> Tech > Défis et pièges

Défis et pièges

Tech - Par iTPro - Publié le 24 juin 2010
email

La délégation Active Directory est un problème, surtout avec les outils fournis par Microsoft pour cela. L'assistant Délégation du contrôle n'est pas d'un grand secours, lorsqu'il s'agit de déléguer le contrôle aux administrateurs. Et les complexités de l'éditeur d'ACL peuvent venir à  bout de la patience des administrateurs les plus

Défis et pièges

expérimentés. Quand elles auront essuyé les frustrations de la gestion
des ACL Active Directory, beaucoup d’entreprises placeront les administrateurs
dans le groupe Administrateurs de domaines, puisque ce groupe a, par défaut, des
droits sur la totalité d’un domaine Active Directory. Mais ce faisant, elles mettront
à  mal leur objectif initial d’utiliser les fonctions de délégation d’Active Directory.

La gestion de la sécurité AD n’est que la moitié de la saga délégation ; l’autre
moitié est la sécurité des ressources. Accorder à  un administrateur les droits
Contrôle total sur un objet Active Directory (par exemple un serveur) ne lui permet
pas pour autant de contrôler automatiquement les ressources des serveurs, puisque
les groupes administratifs autres qu’Administrateurs des domaines n’ont pas de
permissions explicites sur les ressources d’un serveur.
Pour qu’un groupe administratif ait le contrôle sur l’administration des ressources
d’un serveur, il faut explicitement qu’il soit membre du groupe administrateurs
locaux du serveur. Autre possibilité, celle d’utiliser la fonction Stratégie de
groupe pour définir la stratégie de sécurité de manière centralisée. La Stratégie
de groupe permet de gérer qui peut accéder aux ressources physiques protégées
par les droits de sécurité AD accordés.

Windows 2000 a besoin d’une fonction telle que, lorsque l’éditeur d’ACL est utilisé
pour accorder les droits d’administrer un objet serveur Active Directory, ceux-ci
donnent aussi au groupe administratif la capacité de démarrer et d’arrêter les
services, gérer les imprimantes et créer ou supprimer des partages sur le serveur.
Dans la version actuelle de Windows 2000, ces tâches requièrent des processus
distincts.

La délégation de l’administration dans Windows 2000 implique d’accorder des droits
non seulement sur les objets Active Directory, mais aussi sur les ressources des
systèmes locaux, par exemple le système de fichier, les services système et la
stratégie de sécurité locale. Mais Windows 2000 ne connecte pas ces tâches entre
elles. Il compte au contraire sur un outil compliqué, l’éditeur d’ACL, pour définir
la sécurité Active Directory et la Stratégie de groupe, afin de définir la sécurité
des ressources. De plus, il existe peu d’outils pour aider les administrateurs
à  respecter le modèle de sécurité compliqué d’AD.

à€ mesure que les entreprises mettront en oeuvre de grandes infrastructures AD complexes,
le besoin de ces outils, qu’ils soient de Microsoft ou d’éditeurs tiers, se fera
de plus en plus sentir. Les entreprises finiront peut-être par décider de minimiser
la complexité et les erreurs en n’utilisant pas toute la capacité de délégation
d’Active Directory ou par se tourner vers des éditeurs tiers pour une aide à  la
gestion d’AD afin de tirer parti au maximum des capacités inhérentes au produit.

TABLEAU 1 : Les ACE créées par l’assistant Délégation
de contrôle
ACE Groupe d’utilisateurs Droits Portée
1 Administrateurs Finance Contrôle total Objets utilisateurs seulement
2 Administrateurs Finance Créer objet utilisateur
Supprimer objet utilisateur
Cette UO et toutes les UO enfants
3 Administrateurs Côte Est Contrôle total Objets utilisateurs seulement
4 Administrateurs Côte Est Créer objet utilisateur
Supprimer objet utilisateur
Cette UO et toutes les UO enfants

Téléchargez gratuitement cette ressource

Cybersécurité sous contrôle à 360°

Cybersécurité sous contrôle à 360°

Avec Cloud in One, les entreprises ne gagnent pas uniquement en agilité, en modernisation et en flexibilité. Elles gagnent également en sécurité et en résilience pour lutter efficacement contre l’accroissement en nombre et en intensité des cyberattaques. Découvrez l'axe Cybersécurité de la solution Cloud In One.

Tech - Par iTPro - Publié le 24 juin 2010