module 3 : administration des groupes. vue d'ensemble création de groupes administration de...
TRANSCRIPT
Module 3 : Administration des groupes
Vue d'ensemble
Création de groupes
Administration de l'appartenance à un groupe
Stratégies d'utilisation des groupes
Modification des groupes
Utilisation des groupes par défaut
Recommandations relatives à l'administration des groupes
Leçon : Création de groupes
Description des groupes
Description des niveaux fonctionnels d'un domaine
Description des groupes globaux
Description des groupes universels
Description des groupes de domaine local
Description des groupes locaux
Emplacement de création des groupes
Instructions d'attribution de noms aux groupes
Procédure de création d'un groupe
Description des groupes
Les groupes simplifient l'administration par l'attributiond'autorisations d'accès aux ressources
Les groupes se caractérisent par l'étendue et le type
Type de groupe Description
Sécurité Utilisée pour attribuer des droits et des autorisations d'utilisateur Utilisable uniquement sous forme de liste de distribution de courrier électronique
Distribution Utilisable uniquement avec les applications de messagerie électronique. Ne peut pas être utilisée pour attribuer des autorisations
L'étendue d'un groupe détermine si le groupe couvre plusieurs domaines ou s'il est limité à un seul domaine
Les trois étendues de groupe sont global, domaine local et universel
Groupe Groupe
Description des niveaux fonctionnels d'un domaine
Contrôleurs de domaine pris en charge
Windows NT Server 4.0, Windows 2000, Windows Server 2003
Microsoft Windows 2000 Advanced Server
Windows Server 2003
Étendues de groupe prises en charge
Global, domaine local
Global, domaine local, universel
Global, domaine local, universel
Windows 2000 mixte
(par défaut)
Windows 2000 natif
Windows Server 2003
Règles des groupes globaux
Description des groupes globaux
Membres
Mode mixte : Comptes d'utilisateurs et comptes d'ordinateurs du même domaineMode natif : Comptes d'utilisateurs, comptes d'ordinateurs et groupes globaux du même domaine
Appartenance
Mode mixte : Groupes de domaine local Mode natif : Groupes universel et de domaine local dans un domaine quelconque et groupes globaux dans le même domaine
Étendue Tous les domaines de la forêt et tous les domaines qui approuvent
Autorisations Tous les domaines de la forêt et tous les domaines qui approuvent
Règles des groupes universels
Description des groupes universels
Membres
Mode mixte : Sans objet Mode natif : Comptes d'utilisateurs, comptes d‘ordinateurs, groupes globaux et autres groupes universels de n'importe quel domaine de la forêt
Appartenance Mode mixte : Sans objet Mode natif : Groupes de domaine local et universels de n'importe quel domaine
Étendue Visible dans tous les domaines d'une forêt et dans les domaines qui approuvent
Autorisations Tous les domaines d'une forêt
Règles des groupes de domaine local
Description des groupes de domaine local
Membres
Mode mixte : Comptes d'utilisateurs, comptes d'ordinateurs et groupes globaux de n’importe quel domaineMode natif : Comptes d'utilisateurs, comptes d'ordinateurs, groupes globaux et groupes universels de n'importe quel domaine de la forêt ainsi que groupes de domaine local du même domaine
Appartenance Mode mixte : Aucun Mode natif : Groupes de domaine local du même domaine
Étendue Visible uniquement dans son propre domaine Autorisations Domaine auquel appartient le groupe de domaine local
Règles des groupes locaux
Description des groupes locaux
Membre Comptes d'utilisateurs locaux provenant de l'ordinateur, des comptes de domaines et des groupes de domaines
Appartenance Aucun
Emplacement de création des groupes
Vous pouvez créer des groupes dans le domaine racine de la forêt, dans un autre domaine de la forêt ou dans une unité d'organisation
Choisissez le domaine ou l'unité d'organisation dans lequel vous voulez créer le groupe en fonction des conditions d'administration associées au groupe
