> Tech > Explorer la délégation de gestion de site

Explorer la délégation de gestion de site

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Jusqu'ici, notre discussion sur la délégation s'est limitée à  la partie la plus visible d'AD : le contexte de nommage d'un domaine. Il contient les utilisateurs, groupes, comptes ordinateur et les OU. Toutefois, AD a deux autres contextes de nommage importants mais moins visibles : le contexte de nommage de

configuration et le
contexte de nommage de schéma.
Comme son nom l’indique, le premier
contient des informations sur la configuration
d’AD (réplication de site et
configuration du routage, par exemple).
Le contexte de nommage de
schéma contient des informations descriptives
sur AD et donne la liste de
tous les objets que le répertoire peut
contenir (par exemple, l’adresse e-mail
de l’utilisateur, mais pas sa taille de
chemise).

Vous pouvez sécuriser ces deux
contextes de nommage, mais je me limiterai
au contexte de nommage de
configuration. Le contexte de configuration
vous permet de déléguer plusieurs
fonctions généralement réservées
aux administrateurs d’entreprises.
Le groupe Enterprise Admins est un
groupe universel qui réside dans le domaine
racine de la forêt d’AD. Les
membres du groupe Enterprise
Admins ont une autorité complète sur
la forêt, y compris la possibilité d’ajouter
et de supprimer des domaines et de
gérer des relations d’approbation
(trust relationships). Même si de nombreux
administrateurs prétendent
qu’ils doivent être inclus dans ce
groupe puissant pour effectuer d’importantes
tâches concernant l’infrastructure,
une bonne politique de sécurité
limite l’appartenance à  ce
groupe à  une poignée d’administrateurs.
Toutefois, vous pouvez utiliser d’autres droits pour effectuer bon
nombre des tâches normalement réservées
à  Enterprise Admins. Ces
tâches incluent la possibilité de gérer
des confiances, de créer des domaines
enfants, d’installer des DC (domaine
controllers) supplémentaires et d’autoriser
des serveurs DHCP et Microsoft
RIS (Remote Installation Services).
Vous attribuez ces possibilités au
moyen de paramètres de sécurité sur
diverses parties du conteneur
Configuration. La gestion de site est
l’une des tâches qu’Enterprise Admins
pourrait en principe souhaiter déléguer
à  d’autres. Voyons comment faire
cela.

Pour déléguer l’autorité de gestion
de site complète, créez un groupe appelé
Enterprise Site Admins. Ensuite,
lancez le snap-in MCC Active Directory
Sites and Services. Faites un clic droit
sur l’icône Sites dans le panneau de
droite et cliquez sur l’onglet Security.
Cliquez sur Add, sélectionnez le
groupe Enterprise Sites Admins que
vous avez créé, et donnez-lui plein
contrôle en cochant la case Allow pour
Full Control. Quiconque vous placerez
dans ce groupe maîtrisera entièrement
la gestion du site.

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010