Comment gérer les utilisateurs et les groupes dans Active Directory : un guide complet

Active Directory (AD) C'est l'un des outils essentiels pour la gestion des environnements d'entreprise dans les systèmes Windows. Ce service permet un contrôle centralisé des utilisateurs, des groupes, des ordinateurs et d’autres ressources réseau.

Comprendre comment gérer les utilisateurs et les groupes dans AD Il est essentiel pour tout administrateur système. Des tâches de base telles que la création de comptes d’utilisateurs à la configuration avancée à l’aide de PowerShell ou de la ligne de commande, ce guide couvre tout ce que vous devez savoir pour une gestion sécurisée et efficace.

Structure organisationnelle dans Active Directory

Avant de commencer à manipuler des utilisateurs ou des groupes, vous devez établir un Structure de l'unité organisationnelle (UO). Ces unités agissent comme des conteneurs logiques qui aident à organiser et à gérer les objets de domaine, tels que les comptes d'utilisateurs, les ordinateurs ou les groupes, de manière hiérarchique.

Les UO reflètent la véritable organisation de l'entreprise, que ce soit par département, par localisation géographique ou par fonctions spécifiques. Grâce à eux, des politiques de groupe plus spécifiques peuvent également être appliquées. De plus, il est possible administration déléguée d'une unité d'organisation à un utilisateur ou à un groupe, de sorte que seuls certains administrateurs peuvent gérer ce sous-ensemble de ressources. Pour plus d'informations sur la gestion des GPO, vous pouvez consulter Comment gérer les GPO dans PowerShell.

Types et portées des groupes dans Active Directory

Dans AD, il existe plusieurs types de groupes et de définitions de portée qui déterminent comment ils peuvent être utilisés :

• Groupes mondiaux : Ils sont généralement utilisés pour regrouper les utilisateurs qui exercent une fonction similaire au sein d'une organisation (comme un département).
• Groupes locaux de domaine : Ils sont utilisés pour attribuer des autorisations aux ressources au sein du domaine.
• Groupes universels : Ils peuvent regrouper des utilisateurs et des groupes de n'importe quel domaine de la forêt, idéal pour les environnements multi-contrôleurs ou multi-forêts.

Outre le champ d'application, il faut également distinguer :

• Groupes de sécurité : Ils vous permettent d'attribuer des autorisations aux ressources et contiennent un SID (Security Identifier).
• Groupes de distribution : Ils ne disposent pas de SID et sont destinés à la distribution de courrier électronique, généralement dans les environnements Exchange.

Création et gestion des comptes utilisateurs

La gestion des comptes utilisateurs est l’une des tâches les plus courantes et les plus critiques dans AD. Elles peuvent être réalisées à l'aide d'outils graphiques tels que Utilisateurs et ordinateurs Active Directory (ADUC) ou l' Centre d'administration AD (ADAC), ainsi que via la ligne de commande ou PowerShell. Pour approfondir l'installation de ces outils, vous pouvez suivre Ce guide sur l'installation des utilisateurs et des ordinateurs Active Directory sur Windows 10.

Pour créer un compte utilisateur à partir de l'interface graphique :

1. Ouvrez l'outil ADUC.
2. Sélectionnez l'UO approprié.
3. Clic droit > Nouveau > Utilisateur.
4. Remplissez les champs obligatoires tels que le nom, le mot de passe et les paramètres du compte.

Des restrictions peuvent également être définies connectez-vous, définissez les heures autorisées, les ordinateurs spécifiques sur lesquels vous pouvez vous connecter et même configurer des profils mobiles.

Une fonction utile est la possibilité de copier un compte existant, ce qui accélère la création de plusieurs comptes avec des paramètres similaires (membres du groupe, politiques, horaires, etc.).

Modifier les comptes utilisateurs

Modifier un compte existant est facile grâce à l'interface graphique :

• Changer de nom ou de mot de passe.
• Attribuer ou supprimer des groupes.
• Définir des autorisations spéciales.
• Activez ou désactivez les comptes selon vos besoins.

Depuis la ligne de commande, vous pouvez utiliser des outils tels que dsmod Pour changer les mots de passe, forcez le changement à la prochaine connexion (dsmod user <user_dn> -mustchpwd yes) ou désactiver temporairement un compte. Pour plus de détails sur la gestion des disques et autres objets à partir de la ligne de commande, consultez Ce guide complet sur la gestion des disques dans CMD.

Pour supprimer un compte, vous pouvez utiliser dsrm <user_dn>, il est important de savoir que lors de la suppression d'un compte, les autorisations associées sont perdues puisque le nouvel utilisateur, même s'il porte le même nom, aura un SID différent.

Joindre les ordinateurs au domaine

Pour qu'un ordinateur fasse partie d'un domaine, il doit :

1. Configurez la carte réseau pour utiliser le DNS du contrôleur de domaine.
2. Établir une connexion au serveur DNS du domaine.
3. Vérifiez la connectivité en envoyant une requête ping au nom de domaine complet du contrôleur.

Une fois cela fait, allez simplement dans la configuration du système (Win + Pause), modifiez les propriétés du nom de l'ordinateur et incluez-le dans le domaine. Il nous demandera les informations d'identification d'un compte avec des autorisations, généralement l'administrateur du domaine.

