Créer un Groupe Utilisateurs dans Active Directory

Vous souhaitez créer un groupe dans Active Directory ?  Vous vous demandez peut-être à quoi sert un groupe ? Pourquoi utiliser un groupe dans son domaine plutôt qu’une Unité d’Organisation ? Nous verrons ces points dans cet article.

Sommaire :

• Vidéo pour créer un groupe Active Directory
• Accéder aux utilisateurs et ordinateurs du domaine
• Créer un Unité d’organisation pour stocker les groupes (facultatif)
  • Différence entre un groupe et une unité d’organisation Active Directory ?
• Créer un groupe d’utilisateurs Active Directory
  • Etendue de groupe Active Directory
  • Type de groupe Active Directory
• Gérer le groupe d’utilisateurs

1 – Vidéo pour créer un groupe Active Directory

Pour ceux qui préfère le format vidéo, vous trouverez ci-dessous la création d’un groupe d’utilisateurs dans un domaine Active Directory. Pour ceux qui préfère le format texte, c’est à la suite.

2 – Accéder aux utilisateurs et ordinateurs du domaine

Avant de commencer, il faudra qu’Active Directory soit déjà installé (logique). Si cela n’est pas fait, vous pouvez voir la page d’installation d’Active Directory. 

Commençons les manipulations pour créer un groupe dans Active Directory. Pour cela, on ouvre la console utilisateurs et ordinateurs d’Active Directory. Vous la trouverez, comme de nombreuses consoles,  dans le menu démarrer puis en accédant à « outils d’administration ».

Comme vous pouvez le constater sur la capture ci-dessous, il existe déjà une unité d’organisation qui est nommée « Nantes ». On remarque également que nous avons dans celle-ci différents utilisateurs créés précédemment dans une sous unité d’organisation qui représente un service IT.

3 – Créer un Unité d’organisation pour stocker les groupes (facultatif)

La première chose que l’on peut faire est de créer une nouvelle unité d’organisation. C’est dans celle-ci que nous allons créer des groupes. Il n’est pas obligatoire de créer cette Unité d’Organisation, mais cela peut simplifier la gestion.

Dans le cadre du tutoriel, c’est plus simple de procéder de cette manière pour faire la démonstration en partant de zéro. Cela simplifie notamment l’organisation de notre structure.

Cette nouvelle unité d’organisation va s’appeler « Groupes ». Il ne reste plus qu’à valider.

3.1 – Différence entre un groupe et une unité d’organisation Active Directory ?

Dans Active Directory, les unités d’organisation (UO) et les groupes servent à organiser les objets et à gérer la sécurité, on pourrait les confondre, mais ils ont des rôles et des fonctionnalités différentes.

• Unités d’Organisation (UO) Active Directory
  • Définition : Les Unités d’Organisation sont des sortes de « conteneurs » dans un annuaire Active Directory. Ils permettent de structurer les objets de l’annuaire (notamment les comptes d’utilisateurs, les ordinateurs et même d’autres Unités d’Organisation) de manière hiérarchique et logique. Elles reflètent généralement la structure organisationnelle ou géographique d’une entreprise.
  • Objectifs principaux :
    • Délégation de gestion : Les Unités d’Organisation permettent la délégation de contrôle administratif à différents niveaux. Par exemple, les administrateurs d’une Unités d’Organisation spécifique peuvent avoir des droits pour gérer les comptes d’utilisateurs ou les ordinateurs uniquement dans cette Unités d’Organisation. C’est d’ailleurs ce que je fais dans une vidéo sur la création d’une console MMC.
    • Application des politiques de groupe (GPO) : Les Unités d’Organisation sont aussi utilisées pour cibler l’application des GPO de manière précise. Cela permet d’appliquer des configurations spécifiques, des paramètres de sécurité et des politiques de gestion à des groupes d’objets dans l’annuaire Active Directory (AD).

