> Tech > Exclure les administrations des stratégies de groupe

Exclure les administrations des stratégies de groupe

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Si vous établissez des stratégies de groupe concernant l'ensemble des domaines pour contrôler les ordinateurs et utilisateurs de votre entreprise, assurez- vous que ces restrictions ne concernent pas les membres de votre équipe IT auxquels vous avez octroyé des permissions administratives. La documentation de Microsoft suggère de créer une OU

(organizational unit)
pour les utilisateurs et ordinateurs que
vous voulez exempter de la stratégie
de domaines par défaut et de créer une
nouvel stratégie qui ne s’applique qu’à 
la nouvelle OU. Pour ma part, je trouve
plus efficace d’utiliser l’ACL pour la
stratégie de domaines par défaut pour
exclure les membres du groupe
Administrators (ou tout autre objet utilisateur
ou groupe choisi par vous). Si
vous ne saviez pas que la stratégie de
domaines par défaut a des ACL, vous
accueillerez favorablement cette fonction
comme un autre moyen de créer
et de gérer des OU. Voici comment éditer
l’ACL pour la stratégie de domaines
par défaut dans des domaines Windows
2003 et Win2K :

  1. Ouvrez le snap-in Active Directory
    Users and Computers.

  2. Dans le panneau de console, faites
    un clic droit sur le domaine et choisissez
    Properties.

  3. Sélectionnez l’onglet Group Policy
    (si vous avez installé la Group Policy
    Management Console – GPMC –
    dans Windows 2003, quand vous sélectionnerez
    l’onglet Group Policy,
    vous recevrez un message disant
    que l’onglet n’est plus utilisé comme
    un moyen d’ouvrir le snap-in).

  4. Sélectionnez Default Domain Policy
    et cliquez sur Properties.

  5. Sélectionnez l’onglet Security, illustré
    figure 1.

  6. Si le groupe ou l’utilisateur que vous
    voulez exempter de la stratégie ne figure
    pas dans la liste, cliquez sur
    Add et sélectionnez l’objet approprié.

  7. Sélectionnez le groupe que vous
    voulez exclure de la stratégie de domaines
    par défaut (dans mon cas, le
    groupe Administrators) et sélectionnez
    l’option Deny pour la permission
    Apply Group Policy, comme le
    montre la figure 1. Répétez ces opérations
    pour les autres groupes que
    vous voulez exclure de la stratégie
    de domaines par défaut.

Le compte Administrator et les
comptes utilisateur qui sont membres
des groupes administratifs sont puissants
et, par conséquent, dangereux
dans de mauvaises mains. En fait, le
danger ne vient pas seulement d’intrus
décidés à  détruire. J’ai vu des dégâts
considérables causés par des employés
munis de privilèges élevés et aux habitudes
de travail laxistes (ou manquant
de connaissances). Pour cette raison,
ne mettez pas n’importe qui dans les
groupes administratifs. Pour une vraie
sécurité, instituez une règle interne
stipulant que les administrateurs qui
n’effectuent pas un travail administratif
se connectent au domaine avec des
comptes qui n’ont que des autorisations
normales. Vous protègerez ainsi
votre système des conséquences d’actions
involontaires. Quand une tâche
qui demande des permissions élevées
se présente, les membres de l’équipe
IT peuvent utiliser la fonction Run As.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010