Organisation d'un Active Directory selon le modèle AGDLP

Objectifs :

• Comprendre la structure logique d'un Active Directory.
• Savoir organiser les Unités d'Organisation (UO) de manière cohérente.
• Mettre en place une gestion des droits basée sur le modèle AGDLP.
• Optimiser la lisibilité, la maintenance et la gestion des droits et accès aux ressources.

Prérequis :

• Un serveur Windows avec le Rôle "Services de domaine Active Directory" installé et promu contrôleur de domaine.
• Un domaine (ici "AFPAPAUER.INFO")
• Le contrôleur de domaine s'appelle "DC".
• Votre serveur possède un second support de stockage dans l'idéal, formaté en NTFS et monté sur D:\ (nommé "DATA" ou "PARTAGE") pour réaliser l'exemple typique d'AGDLP.

1. Introduction à l'Active Directory

Qu'est-ce que l'Active Directory (AD) ?
Pour rappel, l'Active Directory est le service d'annuaire de Microsoft utilisé dans les environnements Windows Server. Il fournit une méthode centralisée pour gérer les utilisateurs, les groupes, les ordinateurs, ainsi que les stratégies de groupe (GPO) au sein d'un réseau d'entreprise. L'AD permet ainsi :

• Une administration centralisée des ressources et des identités.
• La délégation d'autorités et de droits d'administration.
• Un modèle hiérarchique clair (forêt, domaines, UO).
• Une gestion structurée des droits d'accès aux ressources partagées (fichiers, dossiers, imprimantes, applications, etc.).

2. Structure logique dans un domaine Active Directory

Domaines, Arborescence et Forêt :

• Forêt (Forest) : C'est l'entité logique la plus élevée. Elle peut contenir plusieurs domaines AD.
• Domaine (Domain) : L'unité d'administration de base dans une forêt. Chaque domaine possède ses propres comptes et stratégies.
• Unités d'Organisation (OU) : Des conteneurs au sein d'un domaine permettant de structurer les objets (utilisateurs, groupes, ordinateurs) de manière logique et lisible.

Exemple :

• Forêt : afpapauer.info
• Domaine : afpapauer.info
• UO : SIEGE (regroupant par exemple le siège social)
• Sous-UO dans SIEGE : DIRECTION, RH, COMPTABILITE, COMMERCIAL, R&D, ACCUEIL, etc.

3. Les Unités d'Organisation (UO) : Rôle et bonne pratique

Pourquoi organiser ses UO ?

Les UO servent à séparer logiquement les objets AD pour :

• Faciliter la gestion des utilisateurs et des groupes.
• Appliquer des stratégies de groupe (GPO) de manière granulaire.
• Déléguer des droits d'administration spécifiques.

Mise en œuvre :

• Créez une UO racine pour le siège (ex. SIEGE), représentant l'entité physique ou logique centrale de l'entreprise.
• À l'intérieur de l'UO SIEGE, créez des UO pour chaque département ou service (ex. COMMERCIAL, RH, COMPTABILITE, etc.).
• Dans chacune de ces UO, vous stockerez les comptes utilisateurs et éventuellement des sous-UO si vous avez besoin d'une organisation plus fine.

Pour organiser votre AD, ouvrez "Utilisateurs et ordinateurs active directory" sur votre serveur Windows.
Profitez-en pour rajouter le raccourci à votre barre des tâches, vous allez l'ouvrir souvent.

Pour créer une UO : 2 méthodes graphiques, 1 méthode en PowerShell :

• Clic-droit sur le domaine (ou sur une UO parente de votre future UO à l'intérieur) > Nouveau, Unité d'organisation



• Positionnez-vous sur le domaine (ou sur une UO parente de votre UO à l'intérieur), puis cliquez sur l'icône "UO" :



• En PowerShell :

New-ADOrganizationalUnit -Name "DIRECTION" -Path "OU=SIEGE,DC=AFPAPAUER,DC=INFO"

Observez la façon dont on construit le "chemin" LDAP où la nouvelle UO ("OU" en anglais) :
- D'abord, on indique le nom de l'UO directement parente (OU=SIEGE), puis,
le domaine "AFPAPAUER.INFO" est décomposé en 2 parties (DC=AFPAPAUER,DC=INFO),
Attention, ici "DC" n'a rien à voir avec le nom de notre serveur contrôleur de domaine.

