Mise en route avec les comptes de service administrés
Date de publication : août 2016
S’applique à : Windows Server 2012 R2, Windows Server 2012
Ce guide donne des informations générales et des instructions pas à pas sur l’activation et l’utilisation de comptes de service administrés de groupe dans Windows Server 2012.
Dans ce document
Prerequisites
Introduction
Déploiement d'une nouvelle batterie de serveurs
Ajout d'hôtes membres à une batterie de serveurs existante
Mise à jour des propriétés du compte de service administré de groupe
Désaffectation d'hôtes membres d'une batterie de serveurs existante
Désaffectation d'une batterie de serveurs existante
Notes
Cette rubrique inclut des exemples d'applets de commande Windows PowerShell que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour plus d’informations, consultez Utilisation des applets de commande.
Conditions préalables
Consultez la section de cette rubrique portant sur Conditions requises pour les comptes de service administrés de groupe.
Introduction
Lorsqu'un ordinateur client se connecte à un service qui est hébergé sur une batterie de serveurs à l'aide de l'équilibrage de la charge réseau ou d'une autre méthode dans laquelle tous les serveurs sont présentés au client comme étant un même service, les protocoles d'authentification prenant en charge l'authentification mutuelle comme Kerberos ne peuvent alors pas être utilisés sauf si toutes les instances des services utilisent le même principal. Cela signifie que tous les services doivent utiliser les mêmes mots de passe/clés pour prouver leur identité.
Notes
Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe (gMSA, group Managed Service Account). Toutefois, les services qui s'exécutent sur le service de cluster peuvent utiliser un compte gMSA ou un compte de service administré autonome (sMSA, standalone Managed Service Account) s'il s'agit d'un service Windows, d'un pool d'applications, d'une tâche planifiée ou s'ils prennent nativement en charge les comptes gMSA ou sMSA.
Les principaux suivants sont disponibles pour les services, chacun avec certaines limitations.
Principaux |
Étendue |
Services pris en charge |
Gestion des mots de passe |
---|---|---|---|
Compte d'ordinateur du système Windows |
domaine. |
Limité à un serveur joint à un domaine |
Géré par l'ordinateur |
Compte d'ordinateur sans système Windows |
domaine. |
Tout serveur joint à un domaine |
Aucune |
Compte virtuel |
Local |
Limité à un serveur |
Géré par l'ordinateur |
Compte de service administré autonome Windows 7 |
domaine. |
Limité à un serveur joint à un domaine |
Géré par l'ordinateur |
Compte d’utilisateur |
domaine. |
Tout serveur joint à un domaine |
Aucune |
Compte de service administré de groupe |
domaine. |
Tout serveur joint à un domaine Windows Server 2012 |
Le contrôleur de domaine gère et l'hôte récupère |
Un compte d'ordinateur Windows, un compte de service administré autonome (sMSA) Windows 7 ou des comptes virtuels ne peuvent pas être partagés sur plusieurs systèmes. Si vous configurez un compte à partager par les services de la batterie de serveurs, vous devrez choisir un compte d'utilisateur ou un compte d'ordinateur en dehors d'un système Windows. Dans tous les cas, ces comptes n'ont pas la capacité de gérer les mots de passe depuis un seul point de contrôle. Cette situation est problématique, car chaque organisation doit alors créer une solution coûteuse pour mettre à jour les clés du service dans Active Directory, puis les distribuer à toutes les instances de ces services.
Avec les comptes de service administrés de groupe (gMSA) proposés dans Windows Server 2012, les services ou les administrateurs de services n’ont pas besoin de gérer la synchronisation de mot de passe entre les instances de services. Vous configurez la fonctionnalité gMSA dans Active Directory, puis configurez le service qui prend en charge les comptes de service administrés. Vous pouvez configurer un compte gMSA à l'aide des applets de commande *-ADServiceAccount qui font partie du module Active Directory. La configuration de l'identité du service sur l'hôte est prise en charge par :
Les mêmes API que les comptes sMSA, de sorte que les produits qui prennent en charge les comptes sMSA prendront en charge les comptes gMSA
Les services qui utilisent le Gestionnaire de contrôle des services pour configurer l'identité d'ouverture de session
Les services qui utilisent le Gestionnaire des services IIS pour les pools d'applications pour configurer l'identité
Les tâches qui utilisent le Planificateur de tâches
Pour plus d’informations sur les comptes de service administrés autonomes, voir Comptes de service administrés. Pour plus d’informations sur les comptes de service administrés de groupe, voir Group Managed Service Accounts Overview.
