On vante souvent AD pour la souplesse avec laquelle il délègue la fonction d’administration. Pour un critère de sécurité particulier, on peut limiter l’accès de haut en bas, jusqu’au niveau de l’attribut. Dans ce but, Microsoft offre un wizard Delegation of Control qui vous guide dans la délégation administrative pour
Dsrevoke
certains types de tâches. De plus, l’éditeur ACL permet d’intervenir davantage sur les ACL.
S’il est facile de déléguer l’accès à un compte particulier, il n’est pas si facile de supprimer cette délégation. En tout cas jusqu’à récemment. En effet, Microsoft vient de créer un outil appelé Dsrevoke qui permet de passer en revue le contenu d’une OU et de supprimer toutes les entrées de contrôle d’accès (ACE, access control entries) qui contiennent un principe de sécurité spécifique. Ainsi, si vous avez créé une délégation complexe pour un groupe appelé Help Desk, vous pouvez utiliser Dsrevoke pour faire machine arrière et supprimer toutes les ACE qui contiennent le principe de sécurité Help Desk. Cette possibilité rend Dsrevoke particulièrement désirable. Empressez-vous donc de télécharger Dsrevoke (http://www. microsoft.com/downloads/details. aspx?familyid= 77744807-c403-4bda-b0e4-c2093b8d63 83 ) sur votre ordinateur.
Avec Dsrevoke, vous pouvez soit chercher (option /report), soit supprimer (option /remove) les ACE qui ont un principe de sécurité particulier. Pour utiliser Dsrevoke, spécifiez l’option /report ou /remove, puis utilisez l’option /root pour indiquer une racine d’où démarrera l’action de recherche ou de suppression.
Terminez la commande par le nom du principe de sécurité que vous voulez rechercher ou supprimer. Par exemple, voici une commande qui recherche dans les Workstations OU toutes les ACE contenant le principe de sécurité Data Admins :
dsrevoke /report /root:ou=workstations,
dc=rallencorp,dc=com
"RALLENCORP\Data Admins"
Comme le montre la figure 3, la Workstations OU a deux ACE qui contiennent le principe de sécurité Data Admins. Pour supprimer ces ACE, vous allez exécuter la même commande, en remplaçant /report par /remove :
dsrevoke /remove /root:ou=workstations,
dc=rallencorp,dc=com
"RALLENCORP\Data Admins"
La sortie obtenue est identique à la précédente mais, cette fois-ci, on vous demande si vous voulez supprimer les ACE.
Il faut ici tenir compte d’une limitation : Dsrevoke ne s’applique qu’à des OU ou à une racine domaine. Il ne s’appliquera pas à des conteneurs tels que les conteneurs Computers (cn=Computers) ou Users (cn=Users) par défaut.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- ADI, l’infrastructure de données de Scality pensée pour l’ère de l’IA et de la souveraineté
- Les coûts cachés des merge requests générées par l’IA
- WatchGuard lance Rai, une IA agentique taillée pour les MSP
- Mythos révèle les limites d’un Zero Trust centré sur le réseau
Articles les + lus
Analyse Patch Tuesday Mai 2026
Les coûts cachés des merge requests générées par l’IA
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Avril 2026
À la une de la chaîne Tech
- Analyse Patch Tuesday Mai 2026
- Les coûts cachés des merge requests générées par l’IA
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Avril 2026
