Confusion sur les groupes restreints

  • Article

Dans l'utilisation des stratégies de groupe, une fonction très puissante est la possibilité de contrôler les membres d'un groupe à travers ce qui se nomme les "groupes restreints" ou "restricted groups".

Ces groupes restreints fonctionnent de deux manières différentes avec un objectif opposé l'un à l'autre :

  • Soit vous cherchez à faire en sorte qu'un groupe ne contienne qu'une liste précise de membres
  • Soit vous cherchez à faire en sorte qu'un groupe soit forcément membre d'un autre groupe

Une erreur sur la démarche et vous pouvez vous retrouver dans la situation du bûcheron qui a coupé la branche sur laquelle il était assis. Si vous indiquez qu'un groupe "Administrateurs" ne doit contenir qu'un groupe défini à l'avance, vous risquez de perdre le contrôle de ce groupe "Administrateurs"

Le réglage de cette stratégies est dans :
Configuration de l'ordinateur\Paramètres Windows\Paramètres de sécurité\Groupes restreints

En anglais :
Computer Configuration/Windows Settings/Security Settings/Restricted Groups

Il est assez fréquent de chercher à faire en sorte, par exemple, pour Operations Manager ou Configuration Manager" qu'un groupe d'utilisateurs (plutôt des groupes de comptes assimilable à des comptes de service) soit membre des groupes "Administrateurs" d'un groupe de serveurs membres d'un domaine. La bonne démarche consiste à placer ces serveurs dans une unité d'organisation sur laquelle sera appliquée une stratégie de groupe imposant que le groupe spécifique que vous utilisez soit membre du groupe local des administrateurs. Ce n'est pas le groupe local des "Administrateurs" que vous contrôlez, mais le groupe spécifique.

Dans la mise en oeuvre de la stratégie, le haut de la fenêtre (Members of this group) permet de retreindre la liste des membres du groupe contrôlé à une liste précise et limitée.

Le base de la fenêtre (This group is a member of) correspond au cas d'un groupe que vous forcez à être membre d'un autre groupe, sans pour autant exclure que d'autres groupes en soient membres.

Dans des tests, évitez de choisir le groupe "Administrateurs", car vous pourriez parvenir à faire en sorte qu'il soit vide si vous ne renseignez pas de membres à ce groupe, avec les conséquences que je vous laisse imaginer :-).