• Groupes Active Directory
  • Définition : Les groupes dans Active Directory sont utilisés pour regrouper les comptes d’utilisateurs, les comptes d’ordinateurs, et d’autres groupes (nous en parlerons dans un prochain article). Ils simplifient notamment l’attribution des permissions d’accès aux ressources et l’administration des politiques de sécurité à travers le réseau. Par exemple, l’accès à des dossiers partagés. Tel groupe aura tel droit sur le dossier.
  • Objectifs principaux :
    • Gestion des permissions : Les groupes sont essentiels pour gérer l’accès aux ressources réseau. Les permissions sont attribuées aux groupes et tous les membres du groupe héritent de ces permissions, facilitant la gestion de l’accès aux ressources partagées. Cela permet d’aller plus loin avec la gestion des droits AGDLP (nous verrons cela dans un autre article).
    • Distribution d’e-mails : Les groupes de distribution (qui sont un type de groupe dans Active Directory) sont utilisés spécifiquement pour la distribution d’e-mails à des « collections » d’utilisateurs.

Pour faire simple :

Si on souhaite résumé de manière brève, les Unité d’Organisation et les groupes dans Active Directory servent des objectifs qui sont complémentaires. En effet, les Unité d’Organisation permettent d’organiser (d’où leur nom) les objets de l’annuaire et facilitent la gestion et l’application des politiques, alors que les groupes gèrent l’accès aux ressources et simplifient l’administration des permissions.

4 – Créer un groupe d’utilisateurs Active Directory

Dans cette nouvelle unité qui vient d’être crée, il faut effectuer un clic droit. Ensuite, dans le menu nouveau, on clique sur « Groupe ».

Cela va donc créer un nouveau groupe dans Active Directory, mais Il faut lui donner un nom. Dans le cas présent, il s’agit de « groupe_it ». Cela permet par exemple de hiérarchiser une entreprise.  Dans notre cas, les utilisateurs du services IT seront gérés par l’intermédiaire de notre groupe.

On laisse les options par défaut, elles conviennent pour notre organisation. Mais si cela vous intéresse voici l’explication des options :

4.1 – Etendue de groupe Active Directory

Dans Active Directory (AD), une étendue de groupe concerne la portée ou le contexte dans lequel un groupe peut être appliqué ou accessible. Cette étendue est importante pour la gestion des droits d’accès et la délégation de permissions.

Il existe trois principales étendues de groupes dans Active Directory, chacune ayant des caractéristiques et des utilisations spécifiques :

1. Groupes de domaine local (Local Domain Groups)
   • Utilisation : Ces groupes sont utilisés au sein d’un domaine unique. Ils peuvent contenir des comptes d’utilisateurs, des comptes d’ordinateurs, et d’autres groupes de ce même domaine, ainsi que des groupes globaux de tout domaine dans la forêt AD.
   • Portée : Limitée au domaine dans lequel le groupe a été créé.
   • Scénario typique : On pourrait gérer les droits d’accès aux ressources dans un seul domaine.
2. Groupes globaux (Global Groups)
   • Utilisation : Ils servent à regrouper des utilisateurs ou des comptes d’ordinateurs partageant des droits d’accès communs au sein d’un domaine. Un groupe global peut être membre de groupes de domaine local ou de groupes universels dans n’importe quel domaine.
   • Portée : Il peut contenir des membres uniquement de son propre domaine, mais peut être utilisé dans toute la forêt Active Directory notamment si elle contient plusieurs domaines.
   • Scénario typique : On pourrait regrouper des utilisateurs selon leur fonction ou leur besoin d’accès au sein du domaine, puis accorder des permissions à ces groupes sur des ressources dans d’autres domaines de la forêt.
3. Groupes universels (Universal Groups)
   • Utilisation : Ce type d’étendue a été conçu pour être utilisés dans une forêt Active Directory entière. Ils peuvent contenir des utilisateurs, des groupes globaux, et d’autres groupes universels de n’importe quel domaine dans la forêt. Intéressant donc pour les grosses structures.
   • Portée : Il peut contenir des membres de n’importe quel domaine de la forêt et il peut être utilisé pour gérer l’accès aux ressources dans toute la forêt.
   • Scénario typique : Il est généralement utilisé dans les environnements multi-domaines pour simplifier l’assignation des droits d’accès aux ressources à travers plusieurs domaines de la forêt.

