logo

Unité d’organisation (UO) Active Directory

Qu’est-ce qu’une unité d’organisation dans l’Active Directory ?

Une unité d’organisation (UO) est un type de conteneur dans un domaine Active Directory. Une UO peut comprendre un ou plusieurs objets AD, par exemple des comptes d’utilisateur, des comptes d’ordinateur, des imprimantes ou des groupes.

Les unités d’organisation sont semblables à des dossiers : elles peuvent être classées de manière hiérarchique pour présenter la structure d’une organisation. Par exemple, il est possible de créer une UO pour l’ensemble des comptes d’utilisateur d’un domaine, et des UO au sein d’un domaine enfant pour chaque division ou département. Ces dernières peuvent également avoir leurs propres unités d’organisation enfants. Vous pouvez créer vos UO en prenant en compte différents critères : leur fonction, le département, l’emplacement ou toute autre référence pertinente.

Vous avez aussi la possibilité d’établir une hiérarchie semblable pour les objets ordinateur. Par exemple, il est possible de placer toutes les imprimantes classiques à jet d’encre sur une UO concrète, et toutes les imprimantes laser sur une autre. Autre utilité des unités d’organisation : la gestion efficace des ordinateurs qui exécutent différentes versions des systèmes d’exploitation Windows.

Unités d’organisation Active Directory : avantages

Investir du temps dans la planification méticuleuse de vos UO est en général une excellente idée. En effet, mettre en place une structure adaptée d’unités d’organisation offre de nombreux avantages, en particulier une sécurité renforcée et une simplicité de gestion accrue :

  • Contrôles de sécurité rigoureux et précis — Organiser vos utilisateurs, vos ordinateurs et d’autres objets AD au sein d’unités d’organisation logiques vous permet d’appliquer plus facilement des contrôles de sécurité spécifiques sur différents objets. Et notamment sur vos objets de stratégie de groupe (GPO), qui peuvent être associés à plusieurs UO afin d’appliquer leurs paramètres à des groupes d’objets concrets. Par exemple, une stratégie de groupe peut être mise en place pour définir une durée plus courte d’inactivité pour le verrouillage des comptes sur vos principaux serveurs par rapport aux stations de travail. Ou pour appliquer des exigences de complexité des mots de passe plus strictes pour les comptes d’administrateur par rapport aux comptes d’utilisateurs professionnels.
  • Délégation simplifiée des tâches d’administration — Les UO vous permettent de déléguer des autorisations particulières aux utilisateurs professionnels plutôt que d’avoir à leur octroyer des privilèges administratifs étendus. Par exemple, vous avez la possibilité de permettre à votre équipe de support technique de réinitialiser les mots de passe pour l’ensemble des utilisateurs d’un domaine AD, ou simplement pour certains utilisateurs d’une unité d’organisation spécifique.

Gestion des UO à l’aide de la console Utilisateurs et ordinateurs Active Directory (ADUC)

Créer une unité d’organisation 

  1. Cliquez avec le bouton droit sur le domaine ou l’unité d’organisation où vous souhaitez créer une nouvelle UO.
  2. Cliquez sur Nouveau et ensuite sur Unité d’organisation.

  • Saisissez un nom pour votre nouvelle UO.
  • Cliquez sur OK.

Renommer une unité d’organisation 

  1. Cliquez avec le bouton droit sur l’unité d’organisation que vous souhaitez renommer.
  2. Sélectionnez Renommer.

  • Saisissez le nouveau nom.

Déplacer une unité d’organisation

  1. Cliquez avec le bouton droit sur l’unité d’organisation que vous souhaitez déplacer.
  2. Sélectionnez Couper.

  • Allez jusqu’à l’emplacement cible et cliquez sur Coller.

Supprimer une unité d’organisation

Avertissement : supprimer une UO entraîne la suppression de tous les objets de cette dernière. Pour supprimer une unité d’organisation, suivez les étapes suivantes :

  1. Cliquez avec le bouton droit sur l’unité d’organisation que vous souhaitez supprimer.
  2. Sélectionnez Supprimer.

  • Cliquez sur Oui pour confirmer.

