Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

La gestion des groupes

Introduction

Une infrastructure Active Directory est une structure pourvue d’une multitude d’objets. Ces objets, toujours nombreux, doivent être organisés d’une manière harmonieuse pour permettre une meilleure gestion. En effet, une des grandes richesses de la technologie Active Directory réside dans sa capacité d’organisation de ses éléments intrinsèques, car un service d’annuaire digne de ce nom se doit de proposer aux informaticiens des moyens de disposition des objets très efficaces.

La notion de groupe Active Directory est intimement liée à celle d’organisation des objets, autrement dit à leur gestion. À travers la gestion de groupes Active Directory, les objets, tout en étant regroupés, pourront être administrés de façon plus centralisée.

Dans cette partie, nous présenterons ce qu’est un groupe Active Directory, puis nous étudierons quelques cmdlets issues du module Active Directory pour atteindre divers objectifs : lister les groupes existant au sein d’un domaine, créer un groupe, ajouter un compte d’utilisateur à un groupe et lister les membres appartenant à un groupe.

Qu’est-ce qu’un groupe Active Directory ?

Un groupe Active Directory est un objet d’annuaire existant dans un domaine donné, et résidant au sein d’un conteneur. Il est composé d’un ensemble d’objets appartenant à ces catégories :

  • Comptes d’utilisateurs ;

  • Comptes d’ordinateurs ;

  • Groupes ;

  • Contacts.

Lorsqu’un objet appartient à l’une de ces catégories et qu’il est affecté à un groupe, il devient membre de ce groupe. En outre, les groupes Active Directory simplifient très fortement l’administration des objets parce que l’attribution d’autorisations aux objets est globale, et non plus individuelle.

Un groupe Active Directory se définit notamment par une étendue et par un type :

  • L’étendue représente la portée qu’un groupe va avoir dans l’écosystème d’un domaine ou d’une forêt.

  • Le type va déterminer quant à lui si des modes d’attributions d’autorisations sont possibles.

Les étendues possibles sont au nombre de trois :

1.

Locale de domaine : un groupe avec une telle portée ne peut recevoir des attributions d’autorisations qu’au sein du domaine où il réside. Les groupes avec cette portée peuvent contenir d’autres groupes à étendue...

Lister les groupes existant dans un domaine

La première démarche à effectuer lors de la manipulation de groupes Active Directory est de connaître ceux existant au sein d’une infrastructure, ou du moins de connaître ceux existant dans la partie d’une infrastructure Active Directory dont nous avons la responsabilité. Cela permet une meilleure prise en considération de notre environnement, donc une meilleure maîtrise.

1. La cmdlet Get-ADGroup

Techniquement, c’est la commande Get-ADGroup qui nous aidera dans cette démarche avec Windows PowerShell. Get-ADGroup interroge une base de données Active Directory afin de lister un ou plusieurs objets de type groupe. Comme toutes les commandes ayant pour verbe le mot Get, la cmdlet Get-ADGroup est un outil de recherche très efficace, et ce grâce à un certain nombre de paramètres qu’il est intéressant de détailler :

Le paramètre -Filter

Spécifie une chaîne de requête utilisant des expressions Windows PowerShell et appliquant un filtre sur les groupes collectés.

Le paramètre -Identity

Spécifie un objet groupe à l’aide de valeurs multiples comme un nom SAM, une valeur GUID ou SID.

Le paramètre -LDAPFilter

Spécifie une chaîne de requête utilisant les expressions LDAP et appliquant un filtre sur les groupes collectés.

Le paramètre -Partition

Spécifie le nom de la partition Active Directory où un objet de type groupe défini avec le paramètre -Identity sera recherché.

Le paramètre -Properties

Spécifie des propriétés à afficher et n’étant pas incluses dans le jeu de propriétés par défaut.

Le paramètre -SearchBase

Spécifie un chemin d’accès Active Directory constituant le point de départ de la recherche. 

Le paramètre -SearchScope

Spécifie une étendue de recherche (Base ou 0, OneLevel ou 1, Subtree ou 2) d’objets. 

Le paramètre -Server

Spécifie l’instance AD DS à laquelle se connecter pour effectuer une recherche de groupes Active Directory.

