> Tech > Le modèle domaine unique

Le modèle domaine unique

Tech - Par iTPro - Publié le 24 juin 2010
email

  Un réseau NT à  domaine unique, est simple : administration de comptes utilisateurs centralisée, pas de relations de confiance à  gérer, et une seule politique de sécurité des domaines à  maintenir. On comprend bien que ce modèle ne convient pas à  de vastes organisations ou à  des entreprises disséminées géographiquement.

Le modèle domaine unique

Il est rare qu’il n’y ait qu’une équipe informatique pour administrer les comptes utilisateurs. Une société présente dans plusieurs villes possède probablement une équipe d’administrateurs dans chacune d’elles. Les grandes sociétés sont le plus souvent divisées géographiquement (ou ont simplement trop d’utilisateurs pour tenir dans un domaine).

  NT n’offre pas la possibilité de subdiviser un domaine et de donner à  des équipes administratives un contrôle séparé sur des sous-ensembles d’utilisateurs. Il n’y a que deux possibilités : ou l’on est membre du groupe Domain Admins d’un domaine et on contrôle entièrement les utilisateurs et groupes du domaine, ou bien on n’appartient pas à  ce groupe et on n’a aucun droit administratif. Par conséquent, les organisations qui veulent diviser l’administration des comptes d’utilisateurs et de groupes doivent créer des domaines distincts pour chaque équipe informatique afin que chacune contrôle séparément les utilisateurs de cette juridiction.

  Certaines entreprises avec domaines multiples appliquent le modèle domaine unique à  un domaine pour isoler un département sensible du reste de l’entreprise. Mais cette astuce peut procurer un faux sentiment de sécurité, comme l’explique l’encadré « Moins sûr qu’il n’y paraît ». Si l’on veut tenir des utilisateurs à  l’écart d’une certaine zone du réseau, il faut un pare-feu interne ainsi qu’un domaine séparé.

  Les domaines sont des frontières administratives, pas des pare-feu. Bien sûr, un domaine départemental A qui ne fait pas confiance au domaine d’entreprise B ne laissera pas les utilisateurs de ce dernier se connecter en utilisant leurs comptes de domaine B. En revanche, l’utilisateur d’une station de travail du domaine B peut fort bien « mapper » une unité du réseau pour se connecter aux ordinateurs du domaine A. Il suffit à  cette personne d’utiliser les références qui existent dans le domaine A ou dans le SAM local du serveur A. (Les pirates peuvent aussi utiliser un logon anonyme pour se relier à  un système et énumérer les noms des comptes utilisateurs de l’ordinateur et du domaine, qui deviendront autant de cibles potentielles.) Le premier compte qu’un tel pirate essaiera d’utiliser est le compte Administrator intégré. Ce compte est tout-puissant, ne peut être ni supprimé ni désactivé, et n’est pas évincé (locked out) par défaut.

  On peut employer l’utilitaire Passprop du Microsoft Windows NT Server Resource Kit pour activer un lockout du compte Administrator à  partir de l’accès au réseau après plusieurs tentatives de logon infructueuses. (Le texte d’aide de Passprop affirme que l’on peut encore se connecter (log on) interactivement à  la console d’un DC (domain controller) quand le compte Administrator est évincé, mais cette affirmation mérite quelques éclaircissements. On peut se connecter comme Administrator sur un BDC, mais on ne peut pas utiliser User Manager parce que ce programme utilise un logon de réseau pour se connecter au PDC.) Cependant, activer le lockout pour le compte Administrator peut vous rendre plus vulnérable à  des attaques DoS (Denial of Service). Si quelqu’un évince votre compte Administrator pendant une telle attaque, votre seule recours consiste à  vous connecter comme Administrator sur la console du PDC et à  commencer à  déverrouiller les comptes.

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010