Par exemple :
Si votre annuaire possède plusieurs unités d'organisation dont chacune possède un administrateur différent, vous pouvez y créer des groupes globaux
Instructions d'attribution de noms aux groupes
Pour les groupes de sécurité : Pour les groupes de sécurité : Incorporez l'étendue à la convention d'attribution de nom pour le nom du groupe
Le nom doit refléter l'appartenance (nom de la division ou de l'équipe)
Placez les noms ou abréviations de domaine au début du nom du groupe
Utilisez un descripteur pour identifier les autorisations maximales possibles pour un groupe, comme DL IT London OU Admins
Incorporez l'étendue à la convention d'attribution de nom pour le nom du groupe
Le nom doit refléter l'appartenance (nom de la division ou de l'équipe)
Placez les noms ou abréviations de domaine au début du nom du groupe
Utilisez un descripteur pour identifier les autorisations maximales possibles pour un groupe, comme DL IT London OU Admins
Pour les groupes de distribution : Pour les groupes de distribution : Choisissez un alias court
N'incluez pas l'alias d'un utilisateur dans le nom d'affichage
Attribuez au maximum cinq copropriétaires d'un même groupe de distribution
Choisissez un alias court
N'incluez pas l'alias d'un utilisateur dans le nom d'affichage
Attribuez au maximum cinq copropriétaires d'un même groupe de distribution
Procédure de création d'un groupe
Le formateur va montrer comment effectuer les tâches suivantes : Le formateur va montrer comment effectuer les tâches suivantes :
créer un groupe dans un domaine
créer un groupe local sur un serveur membre
créer un groupe à l'aide de la ligne de commande
supprimer un groupe
supprimer un groupe à l'aide de la ligne de commande
créer un groupe dans un domaine
créer un groupe local sur un serveur membre
créer un groupe à l'aide de la ligne de commande
supprimer un groupe
supprimer un groupe à l'aide de la ligne de commande
Application pratique : Création de groupes
Dans cette application pratique, vouseffectuerez les tâches suivantes :
créer des groupes à l'aide de la console Utilisateurs et ordinateurs Active Directory
créer des groupes à l'aide de la ligne de commandes dsadd
Leçon : Administration de l'appartenance à un groupe
Propriétés Membres et Membre de
Démonstration : Propriétés Membres et Membre de
Procédure d'identification des groupes dont est membre un compte d'utilisateur
Procédure d'ajout et de suppression de membres dans un groupe
Propriétés Membres et Membre de
Groupe ou équipe Groupe ou équipe Groupe global Groupe global Groupe de domaine local Groupe de domaine local
Membres Membre de
Sans objet
Denver Admins
Tom, Jo et Kim Tom, Jo et Kim
Membres Membre de
Sans objet Vancouver Admins
Sam, Scott et Amy Sam, Scott et Amy
Membres Membre de
Tom, Jo, Kim
Denver OU Admins
Denver Admins Denver Admins
Membres Membre de
Tom, Jo, Kim
Denver OU Admins
Denver Admins Denver Admins
Membres Membre de
Sam, Scott, Amy
Denver OU Admins
Vancouver Admins Vancouver Admins
Denver OU Admins Denver OU Admins
Membres Membre de
Denver Admins,
Vancouver Admins
Sans objet
Démonstration : Propriétés Membres et Membre de
Dans cette démonstration, le formateur va expliquer concrètement l'utilisation des propriétés Membres et Membre de
Le formateur va montrer comment effectuer les tâches suivantes : Le formateur va montrer comment effectuer les tâches suivantes :
Procédure d'identification des groupes dont est membre un compte d'utilisateur
identifier les groupes dont un utilisateur est membre
identifier les groupes dont est membre un utilisateur à l'aide de la ligne de commande
identifier les groupes dont un utilisateur est membre
identifier les groupes dont est membre un utilisateur à l'aide de la ligne de commande
Procédure d'ajout et de suppression de membres dans un groupe
Le formateur va montrer comment ajouter des membres à un groupe et comment en supprimerLe formateur va montrer comment ajouter des membres à un groupe et comment en supprimer
