Délégation et sécurité des objets AD

accorder
ou refuser le droit de modifier un ou tous les attributs d’un objet. Windows 2000
gère la sécurité de la création et de la suppression des objets indépendamment
de la modification de leurs attributs ; on peut donc accorder à  un individu ou
à  un groupe le droit de modifier un objet sans lui permettre pour autant de le
créer ou de le supprimer. Quand on accorde ou on refuse des permissions concernant
des objets, tous les objets subordonnés héritent par défaut des mêmes permissions.

Nous allons à  présent explorer divers moyens de déléguer la gestion des objets
comptes d’utilisateurs. Il est possible de déléguer le droit de créer et de supprimer
des objets utilisateurs (c’est-à -dire les comptes d’utilisateurs). Cette fonctionnalité
permet d’accorder à  un site distant le droit de créer et de supprimer des comptes
en toute indépendance pour son UO. Vous pouvez, par exemple, déléguer l’autorité
de la création et de la suppression des objets utilisateurs aux départements des
ressources humaines dans les UO de vos sites distants. Vous pouvez déléguer le
droit de modifier tous les attributs d’un compte d’utilisateur ou seulement celui
de modifier un attribut, comme le mot de passe ou le code postal d’un utilisateur.
Pour une délégation plus fine encore (peut-être inutilement fine), vous pouvez
permettre à  un individu ou à  un groupe de ne modifier que les informations de
contact d’un utilisateur. Ces concepts de sécurité s’appliquent de la même façon
à  tous les objets AD, qu’il s’agisse d’ordinateurs, de partages de fichiers, d’imprimantes,
d’UO, de sites ou de domaines.

Windows 2000 met en oeuvre les tâches qui sont permises ou refusées sous la forme
d’ACE (Access Control Entry – Valeurs de contrôle d’accès) dans l’ACL (Access
Control List – liste de contrôle d’accès) d’un objet. Pour vous donner une idée
de la finesse de la granularité du contrôle sous Windows 2000, examinons les permissions
des objets utilisateurs et groupes. Un objet utilisateur se prête à  quatre permissions
uniques : changer le mot de passe, recevoir en tant que, redéfinir le mot de passe
et envoyer en tant que. Un objet groupe ne se prête qu’à  une permission : envoyer
vers. Les objets utilisateurs et groupes partagent les permissions communes suivantes
: contrôle total, lister le contenu, lire toutes les propriétés, écrire toutes
les propriétés, supprimer, supprimer un sous-arbre, lire les permissions, modifier
les permissions, modifier le propriétaire, toutes les écritures validées, tous
les droits étendus, créer tous les objets enfants, supprimer tous les objets enfants
et s’ajouter/se supprimer soi-même comme membre.

Windows 2000 représente séparément chacune de ces permissions, on peut donc n’accorder
qu’une seule permission ou plusieurs permissions associées pour manipuler un objet.
Cette granularité permet de ne déléguer en toute sécurité que les tâches d’administration
que l’on souhaite à  des utilisateurs distincts d’une entreprise. Il n’est plus
nécessaire de disséminer le mot de passe de l’administrateur, ce qui permet de
garder la maîtrise du réseau uniquement entre les mains de quelques membres du
personnel.