Approuver avec précaution

des agences dans le monde et des administrateurs dans des bureaux américains et étrangers gérant les domaines dans la forêt d’Acme. Acme travaille aussi pour le gouvernement des Etats-Unis, ce qui entraîne des restrictions d’accès strictes pour les étrangers. Le simple fait de transférer toutes les ressources classifiées dans un domaine « classifié » à l’intérieur de la forêt Acme rend ces ressources vulnérables face aux étrangers qui ont l’autorité administrateur dans d’autres domaines de la forêt. La création d’une forêt « classifiée » séparée est certainement la réponse, et la plus simple du point de vue conceptuel.

Pourtant Acme a une autre possibilité qui lui permettrait de garder les avantages liés à la possession d’une seule forêt. Dans les domaines d’AD, très peu de personnes ont vraiment besoin de l’autorité au niveau administrateur. Le modèle de sécurité d’AD est très granulaire et permet donc de déléguer des fragments d’autorité administrative au fur et à mesure des besoins. Si vous prenez le temps d’identifier les divers rôles dans le service IT et de comprendre le principe de fonctionnement de la délégation d’AD, vous pouvez établir vos domaines de telle sorte que, pour l’administration au jour le jour, personne ne soit connecté en tant que membre des groupes Administrators, Domain Admins, Enterprise Admins ou Schema Admins.

La délégation granulaire des AD vous permet d’atténuer le problème d’un administrateur voyou approuvé, en stipulant que seuls les citoyens américains peuvent être membres du groupe Administrators, Domain Admins, Enterprise Admins ou Schema Admins. De sorte qu’on empêche un membre de l’équipe IT non américain d’exploiter le risque d’insertion SID dans la forêt. Cependant, la limitation de l’autorité administrative ne traite que l’un des deux moyens d’exploiter l’insertion SID dans la forêt.

L’autre moyen est tout simplement l’accès physique. Une personne qui peut accéder physiquement à un DC peut le compromettre en bidouillant avec des fichiers système pendant que Windows est à l’arrêt. Cette vulnérabilité physique pose un problème plus délicat à une société comme Acme, parce qu’elle doit maintenir les DC dans les pays étrangers pour pouvoir opérer globalement. Le seul moyen d’empêcher quelqu’un d’exploiter physiquement la vulnérabilité d’insertion SID dans la forêt pour accéder au domaine classifié, est de supprimer purement et simplement le domaine classifié de la forêt principale.

Pour maintenir la connectivité entre les utilisateurs dans le domaine classifié et dans le reste de la société, Acme peut créer une relation d’approbation entre forêts, entre la forêt principale et une forêt classifiée, ou des relations d’approbation externes entre certains domaines, comme le montre la figure 2. Pour compenser le manque d’un GC (Global Catalog) unifié unique, Acme peut utiliser MIIS (Microsoft Identity Integration Server) pour publier les utilisateurs d’une forêt comme objets de contact dans l’autre forêt. Les domaines dans Windows 2003 et Windows 2000 ne sont pas la barrière impénétrable d’autorité administrative qu’ils sont dans NT. La forêt suppose que le rôle de barrière ou de limite se situe dans l’AD.

L’application du principe du moindre privilège et la limitation de l’autorité administrative peuvent limiter grandement le risque de l’insertion SID dans la forêt, mais pas complètement. Les forêts multiples sont indésirables car difficiles à utiliser. Et elles alourdissent la tâche des administrateurs qui doivent présenter un répertoire unifié à la communauté des utilisateurs. Mais des outils comme MIIS peuvent aider dans cette situation. De ce qui précède, on voit bien que la mise en place des forêts et des domaines dans une organisation est un exercice d’équilibre entre la gestion du risque et la facilité d’utilisation.