Déléguer des autorisations à l’aide d’une unité d’organisation

Vous avez la possibilité de déléguer certaines responsabilités administratives à des utilisateurs ou des groupes spécifiques à l’aide de vos unités d’organisation. Suivez les étapes suivantes :

  1. Cliquez avec le bouton droit sur l’UO de votre choix.

Sélectionnez Déléguer le contrôle et suivez les étapes de l’assistant.

Gestion des UO à l’aide de la console Utilisateurs et ordinateurs Active Directory (ADUC)

Windows PowerShell offre une excellente manière de créer et de gérer efficacement des unités d’organisation dans vos domaines Active Directory.

Comment créer une UO Active Directory à l’aide de PowerShell

Pour créer une unité d’organisation à la racine d’un domaine, exécutez la commande suivante :

New-ADOrganizationalUnit -Name "Engineering"

Pour créer une UO dans un conteneur existant, ajoutez le paramètre -Path :

New-ADOrganizationalUnit -Name "NewOU" -Path "OU=ParentOU,DC=domain,DC=com"

Comment gérer une UO Active Directory à l’aide de PowerShell

Voici quelques cmdlets PowerShell supplémentaires qui vous permettront de gérer vos unités d’organisation :

  • Récupérer les propriétés d’une UO Get-ADOrganizationalUnit
Get-ADOrganizationalUnit -Identity 'OU=Engineering,DC=MILKYWAY,DC=LOCAL'

  • Modifier les propriétés d’une UO Set-ADOrganizationalUnit
Set-ADOrganizationalUnit -Identity "OU=Engineering,DC=MILKYWAY,DC=LOCAL" -Country "US" -StreetAddress "350 S. Bixel Street" -City California -State CA

  • Supprimer une UO — Remove-ADOrganizationalUnit
Remove-ADOrganizationalUnit -Identity "OU=Engineering,DC=MILKYWAY,DC=LOCAL" -Recursive

Conteneurs et UO par défaut dans un domaine Active Directory

Par défaut, de nombreux conteneurs, y compris une unité d’organisation, sont créés lors de l’installation de l’Active Directory.

Unité d’organisation des contrôleurs de domaine

Par défaut, l’unité d’organisation des contrôleurs de domaine est l’unique unité d’organisation créée lors de l’installation de l’Active Directory. Les contrôleurs de domaine y sont placés automatiquement lorsqu’ils sont ajoutés au domaine. Pour rappel, les contrôleurs de domaine sont les serveurs qui permettent d’exécuter Active Directory et de fournir des services, notamment l’authentification et l’autorisation d’accès à un domaine.

Par défaut, un ensemble de stratégies sont mises en œuvre sur cette unité d’organisation. Pour assurer la sécurité des contrôleurs de domaine et leur bon fonctionnement, il est préférable de maintenir tous les objets ordinateur des contrôleurs de domaine sur cette unité d’organisation.

Par défaut, les administrateurs de services fédérés sont responsables du contrôle de l’unité d’organisation des contrôleurs de domaine. Ne déléguez pas ce contrôle à toute autre personne ou tout autre groupe.

Autres conteneurs prédéfinis

Parmi les autres conteneurs créés lors de l’installation de l’Active Directory, mentionnons les suivants :

  • Domaine — Il s’agit du conteneur racine du domaine.
  • Prédéfini — Ce conteneur est utilisé pour les comptes Administrateur de services par défaut.
  • Utilisateurs — Les comptes d’utilisateur et groupes nouvellement créés sont placés par défaut dans ce conteneur.
  • Ordinateurs — Tout nouveau compte d’ordinateur est enregistré ici par défaut.

Important : ces conteneurs ne sont pas des unités d’organisation. Vous ne pouvez donc pas leur appliquer une stratégie de groupe.

