Les groupes sont l’un des outils les plus importants dont dispose un administrateur Active Directory (AD) dans sa boîte à outils. Les groupes sont des objets qui peuvent inclure des utilisateurs, des ordinateurs et même d’autres groupes en tant que membres. Windows Server 200x (2000, 2003, 2008 – au moment de la rédaction de ce document) prend en charge deux types de groupes : Distribution et Sécurité. Les groupes de distribution ont été introduits avec AD 2000.
Ils sont principalement utilisés pour les listes de distribution de courrier électronique. Les groupes de distribution ne peuvent pas être utilisés pour sécuriser les ressources (les ACL ne peuvent pas leur être appliquées). Cependant, les groupes de sécurité peuvent être activés pour le courrier électronique. Il est important de planifier correctement l’utilisation des groupes avant de mettre en œuvre votre infrastructure Active Directory afin de s’assurer qu’elle peut être gérée et mise à l’échelle correctement. Les groupes sont classés dans l’une des trois catégories suivantes : Domaine local, global et universel.
Groupes locaux de domaine
Les groupes locaux de domaine sont définis dans le domaine local et peuvent être utilisés pour sécuriser les ressources UNIQUEMENT dans le domaine local. Ils peuvent contenir des membres du même domaine, de la même forêt et des membres de domaines de confiance.
Groupes globaux
Les groupes globaux sont définis dans le domaine local et peuvent être utilisés pour sécuriser les ressources dans le domaine local, dans n’importe quel domaine de la forêt et dans n’importe quel domaine de confiance. Ils peuvent contenir des membres provenant UNIQUEMENT du même domaine.
Groupes universels
Les groupes universels sont utilisés pour accorder un accès primaire aux ressources dans tous les domaines de confiance. Ils peuvent également contenir des membres de n’importe quel domaine de la forêt.
Pour gérer les ressources avec le moins d’efforts administratifs possible, il est important de suivre une ou plusieurs de ces meilleures pratiques :
A --> G <-- P A --> G --> DL <-- P A --> G --> U --> DL <-- P
A – Comptes
G – Groupes globaux
DL – Groupes locaux de domaine
Par exemple, le concept pour A –> G –> DL <– P est le suivant :
Ajouter des utilisateurs à des groupes globaux. Ajouter des groupes globaux à des groupes locaux de domaine. Appliquer des permissions aux groupes locaux de domaine.
Dans cet exemple, disons que Bob est un membre de l’équipe des ventes. Bob est ajouté au groupe global « Sales Team ». L’équipe des ventes a besoin d’accéder à un partage de fichiers appelé « Data ». Un groupe local de domaine appelé « Sales Data » est créé et le groupe global appelé « Sales Team » en est membre. L’autorisation « READ » est appliquée au groupe local de domaine « Sales Data ».
Maintenant, Bob a pris sa retraite et Sally est embauchée. Sally peut obtenir le même accès que Bob en l’ajoutant simplement au groupe global « Sales Team ». Plus le nombre de ressources et de groupes définis est important, plus ce concept est efficace.