Défis et pièges

expérimentés. Quand elles auront essuyé les frustrations de la gestion
des ACL Active Directory, beaucoup d’entreprises placeront les administrateurs
dans le groupe Administrateurs de domaines, puisque ce groupe a, par défaut, des
droits sur la totalité d’un domaine Active Directory. Mais ce faisant, elles mettront
à  mal leur objectif initial d’utiliser les fonctions de délégation d’Active Directory.

La gestion de la sécurité AD n’est que la moitié de la saga délégation ; l’autre
moitié est la sécurité des ressources. Accorder à  un administrateur les droits
Contrôle total sur un objet Active Directory (par exemple un serveur) ne lui permet
pas pour autant de contrôler automatiquement les ressources des serveurs, puisque
les groupes administratifs autres qu’Administrateurs des domaines n’ont pas de
permissions explicites sur les ressources d’un serveur.
Pour qu’un groupe administratif ait le contrôle sur l’administration des ressources
d’un serveur, il faut explicitement qu’il soit membre du groupe administrateurs
locaux du serveur. Autre possibilité, celle d’utiliser la fonction Stratégie de
groupe pour définir la stratégie de sécurité de manière centralisée. La Stratégie
de groupe permet de gérer qui peut accéder aux ressources physiques protégées
par les droits de sécurité AD accordés.

Windows 2000 a besoin d’une fonction telle que, lorsque l’éditeur d’ACL est utilisé
pour accorder les droits d’administrer un objet serveur Active Directory, ceux-ci
donnent aussi au groupe administratif la capacité de démarrer et d’arrêter les
services, gérer les imprimantes et créer ou supprimer des partages sur le serveur.
Dans la version actuelle de Windows 2000, ces tâches requièrent des processus
distincts.

La délégation de l’administration dans Windows 2000 implique d’accorder des droits
non seulement sur les objets Active Directory, mais aussi sur les ressources des
systèmes locaux, par exemple le système de fichier, les services système et la
stratégie de sécurité locale. Mais Windows 2000 ne connecte pas ces tâches entre
elles. Il compte au contraire sur un outil compliqué, l’éditeur d’ACL, pour définir
la sécurité Active Directory et la Stratégie de groupe, afin de définir la sécurité
des ressources. De plus, il existe peu d’outils pour aider les administrateurs
à  respecter le modèle de sécurité compliqué d’AD.

à€ mesure que les entreprises mettront en oeuvre de grandes infrastructures AD complexes,
le besoin de ces outils, qu’ils soient de Microsoft ou d’éditeurs tiers, se fera
de plus en plus sentir. Les entreprises finiront peut-être par décider de minimiser
la complexité et les erreurs en n’utilisant pas toute la capacité de délégation
d’Active Directory ou par se tourner vers des éditeurs tiers pour une aide à  la
gestion d’AD afin de tirer parti au maximum des capacités inhérentes au produit.