Techniquement, les DC NT peuvent aussi servir de serveurs de fichiers et d'impression ou peuvent héberger des services applicatifs comme Oracle, Exchange, Microsoft IIS ou Microsoft SQL Server. Cependant, pour tous les domaines à l'exception des très petits (c'est-à -dire ceux qui comportent deux ou trois serveurs), je recommande de consacrer
DC dédiés
les DC au seul rôle de DC. Outre le fait que cela simplifie la réinstallation en cas de rétrogradation d’un PDC, le fait de dédier les DC peut prévenir plusieurs problèmes de sécurité potentiels.
Tous les BDC dans un domaine copient le même SAM à partir du PDC ; par conséquent, tous les BDC partagent la même politique d’audit que l’on a définie pour le PDC au moyen de User Manager for Domains. Si l’on utilise un BDC pour d’autres services, on ne peut pas valider des politiques d’audit différentes pour tenir compte de ces utilisations. Cette restriction peut s’avérer dangereuse.
Un deuxième problème, encore plus grave, concerne les droits administratifs. Tous les DC dans un domaine partagent le même groupe Administrators local. De ce fait, on ne peut pas octroyer à quelqu’un des droits d’administrateur sur un seul DC. Considerons l’exemple suivant : le domaine a un PDC et quatre BDC, mais chaque BDC traite également un second rôle. Tom, le gourou Exchange du service informatique, administre BDC1, qui exécute Exchange. Alice, qui travaille au service financier, administre BDC2, qui sert également comme serveur pour Oracle Financials. BDC3 est également un serveur IIS qui maintient des informations de ressources humaines (HR) sur l’intranet de la société ; Sally, dans le service HR, administre BDC3. BDC4 exécute aussi IIS et sert comme serveur Web public de la société ; Harry, un sous-traitant externe, administre ce BDC.
Pour effectuer leurs tâches, ces administrateurs ont chacun besoin de trois administrateurs sur leurs BDC locaux. Pourtant, il est évident qu’aucun des administrateurs ne devrait disposer de droits d’administrateur sur les autres BDC. Mais comme il n’existe qu’un groupe Administrators dans le SAM du PDC, on se retrouve avec plusieurs administrateurs dotés de droits inappropriés sur des BDC. Harry, le sous-traitant externe, a tous les droits sur le SAM du domaine, le e-mail de la société, les informations HR et même les finances – tout comme les autres administrateurs des serveurs applicatifs.
Bien que le fait d’être membre du groupe Administrators local ne vous donne pas de droits administratifs directs sur les serveurs et stations de travail membres, vous pouvez utiliser vos droits pour rallier n’importe quel groupe Domain Administrator, et gagner ainsi des droits d’administrateur sur tout ordinateur présent dans le domaine. Le fait que BDC4 soit un serveur Web public présente le plus grand risque. Si un intrus compromet ce serveur et obtient un accès administratif, il ou elle peut ensuite accéder à tout le domaine.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Teams Live Event: Kollective ou Microsoft ECDN ?
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
