L'Active Directory Delegation of Control Wizard n'effectue que des fonctions limitées. On peut utiliser le wizard pour définir n'importe quel rôle (Printer Administrator, par exemple) et l'on peut révoquer ou supprimer toute autorisation que l'on a établie à l'aide du wizard. En outre, le wizard est étroitement intégré à Win2K
L’éditeur ACL
et résiste
donc à toute tentative de modification. Si vous devez aller au-delà du
wizard, il faut utiliser l’éditeur ACL pour attribuer des autorisations.
Pour accéder à cet éditeur, allez simplement à l’onglet Security d’un objet
donné. Par défaut, Win2K n’affiche pas l’onglet Security sur la feuille
Properties d’un objet. Pour activer l’onglet Security, il faut
sélectionner Advanced Features dans le menu View du snap-in Microsoft
Management Console (MMC) Active Directory Users and Conputers. Rappelons au
passage que l’éditeur ACL est un outil puissant capable de faire beaucoup
de dégâts. Faites très attention à ce que vous voulez modifier et notez
toutes les modifications effectuées.
On voit que Microsoft n’a pas fourni d’éditeur ACL avec une
barre de défilement horizontale, et donc on ne peut pas voir l’intégralité
d’un nom d’utilisateur s’il dépasse la largeur de la boîte. Pour pallier
cette limitation, il faut cliquer sur Advanced pour afficher la fenêtre
Access Control Settings. Là , on peut agrandir le champ username pour
pouvoir afficher des noms plus longs. Vous constaterez également
que, par défaut, l’éditeur ACL ne permet pas d’attribuer des autorisations
sur plus d’un objet à la fois. Par conséquent, vous ne pouvez pas attribuer
des autorisations à la structure de dossiers d’un OU (organizational unit)
et propager les autorisations à tous les sous-dossiers. S’il faut attribuer
une gamme d’autorisations plus large à une structure de dossiers, il faut
cliquer sur Advanced, puis sélectionner View, Edit pour accéder à la liste
déroulante Apply onto. Il faut sélectionner This object and all child
objects (Cet objet et tous les objets enfants). L’éditeur ACL présente une
autre anomalie : quand on utilise la fenêtre pour supprimer une utorisation
d’un utilisateur qui possède Full Control (par exemple, décocher la case
Allow près de Delete User Objects), le système crée une foule d’entrées
d’autorisations uniques pour l’utilisateur et les affiche dans la liste
Permission Entries. Deux de ces attributions d’autorisations spéciales
suffisent pour remplir la liste Permission Entries, de telle sorte que vous
ne pouvez plus trouver une attribution d’autorisation spéciale. Le concept
médiocre de l’éditeur ACL a eu une influence directe sur nos efforts pour
gérer les autorisations dans notre structure OU en pleine croissance. En
raison de ce problème et d’autres anomalies, nous évitons toute édition de
sécurité compliquée des AD ACL, sauf si c’est absolument nécessaire.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés