L’un des points forts d’AD par rapport aux domaines de Windows NT 4.0, est la délégation : la possibilité de créer un utilisateur ou un groupe avec des pouvoirs définis de façon très détaillée. Sous NT 4.0, les utilisateurs sont soit tous puissants (membres du groupe Domain Admins, par exemple) soit relativement impuissants (membres du groupe Domain Users, par exemple). En revanche, AD permet de créer des « sous-administrateurs », c’est-à-dire des gens qui ont un pouvoir administratif, mais inférieur à celui d’un administrateur de domaine. AD permet aussi d’octroyer à certaines personnes le contrôle complet sur uniquement un sous-ensemble de domaine (c’est-à-dire, une OU – organizational unit). Mieux encore, avec son Delegation of Control Wizard, Microsoft a simplifié la tâche plutôt complexe que constitue la délégation.Cependant, la délégation d’AD n’a jamais été parfaite, et ce pour deux raisons. Premièrement, bien qu’un wizard aide à pratiquer la délégation, il n’en est pas qui permette d’annuler cette même délégation. Or, il est toujours difficile de retirer un pouvoir que l’on a accordé.
Il faut pour cela creuser au travers de plusieurs couches de la GUI de sécurité. Deuxièmement, AD ne permet pas de déterminer facilement quelles délégations vous avez instaurées. Avec son superbe outil ligne de commande Dsrevoke, Microsoft a simplifié les deux processus : celui de la documentation et celui de l’annulation des délégations existantes. Vous trouverez Dsrevoke au Microsoft Download Center (http://www.microsoft.com/downloads).
DSREVOKE
Dsrevoke indique exactement les permissions qu’un utilisateur ou groupe donné a sur un domaine. Dans la commande
dsrevoke /report
vous utiliseriez le format domainname\username ou domainname\groupname pour la variable user-or-group-name, où domainname\username est le nom NetBIOS du domaine. (Je n’arrive pas à faire fonctionner le nom DNS).
Supposons que vous travailliez dans un domaine nommé bigfirm.biz avec Bigfirm comme nom de NetBIOS. Pour connaître les pouvoirs qu’un groupe appelé Test a sur le domaine local, vous taperiez
dsrevoke /report bigfirm\test
Le rapport résultant ne donnera pas une explication complète des pouvoirs de test dans bigfirm, mais il indiquera si Test a délégué explicitement des pouvoirs dans Bigfirm.
Toutefois, le rapport ne montrera pas les pouvoirs que Test possède parce qu’il appartient à un autre groupe. Si Test fait partie d’un groupe appelé Bigtest et si celui-ci a quelques pouvoirs, Test en héritera mais le rapport Dsrevoke ne l’affichera pas parce que le pouvoir en question n’est pas accordé explicitement à Test.
Pour identifier les pouvoirs de Test dans un domaine différent, on peut recourir à l’option /domain pour spécifier le domaine concerné par le rapport. Cette option prend le nom NetBIOS ou DNS. Si vous devez fournir à Dsrevoke un nom et un mot de passe administratif pour ce domaine, vous pouvez utiliser les options /username et /password. Par exemple, la commande
dsrevoke /report "/domain:apex.com"
/username:joeadmin /password:swordfish
bigfirm\test
identifierait les pouvoirs de Test sur un domaine appelé apex.com. Le nom du domaine est placé entre guillemets parce que le nom DNS du domaine inclut un point ; en effet, les caractères spéciaux tels que les espaces et les signes de ponctuation doivent être assortis de guillemets. Cette commande ordonne aussi à Dsrevoke d’offrir le nom de compte utilisateur joeadmin et le mot de passe swordfish, dans le cas où apex.com voudrait connaître l’identité du demandeur.
Mais les domaines peuvent être vastes et peuvent contenir de nombreuses OU. Pour un groupe donné, vous pouvez ne vous intéresser qu’à ses pouvoirs sur une OU particulière, sans vous soucier des pouvoirs qui lui ont été délégués plus généralement. Pour ordonner à Dsrevoke de ne pas explorer la totalité d’un domaine mais de se concentrer plutôt sur une OU particulière d’un domaine, vous utiliserez l’option /root:ou. L’OU doit être spécifiée en format LDAP (Lightweight Directory Access Protocol).
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
- Une baie de stockage c’est quoi ?
- Cybersécurité Active Directory et les attaques de nouvelle génération
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Et si les clients n’avaient plus le choix ?
Les plus consultés sur iTPro.fr
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Semperis : gouverner l’identité à l’ère des agents IA
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
Articles les + lus
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
À la une de la chaîne Tech
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
