Dans ce chapitre, je vous invite à modéliser les différents groupes qui vous permettront de vous simplifier la vie. Au-delà de la simplification, les groupes permettent de centraliser les droits d’accès ou l’application de paramètres de sécurité.
L’exemple le plus parlant porte sur les imprimantes. Au sein d’une entreprise, plusieurs personnes ont besoin d’une imprimante. Plutôt que de configurer cette ressource manuellement, vous allez pouvoir regrouper les utilisateurs et décider de déployer une imprimante à tous les membres de ce groupe !
Apprenez à différencier les groupes
Avant de vous inviter à plonger dans la conception des groupes, je vous propose de découvrir les différents types de groupes qu’il est possible de mettre en œuvre au sein d’Active Directory.
Il est important, dans une stratégie d’annuaire, d’avoir défini, comme vous l’avez vu au chapitre précédent, quel type d’annuaire vous allez mettre en place.
Je vous ai proposé une forêt avec un domaine unique (le domaine racine). Maintenant que c’est fait, il faut vous intéresser à la portée de vos regroupements d’objets.
Il pourrait être intéressant de ne prévoir que des groupes contenant des membres issus de votre domaine ; on parle alors de groupe de type domaine local. Il y a cependant un problème.
Dans ce cas, il sera intéressant d’utiliser des groupes globaux. Ce type de groupe permet de gérer des ressources issues de différents domaines disposant d’une relation d’approbation.
Lorsque vos ressources peuvent être issues de tous les domaines au sein d’une forêt, vous utiliserez des groupes universels. Ce troisième type de groupe autorise des membres issus de n’importe quel domaine d’une forêt.
Enfin, il est possible de créer des groupes de sécurité, dont l’objectif est de gérer des droits d’accès, ou des groupes de distribution. Ce dernier type de groupe est principalement utilisé en lien avec le système de messagerie Exchange de Microsoft, afin de créer des listes de contacts dans le cadre d’une liste de diffusion.
Il convient donc de bien analyser la nature des regroupements dont vous aurez besoin, pour ne pas être bloqué tout au long du cycle de vie de votre annuaire.
Distinguez vos groupes
Une fois que la portée est définie, il est intéressant de se poser les questions suivantes :
Quelles sont les ressources qui vont être membres du groupe ?
S’agit-il d’utilisateurs, d’ordinateurs ?
Ces informations vont vous permettre de mettre en œuvre une nomenclature représentative de la portée et des types de membres d’un groupe !
Prenez l’exemple d’une imprimante : il est intéressant d’imaginer qu’elle pourrait être utilisée par des utilisateurs issus de différents domaines, donc avec une portée globale. C’est le cas ici avec une ressource matérielle, mais il en va de même avec les ressources humaines ou les ordinateurs !
Nommez vos groupes
En général, c’est une partie qui est négligée. Une bonne nomenclature est primordiale dans un annuaire. Cela permet d’identifier rapidement un objet et sa fonction. Les groupes n’échappent pas à cela. Ils sont d’autant plus pertinents qu’ils possèdent un nom remarquable.
En vous basant sur les points précédents, il est intéressant de préfixer les noms des groupes par leur portée ; par exemple : GDL, GG et GU pour groupe de domaine local (GDL), groupes globaux (GG) et groupes universels (GU).
Ainsi lors de l’attribution des droits d’accès, vous retrouverez facilement la portée de vos objets.
Le plus simple est de reprendre l’exemple de l’imprimante. Une imprimante sera cantonnée à un emplacement géographique et une entité. Le groupe qu’il est possible de créer sera donc GG_R_Imprimante_RDC.
De même pour les utilisateurs souhaitant disposer d’un accès internet. Un nom de groupe cohérent pourrait être GU_U_Accès-Internet. Vous retrouverez donc facilement qu’il s’agit d’un groupe universel d’utilisateurs ayant accès à internet !
En résumé
Les groupes sont des objets particuliers de votre annuaire qui vont permettre d’identifier rapidement des objets ressources.
Les groupes permettent de structurer un annuaire.
Les groupes ont une portée en lien avec la structure d’un annuaire.
Il est plus simple d’affecter des droits en regroupant les membres d’un même type.
Il existe 3 grands types de groupes :
les groupes de type domaine local. Ces groupes portent sur des objets se trouvant au sein d’un même domaine ;
les groupes de type global. Ces groupes portent sur des objets se trouvant dans des domaines disposant d’une relation d’approbation ;
enfin, les groupes de type universel. Ce dernier type porte sur toute la forêt !
Votre annuaire est maintenant parfaitement structuré. Félicitations ! Dans le prochain chapitre, vous allez pouvoir définir des droits à vos objets et groupes.
