Comment créer des groupes basés sur des requêtes Active Directory

L'utilisation des groupes de sécurité et des groupes de distribution Active Directory (AD) est une pratique recommandée pour simplifier l'administration informatique, renforcer la sécurité et permettre une communication efficace. Cependant, dans de nombreuses organisations, l'appartenance à ces groupes est définie par une liste explicite d'utilisateurs spécifiques, d'ordinateurs et d'autres entités. L'utilisation de ces groupes statiques est à la fois laborieuse et sujette à erreurs, car lorsque des employés rejoignent l'entreprise ou changent de rôle, que des dispositifs sont ajoutés ou retirés, ou que d'autres changements surviennent, tous les groupes concernés doivent être mis à jour manuellement.

Il existe une alternative utile qui améliore la sécurité et réduit la charge de travail informatique : déterminer l'appartenance à un groupe de manière dynamique en exécutant une requête AD. Microsoft fournit une interface conviviale pour créer des groupes de distribution basés sur une requête LDAP. Malheureusement, il n'existe pas d'interface graphique correspondante pour créer des groupes de sécurité basés sur des requêtes — qui constituent la grande majorité des groupes AD ; la seule option native est de rédiger des scripts en utilisant Windows PowerShell.

Cet article explique les méthodes natives pour créer les deux types de groupes dynamiques puis propose une alternative puissante : les Smart Groups dans Netwrix Directory Manager.

Groupes de distribution

Commençons par les groupes de distribution, plus communément appelés listes de distribution. Les listes de distribution permettent aux utilisateurs d'envoyer des messages électroniques à des groupes de personnes de manière plus efficace et précise. Par exemple, vous pourriez créer une liste de distribution pour chaque département et équipe, ainsi que pour chaque emplacement de bureau. Ces listes de distribution apparaissent dans la Liste d'adresses globale (GAL), ainsi les utilisateurs professionnels peuvent simplement choisir une entrée de la GAL pour envoyer des messages à un groupe entier de collègues.

Inconvénients des groupes de distribution statiques

Parce que les employés rejoignent et quittent constamment l'organisation et changent de rôles au sein de celle-ci, cependant, essayer de maintenir les listes de distribution à jour est un problème pour les équipes informatiques. Dans certains cas, ils pourraient même ne pas avoir les informations nécessaires pour s'assurer qu'ils peuplent correctement les listes.

Les conséquences de ne pas tenir à jour les listes de distribution peuvent être graves. Si les utilisateurs qui devraient être sur une liste ne sont pas inclus, ils ne recevront pas les messages qui pourraient être importants pour leur propre productivité et pour les processus commerciaux essentiels. Pire encore, des listes de distribution inexactes sont un problème de sécurité et de conformité, puisque des messages pourraient être envoyés à des individus qui ne devraient pas voir les informations qu'elles contiennent.

Groupes de distribution basés sur des requêtes

Pour aider, Microsoft a introduit des groupes de distribution basés sur des requêtes dans Exchange Server 2003. Ils offrent les mêmes fonctionnalités que les groupes de distribution standard, mais l'appartenance n'est pas déterminée par une liste statique d'utilisateurs. Au lieu de cela, l'appartenance est générée dynamiquement par des requêtes LDAP qui s'exécutent chaque fois que quelqu'un envoie un email au groupe associé.

Par exemple, vous pouvez créer une requête LDAP qui définit l'appartenance à un groupe comme tous les utilisateurs qui sont actuellement dans un département spécifique de votre organisation. Si un utilisateur particulier est transféré dans un autre département, dès que son objet utilisateur AD est mis à jour, il ne recevra plus les courriels envoyés au groupe de distribution — sans que personne n'ait à modifier manuellement l'appartenance de la liste de distribution.

Vous pouvez trouver la requête associée à un groupe de distribution dans msExchDynamicDLFilter et msExchQueryFilter dans Active Directory.

