Comment répondre aux nouveaux besoins réseaux ? Webcast Dell & IT Pro Magazine Mardi 28 Février ….

Cache-cache avec les permissions Active Directory

Joern Wettern | Mise en ligne : 26-09-2011

Page 1 : Cache-cache avec les permissions Active Directory
Page 2 : Problèmes de permissions

Cache-cache avec les permissions Active Directory

Lorsque vous vous penchez sur des problèmes de sécurité essentiels, il est facilede passer à côté des petits détails. Cet article aborde l’un de ces aspects secondaires : l’objet AdminSDHolder dans Active Directory.

Ce dossier est issu de notre publication IT Pro Magazine (09/10). Pour consulter les schémas et illustrations associés, rendez-vous dans le club abonnés.

A lire également :

Tags : Active Directory / Administrateur / Exchange Server / Microsoft / Mobilité

Dossiers Windows Server

Protection masquée d'Active Directory

Il y a peu, j’ai redécouvert un comportement obscur d’Active Directory alors que je devais configurer ActiveSync sur un serveur Exchange 2010 pour un utilisateur équipé d’un iPhone. Un message m’a signalé que le compte d’utilisateur dans AD n’avait pas les permissions héritées nécessaires requises par Exchange Server pour créer un objet représentant l’iPhone. Au cours de mes vérifications, j’ai constaté que les permissions étaient en place au niveau du domaine mais, à l’examen des paramètres de sécurité de l’objet utilisateur, j’ai constaté que l’héritage avait été désactivé.

Ce phénomène m’a paru étrange car la case à cocher était activée pour d’autres objets utilisateurs. J’ai activé l’héritage mais, quelques minutes plus tard, le paramètrea mystérieusement disparu. J’ai réalisé rapidement d’où venait le problème. L’utilisateur en question était membre du groupe Admins du domaine (Domain Admins) et l’héritage des permissions avait été désactivé en raison d’un mécanisme AD obscur chargé de protéger les comptes utilisateur avec privilèges.

Lors de la conception initiale d’Active Directory, les développeurs de Microsoft étaient préoccupés par le fait que les permissions à l’échelle du domaine puissent mettre en danger la sécurité des comptes nécessitant un niveau de protection accru. Par exemple, si vous autorisez le personnel du help desk à réinitialiser les mots de passe utilisateurs dans votre domaine, qu’est-ce qui les empêcherait de modifier les mots de passe administrateurs et d’interdire à ces derniers l’accès au domaine ? Dans une structure AD bien organisée, vous pouvez éviter ce problème en délégant les permissions uniquement pour certaines entités organisationnelles (OU) et en déplaçant tous les comptes avec privilèges vers une OU distincte. Néanmoins, soyons réalistes, la majorité des sociétés placent tous les utilisateurs dans une seule OU, et quiconque en mesure de modifier les objets représentant des utilisateurs lambda peut aussi modifier les objets représentant les administrateurs.

Pour éviter ce type de phénomène, un processus s’exécute toutes les heures sur les contrôleurs de domaine et désactive l’héritage des permissions au niveau de tous les objets utilisateurs membres de certains groupes avec privilèges. Le processus remplace toutes les permissions existantes par celles définies dans un modèle. Ainsi, des permissions au niveau du domaine qui, par inadvertance, autoriseraient un compte utilisateur sans privilèges à modifier un compte avec privilèges seront annulées en un maximum d’une heure. Par exemple, même si vous octroyez des permissions de niveau domaine permettant à votre personnel de help desk de modifier les mots de passe, ils ne pourront pas toucher au mot de passe de l’administrateur dès l’exécution suivante du processus d’arrière-plan.

IDC décrit la valeur des nouveaux services d’architectures réseau

Les applications critiques de services de réseau, de partagent et gestion des données sensibles, permettant aux employés, partenaires et clients finaux de mieux collaborer sont hyper dépendantes de la fiabilité, de la sécurité et de la redondance de l’infrastructure réseau. Dans cette étude, IDC décrit précisément la valeur des services d’intégration et de conseil en matière de réseau d’entreprise.

