> Tech > L’éditeur ACL

L’éditeur ACL

Tech - Par iTPro - Publié le 24 juin 2010
email

  L'Active Directory Delegation of Control Wizard n'effectue que des fonctions limitées. On peut utiliser le wizard pour définir n'importe quel rôle (Printer Administrator, par exemple) et l'on peut révoquer ou supprimer toute autorisation que l'on a établie à  l'aide du wizard. En outre, le wizard est étroitement intégré à  Win2K

L’éditeur ACL

et résiste

donc à  toute tentative de modification. Si vous devez aller au-delà  du

wizard, il faut utiliser l’éditeur ACL pour attribuer des autorisations.

Pour accéder à  cet éditeur, allez simplement à  l’onglet Security d’un objet

donné. Par défaut, Win2K n’affiche pas l’onglet Security sur la feuille
Properties d’un objet. Pour activer l’onglet Security, il faut

sélectionner Advanced Features dans le menu View du snap-in Microsoft

Management Console (MMC) Active Directory Users and Conputers. Rappelons au

passage que l’éditeur ACL est un outil puissant capable de faire beaucoup

de dégâts. Faites très attention à  ce que vous voulez modifier et notez

toutes les modifications effectuées.

  On voit que Microsoft n’a pas fourni d’éditeur ACL avec une

barre de défilement horizontale, et donc on ne peut pas voir l’intégralité

d’un nom d’utilisateur s’il dépasse la largeur de la boîte. Pour pallier

cette limitation, il faut cliquer sur Advanced pour afficher la fenêtre

Access Control Settings. Là , on peut agrandir le champ username pour

pouvoir afficher des noms plus longs. Vous constaterez également
que, par défaut, l’éditeur ACL ne permet pas d’attribuer des autorisations
sur plus d’un objet à  la fois. Par conséquent, vous ne pouvez pas attribuer
des autorisations à  la structure de dossiers d’un OU (organizational unit)

et propager les autorisations à  tous les sous-dossiers. S’il faut attribuer
une gamme d’autorisations plus large à  une structure de dossiers, il faut

cliquer sur Advanced, puis sélectionner View, Edit pour accéder à  la liste

déroulante Apply onto. Il faut sélectionner This object and all child

objects (Cet objet et tous les objets enfants). L’éditeur ACL présente une

autre anomalie : quand on utilise la fenêtre pour supprimer une utorisation
d’un utilisateur qui possède Full Control (par exemple, décocher la case

Allow près de Delete User Objects), le système crée une foule d’entrées

d’autorisations uniques pour l’utilisateur et les affiche dans la liste
Permission Entries. Deux de ces attributions d’autorisations spéciales

suffisent pour remplir la liste Permission Entries, de telle sorte que vous

ne pouvez plus trouver une attribution d’autorisation spéciale. Le concept

médiocre de l’éditeur ACL a eu une influence directe sur nos efforts pour
gérer les autorisations dans notre structure OU en pleine croissance. En
raison de ce problème et d’autres anomalies, nous évitons toute édition de
sécurité compliquée des AD ACL, sauf si c’est absolument nécessaire.

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010