> Tech > Autorisations pour DC uniques

Autorisations pour DC uniques

Tech - Par iTPro - Publié le 24 juin 2010
email

  Les DC du domaine présentaient un autre problème. Nous voulions accorder aux administrateurs locaux le droit d'effectuer certaines tâches de maintenance sur les DC de leur groupe, sans leur donner les mêmes droits, ou la possibilité d'accès, sur les DC des autres groupes. Les données sensibles varient selon les endroits

Autorisations pour DC uniques

et, comme nous voulions

établir un domaine pour tout le monde, il fallait éviter que les

administrateurs ne puissent interférer entre eux. Notre solution a donc
consisté à  restreindre l’accès aux DC. Malheureusement, les autorisations

accordées en utilisant la Default Domain Controller Policy s’appliquent à 
chaque DC.

   Nous avons donc décidé de créer – sous le dossier Domain

Controller – un dossier OU pour chaque groupe administratif, puis d’enlever

les DC respectifs de l’OU des Domain Controllers pour les mettre dans les

sous-OU AU1 et AU2. A partir de ces sous-dossiers, nous pouvions lier

certains GPO à  certains sous-OU. Et donc, nous pouvions attribuer des
droits d’utilisateurs spécifiques aux seuls DC d’un groupe administratif
donné. Nous avons octroyé aux administrateurs les droits suivants :

– sauvegarder les fichiers et les répertoires

– changer l’heure du système

– créer un pagefile

– charger et décharger des drivers de périphériques

– se connecter (log on) localement

– restaurer les fichiers et les répertoires

– arrêter le système

  Les autres tâches, comme la modification de fichiers système

ou l’installation de services sur des DC, sont interdites aux

administrateurs locaux. N’oublions pas que certains groupes ou comptes

doivent conserver certains droits d’utilisateurs (ainsi, un compte de

service de sauvegarde doit avoir le droit de restaurer des fichiers
et des dossiers de fichiers) et d’autres ont hérité de certains droits
provenant d’un niveau de GPO différent (le niveau domaine, par exemple).
Il faut donc ajouter manuellement de tels comptes au Group Policies

définis. Le tableau 2 présente une liste des droits d’utilisateurs par

défaut sur des DC. Il faut bien sûr garder une trace de toutes les

modifications. Certains services (comme Microsoft Exchange Server)

requièrent également des droits d’utilisateurs sur les DC.

Téléchargez gratuitement cette ressource

Sécurité Office 365 : 5 erreurs à ne pas commettre

Sécurité Office 365 : 5 erreurs à ne pas commettre

A l’heure où les données des solutions Microsoft de Digital Workplace sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités Microsoft 365, Exchange et Teams ? Découvrez les 5 erreurs à ne pas commettre et les bonnes pratiques recommandées par les Experts DIB France.

Tech - Par iTPro - Publié le 24 juin 2010