Module 5 : Gestion de l'accès aux ressources à l'aide de groupes.

Module 5 : Gestion de l'accès aux ressources à

l'aide de groupes

Vue d'ensemble

Présentation des groupes Windows 2000

Implémentation de groupes dans un groupe de travail

Implémentation de groupes dans un domaine

Conseils pratiques


Fonctionnement des groupes Windows 2000

Groupes dans les groupes de travail et dans les domaines

Fonctionnement des groupes Windows 2000

AutorisationsAutorisations

GroupeGroupe

AutorisationsAutorisationsUtilisateurUtilisateur

AutorisationsAutorisationsUtilisateurUtilisateur

Autorisations affectées une fois par compte

d'utilisateur

Autorisations affectées une fois par compte

d'utilisateurAutorisations affectées

une fois par groupeAutorisations affectées

une fois par groupeContreContreContreContre

AutorisationsAutorisations UtilisateurUtilisateur

Les membres d'un groupe possèdent les droits et les autorisations accordés au groupe

Les utilisateurs peuvent être membres de plusieurs groupes Les groupes et les ordinateurs peuvent également être membres d'un

groupe

Groupes dans les groupes de travail et dans les domaines

Domaine

Groupe de travail

Créés sur des contrôleurs de domaine

Résident dans Active Directory Permettent de contrôler les

ressources du domaine

Créés sur des ordinateurs qui ne sont pas des contrôleurs de domaine

Résident dans le Gestionnaire de comptes de sécurité

Permettent de contrôler l'accès aux ressources de l'ordinateur

Contrôleurs de domaine

Ordinateur client

Serveur membre

Gestionnaire Gestionnaire SAMSAM

Gestionnaire Gestionnaire SAMSAM


Groupes locaux

Groupes locaux intégrés

Stratégie d'utilisation de groupes locaux dans un groupe de travail

Création de groupes locaux

Groupes locaux

Instructions relatives aux groupes locaux : Configurez des groupes locaux uniquement sur des

ordinateurs n'appartenant pas à un domaine Utilisez des groupes locaux pour contrôler l'accès

aux ressources sur l'ordinateur local, et pour réaliser des tâches système pour l'ordinateur local

Règles d'adhésion aux groupes locaux : Les groupes locaux ne peuvent contenir que des

comptes d'utilisateur locaux situés sur l'ordinateur sur lequel les groupes sont créés

Un groupe local ne peut pas être membre d'un autre groupe

Les membres des groupes Administrateurs et Opérateurs de compte de l'ordinateur local peuvent créer des groupes locaux

Groupes locaux intégrés

Groupes locaux intégrés : Les membres disposent de droits permettant de

réaliser des tâches système Des comptes d'utilisateur peuvent être ajoutés

Identités spéciales (groupes spéciaux) : Organisent les utilisateurs pour l'utilisation du

système Les adhésions automatiques à ces groupes ne

peuvent pas être modifiées

Les groupes intégrés détiennent un ensemble de droits prédéterminé et ne peuvent pas être supprimés

Les groupes intégrés détiennent un ensemble de droits prédéterminé et ne peuvent pas être supprimés

Stratégie d'utilisation de groupes locaux dans un groupe de travail

AAAA

Comptes d'utilisateurComptes d'utilisateur

= PPPP =

Autorisations Autorisations

LLLL

Groupe local Groupe local

=

Groupe de travail

Windows 2000 Professionnel






LLLL

PPPPAAAA

Ajout

LLLL

PPPPAAAA

Ajout

LLLL

PPPPAAAA

Ajout

Windows 2000 Server

Windows 2000 Server

LLLL

PPPPAAAA

Ajout

Affectation

AffectationAffectation

Affectation

Création de groupes locaux

FacultatifFacultatifFacultatifFacultatif

RequisRequisRequisRequis

Ajout ou suppression Ajout ou suppression de membresde membres

Ajout ou suppression Ajout ou suppression de membresde membres


Types et étendues de groupes

Groupes intégrés et prédéfinis d'un domaine

Stratégie d'utilisation de groupes dans un seul domaine

Instructions en matière de création de groupes de domaine

Création et suppression de groupes de domaine

Ajout de membres aux groupes de domaine

Types et étendues de groupes

Types de groupesTypes de groupesTypes de groupesTypes de groupes

Groupes de sécurité

Groupes de sécurité

Permettent d'affecter des autorisationsPeuvent être utilisés comme liste de distribution pour le courrier électronique

