La gestion des groupes
Introduction
Une infrastructure Active Directory est une structure pourvue d’une multitude d’objets. Ces objets, toujours nombreux, doivent être organisés d’une manière harmonieuse pour permettre une meilleure gestion. En effet, une des grandes richesses de la technologie Active Directory réside dans sa capacité d’organisation de ses éléments intrinsèques, car un service d’annuaire digne de ce nom se doit de proposer aux informaticiens des moyens de disposition des objets très efficaces.
La notion de groupe Active Directory est intimement liée à celle d’organisation des objets, autrement dit à leur gestion. À travers la gestion de groupes Active Directory, les objets, tout en étant regroupés, pourront être administrés de façon plus centralisée.
Dans cette partie, nous présenterons ce qu’est un groupe Active Directory, puis nous étudierons quelques cmdlets issues du module Active Directory pour atteindre divers objectifs : lister les groupes existant au sein d’un domaine, créer un groupe, ajouter un compte d’utilisateur à un groupe et lister les membres appartenant à un groupe.
Qu’est-ce qu’un groupe Active Directory ?
Un groupe Active Directory est un objet d’annuaire existant dans un domaine donné, et résidant au sein d’un conteneur. Il est composé d’un ensemble d’objets appartenant à ces catégories :
-
Comptes d’utilisateurs ;
-
Comptes d’ordinateurs ;
-
Groupes ;
-
Contacts.
Lorsqu’un objet appartient à l’une de ces catégories et qu’il est affecté à un groupe, il devient membre de ce groupe. En outre, les groupes Active Directory simplifient très fortement l’administration des objets parce que l’attribution d’autorisations aux objets est globale, et non plus individuelle.
Un groupe Active Directory se définit notamment par une étendue et par un type :
-
L’étendue représente la portée qu’un groupe va avoir dans l’écosystème d’un domaine ou d’une forêt.
-
Le type va déterminer quant à lui si des modes d’attributions d’autorisations sont possibles.
Les étendues possibles sont au nombre de trois :
1. |
Locale de domaine : un groupe avec une telle portée ne peut recevoir des attributions d’autorisations qu’au sein du domaine où il réside. Les groupes avec cette portée peuvent contenir d’autres groupes à étendue... |
Lister les groupes existant dans un domaine
La première démarche à effectuer lors de la manipulation de groupes Active Directory est de connaître ceux existant au sein d’une infrastructure, ou du moins de connaître ceux existant dans la partie d’une infrastructure Active Directory dont nous avons la responsabilité. Cela permet une meilleure prise en considération de notre environnement, donc une meilleure maîtrise.
1. La cmdlet Get-ADGroup
Techniquement, c’est la commande Get-ADGroup qui nous aidera dans cette démarche avec Windows PowerShell. Get-ADGroup interroge une base de données Active Directory afin de lister un ou plusieurs objets de type groupe. Comme toutes les commandes ayant pour verbe le mot Get, la cmdlet Get-ADGroup est un outil de recherche très efficace, et ce grâce à un certain nombre de paramètres qu’il est intéressant de détailler :
Le paramètre -Filter
Spécifie une chaîne de requête utilisant des expressions Windows PowerShell et appliquant un filtre sur les groupes collectés.
Le paramètre -Identity
Spécifie un objet groupe à l’aide de valeurs multiples comme un nom SAM, une valeur GUID ou SID.
Le paramètre -LDAPFilter
Spécifie une chaîne de requête utilisant les expressions LDAP et appliquant un filtre sur les groupes collectés.
Le paramètre -Partition
Spécifie le nom de la partition Active Directory où un objet de type groupe défini avec le paramètre -Identity sera recherché.
Le paramètre -Properties
Spécifie des propriétés à afficher et n’étant pas incluses dans le jeu de propriétés par défaut.
Le paramètre -SearchBase
Spécifie un chemin d’accès Active Directory constituant le point de départ de la recherche.
Le paramètre -SearchScope
Spécifie une étendue de recherche (Base ou 0, OneLevel ou 1, Subtree ou 2) d’objets.
Le paramètre -Server
Spécifie l’instance AD DS à laquelle se connecter pour effectuer une recherche de groupes Active Directory.
