• Connaitre la structure grâce à ldp.exe
• Gérer les utilisateurs

Lorsque vous créez une infrastructure Active Directory, vous avez la possibilité de créer des groupes d'utilisateurs avec une étendue et un type spécifique.

Les groupes permettent de :

• simplifier la gestion des droits sur les dossiers présents sur une partition utilisant le système de fichiers NTFS
• gérer les autorisations sur les partages réseau
• faire du filtrage pour l'application de vos objets de stratégies de groupe
• envoyer du courrier (e-mails) à une série d'utilisateurs en les ciblant via le groupe dans lequel ils sont
• etc

1. Créer un nouveau groupe
2. Groupe de distribution
3. Groupe de sécurité
4. Changer l'étendue d'un groupe
5. Ajouter des utilisateurs dans un groupe
6. Déléguer la gestion d'un groupe

1. Créer un nouveau groupe

Pour créer un nouveau groupe sur votre infrastructure Active Directory, faites un clic droit "Nouveau" sur l'unité d'organisation (OU) ou le conteneur (CN) où vous souhaitez le créer.
Comme vous pouvez le voir, vous pouvez choisir une étendue et un type de groupe.

Pour les étendues de groupe, vous pouvez choisir entre :

• domaine local :
  - ces groupes peuvent contenir des objets (utilisateurs, groupes, ...) de n'importe quel domaine
  - ces groupes ne peuvent être utilisés que pour définir des autorisations sur des ressources présentes dans le même domaine que ce groupe
• globale (ou "internationale" dans la documentation française de Microsoft) :
  - ces groupes peuvent contenir uniquement des objets (utilisateurs, groupes, ...) présents dans le même domaine que le groupe lui-même
  - ces groupes peuvent être utilisés pour définir des autorisations sur des ressources présentes dans d'autres domaines de la même forêt
• universelle :
  - ces groupes peuvent contenir des objets (utilisateurs, groupes, ...) de n'importe quel domaine de la même forêt
  - ces groupes sont utilisés pour définir des autorisations sur des ressources présentes dans la même forêt que ce groupe

Pour le type de groupe, vous avez le choix entre :

• sécurité : ce type de groupe possède un identificateur de sécurité (SID) et permet donc, par exemple, de définir des autorisations sur diverses ressources et/ou des droits NTFS sur des dossiers et des fichiers
• distribution : ce type de groupe ne peut être utilisé qu'avec des solutions de messagerie, comme Microsoft Exchange Server, par exemple.
  Cela permet par exemple d'envoyer des e-mails à une liste d'utilisateurs.

Pour vous montrer la différence entre un groupe de sécurité et un groupe de distribution, nous allons créer des 2 groupes :

• MySecurityGroup : qui est un groupe de type "Sécurité"
• MyDistribGroup : qui est un groupe de type "Distribution"

Pour en savoir plus sur les types et les étendues de groupes, référez-vous au site de Microsoft : À propos des groupes Active Directory

Les 2 nouveaux groupes apparaissent.

2. Groupe de distribution

Comme indiqué précédemment, les groupes de distribution sont utilisés pour l'envoi de courriers (via Microsoft Exchange, par exemple).

Attention : les groupes de distribution ne possèdent pas d'identificateur de sécurité (SID) et ne peuvent donc pas servir pour attribuer des droits NTFS sur des dossiers, ...

3. Groupe de sécurité

Les groupes de sécurité possèdent les mêmes fonctionnalités que les groupes de distribution, mais ils possèdent également un SID. Ce qui n'est pas le cas pour les groupes de distribution.

Grâce aux groupes de sécurité, vous pourrez, par exemple, gérer les droits NTFS sur des dossiers.
Pour cela, faites un clic droit sur un dossier et allez dans l'onglet "Sécurité".
Ensuite, cliquez sur Modifier.

Cliquez sur le bouton : Ajouter.

Si vous cherchez les groupes disponibles dans votre domaine Active Directory, vous verrez que seul le groupe de sécurité s'affichera.
Ce qui prouve que les groupes de distributions ne peuvent pas être utilisés pour gérer les droits NTFS sur des dossiers.