Si à l'intérieur de l'UO "DIRECTION", je voulais créer une nouvelle UO "CONSEIL", le chemin LDAP de création serait :
"OU=DIRECTION,OU=SIEGE,DC=AFPAPAUER,DC=INFO"

Pour créer un utilisateur Active Directory, 2 méthodes graphiques, 1 en PowerShell :

• Positionnez-vous sur l'UO à l'intérieur de laquelle vous souhaitez créer votre utilisateur, puis faîtes un clic-droit > Nouveau > Utilisateur



• Positionnez-vous sur l'UO à l'intérieur de laquelle vous souhaitez créer votre utilisateur, puis cliquez sur l'icône approprié :

Créez votre utilisateur (ici Colette.Grosous)

Choix d'un mot de passe initial :
Attention, il doit respecter les critères de complexité standard de Microsoft, autrement vous ne pourrez pas l'entrer.
- 8 caractères minimum
- 3 des 4 catégories de caractères (Majuscules, minuscules, Chiffres, Caractères Spéciaux)
- Le mot de passe ne peut pas inclure tout ou partie (>= 3 caractères consécutifs) du nom du compte utilisateur ou du nom complet de l'utilisateur.

Nous verrons comment manipuler les GPO concernant la complexité des mots de passe bientôt.

• En PowerShell :

New-ADUser -Name "Colette Grosous" `
-GivenName "Colette" `
-Surname "Grosous" `
-SamAccountName "Colette.Grosous" `
-UserPrincipalName "Colette.Grosous@AFPAPAUER.INFO" `
-Path "OU=COMMERCIAL,OU=SIEGE,DC=AFPAPAUER,DC=INFO" `
-AccountPassword (ConvertTo-SecureString "MotDePasseSécurisé123!" -AsPlainText -Force) `
-Enabled $true

Informations sur un utilisateur AD :

• Aller dans ses propriétés

Certains onglets possèdent des options que vous devez connaître :
- Horaires de connexion :

4. Les Groupes Active Directory et le modèle AGDLP

Pourquoi utiliser des groupes ?

Les groupes facilitent la gestion des droits. Au lieu d'attribuer des permissions directement aux utilisateurs, vous les placez dans des groupes, puis appliquez les autorisations aux groupes. Cela simplifie la maintenance, les évolutions, et limite les erreurs.

Le modèle AGDLP

AGDLP est un acronyme décrivant une approche méthodologique standard pour assigner les autorisations :

• A (Accounts) : Les comptes utilisateurs.
• G (Global Groups) : Les utilisateurs sont insérés dans des Groupes Globaux. Ces Groupes Globaux reflètent des rôles, des départements, des fonctions métier.
  J'ai pour habitude (merci Michel) de commencer chaque nom de groupe global par "GG-"
• D (Domain Local Groups) : Les groupes Locaux de Domaine sont utilisés pour attribuer les permissions sur des ressources.
  J'ai pour habitude là encore de commencer chaque nom de groupe de Domaine Local par "DL-"
• P (Permissions) : Les autorisations sont accordées aux groupes Locaux de Domaine sur les ressources. Les Groupe Globaux sont membres des groupes Locaux de Domaine, assurant ainsi une séparation claire entre les rôles (définis par les Groupes Globaux) et les ressources (contrôlées par les groupes Locaux de Domaine).

Avantages du modèle AGDLP :

• Clarté : On sait exactement qui fait partie d'un département (GG) et quelles ressources ce département peut utiliser (DL).
• Facilité de maintenance : Lorsqu'un nouvel employé rejoint un service, il suffit de l'ajouter au groupe global correspondant. Les droits lui sont automatiquement transmis par l'appartenance de ce GG aux DL qui protègent les ressources.

