> Tech > L’assistant de Délégation de contrôle

L’assistant de Délégation de contrôle

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

L'utilisation de l'éditeur d'ACL pour déléguer l'administration des objets Active Directory est un processus complexe. Microsoft l'a donc accompagné d'un assistant de Délégation de contrôle, qui suit le processus d'attribution des ensembles de droits d'un objet Active Directory aux utilisateurs ou aux groupes. Pour utiliser cet Assistant, ouvrez un composant

L’assistant de Délégation de contrôle

enfichable AD quelconque de la MMC et cliquez
à  droite sur un objet conteneur. Dans le menu qui s’affiche, vous pouvez démarrer
l’assistant en sélectionnant Déléguer le contrôle. L’assistant est disponible
seulement pour les objets conteneurs (par exemple les domaines, les UO), pouvant
contenir d’autres objets conteneurs et des objets feuilles (c’est-à -dire des objets
tels que des utilisateurs et des groupes, qui n’ont pas de descendants). Vous
ne verrez pas l’option assistant si vous cliquez à  droite sur un objet utilisateur.

L’Assistant Délégation de contrôle, que montre la Figure 4, offre deux options
pour attribuer des droits. La première présente un jeu de tâches prédéfinies telles
que Créer, supprimer et gérer des comptes d’utilisateurs. La seconde permet de
personnaliser une tâche en définissant la portée et l’ensemble des droits.

L’assistant est loin d’être intuitif lorsqu’il crée des ACE. Ainsi, supposons
que vous vouliez déléguer la tâche Créer, supprimer et gérer des comptes d’utilisateurs
pour une UO. Avec l’assistant, vous attribuez cette tâche à  deux groupes d’utilisateurs,
Administrateurs Finance et Administrateurs Côte Est. Le Tableau 1 montre les quatre
ACE créées par l’assistant.

L’assistant crée deux ACE pour chaque groupe d’utilisateurs. Vous lui signifiez
que vous voulez permettre à  Administrateurs Finance et à  Administrateurs Côte
Est de créer, supprimer et gérer des comptes d’utilisateurs sur une UO. L’assistant
crée deux ACE dont la portée couvre l’UO et tous ses objets enfants. Chacune accorde
les droits Créer un objet utilisateur et Supprimer un objet utilisateur à  un groupe
d’utilisateurs. Chacune donne à  un groupe d’utilisateurs les droits Contrôle total
sur les objets utilisateurs.

L’assistant émet un certain nombre d’hypothèses sur la création des ACE. Il suppose
que vous voulez accorder le droit Créer un objet utilisateur à  vos groupes d’utilisateurs
et le droit Supprimer un objet utilisateur à  l’UO courante et à  toutes les UO
enfants, ce qui n’est pas forcément correct. Il suppose aussi que vos groupes
d’utilisateurs ne doivent accéder qu’aux objets utilisateurs, ce qui n’est pas
forcément adapté non plus. Si vous voulez contrôler davantage ce que fait l’assistant,
vous pouvez choisir l’option Créer une tâche personnalisée à  déléguer dans la
boîte de dialogue qui s’ouvre. Cette option permet de parcourir chaque partie
du processus de création des ACE.

L’assistant de Délégation du contrôle ne peut pas servir à  modifier des droits
qui ont été accordés précédemment grâce à  lui. Il ne stocke pas d’informations
sur l’action effectuée antérieurement. Supposons, par exemple, que vous utilisiez
l’assistant pour accorder au groupe Administrateurs Finance la capacité de lire
et d’écrire toutes les propriétés sur les objets utilisateurs d’une UO Finance.
Vous décidez ensuite qu’Administrateurs Finance ne devra lire et écrire que la
propriété département des utilisateurs. Si vous lancez de nouveau l’assistant
et sélectionnez seulement ces droits, il ne changera pas l’ACL. Il ne parvient
pas à  modifier l’ACL, parce qu’en examinant l’ACL courante il constate que les
droits lecture et écriture pour la propriété département de l’UO sont déjà  en
place ; il ne comprend pas que vous voulez limiter ces droits seulement à  la propriété
département. Si l’assistant avait aidé à  placer une ACE de refus sur les objets,
vous pourriez commencer par refuser toutes les propriétés sauf celle du département,
puis accorder des droits à  la zone département de la propriété. Cependant, le
meilleur moyen de modifier des droits après avoir exécuté l’assistant est d’utiliser
l’éditeur d’ACL pour modifier directement l’ACE.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010