Вы находитесь на странице: 1из 25

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Titre du document

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION


SECTEUR NTIC

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION


SECTEUR NTIC

Gestion des comptes de groupe

Sommaire
1.

Qu'est-ce qu'un groupe......................................................................2


1.1. Groupes prdfinis sur un ordinateur local.........................................2
1.1.1.
Groupes prdfinis standards....................................................3
1.1.2.
Groupes prdfinis Groupes Prdfinis Spciaux ou Groupes dits
Systmes............................................................................................5
1.1.3.
Cration dun groupe................................................................5
1.1.4.
Stratgie d'utilisation de groupes locaux dans un groupe de travail. 6
2.
Gestion des Groupes dans un Domaine................................................7
3.
Types de groupes..............................................................................8
4.
Etendues de groupe..........................................................................8
4.1. Groupe global................................................................................8
4.2. Groupe de domaine local.................................................................9
4.3. Groupes Universels........................................................................9
4.4. Imbrication de groupes...................................................................9
4.5. Mthodologies dutilisation des groupes selon Microsoft.....................11
5.
Groupes par dfaut.........................................................................13
5.1. Sur les serveurs Contrleurs de Domaine........................................13
5.1.1.
Groupes prdfinis.................................................................13
5.1.2.
Groupes intgrs tendue de domaine locale...........................15
5.1.3.
Schma d'imbrication des groupes et comptes utilisateurs dans un
domaine 18
5.2. Sur tous les ordinateurs................................................................18
5.2.1.
Groupes spciaux...................................................................18
5.3. Cration de groupes.....................................................................20

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
1 - 25

Gestion des comptes de groupe

1.Qu'est-ce qu'un groupe


Un groupe est un ensemble de comptes d'utilisateurs. Cette notion permet de
simplifier la gestion des autorisations et des droits sur les ressources partages.
Il est en effet plus rapide et plus sr de donner des autorisations un groupe
d'utilisateurs sur un partage que de le faire utilisateur par utilisateur. Un mme
utilisateur peut tre membre de plusieurs groupes.
Simplifie ladministration
Ensemble de comptes utilisateurs avec des besoins identiques au
niveau administration
Plus facile de donner des permissions au groupe quindividuellement
chaque utilisateur
Les permissions et droits imputs un groupe sont affects tous
les utilisateurs de ce groupe
Un utilisateur peut faire partie de plusieurs groupes
sur un serveur membre/autonome ou une station un seul type de groupe peut
tre cr, ce sont des groupe locaux

1.1.

Groupes prdfinis sur un ordinateur local

Lors de linstallation de W2003 Server (serveurs membres/autonomes) des


groupes appels prdfinis sont automatiquement crs.
Ils possdent des droits prdtermins pour raliser certaines tches sur le micro
local/ sauvegardes, administration et gestion des ressources et ils ne peuvent
pas tre supprims

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
2 - 25

Gestion des comptes de groupe

1.1.1.

Groupes prdfinis standards

Groupes dfinis standard sur ordinateur local

Administrateurs:
Les membres peuvent raliser toutes les tches dadministration du micro.
A linstallation seul le compte Administrateur en fait partie.
Lorsque votre station/serveur autonome intgre un domaine, vous constatez
que le groupe Global administrateurs du domaine est automatiquement
intgr au groupe local administrateurs de votre station ou serveur. Les
administrateurs du domaine pourront grer toutes les stations de leur
domaine.
Identificateur de scurit (S-1-5-32-544)

Invits:
Utilisation occasionnelle avec un minimum de droits
Par dfaut le compte Invit est inclus dans ce groupe
Identificateur de scurit (S-1-5-32-546)

Oprateurs de sauvegardes
Les membres grent les sauvegardes et restauration des donnes avec le
Gestionnaire de sauvegarde de W2003.
Identificateur de scurit (S-1-5-32-551)
Utilisateurs
Ds que vous crez un compte utilisateurs il fait partie de ce groupe.
Excutent les tches que vous avez indiques
Naccdent quaux ressources auxquelles vous avez donn des permissions.
Lorsque votre station/serveur autonome intgre un domaine, vous constatez
que le groupe Global utilisateurs du domaine est automatiquement intgr au
groupe utilisateurs de votre poste.
Identificateur de scurit (S-1-5-32-545)
Utilisateurs avec pouvoir
Les membres de ce groupe peuvent partager les ressources, crer et
modifier les comptes utilisateurs de la SAM locale.

