Le modèle domaine unique

Il est rare qu’il n’y ait qu’une équipe informatique pour administrer les comptes utilisateurs. Une société présente dans plusieurs villes possède probablement une équipe d’administrateurs dans chacune d’elles. Les grandes sociétés sont le plus souvent divisées géographiquement (ou ont simplement trop d’utilisateurs pour tenir dans un domaine).

  NT n’offre pas la possibilité de subdiviser un domaine et de donner à  des équipes administratives un contrôle séparé sur des sous-ensembles d’utilisateurs. Il n’y a que deux possibilités : ou l’on est membre du groupe Domain Admins d’un domaine et on contrôle entièrement les utilisateurs et groupes du domaine, ou bien on n’appartient pas à  ce groupe et on n’a aucun droit administratif. Par conséquent, les organisations qui veulent diviser l’administration des comptes d’utilisateurs et de groupes doivent créer des domaines distincts pour chaque équipe informatique afin que chacune contrôle séparément les utilisateurs de cette juridiction.

  Certaines entreprises avec domaines multiples appliquent le modèle domaine unique à  un domaine pour isoler un département sensible du reste de l’entreprise. Mais cette astuce peut procurer un faux sentiment de sécurité, comme l’explique l’encadré « Moins sûr qu’il n’y paraît ». Si l’on veut tenir des utilisateurs à  l’écart d’une certaine zone du réseau, il faut un pare-feu interne ainsi qu’un domaine séparé.

  Les domaines sont des frontières administratives, pas des pare-feu. Bien sûr, un domaine départemental A qui ne fait pas confiance au domaine d’entreprise B ne laissera pas les utilisateurs de ce dernier se connecter en utilisant leurs comptes de domaine B. En revanche, l’utilisateur d’une station de travail du domaine B peut fort bien « mapper » une unité du réseau pour se connecter aux ordinateurs du domaine A. Il suffit à  cette personne d’utiliser les références qui existent dans le domaine A ou dans le SAM local du serveur A. (Les pirates peuvent aussi utiliser un logon anonyme pour se relier à  un système et énumérer les noms des comptes utilisateurs de l’ordinateur et du domaine, qui deviendront autant de cibles potentielles.) Le premier compte qu’un tel pirate essaiera d’utiliser est le compte Administrator intégré. Ce compte est tout-puissant, ne peut être ni supprimé ni désactivé, et n’est pas évincé (locked out) par défaut.

  On peut employer l’utilitaire Passprop du Microsoft Windows NT Server Resource Kit pour activer un lockout du compte Administrator à  partir de l’accès au réseau après plusieurs tentatives de logon infructueuses. (Le texte d’aide de Passprop affirme que l’on peut encore se connecter (log on) interactivement à  la console d’un DC (domain controller) quand le compte Administrator est évincé, mais cette affirmation mérite quelques éclaircissements. On peut se connecter comme Administrator sur un BDC, mais on ne peut pas utiliser User Manager parce que ce programme utilise un logon de réseau pour se connecter au PDC.) Cependant, activer le lockout pour le compte Administrator peut vous rendre plus vulnérable à  des attaques DoS (Denial of Service). Si quelqu’un évince votre compte Administrator pendant une telle attaque, votre seule recours consiste à  vous connecter comme Administrator sur la console du PDC et à  commencer à  déverrouiller les comptes.