Gestion des comptes d'ordinateur dans AD

Les ordinateurs sont également des objets dans AD et peuvent être créés manuellement ou automatiquement lors de la jonction d'un PC au domaine. Comme les comptes utilisateurs, ils peuvent être ajoutés à des groupes.

Depuis la ligne de commande, vous pouvez utiliser :

• dsadd computer <computer_dn> pour ajouter une équipe.
• dsmod computer <computer_dn> -disabled yes/no pour activer ou désactiver.
• dsmod computer <computer_dn> -reset pour réinitialiser un compte d'ordinateur.

Créer et gérer des groupes

Les groupes sont essentiels pour gérer les autorisations et les politiques. Les créer correctement améliore la sécurité et réduit la complexité.

Depuis ADUC ou ADAC, la création est simple : choisissez le nom, le périmètre (global, domaine local ou universel) et le type (sécurité ou distribution). Pour plus de détails sur la façon d'intégrer les groupes de sécurité et de distribution, vous pouvez lire La raison pour laquelle les groupes locaux ne sont pas inclus dans Windows 10.

Des outils comme dsadd group, dsmod group et PowerShell avec New-ADGroup permettre l’automatisation de ces tâches dans des environnements plus vastes.

Une fois créé, vous pouvez :

• Ajouter ou supprimer des membres: utilisateurs, ordinateurs ou même d'autres groupes.
• Modifier son type ou sa portée, bien qu'avec des limitations dans les domaines mixtes.
• Attribuer des autorisations aux ressources partagées, aux stratégies GPO, etc.

Gérer les adhésions aux groupes

Depuis l'onglet Membre de Vous pouvez voir tous les groupes auxquels appartient un utilisateur. Cette option est utile pour auditer ou vérifier l'accès.

De plus, à partir d'un groupe, vous pouvez accéder à la section Membres et ajoutez plusieurs utilisateurs, équipes ou sous-groupes en utilisant le bouton droit et l'option correspondante. Par exemple, vous pouvez utiliser dsmod group -addmbr pour ajouter des membres en masse.

En vrac, PowerShell et des commandes comme dsmod group -addmbr vous permet d'ajouter automatiquement plusieurs membres.

Gérer plusieurs objets simultanément

À l'ADUC, vous pouvez sélectionner plusieurs utilisateurs et appliquer des modifications communes à tous (par exemple, modifier une description ou les ajouter à un groupe). Cela réduit les temps de création et de maintenance des utilisateurs dans les entreprises à forte rotation du personnel ou à embauche saisonnière.

Utilisation de la ligne de commande et de PowerShell

Pour les administrateurs avancés ou dans des environnements avec des centaines d'objets, PowerShell et les outils de ligne de commande sont essentiels. Certaines actions courantes incluent :

• dsquery: Rechercher des objets (utilisateurs, groupes, ordinateurs, OU, etc.).
• dsadd: Créer des objets.
• dsmod:Modifier les objets existants.
• dsrm: Supprimer des objets d'AD.

PowerShell, quant à lui, propose des applets de commande telles que :

• New-ADUser, Set-ADUser, Remove-ADUser
• Get-ADGroupMember, Add-ADGroupMember

L’un des avantages de PowerShell est que vous permet d'enregistrer des scripts réutilisables et afficher l'historique des commandes lors de l'utilisation de la console ADAC. Cela permet également gestion à distance en utilisant RSAT à partir d'un ordinateur client sans avoir à accéder directement au contrôleur de domaine.

Bonnes pratiques et recommandations

Lors de la gestion des utilisateurs et des groupes dans AD, il est recommandé de :

• Ne créez pas plus de groupes que nécessaire, pour éviter de surcharger le système d’autorisation.
• Utiliser les groupes comme principale méthode d'attribution d'autorisations, plutôt que d’accorder des autorisations directement aux utilisateurs individuels.
• Créer des comptes modèle pour les nouveaux ajouts avec des configurations standard.
• Utiliser noms descriptifs et cohérents entre les comptes, les groupes et les unités organisationnelles.

Une gestion ordonnée et systématique prévient les erreurs de sécurité, améliore les performances et réduit la charge administrative. Dans ce sens, il vaut la peine d’explorer Fichiers SYS sous Windows, qui peut fournir plus d'informations sur l'administration du système.

La gestion des utilisateurs et des groupes dans Active Directory n’est pas seulement une tâche fondamentale, mais également la base d’une infrastructure sécurisée et bien organisée. De la création et de la suppression de compte à l'automatisation avec des commandes ou des scripts, avoir un plan clair et suivre les meilleures pratiques garantit un environnement informatique plus efficace et plus robuste.

Article connexe:

Cinq des meilleurs programmes de gestion de fichiers iPad pour ordinateurs Windows

Isaac

Écrivain passionné par le monde des octets et de la technologie en général. J'aime partager mes connaissances à travers l'écriture, et c'est ce que je vais faire dans ce blog, vous montrer toutes les choses les plus intéressantes sur les gadgets, les logiciels, le matériel, les tendances technologiques et plus encore. Mon objectif est de vous aider à naviguer dans le monde numérique de manière simple et divertissante.