EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
· SSL/TLS Alert Protocol & the Alert Codes
· Intégration d'un serveur et Workstation Linux dans AD
· How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows
· Remove Windows.old From a Server
· Erreur slui.exe résoudre l'activation MS
· Enable the Disk Cleanup tool 2012R2
· Sysprep échoue Windows 10
· Échec d'ouverture de session par le service Service de profil utilisateur. Impossible de charger le profil utilisateur
· Installer la version UEFI de Windows 7 ou 8/10
· Check Secure Channel d'une machine
· Rearming Sysprep
· Windows 10 / 8 / 7 Search Indexer
· Comment supprimer un service orphelin proprement
· Rejoindre une machine qui a perdu sa relation d'approbation au domaine
· Changer le profil réseau sur 2012R2
· Comment utiliser l’Enregistreur d’actions utilisateur
· Impossible d'installer/supprimer un programme
· Nettoyer le dossier "WinSxS"
· MBR ou GPT ???
· Couches de transition IPV4-IPV6
· Un profil temporaire est chargé à la place du profil local ou itinérant
· Enregistrement des événements de diagnostic d'Active Directory
· Windows 2008 et 7 « God Mode »
· AD Users & Computers : afficher l'onglet "additional account info" sur OS 64 bits
· Compter les objets d'AD
· DNS Devolution
· Profil temporaire impossible de créer un nouveau !
· Account Lockout and Management Tools
· Les smilies au clavier
· Vérifier le Secure Channel pour une machine dans l'AD
· Faire une query AD en GUI sur Vista sans ouvrir une console dsa
· CheckblockerVistaSp1-XPsp3-IE8
· Failure code kerberos
· Afficher l'appartenance des groupes universels multi domaine pour un utilisateur
· checkIE7Blocker
· Les Groupes...!
· Ajout d'un ordinateur Macintosh dans un domaine AD
· Ouvrir une invité de commande à partir d'un dossier
· Déléguer la gestion des services
· Voir les périphériques cachés dans le Device Manager
· ProblèmesMulti-CartesRéseauxSurUnSrvDCouNonDC
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
Les Groupes...!
 

Groupes Windows NT

Exchange 5.5 exploite peu les groupes Windows NT ; Windows NT gère néanmoins deux types de groupes — les groupes de domaine locaux et les groupes de domaine globaux. Ces groupes possèdent des fonctions de sécurité associées mais pas de messagerie. Ils existent dans Windows 2000 assortis d'une fonctionnalité de messagerie ; une adresse de messagerie peut alors leur être associée (on dit alors que le groupe a une boîte aux lettres).

Groupes de domaine locaux

Les groupes de domaine locaux acceptent l'appartenance depuis un domaine approuvé quelconque, mais l'étendue est limitée au domaine local. Ils permettent d'attribuer des autorisations à une ressource existant dans le même domaine que le groupe. Un membre du groupe issu d'un domaine approuvé (en dehors du domaine local) peut alors accéder à la ressource. Par exemple, une ressource existe dans le domaine A et le domaine B est un domaine approuvé. Vous pouvez utiliser un groupe de domaine local pour accorder aux utilisateurs issus du domaine A et du domaine B l'accès à cette ressource. Toutefois, vous ne pouvez pas utiliser un groupe de domaine local du domaine A pour attribuer des autorisations à une ressource du domaine B, car les étendues des groupes de domaine locaux sont valides uniquement dans le domaine local, à savoir le domaine A.

Groupes de domaine globaux

Les groupes de domaine globaux sont limités aux membres du domaine local, mais leur étendue est globale. Un groupe de domaine global permet d'accorder aux membres des domaines locaux l'accès aux ressources de n'importe quel domaine. Par exemple, un groupe existe dans le domaine A ; vous pouvez utiliser un groupe de domaine global pour permettre aux utilisateurs du domaine A d'accéder à une ressource du domaine B. Toutefois, vous ne pouvez pas accorder aux utilisateurs du domaine B l'accès à cette ressource, car les groupes de domaine globaux accordent uniquement l'appartenance au utilisateurs du domaine local, à savoir le domaine A.

Groupes Exchange 2000(03)

Exchange 2000(3) repose entièrement sur Windows 2000(3), tant au niveau des groupes de distribution des messages électroniques que des groupes de sécurité. Les listes de distribution Exchange n'existent plus.

Groupes Windows 2000(03)

Types de groupes

Windows 2000(3) prend en charge les deux types de groupes Windows NT, auxquels s'ajoute la fonctionnalité de messagerie. La conception des groupes Windows 2000 a été revue en ce sens que les groupes peuvent fonctionner comme des groupes de sécurité (comme c'est déjà le cas dans Windows NT) ou des groupes de distribution (groupes ayant une boîte aux lettres). Tous les groupes Windows 2000 peuvent avoir l'un ou l'autre de ces types, ou les deux, mais seul un groupe de sécurité peut attribuer aux utilisateurs des autorisations d'accès aux ressources.

Groupes de domaine locaux

Les groupes de domaine locaux dans Windows 2000 fonctionnent de la même façon que dans Windows NT, à cette différence près que dans Windows 2000, vous avez des groupes de distribution et des groupes de sécurité. Les attributs des groupes ayant une étendue de domaine locale sont les suivants :

Dans un domaine en mode natif, les groupes contiennent des comptes d'utilisateur, des groupes globaux et des groupes universels issus de n'importe quel domaine de la forêt, ainsi que des groupes de domaine locaux issus du même domaine.

