On vante souvent AD pour la souplesse avec laquelle il délègue la fonction d’administration. Pour un critère de sécurité particulier, on peut limiter l’accès de haut en bas, jusqu’au niveau de l’attribut. Dans ce but, Microsoft offre un wizard Delegation of Control qui vous guide dans la délégation administrative pour
Dsrevoke
certains types de tâches. De plus, l’éditeur ACL permet d’intervenir davantage sur les ACL.
S’il est facile de déléguer l’accès à un compte particulier, il n’est pas si facile de supprimer cette délégation. En tout cas jusqu’à récemment. En effet, Microsoft vient de créer un outil appelé Dsrevoke qui permet de passer en revue le contenu d’une OU et de supprimer toutes les entrées de contrôle d’accès (ACE, access control entries) qui contiennent un principe de sécurité spécifique. Ainsi, si vous avez créé une délégation complexe pour un groupe appelé Help Desk, vous pouvez utiliser Dsrevoke pour faire machine arrière et supprimer toutes les ACE qui contiennent le principe de sécurité Help Desk. Cette possibilité rend Dsrevoke particulièrement désirable. Empressez-vous donc de télécharger Dsrevoke (http://www. microsoft.com/downloads/details. aspx?familyid= 77744807-c403-4bda-b0e4-c2093b8d63 83 ) sur votre ordinateur.
Avec Dsrevoke, vous pouvez soit chercher (option /report), soit supprimer (option /remove) les ACE qui ont un principe de sécurité particulier. Pour utiliser Dsrevoke, spécifiez l’option /report ou /remove, puis utilisez l’option /root pour indiquer une racine d’où démarrera l’action de recherche ou de suppression.
Terminez la commande par le nom du principe de sécurité que vous voulez rechercher ou supprimer. Par exemple, voici une commande qui recherche dans les Workstations OU toutes les ACE contenant le principe de sécurité Data Admins :
dsrevoke /report /root:ou=workstations,
dc=rallencorp,dc=com
"RALLENCORP\Data Admins"
Comme le montre la figure 3, la Workstations OU a deux ACE qui contiennent le principe de sécurité Data Admins. Pour supprimer ces ACE, vous allez exécuter la même commande, en remplaçant /report par /remove :
dsrevoke /remove /root:ou=workstations,
dc=rallencorp,dc=com
"RALLENCORP\Data Admins"
La sortie obtenue est identique à la précédente mais, cette fois-ci, on vous demande si vous voulez supprimer les ACE.
Il faut ici tenir compte d’une limitation : Dsrevoke ne s’applique qu’à des OU ou à une racine domaine. Il ne s’appliquera pas à des conteneurs tels que les conteneurs Computers (cn=Computers) ou Users (cn=Users) par défaut.
Téléchargez cette ressource
Rapport Forrester sur les solutions de sécurité des charges de travail cloud (CWS)
Dans cette évaluation, basée sur 21 critères, Forrester Consulting étudie, analyse et note les fournisseurs de solutions de sécurité des charges de travail cloud (CWS). Ce rapport détaille le positionnement de chacun de ces fournisseurs pour aider les professionnels de la sécurité et de la gestion des risques (S&R) à adopter les solutions adaptées à leurs besoins.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- La France à l’avant-garde de la conteneurisation et de l’IA générative
- La souveraineté numérique pour renforcer la cybersécurité
- Perspectives IA, Cybersécurité et STaaS en 2025
- Impact des outils d’IA sur la satisfaction, le niveau de stress et le bien-être !
- La portabilité des données, un élément essentiel pour soutenir l’émergence des clouds souverains