Comment créer un groupe de distribution basé sur une requête à l'aide de Microsoft Exchange

Les groupes de distribution basés sur des requêtes sont faciles à créer :

1. Lancez le Centre d'administration Exchange et sélectionnez Recipients dans le volet de gauche.
2. Accédez à Groups > New > Dynamic distribution group.
3. Dans l'assistant Nouveau groupe de distribution dynamique, spécifiez les propriétés suivantes de la nouvelle liste :
4. Un nom, un alias et une description pour le groupe
5. L'unité organisationnelle (OU) dans laquelle vous souhaitez créer le groupe
6. Le propriétaire du groupe (facultatif mais recommandé)
7. Le type de destinataires, tels que les boîtes aux lettres de ressources ou les utilisateurs qui possèdent des boîtes aux lettres Exchange
8. Les critères d'appartenance d'un utilisateur à la liste de distribution, tels que son département et son emplacement géographique
9. Cliquez sur Save pour créer le groupe.

Limitations des groupes de distribution basés sur des requêtes créés via Exchange

Les groupes de distribution basés sur des requêtes créés via Exchange sont plus précis et plus faciles à entretenir que les listes de distribution statiques, mais ils présentent certaines caractéristiques importantes à prendre en compte :

• Les attributs pour déterminer l'appartenance à une liste de distribution sont limités à quelques attributs d'utilisateur courants — conteneur, état ou province, entreprise et département — ainsi qu'à quelques attributs personnalisés.
• Étant donné que l'appartenance à une liste de distribution est déterminée lorsqu'un courriel est envoyé à cette liste, les utilisateurs professionnels ne peuvent pas voir les membres d'une liste de distribution dans leur client Outlook, et ne peuvent donc pas être sûrs de qui recevra exactement un message qu'ils envoient à la liste.
• La requête est évaluée chaque fois qu'un courriel est envoyé à une liste de distribution basée sur des requêtes. Par conséquent, l'utilisation intensive de ces groupes impose un fardeau important sur le serveur Exchange et le global catalog.

Groupes de sécurité

Alors que les groupes de distribution sont certainement précieux et doivent être tenus à jour pour assurer la sécurité et la productivité, les groupes de sécurité AD sont encore plus importants. Les administrateurs comptent sur les groupes de sécurité AD pour provisionner rapidement et avec précision les utilisateurs avec les permissions d'accès dont ils ont besoin en fonction de leurs rôles dans l'organisation. Par exemple, vous pouvez créer un groupe de sécurité nommé « Ventes » et lui accorder des droits d'accès aux informations spécifiques, applications et autres ressources nécessaires aux membres du département des Ventes. Chaque utilisateur qui est membre d'un groupe obtient automatiquement tous les droits d'accès attribués à ce groupe.

Inconvénients des groupes de sécurité statiques

Tout comme avec les groupes de distribution statiques, les équipes informatiques sont constamment confrontées à la difficulté de s'assurer que seuls les bons utilisateurs sont membres de chaque groupe de sécurité statique. En effet, à mesure que les employés changent de rôle au sein d'une organisation au fil du temps, il est fréquent qu'ils conservent leur appartenance à des groupes qui ne sont plus pertinents pour leurs fonctions. Par exemple, si quelqu'un passe du département des Ventes au Marketing, il conserve souvent les permissions d'accès aux bases de données des Ventes et à d'autres ressources auxquelles il ne devrait plus avoir accès, car personne ne l'a retiré des groupes liés aux Ventes. De plus, les administrateurs surchargés peuvent commettre des erreurs, telles que l'ajout d'un employé junior à un groupe tel que « Managers », leur donnant ainsi un accès inapproprié à des informations sensibles.

Cette surallocation est un problème sérieux tant pour la sécurité que pour la conformité réglementaire. D'un autre côté, les équipes informatiques ne parviennent parfois pas à accorder aux utilisateurs l'appartenance à tous les groupes de sécurité auxquels ils devraient appartenir, ce qui peut perturber les processus commerciaux importants et surcharger le service d'assistance.

Mise à jour de l'appartenance aux groupes de sécurité en utilisant Microsoft PowerShell

Les administrateurs peuvent utiliser Windows PowerShell pour créer et remplir un groupe de sécurité selon une requête. Ils peuvent également utiliser un script pour mettre à jour les membres d'un groupe de sécurité, au lieu d'ajouter et de retirer les membres manuellement. Par exemple, le script suivant garantit que le groupe de sécurité PseudoDynamicGroup est uniquement peuplé avec les utilisateurs dans une OU spécifiée (desiredUsers) :

Import-Module ActiveDirectory

      #Define the variable ‘groupname’ and load it with the members of the group ‘PseudoDynamicGroup’.

