L’unité d’organisation  également appelée OU (Organizational Unit) est bien souvent mal ou peu utilisé. Je me suis aperçu que beaucoup d’administrateurs utilisaient les Organizational Unit comme des dossiers pour classer les objets d’Active Directory. Il me parait donc important de recadrer l’utilisation des Organizational Unit à travers cet article.

But d’une Unité d’Organisation

Le réel objectif d’une OU, ce pourquoi elles ont été créées, est de déléguer les tâches d’administration et les droits sur les objets d’Active Directory. Les Organization Unit sont des conteneurs administratifs. Elles contiennent des objets ayant les mêmes besoins administratifs.

Rien à voir avec un classement par services ou autre. Les groupes sont faits pour cela, pas les Organization Unit. Les objets qui seront administrés de la même manière devront être placés dans la même Organization Unit indépendamment du service et des besoins d’affichage. On n’utilise pas les Organization Unit pour classer les utilisateurs. 

Arborescence d’Unité d’Organisation pour les comptes utilisateurs

Il convient de séparer les comptes utilisateurs et ordinateurs. Prenons un exemple, une personne des ressources humaines pourrait avoir le besoin de désactiver un compte utilisateur. Cependant elle n’aura certainement pas le besoin de désactiver un compte ordinateur. Nous pouvons donc envisager une Organization Unit « employés » regroupant les comptes utilisateurs.

Les administrateurs sont également des employés, mais il n’est peut-être pas souhaitable que la fameuse personne des ressources humaines puisse désactiver un compte d’administration. Nous pouvons donc envisager une seconde Organization Unit « administrateurs » regroupant les comptes d’administration.

Dans le cas d’une entreprise multi-site, il est possible qu’elle dispose d’un support sur chaque site. Prenons en compte le fait que le support du site B n’aura besoin que de gérer les comptes que du site B. Dans ce cas des sous-Organization Unit à l’Organization Unit « employés » peuvent être envisagés comme l’Organization Unit « Montpellier » regroupant les utilisateurs du site de Montpellier et l’Organization Unit  « Nice » regroupant les utilisateurs du site de Nice.

Voici ce à quoi pourrait ressembler notre arborescence d’Organization Unit pour la gestion des comptes utilisateurs :

Évidemment c’est à vous de décider de l’arborescence à adopter, mais vous devriez commencer à mieux comprendre la gestion des Organization Unit. Passons maintenant aux comptes ordinateurs.

Arborescence d’OU pour les comptes ordinateurs

Pour les comptes utilisateurs, je vous ai conseillé de séparer utilisateurs standard et comptes d’administration. Nous allons procéder de manière similaire pour les comptes ordinateurs. Ainsi, créer une Organization Unit « machines_clientes » regroupant tous les postes utilisateurs et une Organization Unit « serveurs » regroupant tous les serveurs pourrait être intéressant. L’administration des serveurs n’étant certainement pas gérée par les mêmes personnes que l’administration des postes clients.

À l’identique des comptes utilisateurs, nous pouvons redécouper l’Organization Unit « machines_clientes » en sous-Organization Unit représentant les différents sites, ceci dans le but de favoriser la gestion par un éventuel service informatique décentralisé. 

Avec l’augmentation de la mobilité, les entreprises enregistrent de plus en plus d’ordinateurs portables. Il pourrait donc être intéressant de segmenter ces Organization Unit en fonction de la mobilité avec  « ordinateurs_portables » et « ordinateur_fixes ».

La gestion des serveurs quand elle ne dépendra que très peu des sites de l’entreprise, mais plutôt du type de serveur. Il sera ainsi possible de segmenter l’Organization Unit « serveur » en sous-Organization Unit représentant les différents types de serveurs.

Voici ce que donnerait l’arborescence d’Organization Unit d’une telle gestion des comptes :

Déléguer une tâche commune via l’assistant

Une fois l’arborescence d’Organization Unit créé il faut déléguer les tâches d’administration. Plusieurs solutions s’offrent à vous. Commençons par l’utilisation de l’assistant afin de déléguer une tâche classique. Il est relativement simple d’utilisation et répondra rapidement à vos besoins. 

Clic droit sur l’Organization Unit souhaité

Choisir Délégation de contrôle

Un message de présentation de l’assistant apparait. Cliquer sur suivant

On vous demande ensuite de sélectionner les utilisateurs ou groupes à qui seront délégué les tâches d’administration. Ajoutez les membres souhaités et cliquez sur suivant.

Deux solutions s’offrent à vous. Déléguer une tâche commune ou une tâche personnalisée. Les tâches communes regroupent des actions prédéfinies qui conviendront dans la plupart des cas. Par exemple ici nous allons très simplement déléguer la réinitialisation de mot de passe.


Un résumé de vos actions vous est présenté. Vous pouvez cliquer sur finish pour confirmer la délégation.


Déléguer une tâche personnalisée via l’assistant

Nous avons vu comment utiliser les tâches prédéfinies pour déléguer très simplement les tâches d’administration. Un jour cependant vous aurez besoin de plus de granularité. Les tâches personnalisées sont là pour satisfaire ce besoin. 

Les premières étapes de la délégation sont identiques à celles vues précédemment. Cependant, arrivés au choix du type de tâche à déléguer, nous allons choisir de créer une tâche personnalisée.

Nous pouvons maintenant choisir de déléguer les tâches sur tous les objets de l’Organization Unit ou seulement un certain type d’objet. Ici je vais choisir de déléguer les tâches sur les objets utilisateurs uniquement. Les deux cases du bas sont décochées, je ne délègue donc pas le droit de créer et supprimer des objets de type utilisateur.

Arrivent maintenant les permissions. Les permissions générales permettent de donner des droits génériques sur l’objet comme lire, écrire, lire ses propriétés, etc. :

Les permissions spécifiques aux propriétés permettent de gérer bien plus précisément les droits en lecture et écriture sur chaque propriété de l’objet :

La dernière check-box est utile si vous avez sélectionné tous les objets de l’Organization Unit à l’étape précédente. Elle permet de gérer la création et suppression d’objet dans l’Organization Unit :

Une fois vos choix faits, il ne reste plus qu’à cliquer sur suivant et terminer l’assistant.

Onglet sécurité : gérer et modifier les délégations

L’assistant ne permet pas de visualiser ni modifier les délégations. Pour cela il faudra passer par l’onglet sécurité.

Cet onglet n’est affichable qu’en sélectionnant les fonctionnalités avancées. Pour réaliser cela, cliquez sur affichage, puis cochez fonctionnalités avancées.


Faites maintenant un clic droit -> propriété sur l’OU de votre choix.

Dans l’onglet sécurité figurent les différentes délégations. Nous retrouvons par exemple la délégation effectuée précédemment à Victor Kerr :

Pour visualiser ou éditer les permissions exactes, cliquons sur avancé.


Une fois l’utilisateur sélectionné, cliquez sur éditer.

Vous pouvez voir que Victor Kerr a le droit de réinitialiser le mot de passe. L’onglet propriété en haut permet de visualiser les droits sur les différentes propriétés de l’utilisateur. C’est également au travers de cette interface que vous pourrez modifier les délégations attribuées à un utilisateur ou groupe.

J’espère que cet article vous a aidé à mieux appréhendez les OU. Ce ne sont pas des dossiers, mais des conteneurs administratifs. Beaucoup de personnes les utilisent mal alors que c’est un outil très puissant permettant de combiner productivité et sécurité.

Author

Write A Comment