> Tech > Les contrôles d’accès

Les contrôles d’accès

Tech - Par iTPro - Publié le 24 juin 2010
email

Dans Windows 2000, le contrôle d'accès fonctionne d'une manière sensiblement identique au contrôle d'accès dans Windows NT 4.0, à  une exception (majeure) près.
Le contrôle d'accès dans Windows NT était très linéaire et se situait au niveau des objets. Active Directory gère la sécurité au niveau des objets et des

Les contrôles d’accès

attributs, ce qui développe considérablement
la granularité administrative
de tous les aspects du système.
Windows 2000 intègre plusieurs
nouvelles extensions aux listes de
contrôle d’accès (Access Control List
ou ACL) déjà  existantes offrant un
contrôle plus strict sur l’héritage des
permissions.

Active Directory influence en particulier
les accès suivants :

• Accès aux dossiers publics. Les définitions
des dossiers publics deviennent
des objets dans Active
Directory. Les différents attributs de
sécurité peuvent ainsi être réglés
pour obtenir précisément le niveau
d’accès souhaité.

• Accès aux boîtes aux lettres. La définition
unique des utilisateurs s’applique
également aux autorisations
associées à  la boîte aux lettres de
chaque utilisateur.

Microsoft a explicitement limité les
listes de contrôle d’accès aux objets de
l’Active Directory disposant d’un identifiant
de sécurité (SID) comme les
groupes de sécurité. Les groupes de
distribution par contre en sont dépourvus.
Exchange 2000 gère par exemple
les listes de contrôle d’accès aux dossiers
publics au niveau des groupes de
sécurité de Windows 2000, contrairement
à  Exchange 5.5 qui faisait usage
des listes de distribution.

En effet, chaque objet dans
Windows 2000 dispose d’une liste de
contrôle d’accès discrétionnaire
(Discretionary Access Control List ou
DACL) contenant des entrées de
contrôle d’accès (Access Control
Entries ou ACE). Les ACE définissent
l’ensemble des utilisateurs et groupes
qui peuvent accéder à  un objet ainsi
que les permissions qui leurs sont accordées
sur l’objet en question.

Comme les permissions sur les objets
Exchange 2000 se basent dorénavant
sur NTFS (NT File System) et
Active Directory, un administrateur
Exchange 2000 peut sensiblement affiner
les permissions qu’il désire octroyer
sur un objet particulier tel qu’un
message dans un dossier public ou
bien un attribut particulier.

Délégation d’administration
Dans un environnement Exchange
2000, la délégation d’administration
peut apporter des solutions sûres et
pratiques pour :

• Alléger les tâches quotidiennes des
administrateurs

• Donner plus d’autonomie aux unités
organisationnelles (OU), aux sites,
aux domaines dans la gestion et le
contrôle de leurs ressources
propres.

Exchange 2000 permet la délégation
d’administration au niveau de
l’Active Directory à  travers la console
d’administration (MMC) « Utilisateurs
et ordinateurs du domaine » et au niveau
de l’infrastructure Exchange par
l’intermédiaire du composant enfichable
(snap-in) Exchange 2000 dans la
MMC.

Il faut noter que ces délégations ne
pourront se faire que sur des groupes
de sécurité puisque les groupes de distribution
ne possèdent pas de SID.
Pour faciliter la délégation d’administration,
Exchange 2000 utilise les
rôles Exchange. Les rôles constituent
un ensemble de permissions spécifiques
liées à  un SID. Ces rôles ne sont
pas stockés dans l’Active Directory
mais dans la banque d’information
d’Exchange 2000.

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010