Outre le fait qu'il vous permet d'attribuer des droits utilisateur aux comptes et groupes utilisateur, NT octroie automatiquement certaines autorités à ses groupes intégrés. Ces groupes reflètent divers rôles prédéfinis (Administrator, Power Users, par exemple) et l'appartenance à un groupe intégré accorde un grand nombre de droits que vous ne
Groupes intégrés
pouvez
ni octroyer ni révoquer manuellement.
Alors que vous pouvez changer les attributions
de droits par défaut, vous
devez accepter les rôles et autorités
préconçus qui correspondent à
chaque groupe intégré. Comme pour
les droits utilisateur, les serveurs et stations
de travail membres maintiennent
un jeu de groupes intégrés différents
de ceux des DC.
Groupes intégrés des serveurs et
stations de travail membres. Les serveurs
et stations de travail membres
maintiennent six groupes locaux de
machines qui existent dans le SAM de
chaque station de travail et serveur
membre. Ces groupes sont les suivants
: Administrators, Power Users,
Users, Guests, Replicator, et Backup
Operators. Chaque groupe peut contenir
des utilisateurs locaux ou des utilisateurs
de domaines provenant de son
domaine et de domaines de confiance.
Trois des groupes – Administrators,
Power Users et Users – possèdent des autorités spéciales au-delà des attributions
de droits utilisateur par défaut de
NT.
L e s membres du g r o u p e
Administrators peuvent se partager
dossiers et imprimantes, maintenir des
utilisateurs et des groupes, modifier
les attributions de droits, changer la
politique de compte et d’audit, déverrouiller
l’ordinateur quand un autre
utilisateur l’a verrouillé, démarrer et
arrêter des services et modifier les options
de démarrage des services. (Tous
les autres groupes locaux de machines
ont un sous-ensemble de ces autorités.)
Les membres du groupe Power
Users peuvent démarrer et arrêter des
services, changer l’appartenance aux
groupes Power Users et Users, et se
partager dossiers et imprimantes. Les
membres du groupe Power Users peuvent
aussi créer de nouveaux comptes
et groupes utilisateur et modifier ou
supprimer les comptes qu’ils ont
créés. Les membres du groupe Users
peuvent créer de nouveaux groupes –
mais pas de comptes utilisateur – et
modifier ou supprimer les groupes
qu’ils ont créés.
Groupes intégrés des DC. Les DC
maintiennent deux types de groupes :
local et global de domaine. Les
groupes locaux de domaine sont semblables
aux groupes locaux de machines
des serveurs et des stations de
travail membres. Cependant, comme
tous les DC d’un domaine partagent
une copie du même SAM, toute autorisation
ou droit octroyé à un groupe local
de domaine s’applique à tous les
DC du domaine (mais pas aux serveurs
ou stations de travail membres). Tout
comme les groupes intégrés locaux de
machines, les groupes intégrés locaux
de domaine peuvent contenir des utilisateurs
issus du domaine du DC et des
domaines trusted.
Les huit groupes locaux de domaine
sont Administrators, Account
Operators, Server Operators, Print
Operators, Users, Backup Operators,
Guests et Replicator. Cinq d’entre eux –
Administrators, Account Operators, Server Operators, Print Operators et
Users – ont des autorités spéciales.
Le groupe Administrators local de
domaine possède les mêmes droits
que le groupe Administrators local de
machine, mais sur les DC du domaine
plutôt que sur le système local. (Les
autres groupes locaux de domaine ont
un sous-ensemble de ces autorités.)
Account Operators peut créer de nouveaux
comptes et groupes utilisateur
et modifier ou supprimer la plupart
des comptes et groupes existants. Pour
empêcher les membres de ce groupe
d’augmenter leur autorité, les
membres ne peuvent pas modifier le
compte utilisateur Administrators ou la
plupart des groupes intégrés. Les
membres de Server Operators peuvent
se partager dossiers et imprimantes,
verrouiller des DC et passer outre des
DC verrouillés, et démarrer et arrêter
des services. Les membres de Print
Operators peuvent se partager des imprimantes.
Les membres du groupe
Users peuvent créer de nouveaux
groupes locaux de domaine et modifier
ou supprimer les groupes qu’ils
ont créés.
Les groupes globaux de domaine,
contrairement aux groupes locaux de
domaine, peuvent posséder des droits
et des autorisations sur n’importe quel
ordinateur (pas seulement des DC)
dans le domaine ou dans n’importe
quel domaine trusting. En revanche,
un groupe global ne peut contenir que
des utilisateurs de son domaine. Les
trois groupes globaux de domaine sont
Domain Admins, Domain Users, et
Domain Guests. Vous pouvez imbriquer
des groupes globaux de domaine
(qui peuvent accéder aux objets provenant
de tout domaine trusted) dans les
groupes locaux de machine ou de domaine
(qui peuvent contenir des utilisateurs
de n’importe quel domaine
trusted), mais vous ne pouvez pas imbriquer
de groupes locaux dans
des groupes globaux de domaine.
Cette restriction permet d’empêcher
des groupes redondants dans des
environnements multidomaines sans transgresser la règle de relation d’approbation
transitive (c’est-à -dire que
domaine A ne fait pas confiance au domaine
C simplement parce que le domaine
A fait confiance au domaine B et
que le domaine B fait confiance au domaine
C). Pour plus d’informations sur
les relations d’approbation, voir
« Articles associés des numéros
précédents ».
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
- CRM : quand l’IA fait dans le détail
- Baromètre cybersécurité 2023 : Top 7 des enseignements
- Sauvegarde : Comment protéger les données contre les menaces de ransomware en constante évolution ?
