Principe
A quoi ça sert ?
• Les groupes
restreints servent à s'assurer que les membres d'un groupe particulier ne
se voient pas retirer de ce groupe par inadvertance.
• Ils servent
aussi à donner des privilèges particuliers aux utilisateurs : c'est ce que
nous allons voir.
Concrètement :
• Les groupes
restreints étant appliqués par GPO, si un utilisateur d'un groupe restreint
se voit retirer de ce groupe, il sera automatiquement réintégré à ce groupe
lors de la réapplication du GPO (soit toutes les 90 minutes).
• On peut aussi intégrer des utilisateurs
à des groupes qui n'existent pas sur des Contrôleurs de domaine (comme le groupe
"utilisateurs avec pouvoirs".
Mise en œuvre
Voyons tout d'abord où trouver le paramètre "Groupes
restreints" dans une MMC Stratégie de groupe : il faut développer le
nœud Configuration Ordinateur => Paramètres Windows => Paramètres de
sécurité => groupes restreints.
A présent voyons comment insérer des utilisateurs ou des
groupes d'utilisateurs dans les groupes Administrateurs ou Utilisateurs avec
pouvoirs des machines locales.
Pour effectuer cette tâche, il faut au préalable être sur
une machine faisant partie du domaine et ayant les outils d'administration.
Voici donc les différentes étapes
1 – ouvrir sur la machine locale la MMC Gestion de l'ordinateur
et développer le nœud Utilisateurs et groupes locaux. Aller dans le sous-dossier
Groupe.
Prenons l'exemple du groupe Utilisateurs
avec pouvoirs. On ouvre donc les propriétés de ce groupe afin d'y ajouter
le groupe Utilisateurs du domaine. Pour cela il faut utiliser un compte appartenant
au groupe Administrateurs du domaine :
2 – une fois cette manipulation effectuée,
on peut ouvrir la console de gestion des stratégies de groupe (GPMC). On développe
le nœud jusqu'à voir les groupes restreints. On fait un clic droit dans une
zone vierge de la partie droite de la fenêtre puis "Ajouter un groupe"
:
3 – on ajoute donc à ce groupe Utilisateurs
avec pouvoirs le groupe que l'on veut, par exemple le groupe Utilisateurs
du domaine : cela nous assure que tous les utilisateurs du domaine feront
partie du groupe Utilisateurs avec pouvoirs sur leurs machines :
Lorsque l'on clique sur le bouton
Parcourir, on obtient la fenêtre suivante :
On a donc le choix entre rechercher
le groupe sur le domaine ou sur la machine sur laquelle on effectue les manipulations.
Attention : le nom de la machine
locale n'apparaîtra que si on a au préalable ajouter un groupe de domaine
dans un groupe local de la station (par exemple j'ai ajouté le groupe utilisateurs
du domaine au groupe Utilisateurs avec pouvoir de ma station).
Une fois la zone de recherche définie,
on peut ajouter le groupe que l'on désire.
On a donc choisi le groupe Utilisateurs
avec pouvoirs ce qui est représenté de la façon suivante :
4 - à ce stade on a défini le groupe
Utilisateurs avec pouvoirs comme étant un groupe restreint. Il faut à présent
ajouter les utilisateurs ou les groupes d'utilisateurs du domaine qui feront
partie de ce groupe restreint.
On ouvre les propriétés du groupe
restreint. La fenêtre qui apparaît nous permet d'ajouter des utilisateurs
et des groupes à ce groupe restreint :
On clique sur Ajouter dans la partie
Membres de ce groupe. La fenêtre suivante apparaît :
Ici il faut choisir le type d'objet
que l'on veut pouvoir ajouter. Par défaut il n'y a que les utilisateurs et
les groupes. En cliquant sur type d'objets un autre choix nous est proposé
:
On prendra soin de cocher toutes
les cases afin d'avoir un maximum de choix au niveau de la sélection des groupes.
On a donc choisi d'ajouter à notre
groupe restreint le groupe Utilisateurs du domaine.
Le résultat final est donc le suivant
:
Une fois le GPO appliqué, les utilisateurs
du domaine feront partie du groupe Utilisateurs avec pouvoirs sur leurs stations
! La manipulation est la même en ce qui concerne le groupe Administrateurs
sur les machines locales.
PS : les screenshots ne sont pas
tout à fait en total cohésion avec mes manipulations. Elles sont surtout là
pour illustrer la marche à suivre.
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Groupes restreints - Principe et mise en œuvre