5. Exemple concret

Cas pratique : Le service COMMERCIAL

• UO : COMMERCIAL
  • Utilisateurs : Colette.Grosous, Julie.Pietri
  • Groupe Global (GG) : GG-COMMERCIAL (ajouter Colette et Julie dans ce groupe)

Pour créer un Groupe Global (GG), 2 méthodes graphiques, 1 en PowerShell :

• Positionnez-vous sur l'UO à l'intérieur de laquelle vous souhaitez créer votre Groupe Global, puis faîtes un clic-droit > Nouveau > Groupe



• Positionnez-vous sur l'UO à l'intérieur de laquelle vous souhaitez créer votre Groupe Global, puis cliquez sur l'icône approprié

Nommez votre Groupe Global (GG-COMMERCIAL) et prenez soin de vérifier qu'il s'agît bien d'un Groupe Gloabl (c'est le choix par défaut)

Entrez dans les Propriétés du nouveau groupe créé (double-cliquez simplement dessus) pour y ajouter les utilisateurs Colette.Grosous et Julie.Pietri.

Tapez leurs noms de connexion et séparez-les par un point-virgule, puis cliquez sur "Vérifier les noms"

Les utilisateurs sont ajoutés au GG. Appliquez et OK

• PowerShell :

- Créer le Groupe Gloabl "GG-COMMERCIAL" :

New-ADGroup -Name "GG-COMMERCIAL" `
-GroupScope Global `
-GroupCategory Security `
-Path "OU=COMMERCIAL,OU=SIEGE,DC=AFPAPAUER,DC=INFO"

- Ajouter les utilisateurs au Groupe Global créé :

Add-ADGroupMember -Identity "GG-COMMERCIAL" `
-Members "Colette.Grosous", "Julie.Pietrie"

Création d'un partage réseau pour les commerciaux :

• Sur un serveur de fichiers, création d'un dossier partagé : \\DC\COMMERCIAUX
• Définir les permissions NTFS et/ou de partage sur un groupe local de domaine (DL) pour plus de flexibilité.

UO DL dans SIEGE :

• UO : DL
  • Groupe Domain Local (DL) : DL-COMMERCIAUX-RW (droit en Lecture/Écriture sur le partage COMMERCIAUX). Nous donnons le même nom "COMMERCIAUX" au groupe de Domaine Local que le nom du partage réseau, pour faciliter l'identification.

Mise en place du modèle AGDLP :

• A (Accounts) : Les comptes Colette et Julie.
• G (Global Group) : GG-COMMERCIAL (contient Colette et Julie).
• D (Domain Local Groups) : DL-COMMERCIAUX-RW, membre de ce groupe : GG-COMMERCIAL.
• P (Permissions) : Sur le partage COMMERCIAUX, on assigne les droits RW (lecture/écriture) à DL-COMMERCIAUX-RW. L'héritage des permissions se fait de la ressource vers le DL, puis du DL vers le GG, et enfin jusqu'aux utilisateurs.

Pour créer un groupe de Domaine Local :

• Positionnez-vous sur l'UO "DL", spécialement créée pour concentrer les groupe de Domaine Locaux, puis faîtes un clic-droit > Nouveau > Groupe, ou cliquez sur l'icône montré plus haut.
  Attention, à bien sélectionner la bonne étendue du groupe (Domaine Local) cette fois.

Entrez dans ses propriétés et ajoutez-y le GG-COMMERCIAL

Appliquez et OK

• PowerShell :

- Créer le groupe de Domaine Local "DL-COMMERCIAUX-RW"

New-ADGroup -Name "DL-COMMERCIAUX-RW" `
-GroupScope DomainLocal `
-GroupCategory Security `
-Path "OU=DL,OU=SIEGE,DC=AFPAPAUER,DC=INFO"

- Ajouter le Groupe Global "GG-COMMERCIAL" comme membre :

Add-ADGroupMember -Identity "DL-COMMERCIAUX-RW" `
-Members "GG-COMMERCIAL"

Créer un partage réseau nommé "COMMERCIAUX" sur le serveur :

• Créer un dossier "COMMERCIAUX" sur la partition D:\ et entrez dans ses propriétés, onglet Partage.
  (Règle No.1 : NE JAMAIS CREER DE PARTAGE RESEAU A PARTIR D'UN REPERTOIRE SUR C:\ !!
  Ajoutez un support de stockage à votre VM, ou créez un nouveau lecteur à partir du support de stockage hébergeant C:\, mais jamais sur C:\ directement !)