2. Get-ADGroup en pratique

À partir du conteneur Users, très connu des administrateurs Active Directory, listons tous les groupes...

Créer un groupe

L’opération consistant à créer un groupe Active Directory présente, à l’instar de la création de comptes d’utilisateurs, un caractère récurrent. Créer un groupe Active Directory relève en effet, de par cet aspect, d’une certaine répétition, ce qui pose évidemment la question de l’automatisation. Ce n’est pas tout, créer un groupe Active Directory répond aussi à la nécessité de mieux organiser les objets existants, ce qui implique de savoir quels objets seront contenus dans un groupe.

1. La cmdlet New-ADGroup

Créer un groupe Active Directory avec Windows PowerShell est relativement simple si tant est que nous ayons pris en considération les problématiques susmentionnées. La commande New-ADGroup crée un groupe Active Directory en construisant un objet de type groupe avec les caractéristiques adéquates. Par cela, nous entendons que l’objet construit a des attributs définis à l’aide des paramètres de ladite commande.

Le paramètre -Description

Ce paramètre indique la description de l’objet groupe créé.

Le paramètre -GroupCategory

Ce paramètre spécifie la catégorie du groupe. Il y a deux valeurs possibles : Distribution ou 0 et Security...

Ajouter un objet utilisateur à un groupe

La création d’un groupe Active Directory est une première étape. Après celle-ci, il faut lui attribuer des membres, c’est-à-dire lier des objets en fonction des objectifs propres ayant mené à la création du groupe concerné. La section précédente est consacrée à la création du groupe Support Team ; dans cette section, un objet utilisateur est ajouté à ce groupe en nous servant de la cmdlet Add-ADGroupMember.

1. La cmdlet Add-ADGroupMember

La commande Add-ADGroupMember permet d’ajouter plusieurs types d’objets à un groupe Active Directory. Ces objets peuvent être de type :

  • Utilisateur

  • Groupe

  • Compte de service

  • Ordinateur

L’avantage de la commande Add-ADGroupMember réside principalement dans la multiplicité des types d’objets ajoutés. Ainsi, la complexité potentielle que peut revêtir un groupe Active Directory se retrouve dans cette cmdlet. Le nombre de ses paramètres est tout à fait réduit par rapport à d’autres cmdlets Active Directory. En voici les plus importants :

Le paramètre -Identity

Spécifie le groupe auquel un ou plusieurs objets doitvent être ajoutés.

Le paramètre -Members

Spécifie un ou plusieurs objets devant être ajoutés...

Lister les membres d’un groupe

Un groupe Active Directory, nous avons pu l’observer dans les sections précédentes, englobe d’autres objets dont le type peut varier. De prime abord, il est difficile de deviner ce qui constitue un groupe Active Directory sans étudier chacun de ses objets. Pour cela, il existe divers moyens de découvrir ce type de structure qui, par essence, est très dynamique.

1. La cmdlet Get-ADGroupMember

Get-ADGroupMember est un des moyens de visualiser le contenu d’un groupe Active Directory. Il s’agit d’une commande très efficace capable de nous livrer les éléments directs d’un groupe, mais aussi des éléments indirects. Par direct, nous entendons des objets enfants directement accessibles dans la hiérarchie où se situe un groupe particulier. Par indirect, nous entendons des objets enfants accessibles via d’autres groupes enfants existant dans la hiérarchie où se situe un groupe donné. Cette cmdlet est donc, en raison des perspectives qu’elle propose, très souvent utilisée lorsqu’il s’agit d’étudier le contenu d’un groupe Active Directory.

Le paramètre -Identity

Ce paramètre spécifie un objet groupe Active Directory. Plusieurs valeurs sont possibles : nom de compte SAM, GUID, DN, etc.

Le paramètre -Partition

Ce paramètre spécifie un nom de partition Active Directory où sera recherché le groupe identifié avec le paramètre -Identity.

Le paramètre -Recursive

Ce paramètre spécifie un mode de recherche récursif, c’est-à-dire que tous les objets, à partir d’une hiérarchie donnée, doivent être listés, à l’exception d’objets groupes contenant eux-mêmes des objets enfants (ceux-ci étant bien sûr listés).

Le paramètre -Server

Ce paramètre spécifie une instance AD DS à laquelle se connecter...