Dans Windows 2000, le contrôle d'accès
fonctionne d'une manière sensiblement
identique au contrôle d'accès
dans Windows NT 4.0, à une exception
(majeure) près.
Le contrôle d'accès dans Windows
NT était très linéaire et se situait au niveau
des objets. Active Directory gère
la sécurité au niveau des objets et des
Les contrôles d’accès
attributs, ce qui développe considérablement
la granularité administrative
de tous les aspects du système.
Windows 2000 intègre plusieurs
nouvelles extensions aux listes de
contrôle d’accès (Access Control List
ou ACL) déjà existantes offrant un
contrôle plus strict sur l’héritage des
permissions.
Active Directory influence en particulier
les accès suivants :
• Accès aux dossiers publics. Les définitions
des dossiers publics deviennent
des objets dans Active
Directory. Les différents attributs de
sécurité peuvent ainsi être réglés
pour obtenir précisément le niveau
d’accès souhaité.
• Accès aux boîtes aux lettres. La définition
unique des utilisateurs s’applique
également aux autorisations
associées à la boîte aux lettres de
chaque utilisateur.
Microsoft a explicitement limité les
listes de contrôle d’accès aux objets de
l’Active Directory disposant d’un identifiant
de sécurité (SID) comme les
groupes de sécurité. Les groupes de
distribution par contre en sont dépourvus.
Exchange 2000 gère par exemple
les listes de contrôle d’accès aux dossiers
publics au niveau des groupes de
sécurité de Windows 2000, contrairement
à Exchange 5.5 qui faisait usage
des listes de distribution.
En effet, chaque objet dans
Windows 2000 dispose d’une liste de
contrôle d’accès discrétionnaire
(Discretionary Access Control List ou
DACL) contenant des entrées de
contrôle d’accès (Access Control
Entries ou ACE). Les ACE définissent
l’ensemble des utilisateurs et groupes
qui peuvent accéder à un objet ainsi
que les permissions qui leurs sont accordées
sur l’objet en question.
Comme les permissions sur les objets
Exchange 2000 se basent dorénavant
sur NTFS (NT File System) et
Active Directory, un administrateur
Exchange 2000 peut sensiblement affiner
les permissions qu’il désire octroyer
sur un objet particulier tel qu’un
message dans un dossier public ou
bien un attribut particulier.
Délégation d’administration
Dans un environnement Exchange
2000, la délégation d’administration
peut apporter des solutions sûres et
pratiques pour :
• Alléger les tâches quotidiennes des
administrateurs
• Donner plus d’autonomie aux unités
organisationnelles (OU), aux sites,
aux domaines dans la gestion et le
contrôle de leurs ressources
propres.
Exchange 2000 permet la délégation
d’administration au niveau de
l’Active Directory à travers la console
d’administration (MMC) « Utilisateurs
et ordinateurs du domaine » et au niveau
de l’infrastructure Exchange par
l’intermédiaire du composant enfichable
(snap-in) Exchange 2000 dans la
MMC.
Il faut noter que ces délégations ne
pourront se faire que sur des groupes
de sécurité puisque les groupes de distribution
ne possèdent pas de SID.
Pour faciliter la délégation d’administration,
Exchange 2000 utilise les
rôles Exchange. Les rôles constituent
un ensemble de permissions spécifiques
liées à un SID. Ces rôles ne sont
pas stockés dans l’Active Directory
mais dans la banque d’information
d’Exchange 2000.
Téléchargez cette ressource
Guide de sécurité de l’adoption du Cloud
Avec la pandémie, l’adoption du Cloud s'est emballée, les failles de sécurité aussi. Sécuriser les données au niveau de l’organisation est la clé d'une utilisation sûre du Cloud. Dans ce livre blanc, découvrez les risques liés à cette adoption et les origines de faiblesse de sécurité des données.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
