Implémentation de comptes d’utilisateurs, de groupes et d’ordinateurs

Compte d’utilisateur Un compte d’utilisateur permet à un utilisateur physique d’ouvrir une session unique sur le domaine et d’accéder aux ressources partagées. Il existe trois types de comptes d’utilisateurs, chacun ayant une fonction spécifique : 1)Un compte d’utilisateur local permet à un utilisateur d’ouvrir une session sur un ordinateur spécifique pour accéder aux ressources sur cet ordinateur. 2)Un compte d’utilisateur de domaine permet à un utilisateur de se connecter au domaine pour accéder aux ressources réseau, ou à un ordinateur individuel pour accéder aux ressources sur cet ordinateur. 3)Un compte d’utilisateur intégré permet à un utilisateur d’effectuer des tâches d’administration ou d’accéder temporairement aux ressources réseau. Compte d’ordinateur :Un compte d’ordinateur permet d’identifier un ordinateur physique dans un domaine par le biais d’un mécanisme d’authentification. Il est possible d’activer l’audit de l’accès d’un compte d’ordinateur aux ressources du domaine. Compte de groupe : Un compte de groupe permet de simplifier l’administration en regroupant des comptes d’utilisateurs, d’ordinateurs ou bien d’autres comptes de groupes. Un utilisateur peut être membre de plusieurs groupes. Les groupes se différencient de par leur type et de par leur étendue. Il existe deux types de groupes dans Active Directory : Les groupes de sécurité : Vous utilisez des groupes de sécurité pour affecter des droits et des autorisations aux groupes d’utilisateurs et d’ordinateurs. Les droits déterminent les fonctions que les membres d’un groupe de sécurité peuvent effectuer dans un domaine ou une forêt. Les autorisations déterminent quelles ressources sont accessibles à un membre d’un groupe sur le réseau. Une méthode d’utilisation efficace des groupes de sécurité consiste à utiliser l’imbrication, c’est à dire, ajouter un groupe à un autre groupe. Le groupe imbriqué hérite des autorisations du groupe dont il est membre, ce qui simplifie l’affectation en une fois des autorisations à plusieurs groupes, et réduit le trafic que peut engendrer la réplication de l’appartenance à un groupe. Les groupes de distribution : Vous pouvez utiliser des groupes de distribution uniquement avec des applications de messagerie, telles que Microsoft Exchange, pour envoyer des messages à un ensemble d’utilisateurs. La sécurité n’est pas activée sur les groupes de distribution, ce qui signifie qu’ils ne peuvent pas être répertoriés dans des listes de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List). Pour contrôler l’accès aux ressources partagées, créez un groupe de sécurité. Etendue des groupes: L’étendue d’un groupe détermine la manière dont les permissions sont assignées à ses membres. Les groupes Windows Server 2003, qu’ils soient de type sécurité ou distribution, sont classifiés en trois étendues de groupe possibles : Domaine local, globale et Universelle.