AcadeNice/Lab_AD_Complet
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
Lab_AD_Complet/docs/etudiant/fr/03-ou-utilisateurs-groupes.md
Corentin 8e1b06e090 Initial lab release: Docker-based Active Directory lab 
Complete Active Directory teaching environment based on dockurr/windows:
- Windows Server domain controller, Windows 11 client, Debian 12 client
- docker-compose orchestration, env-driven configuration
- Bilingual documentation (FR + EN) for students
- Dual approach (GUI + PowerShell) in every procedure
- Instructor course plan and reference scripts
- RDP launcher scripts for Linux, macOS and Windows

Made by AcadéNice - https://acadenice.fr/
2026-04-17 11:29:49 +02:00

4.4 KiB
Raw Permalink Blame History

Unités d'organisation, utilisateurs, groupes

Objectif : construire l'arborescence AD (OU), peupler le domaine avec des utilisateurs et des groupes, et appliquer l'imbrication AGDLP recommandée par Microsoft.

Qu'est-ce qu'une OU

Une unité d'organisation (Organizational Unit) est un conteneur logique qui permet de regrouper des objets AD (utilisateurs, ordinateurs, groupes) pour leur appliquer des stratégies, déléguer leur administration, ou les organiser.

Une OU n'accorde aucun droit en soi. C'est un outil de structuration.

Arborescence proposée

corp.lab
└── CORP
    ├── Utilisateurs
    │   ├── Direction
    │   ├── Pedagogie
    │   ├── Informatique
    │   ├── Administration
    │   └── Etudiants
    ├── Ordinateurs
    │   └── (mêmes sous-OU)
    ├── Groupes
    └── Services

Tu peux calquer cette structure ou l'adapter à ton contexte.

Création des OU

Approche graphique

  1. Ouvrir Utilisateurs et ordinateurs Active Directory (dsa.msc)
  2. Clic droit sur le domaine > Nouveau > Unité d'organisation
  3. Nommer CORP
  4. Dans CORP, créer les sous-OU Utilisateurs, Ordinateurs, Groupes, Services
  5. Créer les OU départementales sous Utilisateurs et Ordinateurs

Approche PowerShell

Cmdlet clé : New-ADOrganizationalUnit.

New-ADOrganizationalUnit -Name "CORP" -Path "DC=corp,DC=lab"
New-ADOrganizationalUnit -Name "Utilisateurs" -Path "OU=CORP,DC=corp,DC=lab"

Boucle pour créer les départements :

$deps = @("Direction","Pedagogie","Informatique","Administration","Etudiants")
foreach ($d in $deps) {
    New-ADOrganizationalUnit -Name $d -Path "OU=Utilisateurs,OU=CORP,DC=corp,DC=lab"
}

Création des utilisateurs

Approche graphique

  1. Clic droit sur l'OU département > Nouveau > Utilisateur
  2. Remplir les champs (Nom, Prénom, SamAccountName, UPN)
  3. Mot de passe initial, cocher L'utilisateur doit changer de mot de passe à la prochaine ouverture de session

Approche PowerShell

Cmdlet clé : New-ADUser.

New-ADUser `
    -Name "Paul Martin" `
    -GivenName "Paul" `
    -Surname "Martin" `
    -SamAccountName "pmartin" `
    -UserPrincipalName "pmartin@corp.lab" `
    -Path "OU=Pedagogie,OU=Utilisateurs,OU=CORP,DC=corp,DC=lab" `
    -AccountPassword (ConvertTo-SecureString "UserP@ss!2026" -AsPlainText -Force) `
    -Enabled $true `
    -ChangePasswordAtLogon $true

Création des groupes

Deux types de groupes vont nous servir :

  • Groupes globaux (GG) : regroupent des utilisateurs par département, projet, fonction. Exemples : GG_Pedagogie, GG_Etudiants.
  • Groupes de domaine locaux (DL) : se voient attribuer les permissions sur les ressources. Exemples : DL_Partage_Commun_R, DL_Partage_Pedago_RW.

Approche graphique

  1. Clic droit sur OU=Groupes > Nouveau > Groupe
  2. Portée : Global ou Domaine local selon le cas
  3. Type : Sécurité

Approche PowerShell

Cmdlet clé : New-ADGroup.

New-ADGroup -Name "GG_Pedagogie" -GroupScope Global -GroupCategory Security `
    -Path "OU=Groupes,OU=CORP,DC=corp,DC=lab"

New-ADGroup -Name "DL_Partage_Commun_R" -GroupScope DomainLocal -GroupCategory Security `
    -Path "OU=Groupes,OU=CORP,DC=corp,DC=lab"

Appliquer l'imbrication AGDLP

AGDLP est une convention Microsoft :

  • Account (utilisateur) dans
  • Global group (département) membre de
  • Domain Local group (ressource) qui détient la
  • Permission

Concrètement :

  1. Ajoute les utilisateurs aux groupes globaux correspondants
  2. Ajoute les groupes globaux aux groupes de domaine local correspondants
  3. Pose les permissions NTFS/partages sur les groupes de domaine local

Cmdlet clé : Add-ADGroupMember.

Add-ADGroupMember -Identity "GG_Pedagogie" -Members "pmartin"
Add-ADGroupMember -Identity "DL_Partage_Commun_R" -Members "GG_Pedagogie","GG_Etudiants"

Validation

Get-ADUser -Filter * -SearchBase "OU=CORP,DC=corp,DC=lab" | Select Name, SamAccountName
Get-ADGroup -Filter * -SearchBase "OU=Groupes,OU=CORP,DC=corp,DC=lab" | Select Name, GroupScope
Get-ADGroupMember -Identity "GG_Pedagogie"

Côté graphique, la console dsa.msc doit afficher la hiérarchie créée, les utilisateurs dans leurs OU, et les membres des groupes.

Étape suivante

L'AD est peuplé. On passe aux stratégies de groupe dans 04-gpo.md.