4.2 – Type de groupe Active Directory

Dans Active Directory, les groupes peuvent aussi être différenciés par leur type. Il existe deux types principaux de groupes :

1. Groupes de sécurité
   • Fonction principale : Contrôler l’accès aux ressources. Les groupes de sécurité sont utilisés pour assigner des permissions aux ressources dans le réseau, comme des fichiers, des dossiers, des imprimantes, et plus encore. Ils peuvent également être utilisés pour déléguer des droits administratifs.
   • Utilisation dans les stratégies de groupe (GPO) : Les groupes de sécurité peuvent être ciblés par les GPO pour appliquer des politiques spécifiques à des utilisateurs ou des ordinateurs.
   • Interopérabilité : Ils peuvent être utilisés dans tout le réseau et dans des environnements multi-domaines et multi-forestes, selon leur étendue.
2. Groupes de distribution
   • Fonction principale : Utilisés principalement pour la distribution d’e-mails dans des applications de messagerie comme Microsoft Exchange. Ces groupes facilitent l’envoi d’e-mails à des collections d’utilisateurs sans avoir à les adresser individuellement.
   • Non utilisés pour le contrôle d’accès : À la différence des groupes de sécurité, les groupes de distribution ne sont pas utilisés pour assigner des permissions sur les ressources réseau. Ils sont utilisés exclusivement pour l’organisation des listes de diffusion.
   • Conversion possible : Dans certains contextes, notamment lorsque vous utilisez Active Directory avec Microsoft Exchange, il est possible de convertir des groupes de distribution en groupes de sécurité si le besoin de contrôler l’accès aux ressources apparaît pour un groupe initialement créé pour la distribution d’e-mails.

5 – Gérer le groupe d’utilisateurs

Nous pouvons agir sur les propriétés d’un groupe. Pour cela, on effectue un clic droit sur le groupe « groupe_it », puis sur « propriétés ». Dans celle-ci, on peut modifier les paramètres renseignés lors de la création. Par exemple, il est possible de donner un e-mail qui deviendra l’adresse de messagerie du groupe.

Mais la partie qui va nous intéresser ce sont les membres. Dans l’onglet « Membres », on va pouvoir sélectionner les utilisateurs qui feront parties du groupe. Pour cela, on clique simplement sur « Ajouter ».

Première solution, vous connaissez le prénom ou nom de l’utilisateur à ajuter, il suffit de le renseigner et si une correspondance existe, alors elle sera ajoutée.

Là, j’indique « fabien », comme il y a un seul utilisateur fabien alors il sera ajouté. en cliquant sur « ok ».

Si plusieurs utilisateurs similaires existent ou si vous souhaitez faire une recherche, dans la fenêtre précédente il faudra cliquer sur « Avancé ». Ensuite, dans la nouvelle fenêtre qui s’affiche, il faut cliquer sur « rechercher » pour faire apparaître les utilisateurs enregistrés. On sélectionne ceux qui nous intéressent, dans l’exemple ce sera  « Administrateur ». Il ne reste plus qu’à sélectionner et valider avec « OK ».

Une fois ajouté, vous pouvez sélectionner le membre qui vous intéresse dans le cas d’une suppression puis cocher la case « Supprimer ».

Un autre onglet est intéressant, il s’agit de l’onglet « Membre de ». Il permet de savoir les groupes dans lequel notre groupe est membre. En effet, c’est un cas classique pour la gestion des droits AGDLP (on verra cela dans une autre vidéo).

Par exemple, imaginons que l’on créer un groupe pour avoir des droits de lecture uniquement sur un dossier et que l’on souhaite que les membres du service IT et Direction est ces droits là.

Plutôt que d’ajouter manuellement les utilisateurs dans ce groupe pour les droits de lecture, on va ajouter le groupe IT et Direction. Ainsi, on gère uniquement les utilisateurs dans les groupes IT et Direction plutôt que de devoir le faire dans notre nouveau groupe, on centralise la gestion.

Ici, notre groupe n’est pas membre d’un autre groupe.

Il est également possible de choisir un responsable pour le groupe. On sélectionne l’onglet « géré par ». Cela va nous permettre de déterminer qui sera le responsable du groupe. Pour cela, on clique sur modifier.

La manipulation est la même que pour la sélection des utilisateurs à ajouter dans le groupe. Dans la fenêtre qui s’ouvre, on clique sur « avancé ».

La différence, c’est qu’on sait qui on souhaite ajouter comme responsable. Il s’agit de « Fabien Dupond ». Dans le champ nom on ajoute simplement la lettre « f », cela recherchera les utilisateurs commençant par f puis on valide avec le bouton « rechercher ». On sélectionne l’utilisateur « Fabien Dupond » puis on valide avec « OK ».

Comme on peut le remarquer, nous avons désormais notre gestionnaire qui apparaît, ainsi que les renseignements le concernant, comme son adresse ou son bureau.