Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Groupes de sécurité Active Directory vs Groupes de distribution

Groupes de sécurité Active Directory vs Groupes de distribution

Apr 27, 2023

L'utilisation de groupes est une meilleure pratique pour la gestion de Active Directory. Cet article décrit les deux types de groupes Active Directory — les groupes de sécurité et les groupes de distribution — et offre des conseils pour les utiliser efficacement.

Principales différences entre les groupes de sécurité et les listes de distribution

Les groupes de sécurité et les groupes de distribution (plus communément appelés listes de distribution) sont tous deux des groupes Active Directory, mais ils sont conçus pour des objectifs très différents :

  • Les groupes de sécurité sont utilisés pour gérer l'accès des utilisateurs et des ordinateurs aux ressources informatiques partagées, telles que les données et les applications. Les permissions sont attribuées au groupe de sécurité, et tous les comptes d'utilisateurs et d'ordinateurs membres du groupe disposent automatiquement de ces permissions.
  • Les groupes de distribution (listes de distribution) sont utilisés pour envoyer des e-mails à un ensemble d'utilisateurs, sans que l'expéditeur ait à saisir individuellement l'adresse e-mail de chaque destinataire.

Notez que bien que vous puissiez utiliser des groupes de sécurité pour la distribution d'e-mails, vous ne pouvez pas utiliser de listes de distribution pour attribuer des permissions.

Maintenant, plongeons plus profondément dans chaque type de groupe AD.

Security Groups

Active Directory security groups are used to manage user and computer access to shared resources, such as folders, applications and printers. This makes provisioning easier and more accurate. For example, when a new person joins the organization, the IT team can quickly grant them access to exactly the resources they need to do their job simply by adding them to the appropriate security groups, such as the groups for their department and their specific projects. Security groups can also be set up to deny a set of users access to a particular resource.

Deux fonctions principales d'un groupe de sécurité sont :

  • Attribuer des droits d'utilisateur : L'attribution de droits d'utilisateur à un groupe de sécurité détermine ce que les membres de ce groupe particulier peuvent faire dans le cadre d'un domaine. Par exemple, un utilisateur qui est ajouté au groupe des opérateurs de sauvegarde peut sauvegarder et restaurer des fichiers et des répertoires situés sur chaque contrôleur de domaine dans le domaine. En étant membre de ce groupe, vous héritez des droits d'utilisateur qui sont assignés au groupe.
  • Attribuez des autorisations pour les ressources : Ceci est différent des droits des utilisateurs car les droits des utilisateurs s'appliquent à l'ensemble d'un domaine contrairement aux autorisations qui sont dirigées vers une entité spécifique. Les autorisations déterminent qui peut accéder à la ressource et le niveau d'accès, tel que Contrôle total ou Lecture seule.

En termes simples, les droits des utilisateurs s'appliquent aux comptes utilisateurs tandis que les permissions sont associées aux objets.

Les administrateurs peuvent créer des groupes de sécurité et gérer leurs permissions et adhésions par plusieurs méthodes, y compris la console Active Directory Users and Computers (ADUC), Windows PowerShell et des solutions logicielles tierces de gestion de groupes.

Quelles sont les permissions des groupes de sécurité Active Directory ?

Les permissions dans Active Directory sont un ensemble de règles et de réglementations qui définissent le niveau d'autorité d'un objet pour voir ou modifier d'autres objets et fichiers dans l'annuaire. Pour garantir que les utilisateurs n'aient accès qu'aux ressources dont ils ont besoin, les administrateurs IT attribuent des permissions via les listes de contrôle d'accès (ACLs).

Qu'est-ce que les listes de contrôle d'accès (ACL) ?

Les listes de contrôle d'accès définissent les entités qui ont accès à un objet et le type d'accès. Ces entités peuvent être des comptes d'utilisateurs, des comptes d'ordinateurs ou des groupes. Par exemple, si un objet fichier possède une ACL qui contient (Mary : lire ; Sarah : lire, écrire), cela permettrait à Mary de lire le fichier et à Sarah de le lire et de l'écrire.