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
3 - 25

Gestion des comptes de groupe

Peuvent effectuer des tches administratives sans avoir un contrle total sur
la machine.
Identificateur de scurit (S-1-5-32-547)
Oprateurs dimpression :
Les membres peuvent grer, crer, partager des imprimantes. Ils peuvent
aussi installer/supprimer les pilotes dimprimantes. Il ne contient aucun
membre par dfaut.
Identificateur de scurit (S-1-5-32-550)
Oprateurs de configuration rseau :
Les membres peuvent modifier tous les paramtres rseau du micro,
renouveler ou librer une adresse IP dynamique, activer/dsactiver un
interface ou crer une connexion daccs distant ou rseau. Il ne contient
aucun membre par dfaut.
Identificateur de scurit (S-1-5-32-556)

Utilisateurs des journaux de performances


Les membres de ce groupe peuvent utiliser ou modifier les compteurs,
alertes et journaux de performances pour surveiller ou diagnostiquer un
dysfonctionnement du micro local ou distance. Ils peuvent aussi utiliser le
moniteur systme. Par dfaut le groupe Systme Rseau est membre de ce
groupe.
Identificateur de scurit (S-1-5-32-559)
Utilisateurs de lAnalyseur de performances
Les membres de ce groupe peuvent utiliser le moniteur systme situ dans
lanalyseur de performances localement ou distance. Par contre la
modification des journaux de performances leur est interdite. Aucun membre
par dfaut.
Identificateur de scurit (S-1-5-32-558)

Utilisateurs du Bureau distance


Les membres de ce groupe peuvent ouvrir une session de type Terminal
serveur sur le micro partir du moment ou la fonctionnalit bureau distance
est active. Les membres peuvent tre aussi grs par la configuration du
bureau distance. Aucun membre par dfaut.
Identificateur de scurit (S-1-5-32-555)

Dautres groupes sont crs en fonction des services installs:


Administrateurs DHCP:
les membres de ce groupe peuvent administrer le service DHCP.

Utilisateurs Terminal Server:


Les utilisateurs ayant ouvert une session Terminal Server font partie de ce
groupe.
Utilisateurs Wins:

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
4 - 25

Gestion des comptes de groupe

les utilisateurs de ce groupe ont accs en lecture seule aux informations du


service Wins.

1.1.2.
Groupes prdfinis Groupes Prdfinis Spciaux
ou Groupes dits Systmes.
Ils existent sur tous les ordinateurs de W2003. Ce sont des groupes non
administrables car ils l sont grs par le Systme dExploitation.
Ils Reprsentent les utilisateurs dans des circonstances particulires tel laccs
des ressources partages ou certains ordinateurs du rseau.

Tout le Monde :
Inclus tous les utilisateurs, ceux que vous avez crs, le compte invit plus
les autres utilisateurs des domaines.
Dispose par dfaut la permission contrle total lorsque vous partagez une
ressource.
Identificateur de scurit (S-1-1-0)
Utilisateurs authentifis:
Inclus tout utilisateur possdant un compte dutilisateur et un mot de passe
pour la machine locale ou Active Directory. Donnez de prfrence des
permissions ce groupe plutt quau groupe Tout le Monde.
Identificateur de scurit (S-1-5-11)

Crateur Propritaire
Inclus toute personne ayant cr ou pris possession dune ressource, est
membre de ce groupe pour la ressource concerne
Il possde les pleins pouvoirs sur cette ressource.
Identificateur de scurit (S-1-3-0)

Rseau
Inclus toute personne accdant une ressource par le rseau
Identificateur de scurit (S-1-5-2)

Interactif
Tous les utilisateurs qui ont ouvert une session localement sont membres de
ces groupes
Identificateur de scurit (S-1-5-4)

1.1.3.

Cration dun groupe.

