# Unités d'organisation, utilisateurs, groupes Objectif : construire l'arborescence AD (OU), peupler le domaine avec des utilisateurs et des groupes, et appliquer l'imbrication AGDLP recommandée par Microsoft. ## Qu'est-ce qu'une OU Une unité d'organisation (Organizational Unit) est un conteneur logique qui permet de regrouper des objets AD (utilisateurs, ordinateurs, groupes) pour leur appliquer des stratégies, déléguer leur administration, ou les organiser. Une OU n'accorde aucun droit en soi. C'est un outil de structuration. ## Arborescence proposée ``` corp.lab └── CORP ├── Utilisateurs │ ├── Direction │ ├── Pedagogie │ ├── Informatique │ ├── Administration │ └── Etudiants ├── Ordinateurs │ └── (mêmes sous-OU) ├── Groupes └── Services ``` Tu peux calquer cette structure ou l'adapter à ton contexte. ## Création des OU ### Approche graphique 1. Ouvrir `Utilisateurs et ordinateurs Active Directory` (`dsa.msc`) 2. Clic droit sur le domaine > `Nouveau > Unité d'organisation` 3. Nommer `CORP` 4. Dans `CORP`, créer les sous-OU `Utilisateurs`, `Ordinateurs`, `Groupes`, `Services` 5. Créer les OU départementales sous `Utilisateurs` et `Ordinateurs` ### Approche PowerShell Cmdlet clé : `New-ADOrganizationalUnit`. ``` New-ADOrganizationalUnit -Name "CORP" -Path "DC=corp,DC=lab" New-ADOrganizationalUnit -Name "Utilisateurs" -Path "OU=CORP,DC=corp,DC=lab" ``` Boucle pour créer les départements : ``` $deps = @("Direction","Pedagogie","Informatique","Administration","Etudiants") foreach ($d in $deps) { New-ADOrganizationalUnit -Name $d -Path "OU=Utilisateurs,OU=CORP,DC=corp,DC=lab" } ``` ## Création des utilisateurs ### Approche graphique 1. Clic droit sur l'OU département > `Nouveau > Utilisateur` 2. Remplir les champs (Nom, Prénom, SamAccountName, UPN) 3. Mot de passe initial, cocher `L'utilisateur doit changer de mot de passe à la prochaine ouverture de session` ### Approche PowerShell Cmdlet clé : `New-ADUser`. ``` New-ADUser ` -Name "Paul Martin" ` -GivenName "Paul" ` -Surname "Martin" ` -SamAccountName "pmartin" ` -UserPrincipalName "pmartin@corp.lab" ` -Path "OU=Pedagogie,OU=Utilisateurs,OU=CORP,DC=corp,DC=lab" ` -AccountPassword (ConvertTo-SecureString "UserP@ss!2026" -AsPlainText -Force) ` -Enabled $true ` -ChangePasswordAtLogon $true ``` ## Création des groupes Deux types de groupes vont nous servir : - **Groupes globaux (GG)** : regroupent des utilisateurs par département, projet, fonction. Exemples : `GG_Pedagogie`, `GG_Etudiants`. - **Groupes de domaine locaux (DL)** : se voient attribuer les permissions sur les ressources. Exemples : `DL_Partage_Commun_R`, `DL_Partage_Pedago_RW`. ### Approche graphique 1. Clic droit sur `OU=Groupes` > `Nouveau > Groupe` 2. Portée : `Global` ou `Domaine local` selon le cas 3. Type : `Sécurité` ### Approche PowerShell Cmdlet clé : `New-ADGroup`. ``` New-ADGroup -Name "GG_Pedagogie" -GroupScope Global -GroupCategory Security ` -Path "OU=Groupes,OU=CORP,DC=corp,DC=lab" New-ADGroup -Name "DL_Partage_Commun_R" -GroupScope DomainLocal -GroupCategory Security ` -Path "OU=Groupes,OU=CORP,DC=corp,DC=lab" ``` ## Appliquer l'imbrication AGDLP AGDLP est une convention Microsoft : - **A**ccount (utilisateur) dans - **G**lobal group (département) membre de - **D**omain **L**ocal group (ressource) qui détient la - **P**ermission Concrètement : 1. Ajoute les utilisateurs aux groupes globaux correspondants 2. Ajoute les groupes globaux aux groupes de domaine local correspondants 3. Pose les permissions NTFS/partages sur les groupes de domaine local Cmdlet clé : `Add-ADGroupMember`. ``` Add-ADGroupMember -Identity "GG_Pedagogie" -Members "pmartin" Add-ADGroupMember -Identity "DL_Partage_Commun_R" -Members "GG_Pedagogie","GG_Etudiants" ``` ## Validation ``` Get-ADUser -Filter * -SearchBase "OU=CORP,DC=corp,DC=lab" | Select Name, SamAccountName Get-ADGroup -Filter * -SearchBase "OU=Groupes,OU=CORP,DC=corp,DC=lab" | Select Name, GroupScope Get-ADGroupMember -Identity "GG_Pedagogie" ``` Côté graphique, la console `dsa.msc` doit afficher la hiérarchie créée, les utilisateurs dans leurs OU, et les membres des groupes. ## Étape suivante L'AD est peuplé. On passe aux stratégies de groupe dans `04-gpo.md`.