Découvre l’étude IDC sur la valeur des services réseau

Les dernières ressources publiées sur la chaîne Windows Server
Déployer BitLocker avec SCCM Lyon se prépare à devenir Capitale Mondiale du Web TechDays 2012 – "Le développeur est au cœur de la stratégie de l’entreprise " À la une d'IT Pro Magazine : TechDays 2012, Windows 8 et Hyper-V 3.0 TechDays 2012 – Honneur aux développeurs Déléguer des tâches aux utilisateurs avec Forefront Identity Manager	Hays publie les grilles de salaire IT pour 2012 Les cybercriminels fêtent aussi la Saint-Valentin McAfee s’inquiète d’une course au cyber-armement TechDays 2012 - "Nous avons déjà des idées pour 2013" TechDays 2012 : Place à la génération Windows 8 « Dell veut s’imposer en tant qu’intégrateur »

Le Guide de la migration vers EBICS publié par System i NEWS
	Près de la moitié des utilisateurs du réseau X.25 n’auraient pas encore migré vers la nouvelle norme d’échange interbancaire EBICS. Le temps presse pourtant car les lignes seront coupées dans moins de six mois. Avec eBanks, GMI propose de régler le problème en une journée Découvrez comment migrer vers la norme EBICS avec eBanks

Les dernières ressources publiées sur iTPro.fr
La migration vers Lync 2010 Le stockage en environnement virtualisé Remplacer le format SOAP par les services web REST Le 10G au secours des applications hébergées Pourquoi l’administration des accès basés sur les rôles est-elle si ardue ? Hays publie les grilles de salaire IT pour 2012	L’histoire de SQL Server en deux minutes Déployer BitLocker avec SCCM TechDays 2012 - "La continuité est devenue une fonctionnalité" Vers « l’entreprise 2.0 » avec SharePoint Kaspersky One : l’antivirus 4 en 1 Lyon se prépare à devenir Capitale Mondiale du Web

Accédez aux services exclusifs de votre Club Abonnés

Découvrez les magazines IT

Les dossiers pour gérer et optimiser les environnements Windows Server L'expertise sur Exchange Server, la collaboration et les services mobiles La référence professionnelle AS/400, iSeries, i5 et Power Systems

Actualités

Webcast spécial Réseaux
Comment répondre aux nouveaux besoins réseaux ? Webcast Dell & IT Pro Magazine Mardi 28 Février... Enregistrez-vous !

Télécharger un numéro gratuit

IT Pro Magazine est le 1er mensuel dédié à la gestion et l'optimisation des environnements Windows Server, des infrastructures virtualisées et des solutions Cloud Computing. Télécharger un numéro Gratuit

e Newsletters

Voir un exemple

Windows Server

SQL Server

Exchange Server

System i

IT Virtualisation

Mobilité

Ressources IT

Flux RSS IT

Liens Technologiques

Testez le Top 10 des meilleurs freewares pour les IT Pro !
Comment répondre aux nouveaux besoins réseaux ? Webcast Dell & IT Pro Magazine Mardi 28 Février...
Microsoft It Camps Formations gratuites et interactives Programme et inscription
Comment booster les performances des environnements VMware & Hyper-V ?
Découvrez le Guide de la migration vers EBICS publié par System i NEWS
Découvrez les nouvelles solutions dédiées à la collaboration et la productivité d’entreprise...
Comment transformer maintenant les centres de données en actifs stratégiques ?
Découvrez le nouveau guide Intel dédié à la transformation des datacenters
Explorez dès aujourd’hui les Solutions de Cloud Privé Microsoft
Solutions de haute disponibilité & reprise d’activité des infrastructures physiques et virtuelles

Découvrez ici les magazines IT
de référence pour les responsables informatiques Découvrir nos magazines

Dossiers, expertise, news...
en live sur Twitter Accédez aux services exclusifs
Club Abonnés La lettre 100% Experts IT !
Abonnez-vous gratuitement Infos, avis et conseils IT
Cliquez sur J'aime

Le site iTPro.fr traite de l'informatique dédiée aux professionnels IT. Les DSI trouveront parmi ces Ressources IT des dossiers IBM Power Systems (AS 400) et Virtualisation, ainsi que des vidéos exclusives. De plus nos Hubs thématiques viendront compléter ces articles déjà très riches :

Sharepoint 2010 (Travail collaboratif)
Optimisation WAN (Riverbed)
Stockage unifié (EMC VNX)
Haute disponibilité (Vision Solutions)
Cloud privé (Microsoft)

Solutions de stockage et Power system (IBM)

Agence Communication Yvelines - Communiqués de presse IT | IT Media : Contacter IT Media - Annoncer sur itpro.fr - Mentions légales

Copyright © 2012 IT Media. Tous droits réservés, toutes les marques citées sur ce site sont des marques déposées de leurs propriétaires respectifs