Lorsque l’on crée un groupe dans Active Directory, on doit définir le type et l’étendue du groupe. Voici un petit mémo pour se remémorer la définition de ces paramètres.
Le type Sécurité :
Il permet de créer des groupes d’objets qui seront utilisés dans un contexte de sécurité. On va les utiliser pour spécifier des permissions NTFS. Chaque groupe de sécurité créé se voit donc associer un SID.
Le type Distribution :
Les groupes de distribution n’ont pas de SID et ne peuvent pas servir dans un contexte de sécurité. Ils serviront pour créer des listes de diffusion comme, par exemple, dans le contexte d’un service de messagerie e-mail.
——————————
Les étendues agissent dans le contexte des forêts de domaines. Elles permettent de définir l’origine des objets qu’il y aura dans le groupe, et quelle portée aura ce groupe.
Piqué chez Microsoft :
Étendue | Membres possibles | Conversion d’étendue | Peut accorder des autorisations | Membre possible de |
Universal | Comptes de n’importe quel domaine dans la même forêt.
Groupes globaux de n’importe quel domaine dans la même forêt. Autres groupes |
Peut être convertie en étendue Domaine local si le groupe n’est membre d’aucun autre groupe Universel.
Peut être convertie en étendue Global si le groupe ne contient aucun autre groupe Universel. |
Sur n’importe quel domaine de la même forêt ou de forêts autorisées à approuver. | Autres groupes Universel dans la même forêt.
Groupes Domaine local dans la même forêt ou des forêts autorisées à approuver. Groupes locaux sur les ordinateurs dans la même forêt ou des forêts autorisées à approuver. |
Global | Comptes du même domaine.
Autres groupes Global du même domaine. |
Peut être convertie en étendue Universel si le groupe n’est membre d’aucun autre groupe Global. | Sur n’importe quel domaine de la même forêt, ou forêts ou domaines autorisés à approuver. | Groupes Universel de n’importe quel domaine dans la même forêt.
Autres groupes Global du même domaine. Groupes Domaine local de n’importe quel domaine dans la même forêt ou de n’importe quel domaine autorisé à approuver. |
Domaine local | Comptes de n’importe quel domaine ou domaine autorisé à approuver.
Groupes Global de n’importe quel domaine ou domaine autorisé à approuver. Groupes Universel de n’importe quel domaine dans la même forêt. Autres groupes Domaine local du même domaine. Comptes, groupes Global et groupes Universel d’autres forêts et de domaines externes. |
Peut être convertie en étendue Universel si le groupe ne contient aucun autre groupe Domaine local. | Dans le même domaine. | Autres groupes.
Domaine local du même domaine. Groupes locaux sur les ordinateurs du même domaine, à l’exclusion des groupes intégrés qui ont des identificateurs de sécurité (SID) connus. |