> Tech > Déplacer des objets vers des OU différentes

Déplacer des objets vers des OU différentes

Tech - Par iTPro - Publié le 24 juin 2010
email

Un droit administratif important que l'on peut déléguer est celui de faire entrer et sortir des objets des OU. Mais il faut veiller à  déléguer ce droit sans compromettre la sécurité. Avec AD, il faut avoir des permissions de suppression pour faire entrer et sortir un objet d'une OU. Pour

amener un objet dans une OU, il
faut des permissions de création.
Faute d’avoir ces deux droits, toute tentative de déplacement
d’un objet (en faisant un clic droit dessus
et en choisissant Move dans le
snap-in Active Directory Users and
Computers) échouera. En raison de la
manière dont AD est conçu, si vous
avez la possibilité de déplacer les objets,
vous pouvez aussi les supprimer –
bien que, dans la pratique, les opérations
de suppression et de création
soient distinctes des opérations de déplacement.
En tant qu’administrateur,
vous pouvez admettre que des administrateurs
locaux déplacent un objet –
une opération réversible – mais hésiter
à  leur permettre de supprimer un objet
– une opération irréversible. Il y a là 
une difficulté.

Un scénario de délégation courant
consiste à  octroyer à  un administrateur
au niveau du site, le contrôle complet
sur une hiérarchie d’OU spécifique.
Ainsi, vous pourriez avoir deux OU spécifiques au site dans votre domaine
: New York et Detroit. Vous donnez
à  Chip le contrôle complet sur
l’OU New York et à  Maria le contrôle
complet sur l’OU Detroit. Les administrateurs
ont souvent besoin de déplacer
des comptes utilisateur individuels
et, plus rarement, de déplacer des
comptes d’ordinateurs et de groupes
sur des OU différentes (par exemple,
les employés changent d’endroit ou
sont promus, les responsabilités informatiques
changent). Maria contrôle
entièrement son OU et donc, si Jack
est transféré à  New York, elle peut sans
problème l’enlever de son OU Detroit :
comme administrateur au niveau du
site, elle a l’autorisation de supprimer
des objets dans son OU. Malheureusement,
elle n’a pas de droits de
création dans l’OU New York et donc
elle ne peut pas déplacer l’objet dans
New York. Si vous devez donner à  Maria des droits de création sur l’OU
New York (et sur toute autre OU dans
laquelle ses utilisateurs de Detroit
pourraient être transférés), vous compromettez
les avantages de sécurité
d’un modèle d’administration limité
géographiquement.

La solution consiste à  créer une OU
spéciale (que j’appelle OU de dépôt)
pour laquelle tous vos administrateurs
au niveau du site ont des permissions
de création et de suppression. Quand
Jack déménage à  New York, Maria l’enlève
de son OU Detroit et le met dans
l’OU dépôt. Ensuite, elle dit à  Chip
qu’elle a autorité sur le compte de Jack
qui est dans l’OU dépôt en attente
d’être transféré. Chip déplace alors le
compte de Jack de l’OU dépôt dans
l’OU New York.

Cette solution élimine également
les comptes apparaissant par surprise.
Aucun compte n’apparaîtra dans l’OUde Chip à  moins qu’elle l’y ait amené.
Les administrateurs au niveau domaine
peuvent superviser l’OU dépôt pour
être certain que les utilisateurs n’y sont
pas orphelins. Si nécessaire, vous pouvez
créer plusieurs OU dépôt différents
dans l’entreprise. Vous devrez encore
accorder des droits de création et
de suppression dans plusieurs endroits,
mais beaucoup moins que vous
ne le devriez sans cette solution.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro - Publié le 24 juin 2010