Conditions requises pour les comptes de service administrés de groupe
Le tableau suivant répertorie la configuration requise du système d'exploitation pour que l'authentification Kerberos puisse fonctionner avec les services utilisant des comptes gMSA. Les conditions requises pour Active Directory sont répertoriées à la suite de ce tableau.
Une architecture 64 bits est requise pour exécuter les commandes Windows PowerShell utilisées pour administrer les comptes de service administrés de groupe.
Configuration système requise
Élément |
Condition requise |
Système d’exploitation |
---|---|---|
Hôte d'application cliente |
Client Kerberos conforme aux RFC |
Au minimum Windows XP |
Contrôleurs de domaine du domaine du compte d'utilisateur |
KDC conforme aux RFC |
Au minimum Windows Server 2003 |
Hôtes membres du service partagé |
Windows Server 2012 |
|
Contrôleurs de domaine du domaine de l'hôte membre |
KDC conforme aux RFC |
Au minimum Windows Server 2003 |
Contrôleurs de domaine du domaine du compte gMSA |
Contrôleurs de domaine Windows Server 2012 disponibles pour que l’hôte puisse récupérer le mot de passe |
Domaine Windows Server 2012 qui peut avoir des systèmes antérieurs à Windows Server 2012 |
Hôte de service principal |
Serveur d'application Kerberos conforme aux RFC |
Au minimum Windows Server 2003 |
Contrôleurs de domaine du domaine du compte de service principal |
KDC conforme aux RFC |
Au minimum Windows Server 2003 |
Windows PowerShell pour Active Directory |
Windows PowerShell pour Active Directory installé localement sur un ordinateur prenant en charge une architecture 64 bits ou sur votre ordinateur d'administration à distance (utilisant par exemple les Outils d'administration de serveur distant) |
Windows Server 2012 |
Conditions requises pour le service de domaine Active Directory
Le schéma Active Directory de la batterie du domaine gMSA doit être mis à jour vers Windows Server 2012 pour créer un compte gMSA.
Vous pouvez mettre à jour ce schéma en installant un contrôleur de domaine qui exécute Windows Server 2012 ou en exécutant la version appropriée d’adprep.exe à partir d’un ordinateur exécutant Windows Server 2012. La valeur de l'attribut object-version de l'objet CN=Schema,CN=Configuration,DC=Contoso,DC=Com doit être 52.
Nouveau compte gMSA configuré
Si vous gérez l'autorisation de l'hôte de service à utiliser gMSA par groupe, alors groupe de sécurité nouveau ou existant
Si vous gérez le contrôle d'accès au service par groupe, alors groupe de sécurité nouveau ou existant
Si la première clé racine principale pour Active Directory n'est pas déployée dans le domaine ou n'a pas été créée, alors créez-la. Le résultat de sa création peut être vérifié dans le journal des opérations du service KDS, ID d'événement 4004.
Pour obtenir des instructions sur la création de la clé, voir Créer la clé racine du service de distribution de clés (KDS, Key Distribution Service). Le service de distribution de clés Microsoft (kdssvc.dll) crée la clé racine pour Active Directory.
Cycle de vie
Le cycle de vie d'une batterie de serveurs utilisant la fonctionnalité gMSA comporte généralement les tâches suivantes :
Déploiement d'une nouvelle batterie de serveurs
Ajout d'hôtes membres à une batterie de serveurs existante
Désaffectation d'hôtes membres d'une batterie de serveurs existante
Désaffectation d'une batterie de serveurs existante
Suppression d'un hôte membre compromis d'une batterie de serveurs, le cas échéant.
Déploiement d'une nouvelle batterie de serveurs
Lors du déploiement d'une nouvelle batterie de serveurs, l'administrateur du service devra déterminer les éléments suivants :
Si le service prend en charge l'utilisation de comptes gMSA
Si le service nécessite des connexions entrantes et sortantes authentifiées
Les noms de comptes d'ordinateur des hôtes membres du service utilisant la fonctionnalité gMSA
Le nom NetBIOS du service
Le nom d'hôte DNS du service
Les noms de principal du service (SPN) pour le service
L'intervalle de modification de mot de passe (la valeur par défaut est 30 jours).
Étape 1 : Configuration des comptes de service administrés de groupe
Vous pouvez créer un compte gMSA uniquement si le schéma de la batterie a été mis à jour vers Windows Server 2012, si la clé racine principale pour Active Directory a été déployée et si le domaine dans lequel le compte gMSA sera créé contient au moins un contrôleur de domaine Windows Server 2012.
