par Randy Franklin Smith - Mis en ligne le 09/10/02
Comme je l'ai démontré dans les articles
précédents de cette série sur les
principes fondamentaux de la sécurité
Windows NT, cette sécurité n'est pas
aussi centralisée que beaucoup le pensent.
Vous devez configurer et maintenir avec soin les paramètres de sécurité ...
... y compris les droits utilisateur et les groupes intégrés NT - sur chaque système du domaine. Chaque serveur et station de travail membre a un SAM local avec un
ensemble discret d'attributions de
droits et de groupes intégrés ; de plus,
les DC (domain controllers) dans
chaque domaine partagent un ensemble
commun de droits et de
groupes intégrés. Il faut bien comprendre
les répercussions différentes
des droits que l'on attribue à un serveur
ou à une station de travail
membre et ceux que l'on attribue à un
DC. Il faut aussi comprendre les autorités
que les groupes intégrés de NT octroient
et comment les groupes locaux
sur les serveurs et les stations de travail
membres peuvent interagir avec des
groupes de domaines pour renforcer
ou affaiblir la sécurité de votre réseau.
Les droits utilisateur déterminent la
possibilité pour l’utilisateur d’effectuer
certaines actions, comme changer
l’heure du système. (On attribue les
droits utilisateur au niveau système ; on attribue les autorisations au niveau
objet.) Pour bien attribuer les droits
utilisateur, il faut d’abord bien
comprendre leur portée ou leur
champ d’action.
Quel que soit l’ordinateur auquel
vous vous connectez, User Manager for
Domains concentre son attention par
défaut sur le domaine SAM sur le PDC
(la barre de titre affiche le nom du domaine).
Quand vous sélectionnez
Policies, User Rights dans la barre des
menus, la boîte de dialogue User
Rights Policy résultante présentée dans
la figure 1 affiche les attributions de
droits dans le SAM du PDC. (Chaque
BDC maintient simplement une réplique
du SAM du PDC. Par conséquent,
les attributions de droits que
User Manager for Domains affiche
quand on se concentre sur le domaine,
sont les attributions de droits en vigueur
sur tous les DC du domaine.)
Cependant, chaque serveur et station
de travail membre maintient ses
propres attributions de droits. Ainsi,
quand vous utilisez User Manager for
Domains pour octroyer le droit
Change the system time au groupe
ClockWatchers, vous donnez à ce
groupe le droit de régler l’horloge système
sur les DC du domaine – mais pas
sur les serveurs et stations de travail
membres. Pour modifier les attributions
de droits sur un serveur ou une
station de travail membre, connectezvous
à ce système, ouvrez User
Manager for Domains. Choisissez User,
Select Domain dans la barre des menus.
Entrez le nom de l’ordinateur,
précédé d’une double barre oblique
inverse (\\) puis cliquez sur OK. User
Manager for Domains se reconcentre
sur le SAM local de cet ordinateur et affiche
le nom de l’ordinateur dans la
barre de titre.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure,
vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la
synthèse des conseils et recommandations à appliquer dans votre organisation.