Ce sont des Groupes locaux car ils sont prsents uniquement sur des
ordinateurs non membres dun domaine.
Ils permettent le contrle d'accs aux ressources du micro local
Ils ralisent des tches systme pour l'ordinateur local
Les groupes locaux ne peuvent contenir que des comptes d'utilisateur
locaux prsents sur le micro o les groupes sont crs
Un Groupe Local ne peut pas tre membre d'un autre groupe

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
5 - 25

Gestion des comptes de groupe


Crs par les utilisateurs membres des groupes Administrateurs et
Oprateurs de compte de l'ordinateur local.
Un groupe local (a ne pas confondre avec le groupe de domaine local) est un
groupe cr sur un ordinateur serveur Windows 2003 membre ou autonome. Il
permet d'accorder aux membres du groupe des autorisations aux ressources de
l'ordinateur sur lequel le groupe a t cr l'aide de la console "Gestion de
l'ordinateur".

1.1.4.
Stratgie d'utilisation de groupes locaux dans un
groupe de travail

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
6 - 25

Gestion des comptes de groupe

2.Gestion des Groupes dans un Domaine


Rappels :
Groupe de Travail
Crs sur des ordinateurs non contrleurs de domaine
Rsident dans le Gestionnaire de comptes de scurit (SAM)
Permettent de contrler l'accs aux ressources de l'ordinateur
Domaines
Crs sur des contrleurs de domaine
Rsident dans Active Directory
Contrlent les ressources du domaine

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
7 - 25

Gestion des comptes de groupe

3.Types de groupes
Il excite deux types de groupes, les groupes de scurit, grs par Windows
2003, rpondant des objectifs de scurit et les groupes de distributions
grs par certaines applications rcentes, par exemple des applications de
messagerie qui utilisent de listes de distribution et s'appuient sur Active
Directory.

Types et tendues de groupes.

4.Etendues de groupe
Les tendues de groupes permettent d'utiliser les groupes de domaine de
manire diffrente pour attribuer les autorisations. On cre ces groupes avec la
console "Utilisateurs et ordinateurs Active Directory" dans "Outils
d'administration"
Sur les serveurs Windows 2003 contrleurs de domaine, il existe 3 types
d'tendues :

4.1.

Groupe global

Groupe Global.

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
8 - 25

Gestion des comptes de groupe

4.2.

Groupe de domaine local

Groupe de domaine local.

4.3.

Groupes Universels

Groupe universel.

4.4.

Imbrication de groupes

Un groupe peut contenir un autre groupe dans la limite des rgles ci-dessous. En
mode natif1, le nombre de niveaux d'imbrication est thoriquement illimit, mais

Mode natif : C'est le mode d'un serveur qui ne communique qu'avec d'autres serveurs
Windows 2003 (Utilisation d'Active Directory seulement). Le mode mixe suppose qu'il existe encore
sur le rseau des serveurs NT 3.51 ou 4 (utilisation de WINS).

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
9 - 25

Gestion des comptes de groupe


dans la pratique, il est sage pour des raisons de complexit de gestion de se
limiter un nombre minimum de niveaux.

Etendue de
groupe
Globale

De domaine locale

Universelle

En mode natif, l'tendue En mode mixte, l'tendue


peut contenir les
peut contenir les lments
lments suivants :
suivants :

Comptes
Utilisateurs issus du
utilisateurs
mme domaine

Groupes globaux
issus
du
mme
domaine

Compte utilisateurs
Comptes utilisateurs

Groupes universels
Groupes
globaux

Groupes
globaux
issus de n'importe
quel domaine
issus de n'importe
quel domaine

Groupes de
domaines locaux
issus
du
mme
domaine

Comptes
Les
groupes
universels
utilisateurs
n'existent pas en

Autres groupes
mode mixte.
universels

Groupes globaux
issus de n'importe quel
domaine

Rgles d'appartenance un groupe.

Groupes globaux et groupes de domaine locaux imbriqus.

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
10 - 25

Gestion des comptes de groupe

Groupes globaux imbriqus dans un groupe de domaine local.

4.5. Mthodologies dutilisation des groupes selon


Microsoft
A
G
DL
U
P

(Account)

Compte dutilisateur

(Global group)

Groupe Global

(Domain Local Group)

Groupe Local de domaine

(Universal Group) Groupe Universel


(Permissions)

Droits et autorisations

Mthode A, G, P
Mthode ou vous devez inclure les comptes utilisateurs dans un groupe global
puis donner les autorisations et privilges sur ce mme groupe global.

