> Tech > Délégation d’AD : au-delà  du basique

Délégation d’AD : au-delà  du basique

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Jeff Bennion - Mis en ligne le 04/03/2003
Bien utilisées, les possibilités de délégation d'AD (Active Directory) Windows 2000 améliorent la productivité informatique de l'entreprise et contribuent à  sa sécurité. Cependant, au moment de mettre en oeuvre votre modèle de délégation, des difficultés risquent de survenir parce que la manière dont Microsoft a conçu AD ne correspond pas forcément à  celle dont vos administrateurs travailleront.Lorsque vous structurez votre modèle de délégation, vous devez traduire des fonctions de jobs concrètes en droits d'accès AD spécifiques. Bien que vous puissiez définir les tâches que les différents informaticiens doivent effectuer, il n'est pas toujours facile d'établir la corrélation entre ces tâches et les permissions d'AD. Je présente quelques techniques qui vont au-delà  des simples scénarios de délégation pour aborder les problèmes que vous risquez fort de rencontrer dans l'entreprise. Ces exemples du monde réel peuvent vous aider à  concevoir et à  déployer un modèle de délégation d'AD sécurisé répondant à  vos besoins.

Délégation d’AD : au-delà  du basique

A première vue, le modèle de délégation
d’AD paraît simple. Tout comme
vous pouvez attribuer des permissions
NTFS pour donner à  des utilisateurs
l’accès à  une portion du système de fichiers, vous pouvez écrire des ACE (access
control entries) dans AD pour accorder
(ou refuser) aux utilisateurs l’accès
à  une portion de votre répertoire.
Vous pouvez attribuer des droits à  certains
types d’objets (comptes d’ordinateurs,
par exemple) et pas à  d’autres
(comptes de groupes, par exemple)
dans le même conteneur. Vous pouvez
également accorder des droits à  un objet
entier pour que, par exemple, un administrateur
contrôle entièrement la totalité
d’un compte utilisateur. Mais vous
pouvez également sécuriser chaque attribut
d’objet individuellement. Vous
pourriez, par exemple, permettre aux
administrateurs de changer les numéros
de téléphone des utilisateurs mais pas
leurs mots de passe. Une fois que vous
comprendrez les règles, la conception
de votre modèle de délégation ira de soi.
En fait, vous voulez donner aux administrateurs
délégués des permissions de
lecture et d’écriture sur les portions de
leur forêt d’AD dont ils ont besoin pour
accomplir le travail – ni plus ni moins.

Tout d’abord, j’explique la délégation
des droits d’options Account – en
particulier, la possibilité de forcer les
changements de mot de passe –
comme une première en délégation
d’AD. Deuxièmement, j’examine la délégation
des droits de déplacer des objets
vers et à  partir d’OU (organizational
units) pour vous montrer comment
résoudre une limitation de délégation,
de manière efficace et sûre. Sur les
bases de ces discussions, je vous guide
dans la définition d’un modèle de délégation
centralisé.

Enfin, je passe du contexte de
nommage de domaine, dans lequel résident
les tâches de délégation évoquées
jusqu’à  ce point, dans un autre
contexte de nommage d’AD, le
contexte de nommage de configuration,
pour explorer la délégation de
gestion de site.

Téléchargez cette ressource

Guide de cybersécurité en milieu sensible

Guide de cybersécurité en milieu sensible

Sur fond de vulnérabilités en tout genre, les établissements hospitaliers, pharmacies, laboratoires et autres structures de soin font face à des vagues incessantes de cyberattaques. L’objectif de ce livre blanc est de permettre aux responsables informatiques ainsi qu’à l’écosystème des sous-traitants et prestataires du secteur médical de se plonger dans un état de l’art de la cybersécurité des établissements de santé. Et de faire face à la menace.

Tech - Par iTPro.fr - Publié le 24 juin 2010