Application pratique : Administration de l'appartenance à un groupe
Dans cette application pratique, vous allez ajouter des utilisateurs à un groupe global
Leçon : Stratégies d'utilisation des groupes
Présentation multimédia : Stratégie d'utilisation des groupes dans un seul domaine
Description de l'imbrication des groupes
Stratégies de groupes
Présentation multimédia : Stratégie d'utilisation des groupes dans un seul domaine
Cette présentation décrit la stratégie CGDLA pour l'utilisation des groupes
Groupe
Groupe Groupe Groupe Groupe
Groupe Groupe Groupe Groupe
Description de l'imbrication des groupes
L'imbrication consiste à ajouter un groupe en tant que membre d'un autre groupe
Imbriquez des groupes pour consolider l'administration des groupes Les options d'imbrication sont différentes selon que le niveau fonctionnel du domaine Windows Server 2003 est Windows 2000 en mode natif ou Windows 2000 en mode mixte
Stratégies de groupes
C G A
C C A A G G
Groupes globaux Groupes globaux Autorisations Autorisations Comptes
d'utilisateurs Comptes
d'utilisateurs
C DL A
C C A A DL DL
Groupes de domaine local
Groupes de domaine local Autorisations Autorisations Comptes
d'utilisateurs Comptes
d'utilisateurs
C G DL A
C C A A
Groupes de domaine local
Groupes de domaine local
DL DL G G
Autorisations Autorisations Groupes globaux Groupes globaux
Comptes d'utilisateurs
Comptes d'utilisateurs
C G U DL A
C C A A
Groupes de domaine local Groupes de
domaine local
DL DL G G
Autorisations Autorisations Groupes globaux Groupes globaux
Comptes d'utilisateurs
Comptes d'utilisateurs
Groupes universels Groupes
universels
U U
C C G G
Groupes globaux Groupes globaux
Comptes d'utilisateurs
Comptes d'utilisateurs
C G L A
C C A A
Groupes locaux
Groupes locaux
L L G G
Autorisations Autorisations Groupes globaux Groupes globaux
Comptes d'utilisateurs
Comptes d'utilisateurs
Comptes d'utilisateurs Comptes
d'utilisateurs
C C
Groupes globaux
Groupes globaux
G G
Groupes universels Groupes
universels
UU
Groupes de domaine local Groupes de
domaine local
DL DL
Stratégies de groupe : Stratégies de groupe :
C G A C DL A C G DL A
C G A C DL A C G DL A
C G U DL A C G L A
Autorisations Autorisations
A A
Groupes locaux Groupes locaux
L L
Northwind Traders possède un seul domaine situé à Paris en France. Les directeurs de Northwind Traders ont besoin d'accéder à la base de données Inventory pour effectuer leur travail. Que faites-vous pour permettre aux
directeurs d'accéder à la base de données ?
Northwind Traders possède un seul domaine situé à Paris en France. Les directeurs de Northwind Traders ont besoin d'accéder à la base de données Inventory pour effectuer leur travail. Que faites-vous pour permettre aux
directeurs d'accéder à la base de données ?
Discussion de cours : Utilisation des groupes dans un seul domaine
Placez tous les responsables dans un groupe global.
Créez un groupe de domaine local pour les accès à la base de données Inventaire.
Placez le groupe global dans le groupe de domaine local et accordez les autorisations à ce dernier pour les accès à la base de données Inventaire.
Placez tous les responsables dans un groupe global.
Créez un groupe de domaine local pour les accès à la base de données Inventaire.
Placez le groupe global dans le groupe de domaine local et accordez les autorisations à ce dernier pour les accès à la base de données Inventaire.
Northwind Traders souhaite réagir plus rapidement aux demandes du marché. L'entreprise veut que les données comptables soient accessibles à l'ensemble du personnel du service Accounting. Northwind Traders désire créer la structure de groupes pour toute la division Accounting qui comprend les services Accounts Payable et Accounts Receivable. Que faites-vous pour que les directeurs disposent des accès nécessaires et réduire au minimum les tâches d'administration ?
