Déléguer l’administration dans Active Directory

d’une tâche administrative à  un autre administrateur. Cette délégation est
possible grâce aux améliorations du
modèle de la Liste de Contrôle d’Accès
(ACL) de Windows 2000 et à  la présence
de conteneurs dénommés Unité
d’Organisation (OU). Véritable outil de
structuration, ces unités organisationnelles
permettent de regrouper les objets
et offrent une vue hiérarchique des
objets d’un domaine. La délégation administrative
consiste donc principalement
à  regrouper des objets dans une
unité, et d’y assigner des permissions
correspondant à  des tâches administrations
spécifiques. En fournissant des
vues alternatives et transversales aux
OUs, regroupant les objets par métiers,
projets… FastLane ActiveRoles de
Quest Software permet de simplifier la
gestion des sécurités natives d’Active
Directory en ajoutant des vues alternatives
aux OUs et en permettant de visualiser
les objets contenus dans l’annuaire
afin de les organiser par métiers,
géographie, pôles de responsabilité,
projets transversaux ou organisation
matricielle.

L’autre aspect clé des permissions
basées sur l’ACL d’Active Directory
concerne l’architecture du modèle de
délégation. Les permissions sont placées
sur des objets individuels ou des
conteneurs au sein d’Active Directory.
Le modèle natif de délégation est
incorporé dans l’annuaire lui-même et répliqué en son sein avec des objets AD
et des attributs, formant ainsi un
répertoire robuste, distribué et sûr.
Un domaine Active Directory conserve
des copies synchronisées en lecture/
écriture du répertoire de tous les
contrôleurs de domaines à  l’intérieur
d’un domaine. Par exemple, tous les
comptes utilisateurs et groupes d’un
domaine sont accessibles et lisibles sur
n’importe quel contrôleur, dans un domaine.
Disposer de multiples copies en
lecture/écriture d’Active Directory apporte
une nette amélioration en terme
de flexibilité par rapport à  une simple
copie en lecture/écriture disponible sur
les PDC d’un domaine Windows NT.
Car elle permet aussi aux administrateurs
d’accéder à  un contrôleur de domaine
local en vue d’exécuter des
tâches administratives.

Enfin, Active Directory n’est pas qu’un simple annuaire d’un Système d’Exploitation Réseau (NOS) utilisé pour l’authentification et l’autorisation. Il permet de stocker de l’information pour des applications telles que Exchange 2000 et Mobile Information Server. Ces dernières définissent de nouvelles classes et attributs aux objets, informations qui seront également stockées dans l’annuaire. Les administrateurs peuvent aussi leur appliquer un modèle de délégation. D’autres éditeurs s’appuient également sur Active Directory comme SAP, PeopleSoft et J.D Edwards au lieu de faire appel à  leurs propres entrepôts de données.