Permettent d'affecter des autorisationsPeuvent être utilisés comme liste de distribution pour le courrier électronique

Groupes dedistribution

Groupes dedistribution

Ne permettent pas d'affecter des autorisationsPeuvent être utilisés comme liste de distribution pour le courrier électronique

Ne permettent pas d'affecter des autorisationsPeuvent être utilisés comme liste de distribution pour le courrier électronique

Étendues des groupesÉtendues des groupesÉtendues des groupesÉtendues des groupes

GlobaleGlobale Permet d'organiser les utilisateurs qui partagent les mêmes besoins d'accès au réseau

Permet d'organiser les utilisateurs qui partagent les mêmes besoins d'accès au réseau

Domaine localDomaine local Permet d'affecter des autorisations sur les ressources de domaine

Permet d'affecter des autorisations sur les ressources de domaine

UniverselleUniverselle Permet d'affecter des autorisations sur les ressources connexes de plusieurs domaines

Permet d'affecter des autorisations sur les ressources connexes de plusieurs domaines

Groupes intégrés et prédéfinis d'un domaine

Les groupes de domaine local intégrés procurent aux utilisateurs des droits et des autorisations prédéfinis pour réaliser des tâches :

Sur les contrôleurs de domaine

Dans Active Directory

Identités spéciales (groupes spéciaux)

Organisent les utilisateurs pour l'utilisation du système

L'adhésion est automatique et non modifiable

Les groupes globaux prédéfinis permettent aux administrateurs de contrôler les ressources du domaine

Stratégie d'utilisation de groupes dans un seul domaine

Stratégie A G DL P pour les groupes

d'un domaine

Stratégie A G DL P pour les groupes

d'un domaine

Ajout

AAAA

GGGG

Groupe de domaine localGroupe de domaine local

DLDLDLDL

Ajout

PPPP

Groupe globalGroupe global

Comptes d'utilisateur

Comptes d'utilisateur

Affectation

Instructions en matière de création de groupes de domaine

Déterminez si vous disposez des autorisations nécessairesà la création d'un groupe dans le domaine appropriéDéterminez si vous disposez des autorisations nécessairesà la création d'un groupe dans le domaine approprié

Déterminez le nom du groupeDéterminez le nom du groupe

Déterminez l'étendue de groupe requise en fonction de lafaçon dont vous souhaitez utiliser le groupeDéterminez l'étendue de groupe requise en fonction de lafaçon dont vous souhaitez utiliser le groupe

Création et suppression de groupes de domaine

La console Utilisateurs et ordinateurs Active Directory permet de créer et de supprimer des groupes

Lorsqu'un groupe est supprimé : Ses droits et

autorisations sont supprimés

Ses membres ne sont pas supprimés

Son identificateur SID n'est plus réutilisé

Nom du groupeNom du groupe Nom du groupeNom du groupe

Ajout de membres aux groupes de domaine

SélectionSélection SélectionSélection

AjoutAjout AjoutAjout

Conseils pratiques

Utilisez des groupes locaux uniquement sur des ordinateursn'appartenant pas à un domaineUtilisez des groupes locaux uniquement sur des ordinateursn'appartenant pas à un domaine

Chaque fois qu'un groupe intégré permet aux utilisateurs d'accomplir une tâche, utilisez-le au lieu de créer un groupeChaque fois qu'un groupe intégré permet aux utilisateurs d'accomplir une tâche, utilisez-le au lieu de créer un groupe

Lorsque vous avez le choix entre plusieurs groupes, ajouteztoujours les comptes d'utilisateur au groupe le plus restrictif Lorsque vous avez le choix entre plusieurs groupes, ajouteztoujours les comptes d'utilisateur au groupe le plus restrictif

Créez des groupes en fonction des postes occupésCréez des groupes en fonction des postes occupés

Contrôle des acquis




Conseils pratiques

Atelier : Création d'un groupe global

Module 5 : Gestion de l'accès aux ressources à l'aide de groupes.

Documents

Transcript of Module 5 : Gestion de l'accès aux ressources à l'aide de groupes.