Pour déléguer les tâches administratives dans l'AD, vous devez gérer les ACL des objets AD. A chaque tâche est associée une permission. Ainsi, la tâche qui consiste à redéfinir un mot de passe a la permission Reset Password que vous pouvez accorder ou refuser (explicitement ou par héritage), à l'instar
Déléguer dans l’AD
des permissions Read
ou Write sur un fichier ou sur un dossier.
Vous accédez à l’ACL d’un objet AD comme
vous accèderiez à l’ACL d’un fichier ou d’un
dossier. Premièrement, ouvrez le snap-in
Microsoft Management Console (MMC) Active
Directory Users and Computers, choisissez le
menu View et sélectionnez Advanced Features.
Désormais, quand vous ferez un clic droit sur
un objet AD et choisirez Properties, vous verrez
un onglet Security, qui est l’interface ACL
Editor.
L’interface ACL Editor contient plusieurs
couches de boîtes de dialogue. La première
boîte de dialogue affiche une information de base sur les modèles
de permissions attribués à des principaux de sécurité
particuliers (utilisateurs, groupes, ordinateurs, par exemple).
Vous observerez des différences d’interface mineures
entre les outils administratifs dans Windows Server 2003 et
Windows 2000 Server. (La figure 1 montre l’interface Windows
2003.) Ainsi, dans Windows 2003, l’héritage n’est
contrôlé que dans la boîte de dialogue Advanced Security
Settings, mais dans Win2K, vous pouvez accéder à la case à
cocher héritage dans les deux boîtes de dialogue Security
Settings et Advanced Security Settings. Par ailleurs, si un
principal de sécurité a des permissions qui sortent du cadre
des modèles de permissions standard qui apparaissent dans
la boîte de dialogue, Win2K vous signale en petites lettres en
bas de la boîte de dialogue que celle-ci n’affiche pas toutes les permissions existantes. Il est facile de rater cette information
dans Win2K. Windows 2003 ajoute un modèle de permissions
appelé Special que vous remarquerez plus probablement
en défilant au travers des permissions attribuées à
un compte. A noter cependant que Microsoft a placé le modèle
Special en bas de la liste des permissions, donc il faut
défiler vers le bas pour le voir.
Un clic sur Advanced dans l’onglet
Security vous amène à la seconde boîte de
dialogue. Là encore, vous constaterez les
différences entre les boîtes de dialogue
Advanced Security Settings de Windows
2003 et Access Control Settings de Win2K.
La boîte de dialogue Advanced Security
Settings de Windows 2003, illustrée figure
2, introduit la colonne Inherited From qui
vous permet de déterminer plus facilement
à quel point d’une arborescence OU
une permission particulière a été appliquée.
Un autre ajout intéressant dans
Windows 2003 est le bouton Default qui
efface l’ACL et le remplace par l’ACL par défaut
que le schéma a défini pour l’objet.
Enfin, le nouvel onglet Effective Permissions
vous permet d’évaluer les permissions
résultantes pour un principal de sécurité
spécifique.
Quand vous ajoutez ou modifiez une
entrée permission dans la liste Permission
entries, la boîte de dialogue Permission
Entry – qui constitue le troisième niveau
dans la chaîne des boîtes de dialogue de
sécurité – apparaît. Cette boîte de dialogue
affiche les permissions d’objet et de propriété
au niveau le plus granulaire.
Signalons qu’elle n’a pas beaucoup changé
entre Win2K et Windows 2003.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
