Utilisation des étendues et des types de groupes dans Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 231273 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F231273
Agrandir tout | Réduire tout

Sommaire

Résumé

Microsoft Windows 2000 élargit le concept des groupes d'utilisateurs de Microsoft Windows NT 4.0 en ajoutant des groupes de distribution et des groupes universels. Dans Windows NT 4.0, il n'existe que des groupes locaux et globaux, considérés tous deux comme des groupes de sécurité.

Plus d'informations

Dans Windows 2000, il existe deux types de groupes : Les groupes de sécurité et les groupes de distribution. Il existe également trois types d'étendues : universel, global et domaine local

Types de groupes

Sécurité

Les groupes de sécurité permettent de contrôler l'accès aux ressources. Ils peuvent également être utilisés en tant que listes de distribution de messages électroniques.

Distribution

Les groupes de distribution ne peuvent être utilisés que pour les listes de distribution de messages électroniques ou pour de simples groupes administratifs. Ces groupes ne peuvent pas être utilisés pour le contrôle d'accès car ils ne sont pas " activés pour la sécurité ". Dans les domaines en mode natif, un type de groupe peut être converti à n'importe quel moment. Dans les domaines de mode mixte, le type de groupe est déterminé lors de la création et ne peut pas être modifié.

Types d'étendues

Universel

Les groupes universels peuvent être utilisés n'importe où dans la même forêt Windows 2000 Ils sont uniquement disponibles dans une entreprise en mode natif. Les groupes universels peuvent constituer une approche plus facile pour certains administrateurs car leur utilisation ne comporte pas de limitations intrinsèques. Les utilisateurs peuvent être directement assignés à des groupes universels, ils peuvent être imbriqués et utilisés directement à l'aide de listes de contrôle d'accès pour indiquer les droits d'accès dans un domaine quelconque de l'entreprise.

Les groupes universels sont stockés dans le catalogue global (GC). Toutes les modifications apportées à ces groupes entraînent ainsi la réplication dans tous les serveurs de catalogue global de toute l'entreprise. Les modifications des groupes universels doivent être apportées uniquement après une vérification approfondie des avantages des groupes universels comparés au coût de la charge supplémentaire de la réplication du catalogue global. Si une organisation ne possède qu'un réseau local bien connecté, les performances resteront optimales, alors que des sites dispersés risquent de rencontrer des problèmes de performance. Les organisations utilisant les réseaux étendus doivent utiliser les groupes universels pour les groupes relativement statiques dans lesquels les membres changent rarement.

Global

Les groupes globaux sont des groupes d'étendue primaire dans lesquels les utilisateurs sont placés dans des domaines en mode mixte. Les groupes globaux peuvent être placés dans les descripteurs de sécurité des objets ressources résidant dans le même domaine. Cela signifie que vous ne pouvez pas limiter l'accès à un objet reposant uniquement sur l'appartenance d'un utilisateur à un groupe global depuis un autre domaine.

L'appartenance d'un utilisateur à un groupe global est évaluée lorsque cet utilisateur se connecte à un domaine. Étant donné que l'appartenance à un groupe global est centrée sur le domaine, les modifications d'appartenance d'un groupe global n'impliquent pas la réplication du catalogue global dans toute l'entreprise.

Dans un domaine en mode natif, les groupes globaux peuvent être imbriqués entre eux. Cela peut être utile lorsque les administrateurs ont imbriqué des unités organisationnelles et veulent déléguer des fonctions administratives d'unités organisationnelles de manière décroissante dans l'arborescence d'une unité organisationnelle. Dans cette situation, une arborescence de groupes globaux peut être utilisée comme structure parallèle pour l'affectation de ces privilèges décroissants.

Groupe domaine local

Les groupes de domaine local permettent d'assigner directement les stratégies d'accès à certaines ressources qui ne sont pas stockées dans Active Directory (telles que les partages de serveurs de fichiers, les files d'attente d'impression, etc.).

Ces groupes ne doivent pas être utilisés pour attribuer des autorisations aux objets Active Directory. Les groupes de domaine local ne peuvent en effet pas être évalués dans d'autres domaines et les parties de la plupart des objets Active Directory sont répliquées dans d'autres domaines sous la forme de catalogue global. Les restrictions d'accès aux objets Active Directory qui reposent sur l'appartenance à un groupe domaine local n'ont pas d'effet sur les requêtes GC des groupes différents du domaine d'où provient le groupe domaine local.

Propriétés

Numéro d'article: 231273 - Dernière mise à jour: dimanche 26 septembre 2004 - Version: 3.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professionel
Mots-clés : 
kbhowto kbenv KB231273
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com