AcadeNice/Lab_AD_Complet
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
Lab_AD_Complet/docs/etudiant/fr/03-ou-utilisateurs-groupes.md
Corentin 8e1b06e090 Initial lab release: Docker-based Active Directory lab 
Complete Active Directory teaching environment based on dockurr/windows:
- Windows Server domain controller, Windows 11 client, Debian 12 client
- docker-compose orchestration, env-driven configuration
- Bilingual documentation (FR + EN) for students
- Dual approach (GUI + PowerShell) in every procedure
- Instructor course plan and reference scripts
- RDP launcher scripts for Linux, macOS and Windows

Made by AcadéNice - https://acadenice.fr/
2026-04-17 11:29:49 +02:00

149 lines
4.4 KiB
Markdown
Raw Permalink Blame History

# Unités d'organisation, utilisateurs, groupes
Objectif : construire l'arborescence AD (OU), peupler le domaine avec des
utilisateurs et des groupes, et appliquer l'imbrication AGDLP recommandée par
Microsoft.
## Qu'est-ce qu'une OU
Une unité d'organisation (Organizational Unit) est un conteneur logique qui
permet de regrouper des objets AD (utilisateurs, ordinateurs, groupes) pour
leur appliquer des stratégies, déléguer leur administration, ou les organiser.
Une OU n'accorde aucun droit en soi. C'est un outil de structuration.
## Arborescence proposée
```
corp.lab
└── CORP
├── Utilisateurs
│ ├── Direction
│ ├── Pedagogie
│ ├── Informatique
│ ├── Administration
│ └── Etudiants
├── Ordinateurs
│ └── (mêmes sous-OU)
├── Groupes
└── Services
```
Tu peux calquer cette structure ou l'adapter à ton contexte.
## Création des OU
### Approche graphique
1. Ouvrir `Utilisateurs et ordinateurs Active Directory` (`dsa.msc`)
2. Clic droit sur le domaine > `Nouveau > Unité d'organisation`
3. Nommer `CORP`
4. Dans `CORP`, créer les sous-OU `Utilisateurs`, `Ordinateurs`, `Groupes`, `Services`
5. Créer les OU départementales sous `Utilisateurs` et `Ordinateurs`
### Approche PowerShell
Cmdlet clé : `New-ADOrganizationalUnit`.
```
New-ADOrganizationalUnit -Name "CORP" -Path "DC=corp,DC=lab"
New-ADOrganizationalUnit -Name "Utilisateurs" -Path "OU=CORP,DC=corp,DC=lab"
```
Boucle pour créer les départements :
```
$deps = @("Direction","Pedagogie","Informatique","Administration","Etudiants")
foreach ($d in $deps) {
New-ADOrganizationalUnit -Name $d -Path "OU=Utilisateurs,OU=CORP,DC=corp,DC=lab"
}
```
## Création des utilisateurs
### Approche graphique
1. Clic droit sur l'OU département > `Nouveau > Utilisateur`
2. Remplir les champs (Nom, Prénom, SamAccountName, UPN)
3. Mot de passe initial, cocher `L'utilisateur doit changer de mot de passe à la prochaine ouverture de session`
### Approche PowerShell
Cmdlet clé : `New-ADUser`.
```
New-ADUser `
-Name "Paul Martin" `
-GivenName "Paul" `
-Surname "Martin" `
-SamAccountName "pmartin" `
-UserPrincipalName "pmartin@corp.lab" `
-Path "OU=Pedagogie,OU=Utilisateurs,OU=CORP,DC=corp,DC=lab" `
-AccountPassword (ConvertTo-SecureString "UserP@ss!2026" -AsPlainText -Force) `
-Enabled $true `
-ChangePasswordAtLogon $true
```
## Création des groupes
Deux types de groupes vont nous servir :
- **Groupes globaux (GG)** : regroupent des utilisateurs par département,
projet, fonction. Exemples : `GG_Pedagogie`, `GG_Etudiants`.
- **Groupes de domaine locaux (DL)** : se voient attribuer les permissions
sur les ressources. Exemples : `DL_Partage_Commun_R`, `DL_Partage_Pedago_RW`.
### Approche graphique
1. Clic droit sur `OU=Groupes` > `Nouveau > Groupe`
2. Portée : `Global` ou `Domaine local` selon le cas
3. Type : `Sécurité`
### Approche PowerShell
Cmdlet clé : `New-ADGroup`.
```
New-ADGroup -Name "GG_Pedagogie" -GroupScope Global -GroupCategory Security `
-Path "OU=Groupes,OU=CORP,DC=corp,DC=lab"
New-ADGroup -Name "DL_Partage_Commun_R" -GroupScope DomainLocal -GroupCategory Security `
-Path "OU=Groupes,OU=CORP,DC=corp,DC=lab"
```
## Appliquer l'imbrication AGDLP
AGDLP est une convention Microsoft :
- **A**ccount (utilisateur) dans
- **G**lobal group (département) membre de
- **D**omain **L**ocal group (ressource) qui détient la
- **P**ermission
Concrètement :
1. Ajoute les utilisateurs aux groupes globaux correspondants
2. Ajoute les groupes globaux aux groupes de domaine local correspondants
3. Pose les permissions NTFS/partages sur les groupes de domaine local
Cmdlet clé : `Add-ADGroupMember`.
```
Add-ADGroupMember -Identity "GG_Pedagogie" -Members "pmartin"
Add-ADGroupMember -Identity "DL_Partage_Commun_R" -Members "GG_Pedagogie","GG_Etudiants"
```
## Validation
```
Get-ADUser -Filter * -SearchBase "OU=CORP,DC=corp,DC=lab" | Select Name, SamAccountName
Get-ADGroup -Filter * -SearchBase "OU=Groupes,OU=CORP,DC=corp,DC=lab" | Select Name, GroupScope
Get-ADGroupMember -Identity "GG_Pedagogie"
```
Côté graphique, la console `dsa.msc` doit afficher la hiérarchie créée, les
utilisateurs dans leurs OU, et les membres des groupes.
## Étape suivante
L'AD est peuplé. On passe aux stratégies de groupe dans `04-gpo.md`.
Reference in a new issue View git blame Copy permalink