Quand on crée un nouveau domaine AD, deux GPO sont créés dans ce domaine : la Default Domain Policy, liée au domaine, et la Default Domain Controllers Policy, liée à l'OU Domain Controllers. Windows fournit ces GPO pour vous aider à définir les policies domain account et autres stratégies de
Meilleures pratiques pour les stratégies de sécurité des domaines
sécurité, mais j’ai vu des avertissements
vous demandant de ne pas toucher
à ces GPO prêts à l’emploi. La
conséquence est que de nombreux administrateurs
ne savent plus s’ils doivent
utiliser ces GPO pour leurs stratégies
de groupe ou créer les leurs
propres. En fait, on peut choisir l’une
ou l’autre des solutions.
Lorsque vous déployez des stratégies
de sécurité sur l’ensemble des domaines,
quelques bonnes pratiques
s’imposent. On l’a vu, vous ne pouvez
définir de stratégies de compte sur
l’ensemble des domaines, que sur un
GPO qui est lié au domaine. Si vous
devez définir d’autres stratégies de sécurité
sur l’ensemble des domaines
(par exemple, la taille par défaut du
journal Security sur tous les DC d’un
domaine), définissez ces stratégies
dans un GPO lié à l’OU Domain
Controllers (en supposant que vous
n’avez pas déplacé vos DC hors de
cette OU). Comme Windows traite les
GPO dans l’ordre : local, site, domaine
puis OU, le fait de définir les stratégies
de sécurité dans un GPO lié à l’OU
Domain Controllers garantit que ces
stratégies sont traitées en dernier et
remplacent ainsi les éventuelles stratégies
liées au domaine.
Cependant, cette meilleure pratique
peut être en contradiction avec
une autre : définir l’option No Override
sur votre GPO lié au domaine. Définir
l’option No Override sur un GPO empêche
d’éventuels GPO « en aval » avec
des paramètres contradictoires, de
supplanter cette stratégie de plus haut
niveau. Il peut être judicieux de définir
No Override sur un GPO lié au domaine
qui édicte les stratégies de
compte si vous voulez que ces stratégies
de compte soient dominantes
dans tous les cas. Cependant, si vous
utilisez ce même GPO lié au domaine
pour définir d’autres stratégies de sécurité
(stratégie d’audit, par exemple),
il supplantera les éventuels paramètres
d’audit créés dans les GPO liés à l’OU
Domain Controllers. C’est pourquoi je
recommande que le GPO qui définit
vos stratégise de compte ne fasse rien
d’autre. Ainsi, vous pourrez déléguer
l’administration de ce GPO et de vos
stratégies de compte de domaine aux
experts en sécurité de votre entreprise,
en vous réservant le droit de définir
d’autres stratégies de sécurité pertinentes
sur les ordinateurs en aval.
Téléchargez gratuitement cette ressource
Protection des Données : 10 Best Practices
Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- L’Observatoire de la Grande Ecole du Numérique : Top 15 des métiers du numérique
- La conformité des données : la priorité de l’année 2022
- Top 5 des articles 2021
- Cleyrop : le DataHub européen rassemblant l’excellence française de la donnée !
- Log4j : le CESIN publie un Kit pour aider les entreprises et les collectivités
