Dans les environnements Active Directory de Microsoft Windows, les étendues de groupe déterminent la portée dans laquelle le groupe peut être utilisé et où les informations d’appartenance au groupe sont répliquées. Il existe trois étendues de groupes principales :

  1. Domain Local Groups (Groupes de domaine local) :
    • Utilisation : Ils sont principalement utilisés pour attribuer des autorisations à des ressources se trouvant dans le même domaine que le groupe de domaine local.
    • Réplication : Les informations d’appartenance à ces groupes sont stockées uniquement dans le domaine où le groupe a été créé.
    • Membres : Ils peuvent contenir des comptes d’utilisateurs, des comptes d’ordinateurs, d’autres groupes de domaine local du même domaine, des groupes globaux de n’importe quel domaine et des groupes universels.
  2. Global Groups (Groupes globaux) :
    • Utilisation : Ils sont utilisés pour organiser les utilisateurs qui partagent des autorisations similaires dans le même ou différents domaines.
    • Réplication : Les informations d’appartenance aux groupes globaux sont répliquées dans tout le domaine et dans tous les domaines faisant confiance au domaine où le groupe global a été créé.
    • Membres : Ils peuvent contenir des comptes d’utilisateurs et des comptes d’ordinateurs uniquement du domaine où le groupe a été créé. Les groupes globaux peuvent être membres de groupes de domaine local ou d’autres groupes globaux (mais uniquement dans leur propre domaine).
  3. Universal Groups (Groupes universels) :
    • Utilisation : Ils sont utilisés dans des configurations de forêt étendues pour accorder des autorisations sur une large étendue. Les groupes universels sont parfaits pour les environnements multi-domaines où les autorisations doivent être accordées à travers la forêt.
    • Réplication : Les informations d’appartenance aux groupes universels sont répliquées dans toute la forêt.
    • Membres : Ils peuvent contenir des comptes d’utilisateurs, des comptes d’ordinateurs, des groupes globaux et d’autres groupes universels de n’importe quel domaine au sein de la forêt Active Directory.

Le choix de l’étendue de groupe dépend de la structure de l’organisation, de la nécessité de traverser les frontières des domaines et de la forêt, et des considérations de réplication et de performance.

Les groupes de domaine local offrent une stratégie d’autorisation flexible au niveau du domaine, les groupes globaux sont utiles pour structurer les utilisateurs et les ressources au sein d’un domaine, et les groupes universels sont efficaces pour les autorisations dans des environnements de forêt complexes.