> Tech > Dsrevoke

Dsrevoke

Tech - Par Mark Minasi - Publié le 24 juin 2010
email

On vante souvent AD pour la souplesse avec laquelle il délègue la fonction d’administration. Pour un critère de sécurité particulier, on peut limiter l’accès de haut en bas, jusqu’au niveau de l’attribut. Dans ce but, Microsoft offre un wizard Delegation of Control qui vous guide dans la délégation administrative pour

certains types de tâches. De plus, l’éditeur ACL permet d’intervenir davantage sur les ACL.

S’il est facile de déléguer l’accès à un compte particulier, il n’est pas si facile de supprimer cette délégation. En tout cas jusqu’à récemment. En effet, Microsoft vient de créer un outil appelé Dsrevoke qui permet de passer en revue le contenu d’une OU et de supprimer toutes les entrées de contrôle d’accès (ACE, access control entries) qui contiennent un principe de sécurité spécifique. Ainsi, si vous avez créé une délégation complexe pour un groupe appelé Help Desk, vous pouvez utiliser Dsrevoke pour faire machine arrière et supprimer toutes les ACE qui contiennent le principe de sécurité Help Desk. Cette possibilité rend Dsrevoke particulièrement désirable. Empressez-vous donc de télécharger Dsrevoke (http://www. microsoft.com/downloads/details. aspx?familyid= 77744807-c403-4bda-b0e4-c2093b8d63 83 ) sur votre ordinateur.

Avec Dsrevoke, vous pouvez soit chercher (option /report), soit supprimer (option /remove) les ACE qui ont un principe de sécurité particulier. Pour utiliser Dsrevoke, spécifiez l’option /report ou /remove, puis utilisez l’option /root pour indiquer une racine d’où démarrera l’action de recherche ou de suppression.

Terminez la commande par le nom du principe de sécurité que vous voulez rechercher ou supprimer. Par exemple, voici une commande qui recherche dans les Workstations OU toutes les ACE contenant le principe de sécurité Data Admins :

dsrevoke /report /root:ou=workstations,
dc=rallencorp,dc=com
"RALLENCORP\Data Admins"

Comme le montre la figure 3, la Workstations OU a deux ACE qui contiennent le principe de sécurité Data Admins. Pour supprimer ces ACE, vous allez exécuter la même commande, en remplaçant /report par /remove :

dsrevoke /remove /root:ou=workstations,
dc=rallencorp,dc=com
"RALLENCORP\Data Admins"

La sortie obtenue est identique à la précédente mais, cette fois-ci, on vous demande si vous voulez supprimer les ACE.

Il faut ici tenir compte d’une limitation : Dsrevoke ne s’applique qu’à des OU ou à une racine domaine. Il ne s’appliquera pas à des conteneurs tels que les conteneurs Computers (cn=Computers) ou Users (cn=Users) par défaut.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par Mark Minasi - Publié le 24 juin 2010