Avantages:

Simplicit surtout pour lattribution de droits


Adapt pour Domaine Unique.
Utilis avec un faible nombres dutilisateurs et avec des
contraintes autorisations faibles.

Inconvnients:

Gestion difficile en cas de domaines multiples


Ralentissement des performances car le serveur doit vrifier
les appartenances de groupe global chaque connexion dun
utilisateur

Mthode A, DL, P

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
11 - 25

Gestion des comptes de groupe

Mthode o vous devez inclure les comptes utilisateurs dans un groupe local de
domaine puis donner les autorisations et privilges sur ce mme groupe local de
domaine.

Avantages:
Mthode peu recommande, mais adapte pour Domaine
Unique et qui nvoluera pas vers une fort multi domaine Utilis avec un
faible nombres dutilisateurs do sa simplicit grer un seul type de groupe
facilitant les diagnostics et la dtermination des droits effectifs.

Inconvnients: manque de flexibilit et dvolution de la structure pas de


possibilit daffecter des autorisations sur le groupe en dehors du domaine
pas possible dutiliser ces groupes pour grer les ressources partages par
des serveurs membres sous NT4.

Mthode A, G, DL, P
Mthode o vous devez inclure les comptes utilisateurs dans un groupe
Global, puis les groupes globaux dans un groupe local, puis donner les
autorisations et privilges sur ce mme groupe local de domaine.

Mthode A, G, DL, P

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
12 - 25

Gestion des comptes de groupe

Avantages:
Mthode sadapte toutes les structures de domaine (mono
ou multi domaine).Permet la rduction des temps dadministration car les
autorisations sont exclusivement gres par les groupes locaux de domaines
tandis que les users appartiennent aux groupes globaux.Mthode applicable
quel que soit le mode fonctionnel du domaine.
Inconvnients: Sa complexit de mise en uvre pour les administrateurs.
Pas vident mettre en uvre.
Mthode A, G, U, DL, P

Mthode o vous devez inclure les comptes utilisateurs dans un groupe Global,
puis les groupes globaux dans un groupe universel, ce groupe universel dans un
groupe local de domaine, puis donner les autorisations et privilges sur ce
mme groupe local de domaine.

Avantages:

Mthode sadapte toutes les structures de domaine (mono


ou multi domaine).
Permet la rduction des temps dadministration (comme
prcdemment).
Permet de mutualiser des besoins dj dfinis dans un groupe
global, par limbrication de celui-ci dans un autre groupe
global ou universel fdrateur.
Mthode applicable quel que soit le mode fonctionnel du
domaine.
Inconvnients:Sa complexit de mise en uvre pour les administrateurs.
Pas vident mettre en uvre.

5.Groupes par dfaut


Windows 2003 comporte un certain nombre de groupes par dfaut. Ils disposent
d'appartenances d'autres groupes et de droits d'utilisateurs prdfinis. Ces
droits dfinissent des tches administratives que les membres de ces groupes
peuvent accomplir.

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
13 - 25

Gestion des comptes de groupe

5.1.

Sur les serveurs Contrleurs de Domaine

5.1.1.

Groupes prdfinis

Lors de la cration du premier serveur Active Directory, Windows 2003


cre dans le dossier User de la console "Utilisateurs et ordinateurs
Active Directory" un certain nombre de groupes globaux.

Groupes prdfinis du Domaine

Groupe
global
prdfini

Description

Ce groupe global est imbriqu automatiquement au groupe


de domaine local intgr Administrateurs afin que ses
Admins
du membres puissent effectuer des tches administratives sur
n'importe quel ordinateur du domaine. Par dfaut le compte
domaine
utilisateur Administrateur est membre du groupe Admins
du domaine
Ce groupe est imbriqu dans le groupe de domaine local
Invits
du
intgr Invits. Par dfaut le compte utilisateur Invit est
domaine
membre du groupe Invits du Domaine.
Utilisa. du domaine Tous les comptes dutilisateurs que vous crez font partie
par dfaut de ce groupe.
Ce groupe est imbriqu dans le domaine local intgr
Utilisateurs. Les membres de ce groupe ralisent les
tches spcifies et ils nont accs quaux ressources dont
affectes au niveau du groupe local de domaine
utilisateurs. Par dfaut les comptes utilisateurs suivants
sont membres du groupe Utilisa du domaine.

