Introduction
Dans Active Directory (AD), la gestion des utilisateurs et des permissions repose sur l’utilisation de groupes. Microsoft propose plusieurs types de groupes avec des étendues spécifiques pour répondre aux besoins des entreprises.
Dans cet article, nous allons explorer les types de groupes et leur étendue, en expliquant leurs usages, leurs cas d’application et les commandes PowerShell correspondantes.
1. Type de Groupes dans Active Directory
Dans AD, il existe deux types principaux de groupes :
- Groupe de Sécurité (Security Group)
- Groupe de Distribution (Distribution Group)
Ces groupes peuvent avoir différentes étendues : Global, Universelle et Local de Domaine.
1.1. Groupe de Sécurité (Security Group)
🔹 Définition :
Un Groupe de Sécurité est utilisé pour gérer l’accès aux ressources et aux permissions (ACL). Il permet d’appliquer des stratégies de sécurité (GPO).
🔹 Utilisation :
- Gérer les permissions sur des dossiers, imprimantes, fichiers, etc.
- Appliquer des stratégies via les Group Policy Objects (GPO).
- Attribuer des droits d’administration.
🔹 Création en PowerShell :
New-ADGroup -Name "SG-Finance" -GroupScope Global -GroupCategory Security -Path "OU=Groups,DC=entreprise,DC=local"
🔹 Création via l’interface graphique (ADAC) :
- Ouvrir Active Directory Administrative Center (ADAC).
- Aller dans l’OU souhaitée et cliquer sur « New » > « Group ».
- Choisir « Security », puis configurer l’étendue du groupe.
- Valider en cliquant sur « OK ».
1.2. Groupe de Distribution (Distribution Group)
🔹 Définition :
Un Groupe de Distribution est utilisé pour envoyer des e-mails à plusieurs utilisateurs via Exchange Server. Il ne peut pas être utilisé pour les permissions NTFS ou les stratégies de sécurité.
🔹 Utilisation :
- Créer une liste de diffusion pour envoyer des emails à plusieurs destinataires.
- Gérer des listes d’envoi dans Microsoft Exchange.
🔹 Création en PowerShell :
New-ADGroup -Name "DG-Marketing" -GroupScope Global -GroupCategory Distribution -Path "OU=Groups,DC=entreprise,DC=local"
🔹 Création via ADAC :
Suivre les mêmes étapes que pour un Groupe de Sécurité, mais choisir « Distribution » au lieu de « Security ».
2. Étendue des Groupes dans Active Directory
Il existe trois étendues de groupes :
| Étendue | Ajoute des utilisateurs | Ajoute des groupes | Utilisable dans… | Meilleure utilisation |
|---|---|---|---|---|
| Global (GG) | Utilisateurs du même domaine | Groupes globaux du même domaine | Tous les domaines de la forêt | Organisation des utilisateurs selon leurs rôles |
| Universel (UG) | Utilisateurs de toute la forêt | Groupes globaux & universels | Tous les domaines de la forêt | Partage de ressources entre plusieurs domaines |
| Local de Domaine (DLG) | Utilisateurs et groupes de n’importe quel domaine | Groupes globaux, universels & locaux | Uniquement dans le domaine où il est créé | Attribution de permissions sur des ressources |
2.1. Groupe Global (Global Group – GG)
🔹 Définition :
Un groupe global est utilisé pour organiser les utilisateurs ayant un rôle commun dans un domaine.
🔹 Utilisation :
- Organisation des utilisateurs (ex. : « Finance », « RH »).
- Ajout dans des groupes universels ou locaux pour appliquer des permissions.
🔹 Exemple :
Un groupe « GG-Comptabilité » contenant tous les comptables du domaine.
🔹 Création en PowerShell :
New-ADGroup -Name "GG-Comptabilité" -GroupScope Global -GroupCategory Security -Path "OU=Groups,DC=entreprise,DC=local"
2.2. Groupe Universel (Universal Group – UG)
🔹 Définition :
Un groupe universel est utilisé pour agréger des groupes globaux provenant de différents domaines.
🔹 Utilisation :
- Gestion des accès inter-domaines dans une forêt AD.
- Idéal pour attribuer des droits communs à plusieurs domaines.
🔹 Exemple :
Un groupe « UG-Finance » contenant les groupes « GG-Comptabilité » et « GG-Audit » de différents domaines.
🔹 Création en PowerShell :
New-ADGroup -Name "UG-Finance" -GroupScope Universal -GroupCategory Security -Path "OU=Groups,DC=entreprise,DC=local"
2.3. Groupe Local de Domaine (Domain Local Group – DLG)
🔹 Définition :
Un groupe local de domaine est utilisé pour attribuer des permissions sur des ressources spécifiques.
🔹 Utilisation :
- Attribuer des permissions sur des dossiers partagés, imprimantes, applications, etc.
- Peut contenir des utilisateurs et groupes de n’importe quel domaine.
🔹 Exemple :
Un groupe « DLG-PartageComptable » donnant accès au dossier partagé des comptables.
🔹 Création en PowerShell :
New-ADGroup -Name "DLG-PartageComptable" -GroupScope DomainLocal -GroupCategory Security -Path "OU=Groups,DC=entreprise,DC=local"
3. Cas d’Utilisation – Modèle AGDLP
Pour une gestion optimale, on applique AGDLP :
- Ajout des utilisateurs dans un Groupe Global (GG).
- Ajout du Groupe Global dans un Groupe Universel (UG) (si besoin inter-domaines).
- Ajout du Groupe Universel dans un Groupe Local de Domaine (DLG).
- Attribution des permissions au Groupe Local (DLG).
✅ Exemple :
- Tous les comptables sont dans GG-Comptabilité.
- GG-Comptabilité est ajouté à UG-Finance (multi-domaines).
- UG-Finance est ajouté à DLG-PartageComptable.
- DLG-PartageComptable reçoit les permissions sur le dossier partagé.
Conclusion
Les groupes dans Active Directory permettent une gestion efficace des utilisateurs et des permissions.
🔹 Sécurité vs Distribution : Sécurité = permissions, Distribution = emails.
🔹 Global, Universel, Local : Étendues adaptées selon les besoins.
🔹 AGDLP : Méthode recommandée pour structurer les accès.
En appliquant ces bonnes pratiques, vous facilitez l’administration et la sécurité de votre infrastructure AD.
Pour aller plus loin
💬 Besoin d’un script personnalisé ou d’un conseil ? Posez votre question en commentaire ! 🚀