Utilisation des unités d’organisation : meilleures pratiques

  • Structurez vos unités d’organisation rigoureusement. Réfléchissez à la manière dont vous souhaitez organiser vos comptes d’utilisateur, vos ordinateurs et l’ensemble des objets AD. Prenez en considération des éléments comme le département, le rôle, l’emplacement et le type de périphérique. Chaque instant que vous passez à planifier vos unités d’organisation portera ses fruits à terme.
  • Créez une structure hiérarchique d’unités d’organisation. Vous pourrez ainsi appliquer des stratégies de groupe et des paramètres de sécurité à certains groupes d’objets.
  • Créez différentes UO pour vos comptes d’utilisateur, vos serveurs et vos ordinateurs non connectés aux serveurs. Cela simplifie considérablement la gestion de vos stratégies de groupe.
  • Mettez en place des conventions d’affectation de noms cohérentes et bien définies. Vos unités d’organisation seront plus faciles à trouver et à gérer. Vous pouvez par exemple utiliser la convention d’affectation de noms UO=[Dépt]_[Emplacement-Site] : il est ainsi facile de savoir pour quels département et emplacement une unité d’organisation a été créée.
  • Déléguez des autorisations administratives à vos UO. Cela vous permettra de répartir des tâches d’administration aux utilisateurs pertinents. Faites-le toutefois avec rigueur pour ne pas compromettre la sécurité !
  • Créez une documentation détaillée pour vos unités d’organisation. Une documentation exhaustive fournit des informations précieuses sur la structure et l’utilisation de vos unités d’organisation. Les administrateurs actuels et à venir vous en seront reconnaissants.

Conclusion

Les unités d’organisation constituent une fonctionnalité très utile de l’Active Directory. La mise en place d’une structure d’unités d’organisation bien organisée simplifie la gestion des utilisateurs, des ordinateurs et des groupes tout en renforçant la sécurité.

FAQ

Qu’est-ce qu’une unité d’organisation dans l’Active Directory ?

Dans un domaine Active Directory, une unité d’organisation est un conteneur qui sert à organiser et à gérer les comptes d’utilisateur, les comptes d’ordinateur, les imprimantes, les groupes et tout autre objet AD. Les UO permettent aux organisations d’organiser leurs ressources selon différents critères : la fonction, le département, l’emplacement, ainsi que d’autres éléments.

Quelle est la seule unité d’organisation créée par défaut lors de l’installation de l’Active Directory ?

Par défaut, l’unité d’organisation des contrôleurs de domaine est l’unique unité d’organisation créée lors de l’installation de l’Active Directory. Elle joue un rôle essentiel dans la gestion des serveurs critiques appelés contrôleurs de domaine. Il est recommandé de maintenir l’ensemble des objets ordinateur des contrôleurs de domaine sur cette unité d’organisation.

Comment créer une unité d’organisation dans l’Active Directory ?

Pour créer une UO, suivez les étapes suivantes :

  1. Ouvrez la console Utilisateurs et ordinateurs Active Directory (ADUC).
  2. Cliquez avec le bouton droit sur le domaine ou l’unité d’organisation où vous souhaitez créer une nouvelle UO.
  3. Sélectionnez Nouveau et ensuite choisissez Unité d’organisation.
  4. Saisissez un nom pour votre nouvelle UO.
  5. Cliquez sur OK.

Comment trouver une unité d’organisation dans l’Active Directory ?

Pour trouver une unité d’organisation, suivez les étapes suivantes :

  1. Ouvrez la console ADUC.
  2. Dans le volet gauche, naviguez jusqu’à la structure du domaine ou de l’unité d’organisation.
  3. Utilisez l’outil de recherche ou examinez manuellement la hiérarchie pour trouver l’unité d’organisation que vous cherchez.

Vous pouvez également utiliser le cmdlet PowerShell Get-ADOrganizationalUnit.

Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité GDPR Insider threat IT compliance IT security Office 365 PowerShell Risk assessment SharePoint Windows Server
...