    $groupname = PseudoDynamicGroup

    #Define the variable ‘users’ and populate it with all the users in specified OU.

    $users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"

    #Iterate through the users in the ‘users’ variable. Add each of them to the group ‘PseudoDynamicGroup’ if they are not already a member.

    foreach($user in $users)

    {

      Add-ADGroupMember -Identity $groupname -Member $user.samaccountname -ErrorAction SilentlyContinue

    }

    #Define the variable ‘members’ and populate it with the current membership of the security group ‘PseudoDynamicGroup’.

    $members = Get-ADGroupMember -Identity $groupname

    #Iterate through the users in the ‘members’ variable. If any user is not in the specified OU, remove them from ‘PseudoDynamicGroup’.

    foreach($member in $members)

    {

      if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")

      {

        Remove-ADGroupMember -Identity $groupname -Member $member.samaccountname

      }

    }
      

Limitations des groupes de sécurité basés sur des requêtes créés via PowerShell

Il est évident que la création minutieuse d'un script PowerShell comme celui-ci pour chaque groupe de sécurité AD représente une entreprise colossale qui nécessite des compétences spécialisées. De plus, les scripts doivent être maintenus et de nouveaux doivent être écrits à mesure que de nouveaux projets ou équipes sont créés. De nombreuses organisations n'ont tout simplement pas les ressources informatiques à consacrer à ce travail difficile et critique, ce qui les amène à rechercher une solution tierce robuste comme Netwrix Directory Manager.

Groupes basés sur des requêtes avec Netwrix Directory Manager

Avec Netwrix Directory Manager, vous pouvez facilement créer des listes de distribution et des groupes de sécurité dont l'appartenance est déterminée dynamiquement à l'aide de requêtes Active Directory. Ces groupes basés sur des requêtes sont appelés Smart Groups.

Pour créer un Smart Group, vous devez simplement définir une requête AD pour le groupe et programmer son exécution. À chaque exécution de la requête, elle récupère des objets de l'annuaire pour mettre à jour l'appartenance au groupe. La requête peut être exécutée manuellement ou automatiquement selon un calendrier défini. Ainsi, contrairement aux listes de distribution dynamiques créées via Exchange, les groupes de distribution Netwrix Directory Manager ne sollicitent pas excessivement le serveur Exchange en exécutant une requête à chaque fois qu'un email est envoyé au groupe.

Création de requêtes

Avec le Query Designer dans Netwrix Directory Manager, vous disposez d'une interface visuelle intuitive pour créer des requêtes ; il n'est pas nécessaire d'écrire des commandes PowerShell. Il comprend les onglets suivants :

• Général — Sélectionnez le type d'objets qui peuvent être membres du groupe.
• Stockage — Choisissez les boîtes aux lettres sur n'importe quel serveur Exchange ou base de données de boîtes aux lettres.
• Magasin d'identités — Définissez des critères pour l'appartenance à un groupe. Par exemple, vous pouvez utiliser les attributs de localisation, d'entreprise, de département ou d'identifiant d'employé, et également appliquer des conditions logiques telles que ET et OU pour filtrer davantage les résultats.
• Avancé — Utilisez des sources de données externes telles qu'Oracle, ODBC, Microsoft SQL Server ou des fichiers texte pour aider à déterminer l'appartenance au groupe.
• Inclure/Exclure — Ajoutez ou retirez des objets de l'adhésion du groupe indépendamment du résultat de la requête.
• Smart Script —Rédigez un script basé sur votre propre logique personnalisée en utilisant le support de VB Script.

Conclusion

Les groupes de sécurité et les listes de distribution basés sur des requêtes sont inestimables pour améliorer la sécurité et la productivité des entreprises tout en réduisant la charge de travail informatique. Cependant, avec les options natives, l'utilisation de listes de distribution dynamiques peut surcharger vos ressources Exchange, et la création de listes de sécurité dynamiques nécessite beaucoup de temps et une expertise approfondie en PowerShell. Netwrix Directory Manager offre une alternative puissante : les Smart Groups qui facilitent la création et la maintenance de groupes de sécurité dynamiques et de listes de distribution.