2. Get-ADGroup en pratique
À partir du conteneur Users, très connu des administrateurs Active Directory, listons tous les groupes...
Créer un groupe
L’opération consistant à créer un groupe Active Directory présente, à l’instar de la création de comptes d’utilisateurs, un caractère récurrent. Créer un groupe Active Directory relève en effet, de par cet aspect, d’une certaine répétition, ce qui pose évidemment la question de l’automatisation. Ce n’est pas tout, créer un groupe Active Directory répond aussi à la nécessité de mieux organiser les objets existants, ce qui implique de savoir quels objets seront contenus dans un groupe.
1. La cmdlet New-ADGroup
Créer un groupe Active Directory avec Windows PowerShell est relativement simple si tant est que nous ayons pris en considération les problématiques susmentionnées. La commande New-ADGroup crée un groupe Active Directory en construisant un objet de type groupe avec les caractéristiques adéquates. Par cela, nous entendons que l’objet construit a des attributs définis à l’aide des paramètres de ladite commande.
Le paramètre -Description
Ce paramètre indique la description de l’objet groupe créé.
Le paramètre -GroupCategory
Ce paramètre spécifie la catégorie du groupe. Il y a deux valeurs possibles : Distribution ou 0 et Security...
Ajouter un objet utilisateur à un groupe
La création d’un groupe Active Directory est une première étape. Après celle-ci, il faut lui attribuer des membres, c’est-à-dire lier des objets en fonction des objectifs propres ayant mené à la création du groupe concerné. La section précédente est consacrée à la création du groupe Support Team ; dans cette section, un objet utilisateur est ajouté à ce groupe en nous servant de la cmdlet Add-ADGroupMember.
1. La cmdlet Add-ADGroupMember
La commande Add-ADGroupMember permet d’ajouter plusieurs types d’objets à un groupe Active Directory. Ces objets peuvent être de type :
-
Utilisateur
-
Groupe
-
Compte de service
-
Ordinateur
L’avantage de la commande Add-ADGroupMember réside principalement dans la multiplicité des types d’objets ajoutés. Ainsi, la complexité potentielle que peut revêtir un groupe Active Directory se retrouve dans cette cmdlet. Le nombre de ses paramètres est tout à fait réduit par rapport à d’autres cmdlets Active Directory. En voici les plus importants :
Le paramètre -Identity
Spécifie le groupe auquel un ou plusieurs objets doitvent être ajoutés.
Le paramètre -Members
Spécifie un ou plusieurs objets devant être ajoutés...
Lister les membres d’un groupe
Un groupe Active Directory, nous avons pu l’observer dans les sections précédentes, englobe d’autres objets dont le type peut varier. De prime abord, il est difficile de deviner ce qui constitue un groupe Active Directory sans étudier chacun de ses objets. Pour cela, il existe divers moyens de découvrir ce type de structure qui, par essence, est très dynamique.
1. La cmdlet Get-ADGroupMember
Get-ADGroupMember est un des moyens de visualiser le contenu d’un groupe Active Directory. Il s’agit d’une commande très efficace capable de nous livrer les éléments directs d’un groupe, mais aussi des éléments indirects. Par direct, nous entendons des objets enfants directement accessibles dans la hiérarchie où se situe un groupe particulier. Par indirect, nous entendons des objets enfants accessibles via d’autres groupes enfants existant dans la hiérarchie où se situe un groupe donné. Cette cmdlet est donc, en raison des perspectives qu’elle propose, très souvent utilisée lorsqu’il s’agit d’étudier le contenu d’un groupe Active Directory.
Le paramètre -Identity
Ce paramètre spécifie un objet groupe Active Directory. Plusieurs valeurs sont possibles : nom de compte SAM, GUID, DN, etc.
Le paramètre -Partition
Ce paramètre spécifie un nom de partition Active Directory où sera recherché le groupe identifié avec le paramètre -Identity.
Le paramètre -Recursive
Ce paramètre spécifie un mode de recherche récursif, c’est-à-dire que tous les objets, à partir d’une hiérarchie donnée, doivent être listés, à l’exception d’objets groupes contenant eux-mêmes des objets enfants (ceux-ci étant bien sûr listés).
Le paramètre -Server
Ce paramètre spécifie une instance AD DS à laquelle se connecter...