Northwind Traders souhaite réagir plus rapidement aux demandes du marché. L'entreprise veut que les données comptables soient accessibles à l'ensemble du personnel du service Accounting. Northwind Traders désire créer la structure de groupes pour toute la division Accounting qui comprend les services Accounts Payable et Accounts Receivable. Que faites-vous pour que les directeurs disposent des accès nécessaires et réduire au minimum les tâches d'administration ?
Créez trois groupes globaux nommés Accounting Division, Accounts Payable et Accounts Receivable.
Placer le groupe global Accounting Division dans le groupe de domaine local pour que les utilisateurs puissent accéder aux données comptables.
Créer le groupe de domaine local Accounting Data. Octroyez à ce groupe l'autorisation appropriée pour accéder au fichier des ressources comptables. Vérifier que le réseau fonctionne en mode natif.
Créez trois groupes globaux nommés Accounting Division, Accounts Payable et Accounts Receivable.
Placer le groupe global Accounting Division dans le groupe de domaine local pour que les utilisateurs puissent accéder aux données comptables.
Créer le groupe de domaine local Accounting Data. Octroyez à ce groupe l'autorisation appropriée pour accéder au fichier des ressources comptables. Vérifier que le réseau fonctionne en mode natif.
Northwind Traders possède un seul domaine situé à Paris en France. Les directeurs de Northwind Traders ont besoin d'accéder à la base de données Inventory pour effectuer leur travail. Que faites-vous pour permettre aux directeurs d'accéder à la base de données ?
Northwind Traders possède un seul domaine situé à Paris en France. Les directeurs de Northwind Traders ont besoin d'accéder à la base de données Inventory pour effectuer leur travail. Que faites-vous pour permettre aux directeurs d'accéder à la base de données ?
Application pratique : Ajout de groupes globaux à des groupes de domaine local
Dans cette application pratique, vous allez ajouter des groupes globaux aux groupes de domaine local
Leçon : Modification des groupes
Description de la modification de l'étendue ou du type d'un groupe
Procédure de modification de l'étendue ou du type d'un groupe
Intérêt de l'affectation d'un responsable à un groupe
Procédure d'affectation d'un responsable à un groupe
Description de la modification de l'étendue ou du type d'un groupe
Modification de l'étendue d'un groupe
Global à universel
Domaine local à universel
Universel à global
Universel à domaine local
Modification du type d'un groupe
Sécurité à distribution
Distribution à sécurité
Procédure de modification de l'étendue ou du type d'un groupe
Le formateur va montrer comme modifier l'étendue ou le type d'un groupe Le formateur va montrer comme modifier l'étendue ou le type d'un groupe
Application pratique : Modification de l'étendue et du type d'un groupe
Dans cette application pratique, vous effectuerez les tâches suivantes :
remplacer l'étendue de groupe globale par l'étendue de groupe de domaine local
convertir un groupe de sécurité en groupe de distribution
Intérêt de l'affectation d'un responsable à un groupe
Vous pouvez alors :
identifier le responsable des différents groupes
déléguer au responsable du groupe l'autorisation d'ajouter et de supprimer des utilisateurs dans le groupe
Vous pouvez distribuer la responsabilité administrative d'ajout d'utilisateurs à des groupes aux personnes qui demandent le groupe
Groupe Groupe Responsable Responsable
Procédure d'affectation d'un responsable à un groupe
Le formateur va montrer comme affecter un responsable à un groupe Le formateur va montrer comme affecter un responsable à un groupe
Application pratique : Affectation d'un responsable à un groupe
Dans cette application pratique, vous effectuerez les tâches suivantes :
créer un groupe global
affecter un responsable à un groupe tester les propriétés du responsable
du groupe
Leçon : Utilisation des groupes par défaut
Groupes par défaut sur les serveurs membres
Groupes par défaut dans Active Directory
