Compte et groupe

Page12

Types de groupes

Les groupes sont utiliss pour regrouper des comptes d'utilisateurs, des comptes d'ordinateur et d'autres comptes de groupes en units faciles grer. Le fait de travailler avec des groupes plutt qu'avec des utilisateurs individuels simplifie considrablement la maintenance et l'administration du rseau.

Active Directory met en uvre deux types de groupes: groupes de distribution et groupes de scurit. Vous pouvez utiliser les groupes de distribution pour crer des listes de distribution de courrier lectronique et les groupes de scurit pour affecter des autorisations des ressources partages.

Groupes de scurit

Utiliss avec soin, les groupes de scurit constituent une mthode efficace pour assigner l'accs aux ressources de votre rseau. Les groupes de scurit vous permettent d'effectuer les tches suivantes:

Assigner des droits d'utilisateur des groupes de scurit dans Active Directory

Des droits d'utilisateur sont affects aux groupes de scurit pour dterminer ce que peuvent faire les membres d'un groupe dans l'tendue d'un domaine (ou d'une fort). Des droits d'utilisateur sont assigns automatiquement certains groupes de scurit lors de l'installation de Active Directory pour permettre aux administrateurs de dfinir le rle administratif d'une personne dans le domaine. Par exemple, un utilisateur ajout au groupe Oprateurs de sauvegarde dans Active Directory a la possibilit de sauvegarder et restaurer les fichiers et rpertoires situs sur chaque contrleur de domaine du domaine.

Cela est rendu possible par le fait que, par dfaut, les droits d'utilisateur Sauvegarder des fichiers et des rpertoires et Restaurer des fichiers et des rpertoires sont assigns automatiquement au groupe Oprateurs de sauvegarde. Les membres de ce groupe hritent par consquent des droits d'utilisateur assigns au groupe. Pour plus d'informations sur les droits d'utilisateur, voir Droits de l'utilisateur. Pour plus d'informations sur les droits d'utilisateur assigns aux groupes de scurit, voir Groupes par dfaut.

Vous pouvez affecter des droits d'utilisateur des groupes de scurit l'aide de la Stratgie de groupe pour pouvoir dlguer des tches spcifiques. Soyez toujours prudent lorsque vous assignez des tches dlgues. En effet, un utilisateur inexpriment qui disposerait de droits excessifs sur un groupe de scurit pourrait causer des dgts important sur le rseau. Pour plus d'informations, voir Dlgation de l'administration. Pour plus d'informations sur l'assignation de droits d'utilisateur des groupes, voir Affecter des droits utilisateur un groupe dans Active Directory.

Assigner aux groupes de scurit des autorisations sur les ressources

Il ne faut pas confondre autorisations et droits d'utilisateur. Les autorisations sont assignes au groupe de scurit pour une ressource partage. Les autorisations dterminent qui peut accder la ressource et le niveau d'accs accord, par exemple Contrle total. Certaines autorisations dfinies sur des objets de domaine sont assignes automatiquement pour permettre des niveaux d'accs diffrents aux groupes de scurit par dfaut tels que les groupes Oprateurs de comptes et Admins du domaine. Pour plus d'informations sur les autorisations, voir Contrle d'accs dans Active Directory.

Les groupes de scurit sont rpertoris dans des listes de contrle d'accs discrtionnaire (DACL, Discretionary Access Control Lists) qui dfinissent les autorisations sur les ressources et les objets. Lors de l'attribution d'autorisations pour les ressources (partages de fichier, imprimantes et ainsi de suite), les administrateurs doivent les accorder un groupe de scurit plutt qu' des utilisateurs individuels. Les autorisations sont attribues une seule fois au groupe, plutt que de les attribuer une fois chaque utilisateur individuel. Chaque compte ajout un groupe reoit les droits assigns au groupe dans Active Directory et les autorisations dfinies pour le groupe sur la ressource.

Droulement du TP

Ce tp a t ralis dans le cadre scolaire en autonomie. Nous nous servirons du systme Windows 2008 R2 serveur, virtualis via VirtualBox, ainsi quun client sous Windows 7 pour tester la configuration apport.