Dans un domaine en mode mixte, les groupes contiennent des comptes d'utilisateur et des groupes globaux issus de n'importe quel domaine.

Vous pouvez attribuer des autorisations aux groupes de domaine locaux, uniquement sur les objets du domaine dans lequel le groupe de domaine local existe. Vous ne pouvez pas accorder d'autorisations aux ressources du réseau ou aux dossiers publics d'autres domaines.

Vous pouvez convertir un groupe en groupe universel lorsque celui-ci existe dans un domaine en mode natif, étant entendu qu'il n'existe pas d'autre groupe de domaine local imbriqué.

L'objet groupe figure dans le catalogue global, contrairement à l'appartenance au groupe.

Les utilisateurs Microsoft Outlook® des autres domaines ne peuvent pas afficher l'appartenance complète.

L'appartenance au groupe doit être récupérée sur demande si l'extension a lieu dans un domaine distant.


Groupes de domaine globaux

Les groupes de domaine globaux limitent l'appartenance au domaine local dans lequel le groupe réside, mais leur étendue est globale. Ils peuvent être référencés dans des listes de contrôle d'accès des ressources de n'importe quel domaine. Un seul niveau d'imbrication est accepté. En d'autres termes, des groupes globaux peuvent appartenir à un groupe global parent, mais seulement si les groupes globaux membres ne possèdent pas de groupes globaux membres. Les attributs des groupes globaux sont les suivants :

Les groupes globaux des domaines en mode natif contiennent des comptes d'utilisateur et des groupes globaux provenant du même domaine.

Les groupes globaux des domaines en mode mixte contiennent des comptes d'utilisateur provenant du même domaine.

Vous pouvez accorder des autorisations aux groupes globaux de tous les domaines de la forêt, indépendamment de l'emplacement du groupe global.

Un groupe global d'un domaine en mode natif peut être converti en groupe universel s'il n'appartient pas à un autre groupe global.

Les groupes globaux contiennent uniquement des objets destinataires provenant du même domaine.

L'objet groupe figure dans le catalogue global, contrairement à l'appartenance au groupe.

Les utilisateurs de Microsoft Outlook d'autres domaines ne peuvent pas afficher l'appartenance complète.

L'appartenance au groupe doit être récupérée sur demande si l'extension a lieu dans un domaine distant.

Groupes universels

Windows 2000 introduit un troisième groupe : le groupe universel. Les groupes universels se comportent presque comme les listes de distribution Exchange 5.5. Leurs attributs sont les suivants :

Les groupes universels d'un domaine en mode natif contiennent des comptes d'utilisateur et des groupes globaux provenant de n'importe quel domaine, ainsi que des groupes universels issus d'un domaine de la forêt.

Les groupes universels de type sécurité, appelés groupes de sécurité universels (USG, Universal Security Groups), sont utilisés exclusivement dans les domaines en mode natif ; les groupes universels de type distribution, appelés groupes de distribution universels (UDG, Universal Distribution Groups ), sont utilisés dans les domaines en mode mixte et en mode natif.

Vous pouvez accorder des autorisations aux groupes universels pour tous les domaines de la forêt, indépendamment de l'emplacement du groupe universel.

Les groupes universels ne peuvent pas être convertis dans une autre étendue de groupe.

Les utilisateurs de Microsoft Outlook de n'importe quel domaine voient l'appartenance complète.

L'appartenance ne doit jamais être récupérée des contrôleurs de domaine distants.

Les modifications d'appartenance génèrent la réplication vers d'autres serveurs du catalogue global.

Remarque : Dans un environnement monodomaine ou lors du déploiement de tous les serveurs Exchange du même domaine, il n'est pas nécessaire d'utiliser les groupes universels. Ceci est dû au fait que l'étendue et l'appartenance aux domaines, fournies par les groupes universels, ne sont pas nécessaires dans un environnement de ce type.

Utilisation des groupes de distribution universels

Les groupes de distribution universels sont utilisés dans les mêmes instances dans lesquelles vous avez utilisé les listes de distribution Exchange dans un environnement Exchange 5.5. Permettant la distribution des messages, ils sont disponibles dans tous les domaines et visibles à tous les utilisateurs de Microsoft Outlook. Toutefois, si votre liste de distribution a fonctionné comme une liste de contrôle d'accès à un dossier public, ce type de groupe n'est pas adapté. Seuls les groupes de sécurité peuvent accorder des autorisations aux dossiers publics, c'est pourquoi vous devez les utiliser.

Utilisation des groupes de sécurité universels

Les groupes de sécurité universels ressemblent aux listes de distribution Exchange 5.5 utilisées comme listes de contrôle d'accès aux dossiers publics. Ils permettent d'attribuer des autorisations à un dossier public et de conserver l'appartenance et l'étendue dans toute l'organisation. La création d'un groupe de sécurité universel n'est possible que dans un domaine en mode natif, mais vous pouvez utiliser une appartenance en mode mixte. Étant donné que les groupes de sécurité universels acceptent les membres provenant de domaines en mode mixte, il n'est pas nécessaire de mettre à niveau votre environnement complet pour pouvoir les utiliser.

Article N° 121, du 27.09.2006, par Alain Gremaud
URL de cet article : http://winad.epfl.ch/?article=121

© 2017 VPSI - EXAPP - TC