En tant qu'assistant administrateur, vous pouvez utiliser DRA pour gérer des groupes et modifier leurs propriétés. Les groupes vous permettent de donner des autorisations spécifiques à un ensemble défini de comptes utilisateur. Les groupes vous permettent de contrôler les données et ressources accessibles à un compte utilisateur dans n'importe quel domaine.
Vous pouvez gérer des groupes quel que soit leur type et leur étendue. Par exemple, vous pouvez imbriquer des groupes, ce qui permet à un groupe d'hériter des autorisations d'un autre groupe. Vous pouvez aussi contrôler efficacement les adhésions aux groupes dans les différents domaines en ajoutant des groupes de domaines approuvés à d'autres groupes dans le domaine géré et en gérant les assignations temporaires à des groupes.
Pour plus d'informations sur la gestion des groupes, reportez-vous aux rubriques suivantes :
Cette section vous guide tout au long de l'administration des groupes dans la console de délégation et de configuration via le nœud Account and Resource Management (Gestion des comptes et des ressources). Si vous disposez des pouvoirs appropriés, vous pouvez effectuer différentes tâches de gestion sur le groupe, telles que modifier les adhésions au groupe. Si vous sélectionnez plusieurs groupes, vous pouvez effectuer certaines tâches en une seule opération, notamment supprimer, déplacer ou ajouter des membres à un groupe. Le menu Tâches indique les tâches que vous pouvez effectuer lorsque vous sélectionnez un ou plusieurs groupes.
Vous pouvez ajouter des comptes utilisateur, des contacts et des ordinateurs à un groupe géré.
REMARQUE :cette tâche ajoute plusieurs comptes à un groupe sélectionné. Vous pouvez ajouter un seul compte à un groupe en sélectionnant le compte approprié, puis en cliquant sur Ajouter aux groupes dans le menu Tâches.
Si l'ajout d'un compte à un autre groupe augmente vos pouvoirs sur ce compte, DRA ne vous autorise pas à ajouter ce compte.
Vous pouvez imbriquer des groupes en ajoutant un groupe à un autre groupe géré. Lorsqu'un groupe est imbriqué dans un autre groupe, le groupe enfant peut hériter des autorisations du groupe parent.
REMARQUE :si l'ajout d'un groupe à un autre groupe augmente vos pouvoirs sur le groupe source, DRA ne vous autorise pas à ajouter ce groupe.
Vous pouvez modifier les propriétés des groupes locaux et globaux. Vos pouvoirs déterminent les propriétés que vous pouvez modifier pour un groupe situé dans le domaine géré ou dans la sous-arborescence gérée. Si vous avez installé Exchange et activé la prise en charge de Microsoft Exchange, vous pouvez modifier les propriétés de liste de distribution dans le cadre de la gestion des groupes.
Vous pouvez créer un groupe dans le domaine géré ou dans la sous-arborescence gérée. Vous pouvez également modifier des propriétés, telles que les membres du nouveau groupe.
REMARQUE :
Votre société peut avoir une convention de dénomination appliquée par le biais d'une stratégie qui détermine le nom que vous pouvez assigner au nouveau groupe.
Par défaut, DRA place le nouveau groupe dans l'unité organisationnelle des utilisateurs du domaine géré.
Vous pouvez ajouter des comptes utilisateur, des contacts, des ordinateurs ou d'autres groupes à partir d'un groupe géré ou en supprimer. DRA vous autorise uniquement à supprimer les principaux de sécurité étrangère. Vous pouvez également afficher ou modifier les propriétés des membres du groupe existant, à l'exception des principaux de sécurité étrangère.
Lorsque vous supprimez des membres d'un groupe, DRA ne supprime pas les objets. Lorsque vous ajoutez des membres à un groupe, vous devez posséder le pouvoir de modifier les objets que vous souhaitez ajouter.
REMARQUE :vous ne pouvez ajouter de comptes utilisateur ou de groupes à aucun des groupes spéciaux Windows (administrateurs, opérateurs de compte, opérateurs de sauvegarde ou opérateurs de serveur) à moins d'être administrateur Windows ou d'être membre de ce groupe spécial spécifique.
Vous pouvez ajouter ou supprimer un groupe à partir d'autres groupes du domaine géré ou de la sous-arborescence gérée. Vous pouvez également afficher ou modifier les propriétés de groupes existants auxquels ce groupe appartient.
Vous pouvez définir des autorisations de sécurité Active Directory pour les adhésions au groupe. Ces autorisations indiquent qui peut afficher (lecture) et modifier (écriture) les adhésions au groupe à l'aide de Microsoft Outlook. Ces paramètres vous permettent de sécuriser plus efficacement les listes de distribution et les groupes de sécurité dans votre environnement. Vous ne pouvez pas modifier des autorisations de sécurité héritées.
REMARQUE :lorsque vous gérez la sécurité de l'adhésion au groupe, des autorisations désactivées peuvent signaler qu'il s'agit d'autorisations héritées.