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
14 - 25

Gestion des comptes de groupe


Administrateur
Invit
IUSR_nom_ordinateur,
IWAM_nom_ordinateur
Krbtgt
TsInternetUser
Tout nouvel utilisateur

Les utilisateurs faisant partie de ce groupe possdent des


droits dadministrateurs sur toute la fort (et non plus
uniquement sur le domaine). Ils peuvent aussi modifier le
Administrateurs
schma et la topologie des sites active Directory. Par dfaut
de l'entreprise
le compte administrateur du premier contrleur de domaine
de la fort fait partie de ce groupe. Ce groupe global est
modifi en groupe universel lorsque le domaine est en
mode natif Windows 2000 ou 2003.
Les utilisateurs faisant partie de ce groupe possdent des
droits pour modifier le Schma Active Directory. Ils peuvent
Administrateurs
ajouter ou supprimer toute classe ou attribut dobjet. Ce
du schma
groupe global est modifi en groupe universel lorsque le
domaine est en mode natif W2000 ou W2003.
Il contient tous les comptes dordinateurs des contrleurs
Contrleurs
de du domaine. Il permet la gestion des besoins spcifiques
domaine
aux contrleurs du domaine car en gnral ils sont
diffrents des besoins des autres ordinateurs membres.
Propritaires
Le compte Administrateur fait automatiquement partie de
crateurs de la ce groupe. Tous les membres de ce groupe sont le
stratgie
de regroupement des crateurs/propritaires des stratgies de
groupe
groupe permettant la modification de celles-ci.
Les membres de ce groupe peuvent inscrire ou modifier un
DnsUpdateProxy
enregistrement dans les zones DNS intgre Active
Directory.
Figure 1 : Groupes globaux prdfinis.

5.1.2.

Groupes intgrs tendue de domaine locale

Des groupes intgrs dots d'une tendue de domaine locale sont crs par
Windows 2003 dans le dossier "Builtin" de la console "Utilisateurs et
ordinateurs Active Directory". Les utilisateurs membres de ces groupes se
voient autoriser assurer des tches administratives sur les contrleurs de
domaine et sur Active Directory.

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
15 - 25

Gestion des comptes de groupe

Groupes intgrs dots d'une tendue de domaine locale

Groupe de domaine
local intgr

Description

Les membres de ce groupe peuvent crer, supprimer et


modifier les comptes d'utilisateurs et de groupes. Ils
Oprateurs
de
ne peuvent agir sur les groupes Administrateurs et les
compte
groupes d'oprateurs (Oprateurs de sauvegarde ou
d'impression)
Les membres de ce groupe peuvent effectuer
l'ensemble des tches administratives sur les
contrleurs de domaine et sur le domaine. Par dfaut
sont membres de ce groupe :
Administrateurs
Le compte utilisateur Administrateur
Groupe global prdfini Admins du domaine
Groupe global prdfini Administrateurs de
l'entreprise
Les membres de ce groupe peuvent sauvegarder et
Oprateurs de
restaurer tous les contrleurs de domaine l'aide de
l'utilitaire "Gestion de sauvegarde" de Windows
sauvegarde
2003.
Les membres de ce groupe ont des droits restreints qui
leur ont t accords par les Administrateurs. Ce
groupe contient par dfaut les membres suivants :
Comptes Utilisateurs Invits
Invits
IUSR_nom_d'ordinateur
IWAM_nom d'ordinateur
TsInternetUser
Groupe global prdfini Invits du domaine
Accs
compatible Les membres de ce groupe se voient accorder les
Pr-Windows 2000 autorisations de lecture. Le groupe Pr-Windows 2003

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
16 - 25

Gestion des comptes de groupe

Oprateurs
d'impression

Duplicateurs
Oprateurs
serveur

Utilisateurs

Tout le monde fait partie par dfaut de ce groupe.