Une liste de contrôle d'accès peut être configurée sur un objet individuel ou une unité organisationnelle (OU), ce qui signifie que tous les objets descendants de l'OU héritent de la ACL.

Types de listes de contrôle d'accès

Il existe deux types de listes de contrôle d'accès (ACL), chacune ayant une fonction distinctive :

  • Liste de contrôle d'accès discrétionnaire (DACL) : Cette liste indique les droits d'accès attribués à une entité sur un objet. Lorsqu'une entité ou un processus tente d'accéder à un objet, le système déterminera l'accès sur la base des éléments suivants :
    • Si un objet n'a pas de DACL, le système permet à tout le monde d'y accéder librement.
    • Si un objet possède une DACL, le système autorise l'accès explicitement permis par les entrées de contrôle d'accès (ACE) dans la DACL.
    • Si une DACL contient des ACE qui autorisent l'accès à un ensemble limité d'utilisateurs ou de groupes, le système refuse implicitement l'accès à tous ceux qui ne sont pas inclus dans les ACE.
    • Si le DACL d'un objet n'a aucun ACE, le système n'autorise l'accès à personne.
  • Liste de contrôle d'accès système (SACL) : Cette liste génère des rapports d'audit qui indiquent quelle entité a tenté d'accéder à un objet. Elle indique également si l'accès à l'entité a été refusé ou accordé pour cet objet ainsi que le type d'accès fourni.

Renforcez la sécurité AD avec Netwrix Directory Manager

Simplifiez la gestion des groupes de sécurité et de distribution dans AD

Conseil : Évitez d'utiliser les Security Groups pour l'envoi d'emails

Dans une configuration normale, les groupes de distribution créés dans Exchange et Microsoft 365 se voient attribuer des adresses e-mail par défaut, mais ce n'est pas le cas pour les groupes de sécurité. Par conséquent, les groupes de sécurité ne peuvent généralement pas être utilisés pour la distribution d'e-mails. Cependant, il est possible d'activer la messagerie pour un groupe de sécurité afin de l'utiliser à la fois pour accorder l'accès aux ressources et pour envoyer des e-mails.

Néanmoins, il n'est pas recommandé d'utiliser des groupes de sécurité pour les courriels car cela pourrait compromettre la sécurité. Un groupe de sécurité activé pour le courrier augmente le risque de vol d'identité pour lui-même en premier lieu, ce qui pourrait se propager à d'autres groupes de sécurité qui sont membres du groupe compromis. Ou par exemple, si un groupe de sécurité activé pour le courrier reçoit un lien malveillant dans un message, cela pourrait violer la confidentialité de votre organisation en perturbant certains paramètres.

Si vous devez envoyer un e-mail à tous les membres d'un groupe de sécurité, il est préférable de créer un groupe de distribution ayant les mêmes membres que le groupe de sécurité.

Groupes de distribution

Les groupes de distribution Active Directory sont utilisés pour envoyer des e-mails à un groupe d'utilisateurs plutôt qu'à des destinataires individuels un par un. Par exemple, une entreprise peut mettre en place une liste de distribution pour tous les employés, une autre liste de distribution pour tous les managers et une liste de distribution séparée pour chaque département. Lorsque vous souhaitez envoyer un e-mail à l'un de ces groupes, vous pouvez simplement sélectionner le groupe de distribution, au lieu de devoir ajouter tous les destinataires individuellement. Cela permet de gagner du temps et d'améliorer la précision.

Comme mentionné précédemment, vous ne pouvez pas attribuer des autorisations aux listes de distribution.

Groupes de distribution vs Boîtes aux lettres partagées

Une liste de distribution est tout à fait différente d'une boîte aux lettres partagée. Une boîte aux lettres partagée est utilisée lorsque plusieurs personnes nécessitent l'accès à la même boîte aux lettres. Par exemple, l'équipe d'assistance et l'équipe de support informatique pourraient utiliser une boîte aux lettres partagée afin de collaborer sur des tâches. De plus, n'importe qui dans les équipes peut envoyer et recevoir des e-mails au nom des équipes. Habituellement, une boîte aux lettres partagée a une adresse générique comme “ITsupport@company.com” afin qu'elle reste la même même si la composition de l'équipe responsable change avec le temps. Lorsqu'un utilisateur envoie un e-mail à partir d'une boîte aux lettres partagée, il est envoyé depuis l'adresse de la boîte aux lettres partagée plutôt que depuis l'adresse e-mail personnelle de l'utilisateur. Une copie de cet e-mail est envoyée à la boîte aux lettres partagée pour que tous les autres membres puissent la voir.