Vous pouvez définir la propriété de n'importe quels groupes de sécurité ou de distribution Microsoft Windows. Vous pouvez accorder l'autorisation de propriété du groupe à un compte utilisateur, un groupe ou un contact. L'octroi de la propriété d'un groupe permet au compte utilisateur, au groupe ou au contact spécifié de modifier l'adhésion de ce groupe.
REMARQUE :DRA désactive la case à cocher Manager can update membership list (Le gestionnaire peut mettre à jour la liste des membres) lorsque l'adhésion au groupe est masquée du serveur Microsoft Exchange. Pour cocher cette case, cliquez sur Expose Group Membership (Exposer l'adhésion au groupe) sous l'onglet Exchange de la fenêtre Group Properties (Propriétés de groupe).
Vous pouvez cloner des groupes locaux et globaux dans les domaines gérés. Le clonage des groupes crée de nouveaux groupes du même type et avec les mêmes attributs que le groupe d'origine. DRA tente également d'ajouter tous les membres du groupe initial au nouveau groupe.
En clonant un groupe, vous pouvez créer rapidement des groupes en fonction d'autres groupes qui ont des propriétés similaires. Lorsque vous clonez un groupe, DRA complète les champs de l'assistant de clonage du groupe avec les valeurs du groupe sélectionné. Vous pouvez également modifier les propriétés du nouveau groupe.
REMARQUE :
Votre société peut avoir une convention de dénomination appliquée par le biais d'une stratégie qui détermine le nom que vous pouvez assigner au nouveau groupe.
Par défaut, DRA place le nouveau groupe dans l'unité organisationnelle des utilisateurs du domaine géré.
Vous pouvez supprimer des groupes locaux et globaux du domaine géré ou de la sous-arborescence gérée. Si la corbeille est désactivée pour ce domaine, la suppression d'un groupe supprime définitivement ce groupe d'Active Directory. Si la corbeille est activée pour ce domaine, lors de la suppression d'un groupe, celui-ci est déplacé vers la corbeille et les propriétés de ce groupe sont désactivées.
Pour plus d'informations sur la corbeille, reportez-vous à la section Gestion de la corbeille.
AVERTISSEMENT :lorsque vous créez un groupe, Microsoft Windows lui assigne un identificateur de sécurité (SID). Le SID n'est pas généré à partir du nom du groupe. Microsoft Windows utilise des identificateurs de sécurité pour enregistrer les privilèges dans les listes de contrôle d'accès (ACL) pour chaque ressource. Si vous supprimez un groupe, vous ne pouvez pas restaurer les droits d'accès à ce groupe en créant un nouveau groupe portant le même nom.
Vous pouvez déplacer un groupe vers un autre conteneur, par exemple une unité organisationnelle, dans le domaine géré ou dans la sous-arborescence gérée.
Vous pouvez exposer les adhésions au groupe dans les listes de distribution des groupes du domaine géré ou de la sous-arborescence gérée.
Vous pouvez masquer les adhésions au groupe dans les listes de distribution pour les groupes situés dans le domaine géré ou dans la sous-arborescence gérée.
Les assignations de groupes temporaires permettent de gérer les adhésions aux groupes des utilisateurs ayant uniquement besoin d'être membres d'un groupe pour une période spécifique. Cette section vous guide tout au long de l'administration des assignations de groupes temporaires dans la console de délégation et de configuration via le nœud Account and Resource Management (Gestion des comptes et des ressources). Si vous disposez des pouvoirs appropriés, vous pouvez effectuer des tâches telles que créer des assignations de groupes temporaires ou supprimer celles ayant expiré.
Un assistant administrateur ne peut afficher les assignations temporaires qu'aux groupes pour lesquels il a les pouvoirs d'ajouter ou de supprimer des membres.
Vous ne pouvez pas modifier le groupe associé ou modifier la liste d'utilisateurs tant que l'assignation de groupe temporaire est active. Si vous souhaitez modifier ces éléments, vous devez annuler l'assignation de groupe temporaire.
Vous pouvez gérer les propriétés des assignations de groupes temporaires ou des assignations expirées enregistrées.
Si vous souhaitez replanifier une assignation de groupe temporaire, modifiez la planification dans les propriétés de l'assignation, puis enregistrez les modifications apportées.
Vous pouvez créer une assignation de groupe temporaire sur les serveurs d'administration primaire et secondaires.
Par défaut, lorsqu'une assignation de groupe temporaire arrive à expiration, elle est supprimée au bout de sept jours, sauf si vous avez sélectionné l'option Keep this temporary group assignment for future use (Conserver cette assignation de groupe temporaire pour une utilisation ultérieure). Pour modifier cette période de conservation, cliquez avec le bouton droit sur le nœud Temporary Group Assignment (Assignation de groupe temporaire) sous All My Managed Objects (Tous mes objets gérés), sélectionnez Properties (Propriétés), puis modifiez le nombre de jours de conservation des assignations de groupes temporaires.