Les membres de ce groupe peuvent configurer et grer
les imprimantes du rseau sur les contrleurs de
domaine.
Les membres de ce groupe assurent la rplication
d'annuaire. Le seul membre de ce groupe est un
compte utilisateur systme. Il ne faut pas ajouter
d'autres utilisateurs ce groupe.
Les membres de ce groupe peuvent partager les
de
ressources disques et assurer les sauvegardes et
restauration sur un contrleur de domaine.
Les membres de ce groupe ne peuvent effectuer que
les tches qui leur sont assignes et ne possdent que
les autorisations qui leur ont t attribues. Par dfaut,
les groupes suivant font partie de ce groupe
Groupe Pr-Windows 2003 INTERACTIF
Groupe
Pr-Windows
2003
Utilisateurs
authentifis
Utilisateurs du domaine

Les membres de ce groupe ont accs lattribut


Gnrateurs daccs tokenGroupsGlobalAndUniversal sur les objets
utilisateur. Ils ont aussi la possibilit de consulter les
dautorisation
appartenances de groupes pour les comptes
Windows
dutilisateurs. Par dfaut lentit spciale Enterprise
Domain Controlers est membre de ce groupe.
Serveurs de licences Les membres de ce groupe peuvent grer les
des
services attributions de licences Terminal Server

Terminal Server
Utilisateurs
journaux
performances

des
de

Utilisateurs
moniteur
performances

du
de

Les membres de ce groupe peuvent dfinir ou modifier


les compteurs, alertes et journaux de performances
pour diagnostiquer un dysfonctionnement de votre
micro local ou distant. Ils peuvent utiliser le moniteur
systme. Le groupe systme Service Rseau est
membre par dfaut.
Les membres de ce groupe peuvent utiliser le moniteur
systme de lanalyseur de performances localement
ou distance. Il ne possde aucun membre
Les membres de ce groupe peuvent ouvrir une session

Utilisateurs
du de type Terminal Server sur le micro condition que
la fonctionnalit du Bureau distance soit active.
bureau distance
Aucun membre par dfaut.

Vous avez aussi des Groupes locaux de domaine dans le conteneur Users. Ces
groupes proviennent de la migration de la base locale dorigine et/ou sont
ajouts en fonction de linstallation de certains services ou applications.

Groupe de domaine
local dans le
conteneur Users

OFPPT @

Description
Document

Millsime

272305164.doc

juin 07

Page
17 - 25

Gestion des comptes de groupe


Les membres de ce groupe peuvent publier des
certificats dans Active Directory.
Les membres de ce groupe peuvent administrer les
DnsAdmins
services DNS de lordinateur
Les membres de ce groupe peuvent administrer les
Administrateurs DHCP
services DHCP de lordinateur
Les membres de ce groupe peuvent accder aux
Serveurs RAS et IAS
proprits daccs distant des utilisateurs.
Les membres de ce groupe
peuvent accder
uniquement en consultation aux services DHCP du
Utilisateurs DHCP
micro.
Les membres de ce groupe
peuvent accder
uniquement en consultation aux services WINS du
Utilisateurs WINS
micro.

Cert Publishers

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
18 - 25

Gestion des comptes de groupe

5.1.3.
Schma d'imbrication des groupes et comptes
utilisateurs dans un domaine

5.2.

Sur tous les ordinateurs

5.2.1.

Groupes spciaux

Les groupes spciaux existent sur tous les ordinateurs sous Windows
2003. Ces groupes ne sont pas administrables et sont grs par le
systme d'exploitation. Ils reprsentent les utilisateurs dans des
circonstances particulires lorsqu'ils accdent certains ordinateurs ou
certaines ressources.

