Tuto 5 - Gestion des utilisateurs et groupes

Gestion des utilisateurs et groupes dans Active Directory

I) Introduction

Active Directory (AD DS) permet de centraliser la gestion des comptes utilisateurs et des groupes. Ces objets sont stockés dans une base appelée annuaire, qui simplifie l’administration et sécurise l’environnement. Dans ce tutoriel, nous allons voir comment créer, organiser et gérer les utilisateurs et groupes dans un domaine Active Directory.

II) Création d’unités d’organisation (OU)

Les Unités d’organisation (OU) servent à organiser logiquement les objets AD (utilisateurs, groupes, ordinateurs). Elles facilitent aussi l’application de stratégies de groupe (GPO).

A. Méthode graphique

Ouvrez Utilisateurs et ordinateurs Active Directory (Outils → dsa.msc).
Clic droit sur le domaine → Nouveau → Unité d’organisation.
Nom : Utilisateurs-Paris par exemple.
Laissez l’option “Protéger contre la suppression accidentelle” cochée.

Création d'une OU — Création d’une OU pour organiser les comptes.

B. PowerShell

# Créer une OU
New-ADOrganizationalUnit -Name "Utilisateurs-Paris" -Path "DC=miniverse,DC=local"

III) Création et gestion des utilisateurs

A. Méthode graphique

Clic droit sur l’OU → Nouveau → Utilisateur.
Prénom : Jean | Nom : Dupont | Nom d’ouverture de session : jdupont.
Définissez un mot de passe (et ses options : changement obligatoire au premier logon, expiration, blocage).

Création d'un utilisateur — Assistant de création d’utilisateur.

B. PowerShell

# Créer un utilisateur avec mot de passe
$pwd = ConvertTo-SecureString "P@ssw0rd2025" -AsPlainText -Force
New-ADUser -Name "Jean Dupont" -GivenName "Jean" -Surname "Dupont" `
  -SamAccountName "jdupont" -UserPrincipalName "jdupont@miniverse.local" `
  -Path "OU=Utilisateurs-Paris,DC=miniverse,DC=local" `
  -AccountPassword $pwd -Enabled $true

IV) Création et gestion des groupes

Les groupes permettent d’attribuer des autorisations à plusieurs utilisateurs en même temps. On distingue deux types de groupes :

Sécurité : utilisés pour les droits d’accès (partages, GPO).
Distribution : utilisés pour les listes de diffusion (emails, Exchange).

A. Méthode graphique

Clic droit sur l’OU → Nouveau → Groupe.
Nom : Grp-Finances.
Type : Sécurité | Portée : Global.

Création d'un groupe — Création d’un groupe de sécurité.

B. PowerShell

# Créer un groupe
New-ADGroup -Name "Grp-Finances" -GroupScope Global -GroupCategory Security `
  -Path "OU=Utilisateurs-Paris,DC=miniverse,DC=local"

# Ajouter un utilisateur au groupe
Add-ADGroupMember -Identity "Grp-Finances" -Members jdupont

V) Bonnes pratiques

Utilisez le modèle AGDLP (Accounts → Global groups → Domain Local groups → Permissions).
Séparez les comptes administrateurs des comptes utilisateurs standards.
Placez tous les objets dans des OU dédiées (éviter le conteneur Users par défaut).
Activez la protection contre suppression accidentelle pour toutes les OU importantes.
Utilisez des conventions de nommage claires (ex : u.prenom.nom pour les utilisateurs, Grp-Département pour les groupes).

VI) Validation et dépannage

A. Vérifications

# Lister les utilisateurs dans une OU
Get-ADUser -Filter * -SearchBase "OU=Utilisateurs-Paris,DC=miniverse,DC=local"

# Vérifier l’appartenance à un groupe
Get-ADGroupMember -Identity "Grp-Finances"

B. Dépannage

Utilisateur ne peut pas se connecter : vérifier statut activé, mot de passe, appartenance au domaine.
Groupes inefficaces : vérifier la portée du groupe et l’application des autorisations.
Objets manquants : vérifier l’OU, activer l’option Afficher les objets supprimés en PowerShell si besoin de restauration.

Retour au module 4 Aller au module 6

MiniVerseGeek