Définir les utilisateurs, les groupes et les ordinateurs

100 XP

10 minutes

Dans AD DS, vous devez fournir à tous les utilisateurs qui ont besoin d’accéder aux ressources réseau un compte utilisateur. Avec ce compte d’utilisateur, les utilisateurs peuvent s’authentifier auprès du domaine AD DS et accéder aux ressources réseau.

Dans Windows Server, un compte d’utilisateur est un objet qui contient toutes les informations qui définissent un utilisateur. Un compte d’utilisateur comprend les éléments suivants :

Le nom d’utilisateur.
Un mot de passe utilisateur.
Les appartenances aux groupes.

Un compte d’utilisateur contient également des paramètres que vous pouvez configurer en fonction des besoins de votre organisation.

Capture d’écran du compte d’utilisateur Jane Dow dans le Centre d’administration Active Directory.

Le nom d’utilisateur et le mot de passe d’un compte d’utilisateur sont utilisés comme informations d’identification de connexion de l’utilisateur. Un objet utilisateur comprend également plusieurs autres attributs qui décrivent et gèrent l’utilisateur. Vous pouvez utiliser les outils suivants pour créer et gérer des objets utilisateur dans AD DS :

Centre d’administration Active Directory.
Utilisateurs et ordinateurs Active Directory.
Windows Admin Center.
Windows PowerShell.
L'outil en ligne de commande dsadd

Que sont les comptes de service administrés ?

De nombreuses applications contiennent des services que vous installez sur le serveur qui héberge le programme. Ces services s’exécutent généralement au démarrage du serveur ou sont déclenchés par d’autres événements. Les services s’exécutent souvent en arrière-plan et ne nécessitent aucune interaction avec l’utilisateur. Pour qu’un service démarre et s’authentifie, vous utilisez un compte de service. Un compte de service peut être un compte local sur l’ordinateur, tel que le service local intégré, le service réseau ou les comptes système locaux. Vous pouvez également configurer un compte de service pour utiliser un compte basé sur un domaine situé dans AD DS.

Pour aider à centraliser l’administration et répondre aux exigences du programme, de nombreuses organisations choisissent d’utiliser un compte basé sur un domaine pour exécuter les services de programme. Bien que cela offre des avantages par rapport à l’utilisation d’un compte local, il existe plusieurs défis associés, tels que les suivants :

Des tâches d’administration supplémentaires peuvent être nécessaires pour gérer le mot de passe du compte de service en toute sécurité.
Il peut être difficile de déterminer où un compte basé sur le domaine est utilisé en tant que compte de service.
Des tâches d’administration supplémentaires peuvent être nécessaires pour gérer le nom de principal du service (SPN).

Windows Server prend en charge un objet AD DS, appelé compte de service administré, que vous utilisez pour faciliter la gestion des comptes de service. Un compte de service administré est une classe d’objet AD DS qui permet :

La gestion simplifiée des mots de passe.
La gestion simplifiée des noms principaux de service (SPN).

Que sont les comptes de service administrés de groupe ?

Les comptes de service administrés de groupe vous permettent d’étendre les fonctionnalités des comptes de service administrés standard à plusieurs serveurs dans votre domaine. Dans les scénarios de batterie de serveurs avec des clusters d’équilibrage de charge réseau (NLB) ou des serveurs IIS, il est souvent nécessaire d’exécuter des services de système ou de programme sous le même compte de service. Les comptes de service administrés standard ne peuvent pas fournir de fonctionnalité de compte de service administré aux services qui s’exécutent sur plusieurs serveurs. À l’aide de comptes de service administrés de groupe, vous pouvez configurer plusieurs serveurs pour qu’ils utilisent le même compte de service administré tout en conservant les avantages offerts par les comptes de service gérés, tels que la maintenance automatique des mots de passe et la gestion simplifiée des SPN.

Pour prendre en charge la fonctionnalité de compte de service administré de groupe, votre environnement doit répondre aux exigences suivantes :

Vous devez créer une clé racine KDS sur un contrôleur de domaine dans le domaine.