Un scénario qui met en évidence la différence entre une liste de distribution et une boîte aux lettres partagée est la suppression d'emails. Si un utilisateur supprime un email d'une boîte aux lettres partagée, cet email est supprimé pour tous ceux qui ont accès à cette boîte aux lettres. Mais lorsqu'un membre d'une liste de distribution supprime un email envoyé au groupe, cet email n'est pas supprimé de la boîte aux lettres d'aucun autre destinataire.

Les groupes de distribution peuvent-ils être gérés par des groupes de sécurité et vice versa ?

Un groupe de sécurité peut être désigné comme propriétaire d'un groupe de distribution. Cela permettrait à tous les membres du groupe de sécurité de gérer ce groupe de distribution — par exemple, ses destinataires de rapport de non-distribution et ses restrictions d'envoi/réception de messages. Par exemple, un groupe de sécurité créé pour une équipe de projet pourrait être le propriétaire de sa liste de distribution associée, et l'équipe de communication d'entreprise pourrait être le propriétaire de plusieurs listes de distribution pour l'entreprise.

D'autre part, un groupe de distribution ne peut pas être désigné comme propriétaire d'un groupe de sécurité.

Est-il sûr de supprimer les groupes de distribution et les groupes de sécurité ?

La suppression d'un groupe de distribution ne représente pas une menace pour la sécurité de votre organisation, bien que la suppression accidentelle d'un tel groupe puisse perturber les communications jusqu'à ce que le groupe puisse être restauré à partir d'une sauvegarde ou qu'un nouveau soit créé et peuplé avec les mêmes membres.

La suppression d'un groupe de sécurité peut toutefois avoir de graves conséquences, telles que :

  • Sécurité — La suppression d'un groupe de sécurité qui restreint l'accès des membres à certaines ressources accorderait à ces utilisateurs l'accès à ces ressources.
  • Productivité — Supprimer un groupe de sécurité qui donne à ses membres l'accès à certaines ressources rendrait les utilisateurs incapables d'accéder aux données et applications nécessaires à l'exécution de leurs tâches.

Par conséquent, soyez prudent lors de la suppression des groupes de sécurité.

Conclusion

Il est crucial de maintenir vos groupes de sécurité et listes de distribution précis et à jour pour la sécurité et la continuité des affaires. Pour simplifier le travail, envisagez d'investir dans une solution telle que Netwrix Directory Manager. Netwrix Directory Manager facilite la garantie que :

  • Chaque groupe dans votre annuaire remplit une fonction.
  • Chaque groupe a un propriétaire.
  • Les utilisateurs ne se voient pas accorder une appartenance inutile à des groupes.
  • Aucun groupe ne dispose de permissions excessives.
  • Les groupes ne dépassent pas leur objectif initial.
  • Les groupes en double n'existent pas.

Obtenez le Guide pour la gestion des groupes Active Directory

Découvrez comment mieux gérer les groupes d'annuaires AD avec cet eBook

En savoir plus

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Kevin Joyce

Directeur de Product Management

Directeur de Product Management chez Netwrix. Kevin a une passion pour la cybersécurité, en particulier pour comprendre les tactiques et techniques utilisées par les attaquants pour exploiter les environnements des organisations. Avec huit ans d'expérience en gestion de produit, se concentrant sur la sécurité d'Active Directory et de Windows, il a utilisé cette passion pour aider à développer des solutions permettant aux organisations de protéger leurs identités, infrastructures et données.

En savoir plus sur ce sujet

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment créer, modifier et tester des mots de passe en utilisant PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Attributs Active Directory : Dernière connexion

Confiances dans Active Directory

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité