Outre les composants et les objets de haut niveau, AD DS contient d’autres objets tels que des utilisateurs, des groupes et des ordinateurs.

Créer des objets utilisateur

Dans AD DS, vous devez fournir un compte d’utilisateur à tous les utilisateurs qui nécessitent l’accès aux ressources réseau. Avec ce compte d’utilisateur, les utilisateurs peuvent s’authentifier auprès du domaine AD DS et accéder aux ressources réseau.

Dans Windows Server, un compte d’utilisateur est un objet qui contient toutes les informations qui définissent un utilisateur. Un compte d’utilisateur comprend les éléments suivants :

  • Le nom d’utilisateur.
  • Un mot de passe utilisateur.
  • Les appartenances aux groupes.

Un compte d’utilisateur contient également des paramètres que vous pouvez configurer en fonction des besoins de votre organisation

Le nom d’utilisateur et le mot de passe d’un compte d’utilisateur sont utilisés comme informations d’identification de connexion de l’utilisateur. Un objet utilisateur comprend également plusieurs autres attributs qui décrivent et gèrent l’utilisateur. Vous pouvez utiliser les éléments suivants pour créer et gérer des objets utilisateur dans AD DS :

  • Centre d’administration Active Directory.
  • Utilisateurs et ordinateurs Active Directory.
  • Windows Admin Center.
  • Windows PowerShell.
  • L’outil en ligne de commande dsadd.

Que sont les comptes de service administrés ?

De nombreuses applications contiennent des services que vous installez sur le serveur qui héberge le programme. Ces services s’exécutent généralement au démarrage du serveur ou sont déclenchés par d’autres événements. Les services s’exécutent souvent en arrière-plan et ne nécessitent aucune interaction avec l’utilisateur. Pour qu’un service démarre et s’authentifie, vous utilisez un compte de service. Un compte de service peut être un compte local sur l’ordinateur, tel que le service local intégré, le service réseau ou les comptes système locaux. Vous pouvez également configurer un compte de service pour utiliser un compte basé sur un domaine situé dans AD DS.

Pour aider à centraliser l’administration et à respecter les exigences du programme, de nombreuses organisations choisissent d’utiliser un compte basé sur un domaine pour exécuter les services de programme. Bien que cela offre des avantages par rapport à l’utilisation d’un compte local, cela va de pair avec un certain nombre de défis, tels que les suivants :

  • Des tâches d’administration supplémentaires peuvent être nécessaires pour gérer le mot de passe du compte de service en toute sécurité.
  • Il peut être difficile de déterminer si un compte basé sur un domaine est utilisé en tant que compte de service.
  • Des tâches d’administration supplémentaires peuvent être nécessaires pour gérer le nom de principal du service (SPN).

Windows Server prend en charge un objet AD DS, appelé compte de service administré, que vous utilisez pour faciliter la gestion des comptes de service. Un compte de service administré est une classe d’objet AD DS qui permet :

  • La gestion simplifiée des mots de passe.
  • La gestion simplifiée des SPN.

Que sont les comptes de service administrés de groupe ?

Les comptes de service administrés de groupe vous permettent d’étendre les fonctionnalités des comptes de service administrés standard à plusieurs serveurs dans votre domaine. Dans les scénarios de batterie de serveurs avec des clusters d’équilibrage de charge réseau (NLB) ou des serveurs IIS, il est souvent nécessaire d’exécuter des services de système ou de programme sous le même compte de service. Les comptes de service administrés standard ne peuvent pas fournir de fonctionnalité de compte de service administré aux services qui s’exécutent sur plusieurs serveurs. À l’aide de comptes de service administrés de groupe, vous pouvez configurer plusieurs serveurs pour qu’ils utilisent le même compte de service administré tout en conservant les avantages offerts par les comptes de service gérés, tels que la maintenance automatique des mots de passe et la gestion simplifiée des SPN.

Pour prendre en charge la fonctionnalité de compte de service administré de groupe, votre environnement doit répondre aux exigences suivantes :

  • Vous devez créer une clé racine KDS sur un contrôleur de domaine dans le domaine.

Pour créer la clé racine KDS, exécutez la commande suivante à partir du module Active Directory pour Windows PowerShell sur un contrôleur de domaine Windows Server.

PowerShell

Add-KdsRootKey –EffectiveImmediately

Vous créez des comptes de service administrés de groupe à l’aide de l’applet de commande Windows PowerShell New-ADServiceAccount avec le paramètre –PrincipalsAllowedToRetrieveManagedPassword.

Par exemple :

PowerShell

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Que sont les objets de groupe ?

Bien qu’il puisse être pratique d’attribuer des autorisations et des droits à des comptes d’utilisateur individuels dans de petits réseaux, cela devient peu pratique et inefficace dans les réseaux d’entreprise de grande taille.

