On vante souvent AD pour la souplesse avec laquelle il délègue la fonction d’administration. Pour un critère de sécurité particulier, on peut limiter l’accès de haut en bas, jusqu’au niveau de l’attribut. Dans ce but, Microsoft offre un wizard Delegation of Control qui vous guide dans la délégation administrative pour
Dsrevoke
certains types de tâches. De plus, l’éditeur ACL permet d’intervenir davantage sur les ACL.
S’il est facile de déléguer l’accès à un compte particulier, il n’est pas si facile de supprimer cette délégation. En tout cas jusqu’à récemment. En effet, Microsoft vient de créer un outil appelé Dsrevoke qui permet de passer en revue le contenu d’une OU et de supprimer toutes les entrées de contrôle d’accès (ACE, access control entries) qui contiennent un principe de sécurité spécifique. Ainsi, si vous avez créé une délégation complexe pour un groupe appelé Help Desk, vous pouvez utiliser Dsrevoke pour faire machine arrière et supprimer toutes les ACE qui contiennent le principe de sécurité Help Desk. Cette possibilité rend Dsrevoke particulièrement désirable. Empressez-vous donc de télécharger Dsrevoke (http://www. microsoft.com/downloads/details. aspx?familyid= 77744807-c403-4bda-b0e4-c2093b8d63 83 ) sur votre ordinateur.
Avec Dsrevoke, vous pouvez soit chercher (option /report), soit supprimer (option /remove) les ACE qui ont un principe de sécurité particulier. Pour utiliser Dsrevoke, spécifiez l’option /report ou /remove, puis utilisez l’option /root pour indiquer une racine d’où démarrera l’action de recherche ou de suppression.
Terminez la commande par le nom du principe de sécurité que vous voulez rechercher ou supprimer. Par exemple, voici une commande qui recherche dans les Workstations OU toutes les ACE contenant le principe de sécurité Data Admins :
dsrevoke /report /root:ou=workstations,
dc=rallencorp,dc=com
"RALLENCORP\Data Admins"
Comme le montre la figure 3, la Workstations OU a deux ACE qui contiennent le principe de sécurité Data Admins. Pour supprimer ces ACE, vous allez exécuter la même commande, en remplaçant /report par /remove :
dsrevoke /remove /root:ou=workstations,
dc=rallencorp,dc=com
"RALLENCORP\Data Admins"
La sortie obtenue est identique à la précédente mais, cette fois-ci, on vous demande si vous voulez supprimer les ACE.
Il faut ici tenir compte d’une limitation : Dsrevoke ne s’applique qu’à des OU ou à une racine domaine. Il ne s’appliquera pas à des conteneurs tels que les conteneurs Computers (cn=Computers) ou Users (cn=Users) par défaut.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Une baie de stockage c’est quoi ?
- Activer la mise en veille prolongée dans Windows 10
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
Les plus consultés sur iTPro.fr
- Sekoia.io : l’alternative européenne qui s’impose dans la cybersécurité
- Redéfinir la confiance à l’ère de l’IA agentique : les entreprises sont-elles prêtes pour le SOC autonome ?
- IA Agentique : la vraie rupture c’est la gouvernance humaine
- Les défaillances des pipelines de données pèsent lourdement sur la performance des grandes entreprises
Articles les + lus
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
Adapter la sécurité OT aux réalités de l’industrie
À la une de la chaîne Tech
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
- Adapter la sécurité OT aux réalités de l’industrie