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de créer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Pour créer un compte gMSA à l'aide de la nouvelle applet de commande New-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes de Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée : (Le module Active Directory sera chargé automatiquement.)
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] -SamAccountName <string> -ServicePrincipalNames <string[]>
Paramètre
String
Exemple
Nom
Nom du compte
BatterieIT1
DNSHostName
Nom d'hôte DNS du service
BatterieIT1.contoso.com
KerberosEncryptionType
Tout type de chiffrement pris en charge par les serveurs hôtes
RC4, AES128, AES256
ManagedPasswordIntervalInDays
Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours)
90
PrincipalsAllowedToRetrieveManagedPassword
Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres
HôtesBatterieIT
SamAccountName
Nom NetBIOS du service s'il est différent de Name
BatterieIT1
ServicePrincipalNames
Noms de principal du service (SPN) pour le service
http/BatterieIT1.contoso.com/contoso.com, http/BatterieIT1.contoso.com/contoso, httpBatterieIT1/contoso.com, http/BatterieIT1/contoso
Important
L'intervalle de modification de mot de passe ne peut être défini qu'à la création. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.
Exemple
Entrez la commande sur une seule ligne, même si elle tient ici sur plusieurs lignes du fait de contraintes de mise en forme.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de créer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Pour créer un compte gMSA pour l'authentification sortante en utilisant uniquement l'applet de commande New-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
Paramètre
String
Exemple
Nom
Nom du compte
BatterieIT1
ManagedPasswordIntervalInDays
Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours)
75
PrincipalsAllowedToRetrieveManagedPassword
Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres
HôtesBatterieIT
Important
L'intervalle de modification de mot de passe ne peut être défini qu'à la création. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.
Exemple
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts
Étape 2 : Configuration du service d'application d'identité au service
Pour configurer les services dans Windows Server 2012, reportez-vous à la documentation des fonctionnalités suivantes :
Pool d'applications IIS
Pour plus d’informations, voir Spécifier une identité pour un pool d’applications (IIS 7).
Windows Services
Pour plus d’informations, voir Services.
Tâches
Pour plus d’informations, voir la Vue d’ensemble du planificateur de tâches.
D'autres services peuvent prendre en charge la fonctionnalité gMSA. Reportez-vous à la documentation produit spécifique pour plus d'informations sur la configuration de ces services.
Ajout d'hôtes membres à une batterie de serveurs existante
Si vous utilisez des groupes de sécurité pour gérer les hôtes membres, ajoutez le compte d'ordinateur du nouvel hôte membre au groupe de sécurité (auquel appartiennent les hôtes membres du compte gMSA) en utilisant l'une des méthodes suivantes.
Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité d'ajouter des membres à l'objet de groupe de sécurité pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Méthode 1 : Utilisateurs et ordinateurs Active Directory
Pour connaître les procédures d’utilisation de cette méthode, voir Ajouter un compte d’ordinateur à un groupe et Gérer des domaines différents dans le Centre d’administration Active Directory.
Méthode 2 : dsmod
Pour connaître les procédures d’utilisation de cette méthode, voir Ajouter un compte d’ordinateur à un groupe à l’aide de la ligne de commande.
Méthode 3 : Applet de commande Windows PowerShell Active Directory Add-ADPrincipalGroupMembership
Pour connaître les procédures d’utilisation de cette méthode, voir Add-ADPrincipalGroupMembership.
Si vous utilisez des comptes d'ordinateur, recherchez les comptes existants et ajoutez le nouveau compte d'ordinateur.
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Pour ajouter des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Paramètre |
String |
Exemple |
---|---|---|
Nom |
Nom du compte |
BatterieIT1 |
PrincipalsAllowedToRetrieveManagedPassword |
Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres |
Hôte1, Hôte2, Hôte3 |
Exemple
Par exemple, pour ajouter des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1 Host2 Host3
Mise à jour des propriétés du compte de service administré de groupe
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité d'écrire dans des objets msDS-GroupManagedServiceAccount pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Ouvrez le module Active Directory pour Windows PowerShell et définissez toute propriété à l'aide de l'applet de commande Set-ADServiceAccount.
Pour plus d’informations sur la définition de ces propriétés, voir Set-ADServiceAccount dans la Bibliothèque TechNet ou tapez Get-Help Set-ADServiceAccount à l’invite de commandes du module Active Directory pour Windows PowerShell et appuyez sur ENTRÉE.