Quand utiliser les groupes par défaut
Considérations relatives à la sécurité des groupes par défaut
Groupes système
Groupes par défaut sur les serveurs membres
Groupes par défaut dans Active Directory
Quand utiliser les groupes par défaut
Les groupes par défaut sont :
créés pendant l'installation du système d'exploitation ou lorsque des services comme Active Directory ou DHCP sont ajoutés
automatiquement affectés d'un ensemble de droits d'utilisateur
Utilisez les groupes par défaut pour :
contrôler l'accès aux ressources partagées déléguer une administration spécifique à l'échelle
d'un domaine
Considérations relatives à la sécurité des groupes par défaut
Placez un utilisateur dans un groupe par défaut uniquement lorsque vous êtes certain de vouloir lui accorder tous les droits et autorisations d'utilisateur affectés à ce groupe dans Active Directory ; sinon, créez un groupe de sécurité
Pour des raisons de sécurité, il est recommandé que les membres des groupes par défaut utilisent Exécuter en tant que
Groupes système
Les groupes système représentent différents utilisateurs à des moments différents
Vous pouvez accorder des droits utilisateur et des autorisations aux groupes système, mais vous ne pouvez ni modifier ni consulter l'appartenance à ces groupes
Les étendues de groupe ne s'appliquent pas aux groupes système
Les utilisateurs sont affectés automatiquement aux groupes système dès qu'ils ouvrent une session ou qu'ils accèdent à une ressource
Northwind Traders dispose de plus de 100 serveurs dans le monde. Vous vous rendez à une réunion pour discuter des tâches que les administrateurs doivent accomplir et du niveau minimum d'accès dont les utilisateurs ont besoin pour accomplir leurs tâches. Vous devez aussi déterminer si vous pouvez utiliser les groupes par défaut ou si vous devez créer des groupes et affecter des droits utilisateur et des autorisations spécifiques aux groupes pour accomplir les tâches
Northwind Traders dispose de plus de 100 serveurs dans le monde. Vous vous rendez à une réunion pour discuter des tâches que les administrateurs doivent accomplir et du niveau minimum d'accès dont les utilisateurs ont besoin pour accomplir leurs tâches. Vous devez aussi déterminer si vous pouvez utiliser les groupes par défaut ou si vous devez créer des groupes et affecter des droits utilisateur et des autorisations spécifiques aux groupes pour accomplir les tâches
Discussion de cours : Utilisation des groupes par défaut et création de groupes
Recommandations relatives à l'administration des groupes
Créez des groupes selon les besoins d'administration Créez des groupes selon les besoins d'administration
Utilisez des groupes locaux sur un ordinateur qui n'est pas membre d'un domaine Utilisez des groupes locaux sur un ordinateur qui n'est pas membre d'un domaine
Ajoutez des comptes d'utilisateurs au groupe le plus restrictif Ajoutez des comptes d'utilisateurs au groupe le plus restrictif
Utilisez le groupe Utilisateurs authentifiés au lieu du groupe Tout le monde pour accorder la plupart des droits utilisateurs et des autorisations
Utilisez le groupe Utilisateurs authentifiés au lieu du groupe Tout le monde pour accorder la plupart des droits utilisateurs et des autorisations
Limitez le nombre d'utilisateurs du groupe Administrateurs Limitez le nombre d'utilisateurs du groupe Administrateurs
Plutôt que de créer un groupe, utilisez dans la mesure du possible le groupe intégré Plutôt que de créer un groupe, utilisez dans la mesure du possible le groupe intégré
Approuvez toutes les personnes membres des groupes Administrateurs, Utilisateurs avec pouvoir, Opérateurs d'impression et Opérateurs de sauvegarde
Approuvez toutes les personnes membres des groupes Administrateurs, Utilisateurs avec pouvoir, Opérateurs d'impression et Opérateurs de sauvegarde
Atelier A : Création et administration des groupes
Dans cet atelier, vous allez effectuer les tâches suivantes :
créer des groupes locaux et globaux
nommer des groupes selon une convention d'attribution de noms
ajouter des membres aux groupes