Projet Networking TNE

Structure des OUs et Groupes de Sécurité

5 min de lecture

Phase 3 : Structure des OUs et Groupes de Sécurité

1. Objectif de ce Document

Ce document décrit et justifie la structure des Unités d’Organisation (OUs) et des Groupes de Sécurité que nous mettons en place dans notre domaine Active Directory ciel-melec.local.

L’objectif est de créer une hiérarchie logique, granulaire et facile à gérer, qui reflète l’organisation de notre lycée et qui nous permettra d’appliquer des permissions et des politiques de manière efficace.

Automatisation

Cette structure entière est créée de manière automatique et idempotente par le script PowerShell Initialize-ADStructure.ps1 que vous trouverez en bas de la page. Cela garantit la cohérence et élimine les erreurs manuelles.

2. Le “Pourquoi” : Ranger sa Chambre avant d’Inviter du Monde

Créer une structure d’OUs avant de créer des utilisateurs, c’est comme installer des étagères et des armoires dans une pièce avant de la remplir. Sans structure, tout finit en désordre par terre. Une bonne structure nous permet de :

  • Déléguer des droits : On pourrait, par exemple, donner à un professeur le droit de réinitialiser les mots de passe uniquement pour les élèves de son OU “Terminale CIEL”, sans qu’il puisse toucher au reste.
  • Appliquer des GPOs ciblées : On peut appliquer une politique (GPO) qui installe un logiciel de CAO uniquement sur les ordinateurs de l’OU “FabLab”, sans que les postes administratifs ne soient affectés.
  • Retrouver facilement les objets : La structure est intuitive et permet de naviguer logiquement dans l’annuaire.

3. Structure des Unités d’Organisation (OUs)

Notre arborescence est conçue pour séparer clairement les différents types d’objets (utilisateurs, groupes, ordinateurs) et pour refléter l’organisation pédagogique de l’établissement.

Voici un aperçu de la hiérarchie principale :

📁 tne.local
  └─ 📁 LyceeTechnique/
     ├─ 📁 Comptes Desactives/
     │  └─ 📁 AnciensEleves/
     ├─ 📁 Groupes/
     │  └─ 📁 Groupes de Securite/
     │     ├─ 📁 Groupes Administration/
     │     ├─ 📁 Groupes BTS/
     │     ├─ 📁 Groupes Lycee/
     │     └─ 📁 Groupes Personnel/
     ├─ 📁 Ordinateurs/
     │  ├─ 📁 Postes Clients/
     │  └─ 📁 Serveurs/
     └─ 📁 Utilisateurs/
        ├─ 📁 Administration/
        ├─ 📁 Etudiants/
        │  ├─ 📁 BTS/
        │  │  ├─ 📁 Premiere Annee/
        │  │  │  ├─ 📁 CIEL-A/
        │  │  │  ├─ 📁 CIEL-B/
        │  │  │  └─ 📁 FED-MELEC/
        │  │  └─ 📁 Deuxieme Annee/
        │  │     ├─ 📁 CIEL-A/
        │  │     ├─ 📁 CIEL-B/
        │  │     └─ 📁 FED-MELEC/
        │  └─ 📁 Lycee/
        │     ├─ 📁 Premiere/
        │     │  ├─ 📁 CIEL/
        │     │  └─ 📁 MELEC/
        │     ├─ 📁 Seconde/
        │     │  ├─ 📁 CIEL/
        │     │  └─ 📁 MELEC/
        │     └─ 📁 Terminale/
        │        ├─ 📁 CIEL/
        │        └─ 📁 MELEC/
        └─ 📁 Personnel/

Justifications des choix :

  • OU Racine LyceeTechnique : Permet de ne pas polluer la racine du domaine et de tout contenir dans une structure propre.
  • Séparation par type : Les OUs Utilisateurs, Groupes, Ordinateurs permettent de séparer physiquement les objets de nature différente. C’est une bonne pratique fondamentale.
  • Granularité : La structure pour les étudiants est très détaillée (par niveau, puis par année, puis par filière). C’est ce qui nous permettra d’être extrêmement précis dans l’application des droits et des GPOs.

4. Structure des Groupes de Sécurité

Les groupes sont le véritable outil pour donner des permissions. Notre stratégie de nommage GRP-SEC-... est claire et le script crée tous les groupes nécessaires pour chaque niveau.

Règle A-G-DL-P

Nous appliquons implicitement la meilleure pratique de Microsoft : Accounts go into Global groups; Global groups go into Domain Local groups; Permissions are assigned to Domain Local groups. Pour notre projet, nous nous concentrons sur la première partie : les comptes utilisateurs sont placés dans des groupes globaux qui représentent des rôles ou des populations (ex: GRP-SEC-Lycee-Terminale-CIEL).

Exemples de groupes créés par le script :

  • GRP-SEC-Lycee-Terminale-CIEL : Contiendra tous les élèves de la classe de Terminale CIEL. C’est à ce groupe qu’on donnera accès à un dossier partagé spécifique, par exemple.
  • GRP-SEC-Personnel-Enseignants : Pour tous les professeurs.
  • GRP-SEC-Admins-Proxmox : Groupe à privilèges élevés pour les administrateurs de la plateforme de virtualisation.
  • Etc.

5. Procédure de Mise en Œuvre

  1. Assurez-vous que le module PowerShell pour Active Directory est installé sur votre contrôleur de domaine (il l’est par défaut).
  2. Copiez le script Create-AD-Structure.ps1 sur le bureau du serveur vm-win-dc-01.
  3. Ouvrez une console PowerShell en tant qu’administrateur.
  4. Exécutez le script.
  5. Le script va afficher son avancement et indiquer les OUs et les groupes qu’il crée. Comme il est idempotent, vous pouvez le relancer sans risque : il ne créera que ce qui manque.

6. Points de Validation

  • Ouvrez la console Active Directory Users and Computers.
  • Activez la vue avancée (View > Advanced Features) pour voir tous les conteneurs.
  • Naviguez dans l’arborescence et vérifiez que toute la structure d’OUs détaillée ci-dessus a bien été créée.
  • Allez dans LyceeTechnique > Groupes > Groupes de Securite et ses sous-dossiers pour vérifier que tous les groupes de sécurité ont été créés avec leur description.

Notre annuaire est maintenant parfaitement structuré et prêt à être peuplé. L’étape suivante est de mettre en place le système qui nous permettra de déployer les postes de travail de manière industrielle : le déploiement “Zero-Touch” avec WDS et MDT.

Initialize-ADStructure.ps1

Vue Graphique

Liens retour