Pour créer la clé racine KDS, exécutez la commande suivante à partir du module Active Directory pour Windows PowerShell sur un contrôleur de domaine Windows Server.

PowerShell

Add-KdsRootKey –EffectiveImmediately

Vous créez des comptes de service administrés de groupe à l’aide de l’applet de commande Windows PowerShell New-ADServiceAccount avec le paramètre –PrinicipalsAllowedToRetrieveManagedPassword.

Par exemple :

PowerShell

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Que sont les objets de groupe ?

Bien qu’il puisse être pratique d’attribuer des autorisations et des droits à des comptes d’utilisateur individuels dans de petits réseaux, cela devient peu pratique et inefficace dans de grands réseaux d’entreprise.

Par exemple, si plusieurs utilisateurs ont besoin du même niveau d’accès à un dossier, il est plus efficace de créer un groupe qui contient les comptes d’utilisateur requis, puis d’attribuer les autorisations requises au groupe.

Conseil

En outre, vous pouvez modifier les autorisations de fichier des utilisateurs en les ajoutant ou en les supprimant des groupes, plutôt que de modifier directement les autorisations de fichier.

Avant d’implémenter des groupes dans votre organisation, vous devez comprendre l’étendue des différents types de groupes offerts par AD DS. En outre, vous devez comprendre comment utiliser les types de groupes pour gérer l’accès aux ressources ou pour attribuer des droits de gestion et des responsabilités.

Capture d’écran de la boîte de dialogue Créer un groupe : Responsables des ventes dans Windows Admin Center.

Types de groupes

Dans un réseau d’entreprise Windows Server, il existe deux types de groupes, décrits dans le tableau suivant.

Type de groupe	Description
Sécurité	Les groupes de sécurité sont activés pour la sécurité, et vous les utilisez pour attribuer des autorisations à diverses ressources. Vous pouvez utiliser des groupes de sécurité dans les entrées d’autorisation des listes de contrôle d’accès (ACL) pour mieux contrôler la sécurité de l’accès aux ressources. Si vous souhaitez utiliser un groupe pour gérer la sécurité, il doit s’agir d’un groupe de sécurité.
Distribution	Les applications de messagerie utilisent généralement des groupes de distribution, qui ne sont pas activés pour la sécurité. Vous pouvez également utiliser des groupes de sécurité comme méthode de distribution pour les applications de messagerie.

Type de groupe

Description

Sécurité

Les groupes de sécurité sont activés pour la sécurité, et vous les utilisez pour attribuer des autorisations à diverses ressources. Vous pouvez utiliser des groupes de sécurité dans les entrées d’autorisation des listes de contrôle d’accès (ACL) pour mieux contrôler la sécurité de l’accès aux ressources. Si vous souhaitez utiliser un groupe pour gérer la sécurité, il doit s’agir d’un groupe de sécurité.

Distribution

Les applications de messagerie utilisent généralement des groupes de distribution, qui ne sont pas activés pour la sécurité. Vous pouvez également utiliser des groupes de sécurité comme méthode de distribution pour les applications de messagerie.

Étendues de groupe

Windows Server prend en charge l’étendue du groupe. L’étendue d’un groupe détermine à la fois la portée de ses capacités ou autorisations et l’appartenance au groupe. Il existe quatre étendues de groupe.

