> Tech > Domaine contre Contrôle local

Domaine contre Contrôle local

Tech - Par iTPro - Publié le 24 juin 2010
email

Outre le fait qu'elle acquiert des fonctionnalités de domaine supplémentaires, la configuration de sécurité d'un ordinateur NT fonctionne indépendamment après que l'on ait ajouté l'ordinateur à  un domaine. Les changements effectués au moyen de User Manager for Domains sont sans effet sur les politiques ou les droits utilisateurs des serveurs

membres et des stations de travail. Par exemple, quand on utilise User Manager for Domains pour attribuer le droit Logon locally à  Peter, on l’autorise à  se connecter aux consoles de chaque DC du domaine. En revanche, s’il a besoin de se connecter à  un serveur membre du domaine, il vous faut vous connecter à  ce serveur et octroyer à  Peter le droit sur un plan local, au moyen de User Manager.

La politique de comptes et la politique d’audit que l’on définit sur un DC n’ont rien à  voir avec la politique de compte et d’audit définie localement sur les serveurs membres et stations de travail. Supposons, par exemple, que l’on se connecte à  un DC, ouvre User Manager for Domains, et configure une longueur de mot de passe minimale. Cette action est sans effet sur les comptes locaux de machines définis dans le SAM d’un serveur membre ou d’une station de travail. Par conséquent, si les politiques de comptes locaux sont laxistes, on est vulnérable. Les pirates ne sont pas difficiles : Pour envahir un système, ils utiliseront aussi bien un compte local qu’un compte de domaine.

C’est pourquoi il faut éviter de créer de nombreux comptes locaux de machines. Il vaut mieux donner à  chaque utilisateur un compte de domaine, valide pour chaque ordinateur présent dans le domaine. Si un administrateur a créé des comptes locaux de machines sur un serveur membre ou une station de travail, on peut reconfigurer le SAM local du serveur membre ou de la station de travail à  partir du réseau. Il suffit de copier User Manager for Domains (usrmgr.exe) à  partir de n’importe quel serveur NT sur la station de travail. Ouvrir le programme et sélectionner User, Select Domain, sans entrer un nom de domaine. A la place, il faut entrer deux barres obliques inverses et le nom d’un ordinateur à  distance (par exemple, si l’on veut configurer le SAM sur un ordinateur nommé kramer, taper \\kramer). Pour vérifier que l’on examine le SAM du système à  distance plutôt que le SAM du domaine, il suffit de regarder la barre de titre de la fenêtre qui comportera deux barres obliques inverses .

La sécurité de domaine NT n’est pas aussi centralisée qu’il y paraît. Chaque ordinateur a une configuration discrète et des centaines d’options de sécurité qui méritent attention. Même si dans un environnement de domaine, seuls les comptes utilisateurs et les groupes d’utilisateurs sont vraiment centralisés – et seulement si l’on évite de créer des comptes locaux de machines sur les serveurs membres. On voit bien qu’une connaissance complète des options de sécurité NT basiques est la pierre angulaire d’un réseau sûr.

Téléchargez gratuitement cette ressource

Cybersécurité sous contrôle à 360°

Cybersécurité sous contrôle à 360°

Avec Cloud in One, les entreprises ne gagnent pas uniquement en agilité, en modernisation et en flexibilité. Elles gagnent également en sécurité et en résilience pour lutter efficacement contre l’accroissement en nombre et en intensité des cyberattaques. Découvrez l'axe Cybersécurité de la solution Cloud In One.

Tech - Par iTPro - Publié le 24 juin 2010