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
19 - 25

Gestion des comptes de groupe

Groupe
spcial

Description

Inclut les comptes d'utilisateurs que Windows 2003 n'a


ANONYMOUS LOGON
pu identifier. Avec W2003 ce groupe nest plus intgr
(Ouverture de session
par dfaut au groupe Tout le Monde.
anonyme)
Identificateur de scurit (S-1-5-7)
Remplace le groupe Tout le monde qui existait dans les
versions pr-Windows (donnez donc des permissions
ce groupe plutt quau groupe Tout le Monde).
Utilisateurs
Contient tout utilisateur possdant un compte
authentifis
dutilisateur et un mot de passe pour la machine locale
(Authenticated Users)
ou Active Directory. Le compte Invit est intgr si un
mot de passe lui est associ.
Identificateur de scurit (S-1-5-11)
Inclut le compte de l'utilisateur auquel appartient une
ressource. Cela peut tre le crateur comme celui qui
CREATEUR PROPRIETAIRE
(creator owner)
a pris possession de cette ressource.
Identificateur de scurit (S-1-3-0)
Inclut tout utilisateur qui accde par une connexion
LIGNE
ou
APPEL distante. Permet de contrler laccs des utilisateurs
ENTRANT (Dialup)
sur vos connexions entrantes.
Identificateur de scurit (S-1-5-1)
Inclut tout utilisateur qui accde un ordinateur y
compris le compte Invit et tous les utilisateurs des
autres domaines. Attention lorsque vous partagez une
ressource ce groupe dispose par dfaut de la
Tout le monde
permission contrle total. Avec W2003 Server la
(Everyone)
scurit a t renforce car le groupe Ouverture de
session anonyme nest plus intgr par dfaut au
groupe Tout le monde.
Identificateur de scurit (S-1-1-0)
Inclut le compte de l'utilisateur qui a ouvert une
session localement sur l'ordinateur. Les membres du
INTERACTIF
groupe INTERACTIF sont les utilisateurs qui accdent
(Interactive)
une ressource locale.
Identificateur de scurit (S-1-5-4)
Inclut tout une utilisateur qui accde un partage
partir d'un autre ordinateur (via le rseau). Le groupe
SERVICE RESEAU
Interactif ne fait pas partie de ce groupe car il identifie
(Network Service)
un accs rseau sur une ressource et non sur une
ouverture de session.
Identificateur de scurit (S-1-5-2)
Contient tout utilisateur sollicitant la file dattente des
Batch
tches planifies.
(Batch)
Identificateur de scurit (S-1-5-3)
Contrleurs de
Contient tous les contrleurs de domaine de la fort
domaine dEntreprise utilisant Active Directory .
(Enterprise Domain
Identificateur de scurit (S-1-5-9)
Controlers)
Autre organisation
Permet de contrler les accs des utilisateurs
(Other Organisation)
provenant de domaines ou fort externes lorsquils

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
20 - 25

Gestion des comptes de groupe


sollicitent un service du systme.
Identificateur de scurit (S-1-5-1000)
Si ce groupe est ajout dans la liste de contrle
daccs dune ressource, les autorisations qui lui sont
Soi-mme
donnes sont transportes vers lidentifiant associ
(Self ou Principal Self)
lobjet utilisateur, groupe ou ordinateur accdant la
ressource.
Identificateur de scurit (S-1-5-10)
Contient tous les identifiants principaux de scurit
Service
sollicitant ou excutant un processus du systme en
(Service ou local
tant que service
service)
Identificateur de scurit (S-1-5-6)
Ce nest pas un groupe mais le compte system local.
Systme
Plusieurs ressources ou fonctionnalit du micro ne
(System ou Local
pourront tre accessibles que via ce compte (cl du
system)
registre, dossiers spciaux ).
Identificateur de scurit (S-1-5-18)
Contient tous les utilisateurs connects aux services
Utilisateurs de
Terminal Server et Bureau distance. Il est inclus
Terminal Server
dans le groupe Interactif.
(Terminal servers Users)
Identificateur de scurit (S-1-5-13)

5.3.

Cration de groupes

Console Utilisateurs et ordinateurs Active Directory . Slectionnez lOU


cible Action Nouveau Groupe Type de Groupe (Scurit ou
Distribution) et ltendue (Domaine Local, Globale ou Universelle). Entrez un
nom pour le groupe. Validez par OK

Si le domaine est en mode natif, vous pouvez tout instant modifier le


type de groupe et son tendue (sous certaines conditions dappartenances
dautres types de groupes incompatibles)

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
21 - 25

Gestion des comptes de groupe

La fentre Proprits vous permet de grer, paramtrer ou modifier la


scurit du groupe

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
22 - 25

Gestion des comptes de groupe

Pour approfondir le sujet.


Proposition de rfrences utiles permettant dapprofondir le thme abord

Sources de rfrence
Citer les auteurs et les sources de rfrence utilises pour llaboration du
support

OFPPT @

Document

Millsime

272305164.doc

juin 07

Page
23 - 25