Je vous laisse le soin de créer cette partition D:\ (nommée usuellement "DATA" ou "PARTAGES") seuls.

Cliquez sur "Partage avancé..." et cochez "Partager ce dossier", puis "Appliquez"

Nous devons à présent ajouter des autorisations de Modification sur le partage réseau créé, afin que notre groupe DL-COMMERCIAUX-RW puisse pouvoir écrire dans le partage.

Souvenez-vous qu'il y a 2 types de permissions sur un partage :
- Les autorisations sur le partage lui-même
- Les droits NTFS

Cliquez sur "Autorisations"

Cliquez sur "Ajouter"

Entrez le nom du groupe DL puis cliquez sur "Vérifier les noms" puis "OK"

Le groupe apparaît à présent dans la liste des Autorisations du partage.
Cochez "Modifier" puis "Appliquez" "OK"

Nous allons à présent pouvoir configurer les droits NTFS :

Allez dans l'onglet "Sécurité" des Propriétés du dossier "COMMERCIAUX", puis cliquez sur "Modifier..."

Cliquez sur "Ajouter..."

Entrez le nom du groupe de Domaine Local puis cliquez sur "Vérifier les noms", puis "OK"

Le groupe apparaît à présent dans la liste des Noms de groupes ou d'utilisateurs.
Sélectionnez-le et cochez la case autoriser pour "Modification".
L'ensemble des cases cochées créée les permissions RW (Lecture-Ecriture).
Appliquez puis OK.

Récapitulatif directement sur l'onglet Sécurité désormais :

Voilà !
Vous avez mis en œuvre un exemple typique d'AGDLP :
- 2 utilisateurs, créés dans une UO spécifique et membres d'un Groupe Global (GG-COMMERCIAL)
- 1 ressource (le partage réseau du dossier D:\COMMERCIAUX)
- 1 groupe de Domaine Local indiquant le type de permissions d'accès à cette ressource (RW) et dont le Groupe Global des 2 utilisateurs est membre.
- La configuration des droits d'accès à la ressource (autorisations de partage ET droits NTFS) pour le groupe Domaine Local (et donc, au GG-COMMERCIAL, et donc aux utilisateurs !)

6. Délégation, évolutivité et maintenance

Délégation d'administration :

Les UO permettent de déléguer des tâches précises à des administrateurs restreints. Par exemple, vous pouvez déléguer à un responsable RH la gestion des comptes utilisateurs dans l'UO RH sans donner de droits d'administration sur le reste du domaine.
Cette méthode est généralement très pratique pour déléguer à un utilisateur ou aux membres d'une UO, le droit de réinitialiser des mots de passe [...].

Évolutivité :

• Nouveau département ? Créez une nouvelle UO, un nouveau groupe global, un DL associé et appliquez les permissions.
• Nouvel employé dans COMMERCIAL ? Ajoutez-le simplement à GG-COMMERCIAL : il hérite des droits existants automatiquement.
• Nouveau partage pour COMMERCIAL ? Créez un nouveau DL dédié à ce partage et ajoutez GG-COMMERCIAL.

Maintenance facilitée :

Grâce à cette méthode, les modifications s'effectuent toujours au niveau des groupes. Pas besoin de gérer des permissions sur chaque utilisateur individuellement, ce qui réduit considérablement la charge de travail et le risque d'erreurs.

7. Conclusion

L'organisation d'un Active Directory nécessite une réflexion en amont pour garantir une administration claire, efficace et pérenne. En s'appuyant sur le modèle AGDLP, vous créez une architecture logique et hiérarchisée de vos UO, et un système de groupes cohérent. Cette approche vous offre :

• Une gestion simplifiée des utilisateurs et de leurs droits.
• Une maintenance évolutive et centralisée.
• Une transparence dans la répartition des rôles et des ressources.

Grâce à ce modèle, tout nouvel arrivant, tout changement de fonction ou toute évolution de l'infrastructure se reflète par de simples modifications de groupes, garantissant ainsi une administration beaucoup plus souple et maîtrisée de votre annuaire Active Directory.