Jusqu'ici, notre discussion sur la délégation s'est limitée à la partie la plus visible d'AD : le contexte de nommage d'un domaine. Il contient les utilisateurs, groupes, comptes ordinateur et les OU. Toutefois, AD a deux autres contextes de nommage importants mais moins visibles : le contexte de nommage de
Explorer la délégation de gestion de site
configuration et le
contexte de nommage de schéma.
Comme son nom l’indique, le premier
contient des informations sur la configuration
d’AD (réplication de site et
configuration du routage, par exemple).
Le contexte de nommage de
schéma contient des informations descriptives
sur AD et donne la liste de
tous les objets que le répertoire peut
contenir (par exemple, l’adresse e-mail
de l’utilisateur, mais pas sa taille de
chemise).
Vous pouvez sécuriser ces deux
contextes de nommage, mais je me limiterai
au contexte de nommage de
configuration. Le contexte de configuration
vous permet de déléguer plusieurs
fonctions généralement réservées
aux administrateurs d’entreprises.
Le groupe Enterprise Admins est un
groupe universel qui réside dans le domaine
racine de la forêt d’AD. Les
membres du groupe Enterprise
Admins ont une autorité complète sur
la forêt, y compris la possibilité d’ajouter
et de supprimer des domaines et de
gérer des relations d’approbation
(trust relationships). Même si de nombreux
administrateurs prétendent
qu’ils doivent être inclus dans ce
groupe puissant pour effectuer d’importantes
tâches concernant l’infrastructure,
une bonne politique de sécurité
limite l’appartenance à ce
groupe à une poignée d’administrateurs.
Toutefois, vous pouvez utiliser d’autres droits pour effectuer bon
nombre des tâches normalement réservées
à Enterprise Admins. Ces
tâches incluent la possibilité de gérer
des confiances, de créer des domaines
enfants, d’installer des DC (domaine
controllers) supplémentaires et d’autoriser
des serveurs DHCP et Microsoft
RIS (Remote Installation Services).
Vous attribuez ces possibilités au
moyen de paramètres de sécurité sur
diverses parties du conteneur
Configuration. La gestion de site est
l’une des tâches qu’Enterprise Admins
pourrait en principe souhaiter déléguer
à d’autres. Voyons comment faire
cela.
Pour déléguer l’autorité de gestion
de site complète, créez un groupe appelé
Enterprise Site Admins. Ensuite,
lancez le snap-in MCC Active Directory
Sites and Services. Faites un clic droit
sur l’icône Sites dans le panneau de
droite et cliquez sur l’onglet Security.
Cliquez sur Add, sélectionnez le
groupe Enterprise Sites Admins que
vous avez créé, et donnez-lui plein
contrôle en cochant la case Allow pour
Full Control. Quiconque vous placerez
dans ce groupe maîtrisera entièrement
la gestion du site.
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Les entreprises n’ont plus le luxe d’expérimenter l’IA
- Le changement, moteur d’engagement au travail
- Cloud 2026 : 5 tendances à anticiper pour les PME françaises
- Les DSI français face au défi de l’IA : ambitions élevées, marges de manœuvre limitées
Articles les + lus
Alliée ou menace ? Comment l’IA redessine le paysage cyber
CES 2026 : l’IA physique et la robotique redéfinissent le futur
Les 3 prédictions 2026 pour Java
Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
Face à l’urgence écologique, l’IT doit faire sa révolution
À la une de la chaîne Tech
- Alliée ou menace ? Comment l’IA redessine le paysage cyber
- CES 2026 : l’IA physique et la robotique redéfinissent le futur
- Les 3 prédictions 2026 pour Java
- Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
- Face à l’urgence écologique, l’IT doit faire sa révolution