Profil itinrant

Windows Server 2008 propose, avec Active Directory, des technologies vous permettant de mieux grer vos profils d'utilisateur. En effet, lorsque vous installez Active Directory, vous avez la possibilit de configurer chacun de vos profils utilisateur en tant que profil itinrant. Ce type de profil va en fait stocker toutes les informations relatives la session de l'utilisateur (environnement, document, paramtres, mails) sur un serveur.

Il peut arriver qu'une personne utilise plusieurs ordinateurs, avec le mme compte d'utilisateur. Lorsqu'il va utilisateur un ordinateur, il pourra avoir un environnement diffrent de celui prsent sur l'autre ordinateur. Dans ce cas, il pourra tre intressant de configurer pour cet utilisateur un profil itinrant. En effet, le fait d'utiliser ce type de compte va permettre votre utilisateur de conserver ses documents, ses paramtres, et son environnement de travail, quelques soit l'ordinateur sur lequel il ouvre une session. En effet, les profils itinrants vont stocker leurs informations sur un serveur que vous choisissez. Concrtement, vous retrouverez les dossiers suivant sur votre serveur :

La cration de ce type de profil doit directement tre faite dans les proprits des comptes d'utilisateur. Evidement, si vous possdez un grand nombre d'utilisateur dans votre architecture directory, vous devrez vous occuper personnellement de chaque compte, sauf si vous utilisez un script VBS. Vous trouvez dans l'encadr ci-dessous un script en Visual Basic qui va permettre de configurer un profil itinrant pour un utilisateur. Il vous suffira de rajouter une boucle pour l'appliquer tous les utilisateurs de votre Unit d'organisation.

Set objUser = GetObject _("LDAP://cn=Nom_Utilisateur,ou=Nom_OU,dc=Nom_domaine,dc=com")

strCurrentProfilePath = objUser.Get("profilePath")intStringLen = Len(strCurrentProfilePath)intStringRemains = intStringLen - 11strRemains = Mid(strCurrentProfilePath, 12, intStringRemains)strNewProfilePath = "\\Serveur\Partage\%Username%" & strRemainsobjUser.Put "profilePath", strNewProfilePathobjUser.SetInfo

Pour les donnes des profils itinrants, il est prfrable dajouter un disque dur rserv cet effet

Puis nous devons partager le disque afin quil soit accessible depuis le rseau

Et autoriser les droits en lecture et criture pour tout le monde

Puis nous crons des units dorganisations

Dans laquelle nous crons dautre UO

Dans ces UO, nous crons des utlisateurs, ou bien des groupes

Ne pas oublier de cocher la case le mot de passe nexpire jamais

Ensuite, nous crons des groupes pour chaque ligue:

Les groupes vont nous permettre dintgrer plusieurs utilisateurs ceux-ci afin de grer les autorisations plus facilement

Le groupe Globale permet de dfinir les droits accords aux utilisateurs de ce groupe

Ici, nous intgrons lutilisateur Art2, au groupe artiste

Via les proprits des utilisateurs, nous avons la possibilit de restreindre leurs connexions une ou plusieurs machine, via longlet compte puis se connecter

Nous limitons la connexion de lutilisateur aut1 lordinateur client2

Nous remarquons via limage ci-dessous, que lutilisateur aut1 ne peut se connecter avec la machine client1

Nous allons maintenant cre le dossier o les profils itinrants seront sauvegards, ici cest le dossier bureau

Nous avons mis le signe $ coter de bureau, afin quil soit cach, les utilisateurs ne doivent y avoir accs pour des raisons de protection des donnes personnelles

Ensuite, nous autorisons tout le monde lire et crire dans ce dossier, sans quoi, il sera impossible denregistrer les donnes

Enfin, nous devons nous rendre dans les proprits de lutilisateur dans lactive directory, dans longlet profil, puis entrer le chemin du dossier dans chemin du profil

Nous constatons que le dossier de lutilisateur est bien prsent, les donnes de AnthonyMa sont enregistres sur le serveur