Chapitre 03 - Gestion Des Objets de Services de Domaine Active Directory
Chapitre 03 - Gestion Des Objets de Services de Domaine Active Directory
Chapitre 03 - Gestion Des Objets de Services de Domaine Active Directory
Module 3
Types de groupes
Étendues de groupes
Implémentation de la gestion des groupes
Groupes par défaut
Identités spéciales
• Démonstration : Gestion des groupes
Types de groupes
• Groupes de distribution
• Utilisés uniquement avec
les applications de messagerie
• Sans sécurité activée (pas de SID) ;
ne peuvent pas se voir attribuer
des autorisations
• Groupes de sécurité
• Entité de sécurité avec un SID ;
peuvent se voir attribuer
des autorisations
• La réception de messages
électroniques peut être activée
Étendues de groupes
Membres Possibilité de
Membres d'un
Étendue Membres d'un d'un domaine se voir attribuer
domaine dans
de groupe même domaine externe des autorisations
la même forêt
approuvé aux ressources
Local U, O, U, O, U, O, Sur l'ordinateur
GG, GLD, GU GG, GU GG local uniquement
et utilisateurs locaux
Domaine local U, O, U, O, U, O, N'importe
GG, GLD, GU GG, GU GG où dans le domaine
Universel U, O, U, O, N/A N'importe
GG, GU GG, GU où dans la forêt
Global U, O, N/A N/A N'importe où
GG dans le domaine
ou dans un domaine
approuvé
U Utilisateur
O Ordinateur
GG Groupe global
GLDGroupe local de domaine
GU Groupe universel
Implémentation de la gestion des groupes
I Identités
Utilisateurs ou ordinateurs
qui sont membres de
G Groupes globaux
qui collectent des membres
en fonction de leurs rôles, Ventes
qui sont membres de (groupe global)
Auditeurs
(groupe global)
DL Groupes locaux de domaine ACL_Sales_Read
qui assurent la gestion (groupe local de domaine)
telle que l'accès aux ressources,
qui sont
Groupe Emplacement
Administrateurs Conteneur Utilisateurs du domaine racine
de l'entreprise de la forêt
Administrateurs du schéma Conteneur Utilisateurs du domaine racine
de la forêt
Administrateurs Conteneur intégré de chaque domaine
Admins du domaine Conteneur Utilisateurs de chaque domaine
Opérateurs de serveur Conteneur intégré de chaque domaine
Opérateurs de compte Conteneur intégré de chaque domaine
Opérateurs de sauvegarde Conteneur intégré de chaque domaine
Opérateurs d'impression Conteneur intégré de chaque domaine
Identités spéciales
Autorisations AD DS
Autorisations AD DS effectives
• Démonstration : Délégation du contrôle
administratif
Autorisations AD DS
Autorisations AD DS effectives
Les autorisations attribuées aux utilisateurs
et aux groupes se cumulent
La meilleure pratique consiste à affecter des autorisations
à des groupes et non à des utilisateurs individuels
En cas de conflits
• Refuser des autorisations est prioritaire par rapport
à autoriser des autorisations
• Les autorisations explicites ont priorité sur les
autorisations héritées
• Une autorisation explicite a priorité sur un refus hérité
Pour évaluer les autorisations effectives, vous pouvez
utiliser
• L'onglet Autorisations effectives
• L'analyse manuelle
Démonstration : Délégation du contrôle administratif