Par exemple, si plusieurs utilisateurs ont besoin du même niveau d’accès à un dossier, il est plus efficace de créer un groupe qui contient les comptes d’utilisateur requis, puis d’attribuer les autorisations requises au groupe.

Avant d’implémenter des groupes dans votre organisation, vous devez comprendre l’étendue des différents types de groupes offerts par AD DS. En outre, vous devez comprendre comment utiliser les types de groupes pour gérer l’accès aux ressources ou pour attribuer des droits de gestion et des responsabilités.

Types de groupes

Dans un réseau d’entreprise Windows Server, il existe deux types de groupes, décrits dans le tableau suivant.

Type de groupeDescription
SécuritéLes groupes de sécurité sont à sécurité activée et vous les utilisez pour affecter des autorisations à diverses ressources. Vous pouvez utiliser des groupes de sécurité dans les entrées d’autorisation des listes de contrôle d’accès (ACL) pour mieux contrôler la sécurité de l’accès aux ressources. Si vous souhaitez utiliser un groupe pour gérer la sécurité, il doit s’agir d’un groupe de sécurité.
DistributionLes applications de messagerie utilisent généralement des groupes de distribution, qui ne sont pas à sécurité activée. Vous pouvez également utiliser des groupes de sécurité comme méthode de distribution pour les applications de messagerie.

Étendues de groupe

Windows Server prend en charge l’étendue du groupe. L’étendue d’un groupe détermine la plage des capacités ou des autorisations d’un groupe, ainsi que l’appartenance au groupe. Il y a quatre étendues de groupe.

  • Local. Vous utilisez ce type de groupe pour les stations de travail ou les serveurs autonomes, sur les serveurs membres du domaine qui ne sont pas des contrôleurs de domaine ou sur les stations de travail membres du domaine. Les groupes locaux sont disponibles uniquement sur l’ordinateur sur lequel ils existent. Les caractéristiques importantes d’un groupe local sont les suivantes :
    • Vous pouvez assigner des capacités et des autorisations sur des ressources locales uniquement, c’est-à-dire sur l’ordinateur local.
    • Les membres peuvent se trouver n’importe où dans la forêt AD DS.
  • Domaine local. Ce type de groupe est principalement utilisé pour gérer l’accès aux ressources ou pour attribuer des droits de gestion et des responsabilités. Les groupes locaux de domaine existent sur les contrôleurs de domaine dans un domaine AD DS, et par conséquent, l’étendue du groupe est locale dans le domaine dans lequel il réside. Les caractéristiques importantes des groupes de domaine local sont les suivantes :
    • Vous pouvez assigner des capacités et des autorisations sur des ressources de domaine local uniquement, c’est-à-dire sur tous les ordinateurs du domaine local.
    • Les membres peuvent se trouver n’importe où dans la forêt AD DS.
  • Global. Vous utilisez ce type de groupe principalement pour rassembler les utilisateurs qui ont des caractéristiques similaires. Par exemple, vous pouvez utiliser des groupes globaux pour joindre des utilisateurs qui font partie d’un service ou d’un emplacement géographique. Les caractéristiques importantes des groupes globaux sont les suivantes :
    • Vous pouvez affecter des capacités et des autorisations à tout endroit de la forêt.
    • Les membres peuvent provenir du domaine local uniquement et peuvent inclure des utilisateurs, des ordinateurs et des groupes globaux à partir du domaine local.
  • Universel. Ce type de groupe est le plus souvent utilisé dans les réseaux multi-domaines, car il combine les caractéristiques des groupes globaux et des groupes de domaine local. Plus précisément, les caractéristiques importantes des groupes universels sont les suivantes :
    • Vous pouvez affecter des capacités et des autorisations à tout endroit de la forêt, de la même façon que vous les affectez à des groupes globaux.
    • Les membres peuvent se trouver n’importe où dans la forêt AD DS.

Que sont les objets ordinateur ?

Les ordinateurs, comme les utilisateurs, sont des principaux de sécurité, dans la mesure où :

  • Ils disposent d’un compte avec un nom de connexion et un mot de passe que Windows change automatiquement à intervalles réguliers.
  • Ils s’authentifient avec le domaine.
  • Ils peuvent appartenir à des groupes et avoir accès aux ressources, et vous pouvez les configurer à l’aide de stratégies de groupe.

Un compte d’ordinateur commence son cycle de vie lorsque vous créez l’objet ordinateur et que vous l’associez à votre domaine. Une fois que vous avez joint le compte d’ordinateur à votre domaine, les tâches d’administration quotidiennes sont les suivantes :

  • Configuration des propriétés de l’ordinateur.
  • Déplacement de l’ordinateur entre les unités d’organisation.
  • Gestion de l’ordinateur lui-même.
  • Attribution d’un nouveau nom, réinitialisation, désactivation, activation et finalement suppression de l’objet ordinateur.
X