Une configuration défectueuse des ACL qui protègent le contenu de l’AD, peut exposer celui-ci à une attaque. En outre, plus la délégation est compliquée, plus il est difficile de maintenir AD et de corriger les problèmes. C’est pourquoi j’applique la philosophie KISS (Keep It Simple Stupid). Plus simple sera la
Etape 3. Suivre les meilleures pratiques de délégation
délégation et mieux vous vous porterez, particulièrement en matière de sécurité. En fait, ce principe s’applique à la conception d’AD en général, comme l’explique l’encadré « La conception dicte la sécurité ». Pour vous aider à simplifier la délégation, je vous conseille de lire l’article Microsoft « Best Practices for Delegating Active Directory Administration » (http://tinyurl.com/vzlg).
Outre la simplicité de la délégation, suivez ces autres meilleures pratiques :
Ne pas attribuer de permissions aux comptes utilisateur. L’une de mes règles d’or en matière de délégation est de toujours attribuer les permissions aux groupes, pas aux utilisateurs, sauf raison impérieuse. Qu’advient-il quand une personne à qui vous avez attribué des permissions quitte la société ou change de poste et ne devrait plus avoir cet accès ? Il est beaucoup plus ardu de suivre chaque permission accordée à un compte, de révoquer ces permissions et d’octroyer les permissions à un autre utilisateur, que de simplement enlever l’ancien compte d’un groupe et d’ajouter le nouveau compte. Même si vous pensez que les droits accordés à une certaine personne ne seront jamais nécessaires à une autre, créez un groupe, mettez-y cet utilisateur puis attribuez des permissions au groupe.
Ne pas attribuer de permissions aux objets individuels. Quand on attribue des permissions directement à des objets individuels (comme un objet utilisateur ou groupe), les choses se compliquent. De telles permissions demandent davantage de maintenance et il est facile de les oublier plus tard. Pour éviter des problèmes, accordez des droits à des OU ou à des conteneurs, dans la mesure du possible.
Documenter le modèle. Quand il y a délégation de droits, il est très important de documenter le modèle. Avezvous créé un modèle basé sur des rôles ? Quelles sont les procédures de demande d’accès ? Avez-vous fait des exceptions à votre modèle général ? Il est important de documenter tout ces points, non seulement pour faciliter la maintenance mais aussi pour que chacun sache quels droits devraient être délégués, et remarque quand des permissions ne sont pas structurées de cette manière (ce qui peut rendre AD vulnérable). La forme prise par cette documentation n’est pas importante. Il suffit que ce document soit à portée de mains des administrateurs qui en auront besoin.
Se familiariser avec Dsrevoke. L’assistant Delegation of Control que vous pouvez exécuter à partir d’outils comme le snap-in Microsoft Management Console (MMC) Active Directory Users and Computers, convient parfaitement pour déléguer l’accès initialement. Cependant, utiliser ce wizard ou d’autres outils graphiques pour effectuer des tâches de « dédélégation » (comme supprimer toutes les occurrences d’un certain compte des ACL) est fastidieux pour ne pas dire plus. Heureusement, Microsoft a présenté l’outil Dsrevoke, qui vous permet d’énumérer au travers de tous les ACL d’un domaine et d’enlever l’accès pour les comptes que vous indiquez. Familiarisez-vous avec cet outil car c’est un protecteur de délégation. Vous pouvez télécharger cet outil gratuitement à cette adresse.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
