Exporter (0) Imprimer
Développer tout
15 sur 19 ont trouvé cela utile - Évaluez ce sujet

Étendue du groupe

Mis à jour: mars 2007

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Étendue du groupe

Qu'il s'agisse d'un groupe de sécurité ou d'un groupe de distribution, tout groupe est caractérisé par une étendue qui délimite son application dans l'arborescence de domaine ou dans la forêt. La limite d'une étendue de groupe est également déterminée par le paramètre de niveau fonctionnel du domaine qui lui est associé. Il existe trois étendues de groupe : universelle, globale et domaine local.

Le tableau suivant décrit les différences entre les entendues de chaque groupe.

 

Étendue du groupe

Le groupe peut inclure comme membres…

Le groupe peut recevoir des autorisations dans…

L'étendue du groupe peut être convertie en…

Universelle

  • Comptes de tout domaine de la forêt où réside ce groupe universel

  • Groupes globaux de tout domaine de la forêt où réside le groupe universel

  • Groupes universels de tout domaine de la forêt où le réside le groupe universel

Tout domaine ou forêt

  • Domaine local

  • Global (si aucun autre groupe universel n'existe en tant que membres)

Gobale

  • Comptes du même domaine en tant que groupe global parent

  • Groupes globaux du même domaine en tant que groupe global parent

Les autorisations des membres peuvent être attribuées dans tout domaine

Universelle (s'il ne s'agit pas d'un membre de tout autre groupe global)

Domaine local

  • Comptes de tout domaine

  • Groupes globaux de tout domaine

  • Groupes universels de tout domaine

  • Groupes locaux du même domaine que le groupe local parent

Les autorisations des membres peuvent être attribuées dans le même domaine que le groupe local parent

Universelle (si aucun autre groupe local n'existe en tant que membre)

noteRemarque
Les informations contenues dans ce tableau impliquent que le niveau fonctionnel du domaine corresponde à Windows 2000 en mode natif, Windows Server 2003 ou Windows Server 2003 version préliminaire. Lorsque le niveau fonctionnel du domaine correspond à Windows 2000 en mode mixte, il n'est pas possible de créer des groupes de sécurité d'étendue universelle ; les groupes de distribution avec une portée universelle sont, quant à eux, toujours autorisés.

Quand utiliser des groupes avec une étendue de domaine local

Les groupes avec une étendue de domaine local vous aident à définir et à gérer l'accès aux ressources à l'intérieur d'un domaine unique. Par exemple, pour permettre à cinq utilisateurs d'accéder à une imprimante spécifique, vous pouvez ajouter les cinq comptes d'utilisateur à la liste d'autorisations de l'imprimante. Cependant, si vous souhaitez ensuite autoriser les utilisateurs à accéder à une nouvelle imprimante, vous êtes obligé de placer à nouveau les cinq comptes d'utilisateur dans la liste d'autorisations de la nouvelle imprimante.

Avec un minimum de planification, vous pouvez simplifier cette tâche d'administration en créant un groupe avec une étendue de domaine local et l'autoriser à accéder à l'imprimante. Placez les cinq comptes d'utilisateur dans un groupe ayant une étendue globale et ajoutez ce groupe à celui qui a une étendue de domaine local. Si vous souhaitez autoriser les cinq utilisateurs à accéder à la nouvelle imprimante, attribuez une autorisation d'accès au groupe qui a une étendue de domaine local. Tous les membres du groupe qui a une étendue globale accèdent automatiquement à la nouvelle imprimante.

Quand utiliser des groupes avec une étendue globale

Utilisez des groupes avec une étendue globale pour gérer des objets annuaire qui nécessitent une maintenance quotidienne, tels que les comptes d'utilisateurs et d'ordinateurs. Comme les groupes qui ont une étendue globale ne sont pas répliqués à l'extérieur de leur propre domaine, les comptes situés dans un groupe qui a une étendue globale peuvent être modifiés régulièrement sans provoquer un trafic de réplication sur le catalogue global. Pour plus d'informations sur les groupes et la réplication, voir Mode de fonctionnement de la réplication.