Vous pouvez ajouter des comptes utilisateur aux assignations de groupes temporaires sur les serveurs d'administration primaire ou secondaires, ou en supprimer.
REMARQUE :vous pouvez uniquement gérer les comptes utilisateur des assignations de groupes temporaires qui ne sont pas encore actives.
Vous pouvez supprimer n'importe quelle assignation de groupe temporaire sur les serveurs d'administration primaire et secondaires.
Les assignations de groupes temporaires permettent de gérer les adhésions aux groupes des utilisateurs ayant besoin d'être membres d'un groupe pour une période spécifique. Dans la console Web, vous pouvez créer et gérer des assignations à partir des serveurs DRA primaire et secondaires. Toutefois, les opérations que vous pouvez effectuer sur une assignation existante varient en fonction de l'état de cette assignation.
Un assistant administrateur ne peut afficher les assignations temporaires qu'aux groupes qu'il a les pouvoirs de modifier conformément aux assignations ActiveView, comme l'ajout ou la suppression de membres d'un groupe.
Pour gérer les assignations de groupes temporaires dans la console Web, accédez à Tasks (Tâches) > Temporary Group Assignments (Assignations de groupes temporaires).
Vous pouvez effectuer les opérations suivantes :
Lorsque vous recherchez des assignations de groupes temporaires existantes, ces dernières sont répertoriées dans les résultats en fonction de l'état de l'assignation. Les différents états sont les suivants :
Pending (En attente) : l'assignation de groupe temporaire est planifiée pour un démarrage ultérieur. Vous pouvez effectuer les opérations suivantes : annuler, supprimer et replanifier.
Active (Actif) : l'assignation de groupe temporaire a démarré et a ajouté les membres concernés au groupe. Vous pouvez effectuer les opérations suivantes : annuler et supprimer.
Active with Error (Actif avec erreur) : l'assignation de groupe temporaire a démarré, mais n'est pas parvenue à ajouter tous les membres concernés au groupe. Vous pouvez effectuer les opérations suivantes : annuler et supprimer.
Completed (Terminé) : l'assignation de groupe temporaire est arrivée à expiration et a supprimé tous les membres concernés du groupe. Vous pouvez effectuer les opérations suivantes : supprimer et replanifier.
Completed with Error (Terminé avec erreur) : l'assignation de groupe temporaire est arrivée à expiration, mais n'est pas parvenue à supprimer tous les membres concernés du groupe. Vous pouvez effectuer les opérations suivantes : supprimer et replanifier.
Canceled (Annulé) : l'assignation de groupe temporaire a été annulée par un utilisateur et a supprimé tous les membres concernés du groupe. Vous pouvez effectuer les opérations suivantes : supprimer et replanifier.
Canceled with Error (Annulé avec erreur) : l'assignation de groupe temporaire a été annulée par un utilisateur, mais n'est pas parvenue à supprimer tous les membres concernés du groupe. Vous pouvez effectuer les opérations suivantes : supprimer et replanifier.
Error (Erreur) : l'assignation de groupe temporaire n'est pas parvenue à ajouter ou à supprimer tous les membres. Vous pouvez effectuer les opérations suivantes : supprimer et replanifier.
Vous pouvez filtrer les résultats en fonction de ces états et d'autres critères, notamment le nom de l'assignation, le groupe cible, la durée et l'administrateur qui a créé l'assignation.
Vous pouvez créer des assignations de groupes temporaires en utilisant les groupes que vous avez les pouvoirs de modifier, ainsi que spécifier le contrôleur de domaine. Lorsqu'une assignation de groupe temporaire arrive à expiration, DRA la supprime automatiquement au bout de sept jours, sauf si vous sélectionnez l'option de conservation de cette assignation pour une utilisation ultérieure.
Vous pouvez afficher ou modifier toutes les assignations de groupes temporaires définies lors de la création de l'assignation de groupe temporaire. Après avoir recherché des assignations de groupes temporaires, sélectionnez une assignation pour afficher ou modifier les propriétés correspondantes.
Si vous souhaitez replanifier une assignation de groupe temporaire, modifiez la planification dans les propriétés de l'assignation, puis enregistrez les modifications apportées. Si l'assignation est active, vous ne pouvez modifier que la date de fin.
IMPORTANT :vous ne pouvez pas modifier le groupe associé ou modifier la liste d'utilisateurs lorsque l'assignation de groupe temporaire est active. Si vous souhaitez modifier ces éléments, vous devez d'abord annuler l'assignation.
Vous ne pouvez annuler une assignation de groupe temporaire que lorsqu'elle présente l'un des états suivants :
Active (Actif)
Active with Error (Actif avec erreur)
Pending (En attente)
Vous pouvez sélectionner plusieurs assignations de groupes temporaires et les supprimer. Si l'état des assignations de groupes temporaires sélectionnées est Active (Actif), Active with Error (Actif avec erreur) ou Pending (En attente), l'option Cancel (Annuler) est également activée.