par Jeff Bennion - Mis en ligne le 04/03/2003
Bien utilisées, les possibilités de
délégation d'AD (Active Directory)
Windows 2000 améliorent la productivité
informatique de l'entreprise et
contribuent à sa sécurité. Cependant,
au moment de mettre en oeuvre votre
modèle de délégation, des difficultés
risquent de survenir parce que la manière
dont Microsoft a conçu AD ne
correspond pas forcément à celle
dont vos administrateurs travailleront.Lorsque vous structurez votre modèle
de délégation, vous devez traduire des
fonctions de jobs concrètes en droits
d'accès AD spécifiques. Bien que vous
puissiez définir les tâches que les différents
informaticiens doivent effectuer,
il n'est pas toujours facile d'établir la
corrélation entre ces tâches et les permissions
d'AD. Je présente quelques
techniques qui vont au-delà des
simples scénarios de délégation pour aborder les problèmes que vous risquez
fort de rencontrer dans l'entreprise.
Ces exemples du monde réel
peuvent vous aider à concevoir et à déployer
un modèle de délégation d'AD
sécurisé répondant à vos besoins.
Délégation d’AD : au-delà du basique
A première vue, le modèle de délégation
d’AD paraît simple. Tout comme
vous pouvez attribuer des permissions
NTFS pour donner à des utilisateurs
l’accès à une portion du système de fichiers, vous pouvez écrire des ACE (access
control entries) dans AD pour accorder
(ou refuser) aux utilisateurs l’accès
à une portion de votre répertoire.
Vous pouvez attribuer des droits à certains
types d’objets (comptes d’ordinateurs,
par exemple) et pas à d’autres
(comptes de groupes, par exemple)
dans le même conteneur. Vous pouvez
également accorder des droits à un objet
entier pour que, par exemple, un administrateur
contrôle entièrement la totalité
d’un compte utilisateur. Mais vous
pouvez également sécuriser chaque attribut
d’objet individuellement. Vous
pourriez, par exemple, permettre aux
administrateurs de changer les numéros
de téléphone des utilisateurs mais pas
leurs mots de passe. Une fois que vous
comprendrez les règles, la conception
de votre modèle de délégation ira de soi.
En fait, vous voulez donner aux administrateurs
délégués des permissions de
lecture et d’écriture sur les portions de
leur forêt d’AD dont ils ont besoin pour
accomplir le travail – ni plus ni moins.
Tout d’abord, j’explique la délégation
des droits d’options Account – en
particulier, la possibilité de forcer les
changements de mot de passe –
comme une première en délégation
d’AD. Deuxièmement, j’examine la délégation
des droits de déplacer des objets
vers et à partir d’OU (organizational
units) pour vous montrer comment
résoudre une limitation de délégation,
de manière efficace et sûre. Sur les
bases de ces discussions, je vous guide
dans la définition d’un modèle de délégation
centralisé.
Enfin, je passe du contexte de
nommage de domaine, dans lequel résident
les tâches de délégation évoquées
jusqu’à ce point, dans un autre
contexte de nommage d’AD, le
contexte de nommage de configuration,
pour explorer la délégation de
gestion de site.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Afficher les icônes cachées dans la barre de notification
- Cybersécurité Active Directory et les attaques de nouvelle génération
- IBM i célèbre ses 25 ans
Les plus consultés sur iTPro.fr
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
- Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
- IA & pilotage de portefeuille de projets : accélérer la décision sans en perdre le contrôle
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
