Etape 3. Suivre les meilleures pratiques de délégation

délégation et mieux vous vous porterez, particulièrement en matière de sécurité. En fait, ce principe s’applique à la conception d’AD en général, comme l’explique l’encadré « La conception dicte la sécurité ». Pour vous aider à simplifier la délégation, je vous conseille de lire l’article Microsoft « Best Practices for Delegating Active Directory Administration » (http://tinyurl.com/vzlg).

Outre la simplicité de la délégation, suivez ces autres meilleures pratiques :

Ne pas attribuer de permissions aux comptes utilisateur. L’une de mes règles d’or en matière de délégation est de toujours attribuer les permissions aux groupes, pas aux utilisateurs, sauf raison impérieuse. Qu’advient-il quand une personne à qui vous avez attribué des permissions quitte la société ou change de poste et ne devrait plus avoir cet accès ? Il est beaucoup plus ardu de suivre chaque permission accordée à un compte, de révoquer ces permissions et d’octroyer les permissions à un autre utilisateur, que de simplement enlever l’ancien compte d’un groupe et d’ajouter le nouveau compte. Même si vous pensez que les droits accordés à une certaine personne ne seront jamais nécessaires à une autre, créez un groupe, mettez-y cet utilisateur puis attribuez des permissions au groupe.

Ne pas attribuer de permissions aux objets individuels. Quand on attribue des permissions directement à des objets individuels (comme un objet utilisateur ou groupe), les choses se compliquent. De telles permissions demandent davantage de maintenance et il est facile de les oublier plus tard. Pour éviter des problèmes, accordez des droits à des OU ou à des conteneurs, dans la mesure du possible.

Documenter le modèle. Quand il y a délégation de droits, il est très important de documenter le modèle. Avezvous créé un modèle basé sur des rôles ? Quelles sont les procédures de demande d’accès ? Avez-vous fait des exceptions à votre modèle général ? Il est important de documenter tout ces points, non seulement pour faciliter la maintenance mais aussi pour que chacun sache quels droits devraient être délégués, et remarque quand des permissions ne sont pas structurées de cette manière (ce qui peut rendre AD vulnérable). La forme prise par cette documentation n’est pas importante. Il suffit que ce document soit à portée de mains des administrateurs qui en auront besoin.

Se familiariser avec Dsrevoke. L’assistant Delegation of Control que vous pouvez exécuter à partir d’outils comme le snap-in Microsoft Management Console (MMC) Active Directory Users and Computers, convient parfaitement pour déléguer l’accès initialement. Cependant, utiliser ce wizard ou d’autres outils graphiques pour effectuer des tâches de « dédélégation » (comme supprimer toutes les occurrences d’un certain compte des ACL) est fastidieux pour ne pas dire plus. Heureusement, Microsoft a présenté l’outil Dsrevoke, qui vous permet d’énumérer au travers de tous les ACL d’un domaine et d’enlever l’accès pour les comptes que vous indiquez. Familiarisez-vous avec cet outil car c’est un protecteur de délégation. Vous pouvez télécharger cet outil gratuitement à cette adresse.