Local. Vous utilisez ce type de groupe pour les serveurs autonomes ou les postes de travail, sur les serveurs membres du domaine qui ne sont pas des contrôleurs de domaine ou sur les stations de travail membres du domaine. Les groupes locaux sont disponibles uniquement sur l’ordinateur où ils existent. Les caractéristiques importantes d’un groupe local sont les suivantes :
- Vous pouvez assigner des capacités et des autorisations sur des ressources locales uniquement, c’est-à-dire sur l’ordinateur local.
- Les membres peuvent se trouver n’importe où dans la forêt AD DS.
Domaine local. Ce type de groupe est principalement utilisé pour gérer l’accès aux ressources ou pour attribuer des droits de gestion et des responsabilités. Les groupes locaux de domaine existent sur les contrôleurs de domaine dans un domaine AD DS, et par conséquent, l’étendue du groupe est locale dans le domaine dans lequel il réside. Les caractéristiques importantes des groupes de domaine local sont les suivantes :
- Vous pouvez assigner des capacités et des autorisations sur des ressources de domaine local uniquement, c’est-à-dire sur tous les ordinateurs du domaine local.
- Les membres peuvent se trouver n’importe où dans la forêt AD DS.
Global. Vous utilisez ce type de groupe principalement pour rassembler les utilisateurs qui ont des caractéristiques similaires. Par exemple, vous pouvez utiliser des groupes globaux pour joindre des utilisateurs qui font partie d’un service ou d’un emplacement géographique. Les caractéristiques importantes des groupes globaux sont les suivantes :
- Vous pouvez affecter des capacités et des autorisations à tout endroit de la forêt.
- Les membres ne peuvent être que du domaine local et peuvent inclure des utilisateurs, des ordinateurs et des groupes globaux du domaine local.
Universel. Ce type de groupe est le plus souvent utilisé dans les réseaux multi-domaines, car il combine les caractéristiques des groupes globaux et des groupes de domaine local. Plus précisément, les caractéristiques importantes des groupes universels sont les suivantes :
- Vous pouvez affecter des capacités et des autorisations n’importe où dans la forêt, de la même manière que pour les groupes globaux.
- Les membres peuvent se trouver n’importe où dans la forêt AD DS.

Que sont les objets ordinateur ?

Les ordinateurs, comme les utilisateurs, sont des principes de sécurité, en ce sens que :

Ils disposent d’un compte avec un nom de connexion et un mot de passe que Windows change automatiquement à intervalles réguliers.
Ils s’authentifient avec le domaine.
Ils peuvent appartenir à des groupes et avoir accès aux ressources, et vous pouvez les configurer à l’aide de stratégies de groupe.

Un compte d’ordinateur commence son cycle de vie lorsque vous créez l’objet ordinateur et que vous l’associez à votre domaine. Une fois que vous avez joint le compte d’ordinateur à votre domaine, les tâches d’administration quotidiennes sont les suivantes :

Configuration des propriétés de l’ordinateur.
Déplacement de l’ordinateur entre les unités d’organisation.
Gestion de l’ordinateur lui-même.
Attribution d’un nouveau nom, réinitialisation, désactivation, activation et finalement suppression de l’objet ordinateur.

Capture d’écran de la boîte de dialogue Créer un ordinateur : SEA-CL5 dans le Centre d’administration Active Directory.

Conteneur Ordinateurs

Avant de créer un objet ordinateur dans AD DS, vous devez avoir un emplacement où le placer. Le conteneur Ordinateurs est un conteneur intégré dans un domaine AD DS. Ce conteneur est l’emplacement par défaut pour les comptes d’ordinateur lorsqu’un ordinateur rejoint le domaine.

Ce conteneur n’est pas une unité d’organisation. Au lieu de cela, il s’agit d’un objet de la classe de conteneur. Son nom commun est CN=Computers. Il existe des différences subtiles mais toutefois importantes entre un conteneur et une unité d’organisation. Vous ne pouvez pas créer une unité d’organisation dans un conteneur, vous ne pouvez donc pas subdiviser le conteneur Ordinateurs. Vous ne pouvez pas non plus lier un objet de stratégie de groupe à un conteneur. Par conséquent, nous vous recommandons de créer des unités d’organisation personnalisées pour héberger des objets ordinateur, au lieu d’utiliser le conteneur Ordinateurs.

Unité suivante: Définir des unités d’organisation

Précédent Suivant

Besoin d'aide ? Consultez notre guide de résolution des problèmes ou fournissez des commentaires spécifiques en signalant un problème.