plus, on verra que les groupes se caractérisent par leur étendue qui permettra de limiter leur application dans la forêt. Mais aussi par leur type, on pourra
leur assigner des autorisations de sécurité si leur type
l'autorise.
Un groupe sous Active Directory pourra être user pour ces différentes applications :
-
Lors d’un partage d’une ressource quelconque (Imprimantes, dossier, serveur d’application)
-
Lors de la création d’une stratégie de groupe
-
Lors de l’envoi de mails groupés
On notera que la notion de groupe diffère entre un groupe local d'un ordinateur et un groupe dans une forêt
Active Directory. Pour entamer, prenons par exemple un utilisateur qui souhaite
accéder à un partage dans un domaine 2003 Server.
Les différentes notions de ACE et SID seront
traités plus loin dans l'article. De plus, certaines notions ont été modifiées
afin de les vulgariser
On remarque de suite que le contrôleur de domaine est celui qui est le centre de toutes les transactions mais aussi qu'il permet à l'utilisateur d'unifier son authentification une unique fois. De plus, il possède un jeton unique qui énumère une fois pour toutes son appartenance à un certain nombre de groupes.
Ci-dessous, le cas où il n'y a pas de domaine mais plusieurs serveurs de fichiers...
On note ici déjà plusieurs failles de sécurité, d'abord l'utilisateur doit s'identifier à chaque fois qu'il souhaite accéder à différentes ressources. De plus,
il ne possède jamais le même SID utilisateur sur les différentes ressources
auxquelles il accède. On constate aussi les difficultés d'administrer un réseau sans domaine : l'administrateur devra attribuer sur chaque machine et chaque serveur un accès pour le même utilisateur ainsi que son appartenance à un ou plusieurs groupes.
Le but de ces deux schémas est de vous montrer que la notion de groupe sera
beaucoup plus étendue dans un domaine et qu'il ne sera pas seulement appliqué à un seul objet mais à un ensemble d'objets.
Avant d’entamer les différentes caractéristiques d’un
groupe dans Active Directory, il faut discerner les notions qu’englobent les
contrôles d’accès. Les contrôles d’accès vont permettre à l’administrateur de
savoir d’une
part si un utilisateur ou un groupe aura ou non l’accès à une ressource et d’une
autre les types de droit que cette entité aura sur l’objet.
SID (Security IDentifier) :
chaque objet entité de sécurité (utilisateur, groupe et ordinateur) aura un
identificateur de sécurité qui sera unique dans une forêt Active Directory. Cet
identificateur est automatiquement créé lors de la création de l’entité de
sécurité. Ce numéro unique est composé du SID du domaine + d'un RID défini par la maître
RID du
domaine.
ACE (Access Control Entrie) : un ACE est un couple : un
SID
et une permission
DACL (Discretionary Access Control List) : c’est une liste
d’ACE pour un objet. Tout objet dans Active Directory possède une DACL. C’est
grâce à celle-ci qu’on autorise ou non une entité de sécurité. Toute entité de
sécurité non listé dans cette DACL aura de suite un accès refusé.
SACL (System Access Control Lists): cette liste d’ACE est
particulière et très peu utilisé. Elle permet d’auditer un certain nombre
d’événements (sécurité, réseau) sur l’objet d’une ou plusieurs entités. On pourra
ainsi déterminer les violations d’accès ainsi que son étendu qu'on souhaite
auditer.
 Introduction
1. Présentation des groupes
1.1 Définition
1.2 Les contrôles d’accès
2. Présentation avancée
2.1 Les droits utilisateurs
2.2 Les type de groupe
2.3 Les étendues de groupe
3. Bien utiliser les groupes
3.1 Stratégie d'utilisation des groupes
3.2 Convention de nommage
4. Groupe par défaut
4.1 Les groupes BUILTIN
4.2 Les groupes USERS
4.3 Les groupes systèmes
4.4 Conseil sur l'utilisation des groupes
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Vue d'ensemble des groupes dans Active Directory 2003