Même si l'attribution de droits et d'autorisations n'est valide qu'à l'intérieur du domaine où elle est effectuée, en appliquant des groupes avec une étendue globale de manière homogène sur les domaines appropriés, vous pouvez consolider les références aux comptes qui ont des objectifs similaires. Ceci permet de simplifier et de rationnaliser la gestion des groupes à travers les domaines. Par exemple, dans un réseau qui comporte deux domaines, Europe et ÉtatsUnis, s'il existe un groupe avec une étendue globale nommé ComptabilitéGL dans le domaine ÉtatsUnis, il doit également exister un groupe appelé ComptabilitéGL dans le domaine Europe (sauf si la fonction comptabilité n'existe pas dans le domaine Europe).

Il est fortement recommandé d'utiliser des groupes globaux ou universels au lieu de groupes de domaine local lorsque vous définissez des autorisations pour des objets d'annuaire du domaine répliqués sur le catalogue global. Pour plus d'informations, voir Réplication du catalogue global.

noteRemarque
Lorsque le niveau fonctionnel du domaine correspond à Windows 2000 en mode mixte, les membres des groupes globaux peuvent uniquement comprendre des comptes du même domaine.

Quand utiliser des groupes avec une étendue universelle

Utilisez des groupes avec une étendue universelle pour consolider des groupes qui s'étendent sur plusieurs domaines. Pour y parvenir, ajoutez les comptes à des groupes qui ont une étendue globale et imbriquez ces groupes à l'intérieur de groupes qui ont une étendue universelle. Si vous avez recours à cette stratégie, aucune modification apportée à l'appartenance aux groupes d'étendue globale n'affecte les groupes d'étendue universelle.

Par exemple, dans un réseau qui comporte deux domaines, Europe et ÉtatsUnis, et un groupe d'étendue globale appelé ComptabilitéGL dans chaque domaine, créez un groupe avec une étendue universelle appelé ComptabilitéU, qui aura comme membres les deux groupes ComptabilitéGL, ÉtatsUnis\ComptabilitéGL et Europe\ComptabilitéGL. Le groupe ComptabilitéU peut ensuite être utilisé n'importe où dans l'entreprise. Les modifications apportées à l'appartenance aux groupes ComptabilitéGL individuels ne provoqueront pas la réplication du groupe ComptabilitéU.

L'appartenance à un groupe d'étendue universelle ne doit pas être modifiée fréquemment. En effet, toute modification apportée à ces appartenances de groupe provoque la réplication de toute l'appartenance du groupe sur chaque catalogue global de la forêt. Pour plus d'informations sur la réplication et les groupes universels, voir Sites et catalogues globaux.

noteRemarque
Lorsque le niveau fonctionnel du domaine correspond à Windows 2000 en mode mixte, il n'est pas possible de créer des groupes de sécurité d'étendue universelle.

Modification de l'étendue de groupe

Lors de la création d'un nouveau groupe, ce dernier est configuré par défaut en tant que groupe de sécurité d'étendue globale, quel que soit le niveau fonctionnel actuel du domaine. Il n'est pas possible de modifier l'étendue d'un groupe dans les domaines dont le niveau fonctionnel correspond à Windows 2000 en mode mixte, mais les conversions suivantes sont autorisées dans les domaines dont le niveau fonctionnel correspond à Windows 2000 en mode natif ou Windows Server 2003 :

  • Global vers universel.Cette conversion n'est autorisée que si le groupe n'est pas membre d'un autre groupe d'étendue globale.

  • Domaine local vers universel.Cette conversion n'est autorisée que si le groupe n'a pas comme membre un autre groupe de domaine local.

  • Universel vers global.Cette conversion n'est autorisée que si le groupe n'a pas comme membre un autre groupe d'étendue universelle.

  • Universel vers domaine local. Cette opération n'est soumise à aucune restriction.

Pour plus d'informations, voir modifier l'étendue d'un groupe.

Groupes sur des ordinateurs clients et sur des serveurs autonomes

Certaines fonctionnalités de groupe, telles que les groupes universels, l'imbrication de groupes et la distinction entre groupes de sécurité et groupes de distribution ne sont disponibles que sur les contrôleurs de domaine et les serveurs membres Active Directory. Les comptes de groupe définis sur Windows 2000 Professionnel, Windows XP Professionnel, Windows 2000 Server et les serveurs autonomes exécutant Windows Server 2003 fonctionnent de la même façon que dans Windows NT 4.0 :

  • Seuls les groupes locaux peuvent être créés localement sur l'ordinateur.

  • Un groupe local créé sur l'un de ces ordinateurs ne peut recevoir des autorisations que pour cet ordinateur.

Pour plus d'informations, voir Groupes locaux par défaut.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft. Tous droits réservés.