Administrer les éléments de sécurité reconnus

version de l’OS.

Dans un environnement de domaines Windows, les objets d’AD qui représentent les éléments de sécurité reconnus sont stockés dans le conteneur WellKnown éléments de sécurité au-dessous du conteneur Configuration. Vous utiliserez le snap-in Microsoft Management Console (MMC) ADSIEdit pour visualiser l’intérieur du conteneur, comme le montre la figure 2. Sur une machine autonome, les éléments de sécurité reconnus sont stockés dans la base de données de sécurité (SAM, Security Account Manager).

Vous pouvez ajouter des éléments de sécurité reconnus à d’autres groupes et aux ACL d’objets Windows. Dans l’AD, vous pouvez même déléguer des permissions aux éléments de sécurité reconnus. C’est étonnant, mais la première fois que vous essaierez d’ajouter un élément de sécurité reconnu à un autre groupe, vous ne le trouverez pas dans le snap-in MMC Active Directory Users and Computers. Vous devez connaître le nom correct du élément de sécurité reconnu ; vous ne pouvez pas utiliser le ramasseur d’objets du snap-in Active Directory Users and Computers pour rechercher l’objet. Même les options de requête avancées dans le ramasseur d’objets ne vous aideront pas si vous ne connaissez pas le nom correct. Il en est ainsi parce que ce snap-in se concentre sur la gestion des données dans le contexte de nommage du domaine d’AD, et les éléments de sécurité reconnus sont stockés dans le contexte de nommage de configuration d’AD. Le même problème survient quand on utilise le snap-in MMC Local Users and Groups, auquel cas les éléments de sécurité reconnus sont invisibles de manière à cacher leur complexité aux yeux des utilisateurs Windows nonprofessionnels.

Dans le snap-in Active Directory Users and Computers, dès que vous utilisez un élément de sécurité reconnu, il apparaît dans le conteneur ForeignSecurityPrincipals. Ainsi, quand vous ajoutez le élément de sécurité reconnu Authenticated Users au groupe Print Operators, une entrée pour Authenticated Users sera ajoutée au conteneur ForeignSecurityPrincipals, comme le montre la figure 3. A noter que la plupart des éléments de sécurité reconnus font référence à NT AUHTORITY dans leurs noms lisibles. NT AUTHORITY est l’autorité de sécurité dans le domaine de sécurité Windows intégré, présente sur chaque machine Windows. Vous pouvez aussi utiliser la ligne de commande pour ajouter des éléments de sécurité reconnus à d’autres groupes ou à l’ACL d’une ressource. Pour les ajouter à un groupe, vous pouvez utiliser les commandes Net Group et Net Localgroup. Par exemple, pour ajouter le groupe Interactive au groupe local Backup Operators, entrez

net localgroup " Operators" Interactive /add

sur la ligne de commande. Vous pouvez employer l’utilitaire subinacl.exe du Microsoft Windows 2003 Resource Kit pour ajouter les éléments de sécurité reconnus à la ressource de l’ACL à partir de la ligne de commande. Par exemple, pour donner au groupe principal Local Service l’accès en lecture à la clé de registre MyApplication, entrez

subinacl /keyreg MyApplication /grant="Local Service"=r

sur la ligne de commande.