Une simple question d’approbation

comparée à une approbation transitive. (Pour des informations de sécurité à propos des divers types de relations d’approbation, voir l’encadré « De nombreux types d’approbation »). Quand le domaine A approuve le domaine B, que se passe-t-il réellement ? Qui le domaine A approuvet- il en réalité ? Les utilisateurs du domaine B acquièrent-ils soudainement l’accès aux ressources du domaine A ? Les administrateurs du domaine B obtiennent-ils un quelconque accès au domaine A ?

Tout d’abord, que se passe-t-il dans une relation d’approbation ? Dans ce cas, le domaine approbateur est le domaine A et le domaine approuvé est le domaine B. Du point de vue du domaine A, la direction de l’approbation est sortante. Les ordinateurs du domaine A approuvent les DC du domaine B pour authentifier les comptes utilisateur et ordinateur et spécifier les appartenances aux groupes. Quand un administrateur du domaine A ouvre l’ACL d’un fichier ou d’un dossier et sélectionne de nouveaux comptes et groupes à ajouter à l’ACL, l’administrateur voit les comptes et les groupes provenant du domaine B en plus du domaine A. L’administrateur peut aussi rendre les comptes des groupes du domaine B membres des groupes du domaine A et, en général, peut utiliser les comptes des groupes du domaine B partout il peut utiliser les comptes et groupes du domaine A. Les utilisateurs du domaine B peuvent accéder aux ressources du domaine A pour lequel ils possèdent les permissions appropriées.

Qui le domaine A approuve-t-il vraiment ? Les utilisateurs du domaine B? Les administrateurs du domaine B ? Si vous établissez une approbation dans laquelle le domaine A approuve le domaine B, vous voulez évidemment que les utilisateurs du domaine B puissent accéder à certaines ressources du domaine A. Vous pouvez établir cet accès en accordant les permissions appropriées aux groupes du domaine B après avoir établi l’approbation. Mais, les administrateurs du domaine B obtiennent-ils un accès supplémentaire au domaine A ?

La réponse évidente est que les administrateurs du domaine B ne gagnent pas plus d’accès que les autres utilisateurs du domaine B, excepté qu’ils peuvent ajouter et enlever des utilisateurs aux groupes du domaine B, lesquels pourraient avoir accès aux ressources du domaine A. Autrement dit, si un administrateur du domaine A accorde un accès quelconque à un groupe du domaine B, un administrateur du domaine B peut octroyer ou révoquer cet accès aux utilisateurs du domaine B, en ajustant simplement l’appartenance au groupe du domaine B. Par conséquent, en surface, les relations d’approbations semblent plutôt bénignes. Pourtant, il existe un moyen documenté par lequel les administrateurs du domaine B peuvent gagner illicitement l’accès administratif au domaine A. C’est ce que je décris dans la section suivante.