Désaffectation d'hôtes membres d'une batterie de serveurs existante
Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité de supprimer des membres de l'objet de groupe de sécurité pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Étape 1 : Supprimer l'hôte membre du compte gMSA
Si vous utilisez des groupes de sécurité pour gérer les hôtes membres, supprimez le compte d'ordinateur de l'hôte membre désaffecté du groupe de sécurité auquel les hôtes membres du compte gMSA appartiennent en utilisant l'une des méthodes suivantes.
Méthode 1 : Utilisateurs et ordinateurs Active Directory
Pour connaître les procédures d’utilisation de cette méthode, voir Supprimer un compte d’ordinateur à l’aide de l’interface Windows et Gérer des domaines différents dans le Centre d’administration Active Directory.
Méthode 2 : drsm
Pour connaître les procédures d’utilisation de cette méthode, voir Supprimer un compte d’ordinateur à l’aide de la ligne de commande.
Méthode 3 : Applet de commande Active Directory pour Windows PowerShell Remove-ADPrincipalGroupMembership
Pour plus d’informations, voir Remove-ADPrincipalGroupMembership dans la Bibliothèque TechNet ou tapez Get-Help Remove-ADPrincipalGroupMembership à l’invite de commandes du module Active Directory pour Windows PowerShell et appuyez sur ENTRÉE.
Si la liste des comptes d'ordinateur est affichée, récupérez les comptes existants, puis ajoutez tous les comptes sauf le compte d'ordinateur supprimé.
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Pour supprimer des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Paramètre |
String |
Exemple |
---|---|---|
Nom |
Nom du compte |
BatterieIT1 |
PrincipalsAllowedToRetrieveManagedPassword |
Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres |
Hôte1, Hôte3 |
Exemple
Par exemple, pour supprimer des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1 Host3
Étape 2 : Suppression d'un compte de service administré de groupe du système
Supprimez les informations d'identification de compte gMSA mises en cache de l'hôte membre à l'aide de Uninstall-ADServiceAccount ou de l'API NetRemoveServiceAccount sur le système hôte.
Vous devez au minimum appartenir au groupe Administrateurs ou à un groupe équivalent pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Pour supprimer un compte gMSA à l'aide de l'applet de commande Uninstall-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Uninstall-ADServiceAccount < ADServiceAccount>
Exemple
Par exemple, pour supprimer les informations d'identification mises en cache pour un gMSA nommé BatterieIT1, tapez la commande suivante et appuyez sur Entrée :
Uninstall-ADServiceAccount ITFarm1
Pour plus d’informations sur l’applet de commande Uninstall-ADServiceAccount, à l’invite de commandes du module Active Directory pour Windows PowerShell, tapez Get-Help Uninstall-ADServiceAccount et appuyez sur ENTRÉE ou consultez Uninstall-ADServiceAccount dans la Bibliothèque TechNet.
Désaffectation d'une batterie de serveurs existante
Lors de la désaffectation d'une batterie de serveurs existante, vous devez supprimer les objets suivants d'Active Directory :
Si le compte gMSA est le seul membre, le groupe de sécurité auquel le compte gMSA appartient et qui est utilisé pour le contrôle d'accès.
Si le groupe de sécurité est uniquement utilisé pour les hôtes membres, le groupe de sécurité auquel les hôtes membres appartiennent
Le compte gMSA.
Pour supprimer un groupe de sécurité, utilisez Utilisateurs et ordinateurs Active Directory, dsrm ou Remove-ADGroup. Pour supprimer un compte gMSA, utilisez Utilisateurs et ordinateurs Active Directory ou Remove-ADServiceAccount.
Étape 1 : Suppression d'objets Active Directory
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de supprimer des objets msDS-GroupManagedServiceAccount et des objets de groupe de sécurité pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Pour supprimer un compte gMSA à l'aide de l'applet de commande Remove-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Remove-ADServiceAccount < ADServiceAccount>
Exemple
Par exemple, pour supprimer un compte gMSA nommé BatterieIT1, tapez la commande suivante et appuyez sur Entrée :
Remove-ADServiceAccount ITFarm1
Pour plus d’informations sur l’applet de commande Remove-ADServiceAccount, à l’invite de commandes du module Active Directory pour Windows PowerShell, tapez Get-Help Remove-ADServiceAccount et appuyez sur ENTRÉE ou consultez Remove-ADServiceAccount dans la Bibliothèque TechNet.
Étape 2 : Suppression d'un compte de service administré de groupe du système
Utilisez les procédures décrites dans Étape 2 : Suppression d'un compte de service administré de groupe du système de cette rubrique.