Si vous établissez des stratégies de groupe concernant l'ensemble des domaines pour contrôler les ordinateurs et utilisateurs de votre entreprise, assurez- vous que ces restrictions ne concernent pas les membres de votre équipe IT auxquels vous avez octroyé des permissions administratives. La documentation de Microsoft suggère de créer une OU
Exclure les administrations des stratégies de groupe
(organizational unit)
pour les utilisateurs et ordinateurs que
vous voulez exempter de la stratégie
de domaines par défaut et de créer une
nouvel stratégie qui ne s’applique qu’à
la nouvelle OU. Pour ma part, je trouve
plus efficace d’utiliser l’ACL pour la
stratégie de domaines par défaut pour
exclure les membres du groupe
Administrators (ou tout autre objet utilisateur
ou groupe choisi par vous). Si
vous ne saviez pas que la stratégie de
domaines par défaut a des ACL, vous
accueillerez favorablement cette fonction
comme un autre moyen de créer
et de gérer des OU. Voici comment éditer
l’ACL pour la stratégie de domaines
par défaut dans des domaines Windows
2003 et Win2K :
- Ouvrez le snap-in Active Directory
Users and Computers. - Dans le panneau de console, faites
un clic droit sur le domaine et choisissez
Properties. - Sélectionnez l’onglet Group Policy
(si vous avez installé la Group Policy
Management Console – GPMC –
dans Windows 2003, quand vous sélectionnerez
l’onglet Group Policy,
vous recevrez un message disant
que l’onglet n’est plus utilisé comme
un moyen d’ouvrir le snap-in). - Sélectionnez Default Domain Policy
et cliquez sur Properties. - Sélectionnez l’onglet Security, illustré
figure 1. - Si le groupe ou l’utilisateur que vous
voulez exempter de la stratégie ne figure
pas dans la liste, cliquez sur
Add et sélectionnez l’objet approprié. - Sélectionnez le groupe que vous
voulez exclure de la stratégie de domaines
par défaut (dans mon cas, le
groupe Administrators) et sélectionnez
l’option Deny pour la permission
Apply Group Policy, comme le
montre la figure 1. Répétez ces opérations
pour les autres groupes que
vous voulez exclure de la stratégie
de domaines par défaut.
Le compte Administrator et les
comptes utilisateur qui sont membres
des groupes administratifs sont puissants
et, par conséquent, dangereux
dans de mauvaises mains. En fait, le
danger ne vient pas seulement d’intrus
décidés à détruire. J’ai vu des dégâts
considérables causés par des employés
munis de privilèges élevés et aux habitudes
de travail laxistes (ou manquant
de connaissances). Pour cette raison,
ne mettez pas n’importe qui dans les
groupes administratifs. Pour une vraie
sécurité, instituez une règle interne
stipulant que les administrateurs qui
n’effectuent pas un travail administratif
se connectent au domaine avec des
comptes qui n’ont que des autorisations
normales. Vous protègerez ainsi
votre système des conséquences d’actions
involontaires. Quand une tâche
qui demande des permissions élevées
se présente, les membres de l’équipe
IT peuvent utiliser la fonction Run As.
Téléchargez cette ressource
Guide de téléphonie d’entreprise avec Teams
Ajouter un onglet téléphonie à Microsoft Teams pour émettre et recevoir des appels depuis n’importe quel terminal connecté. Découvrez dans ce guide pratique, comment bénéficier des avantages de l’offre TeamsPhony pour faire des économies, gagner en agilité et en simplicité avec une offre de téléphonie dans le cloud.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
