Partons de la relation d’approbation la plus simple qui soit : une approbation dans un seul sens, non transitive, entre deux domaines. Le domaine A approuve le domaine B, mais le domaine A n’approuve aucun des domaines que le domaine B approuve. La figure 1 montre une approbation non transitive,
Une simple question d’approbation
comparée à une approbation transitive. (Pour des informations de sécurité à propos des divers types de relations d’approbation, voir l’encadré « De nombreux types d’approbation »). Quand le domaine A approuve le domaine B, que se passe-t-il réellement ? Qui le domaine A approuvet- il en réalité ? Les utilisateurs du domaine B acquièrent-ils soudainement l’accès aux ressources du domaine A ? Les administrateurs du domaine B obtiennent-ils un quelconque accès au domaine A ?
Tout d’abord, que se passe-t-il dans une relation d’approbation ? Dans ce cas, le domaine approbateur est le domaine A et le domaine approuvé est le domaine B. Du point de vue du domaine A, la direction de l’approbation est sortante. Les ordinateurs du domaine A approuvent les DC du domaine B pour authentifier les comptes utilisateur et ordinateur et spécifier les appartenances aux groupes. Quand un administrateur du domaine A ouvre l’ACL d’un fichier ou d’un dossier et sélectionne de nouveaux comptes et groupes à ajouter à l’ACL, l’administrateur voit les comptes et les groupes provenant du domaine B en plus du domaine A. L’administrateur peut aussi rendre les comptes des groupes du domaine B membres des groupes du domaine A et, en général, peut utiliser les comptes des groupes du domaine B partout il peut utiliser les comptes et groupes du domaine A. Les utilisateurs du domaine B peuvent accéder aux ressources du domaine A pour lequel ils possèdent les permissions appropriées.
Qui le domaine A approuve-t-il vraiment ? Les utilisateurs du domaine B? Les administrateurs du domaine B ? Si vous établissez une approbation dans laquelle le domaine A approuve le domaine B, vous voulez évidemment que les utilisateurs du domaine B puissent accéder à certaines ressources du domaine A. Vous pouvez établir cet accès en accordant les permissions appropriées aux groupes du domaine B après avoir établi l’approbation. Mais, les administrateurs du domaine B obtiennent-ils un accès supplémentaire au domaine A ?
La réponse évidente est que les administrateurs du domaine B ne gagnent pas plus d’accès que les autres utilisateurs du domaine B, excepté qu’ils peuvent ajouter et enlever des utilisateurs aux groupes du domaine B, lesquels pourraient avoir accès aux ressources du domaine A. Autrement dit, si un administrateur du domaine A accorde un accès quelconque à un groupe du domaine B, un administrateur du domaine B peut octroyer ou révoquer cet accès aux utilisateurs du domaine B, en ajustant simplement l’appartenance au groupe du domaine B. Par conséquent, en surface, les relations d’approbations semblent plutôt bénignes. Pourtant, il existe un moyen documenté par lequel les administrateurs du domaine B peuvent gagner illicitement l’accès administratif au domaine A. C’est ce que je décris dans la section suivante.
Téléchargez cette ressource

Rapport Forrester sur les solutions de sécurité des charges de travail cloud (CWS)
Dans cette évaluation, basée sur 21 critères, Forrester Consulting étudie, analyse et note les fournisseurs de solutions de sécurité des charges de travail cloud (CWS). Ce rapport détaille le positionnement de chacun de ces fournisseurs pour aider les professionnels de la sécurité et de la gestion des risques (S&R) à adopter les solutions adaptées à leurs besoins.
Les articles les plus consultés
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Chiffrements symétrique vs asymétrique
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Les 6 étapes vers un diagnostic réussi
Les plus consultés sur iTPro.fr
- Les risques liés à l’essor fulgurant de l’IA générative
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
