Sans une connaissance approfondie du modèle de sécurité complexe de Windows 2000, vous courez le risque de vous perdre, si vous essayez de déléguer le contrôle en créant et en modifiant manuellement l'ACL d'un objet. Il vous faudrait comprendre précisément chaque permission s'appliquant à chaque objet A, ce qui n'est
Utilisation de l’Assistant Délégation chez Entreprise & Co
pas
une mince affaire si l’on considère la gamme des objets et des attributs disponibles.
Heureusement, l’Assistant Délégation du contrôle facilite considérablement la
délégation.
L’exemple suivant montre comment utiliser l’Assistant pour distribuer les tâches
d’administration dans une entreprise fictive que nous appellerons Entreprise &
Co. Entreprise & Co possède 500 employés répartis entre son siège de Lyon et ses
deux succursales, l’une à Lille et l’autre à Marseille, qui emploient chacune
un responsable du personnel informatique local pour la gestion des utilisateurs
et du réseau. Imaginons que cette société souhaite déléguer complètement l’administration
des utilisateurs et des groupes, ainsi que les liens de stratégies de groupes,
au personnel informatique local de ces succursales. Imaginons également que Entreprise
& Co souhaite en même temps conserver la possibilité d’administrer le réseau en
cas d’absence des administrateurs locaux. Supposons que l’unité de production
de Marseille fasse l’acquisition de filiales et que la société souhaite déléguer
du pouvoir au personnel informatique de Marseille pour créer de nouvelles UO.
Mais, elle ne veut pas accorder au personnel informatique de la succursale trop
d’autorité administrative sur le fonctionnement du siège.
Sans une connaissance approfondie du modèle de sécurité de Windows 2000,
vous courez le risque de vous perdre, si vous essayez de déléguer le contrôle
manuellement
Comme Entreprise & Co n’a que 500 employés, l’organisation peut se gérer
avec un seul domaine, que nous appellerons Entreprise & Co A. Pour déléguer le
contrôle aux sites distants, il faut une UO pour chaque bureau, qui s’appellera
Bureau Agence Marseille et Bureau Agence Lille. Il faut aussi créer dans chaque
UO des comptes d’utilisateurs et d’ordinateurs locaux, des comptes de serveurs,
et un groupe d’administration contenant le personnel informatique local. On peut
alors déléguer le contrôle de chaque UO à son groupe d’administration. La Figure
1 montre l’écran Utilisateurs et ordinateurs d’Active Directory des UO et leurs
utilisateurs, leurs ordinateurs et les membres de leurs groupes.
Pour déléguer le contrôle total de l’UO de Lille au groupe Administrateurs Lille,
qui se compose de deux membres, Roger et Sarah, il faut exécuter l’Assistant Délégation
de contrôle. Dans l’écran Utilisateurs et ordinateurs Active Directory cliquez
droit sur Bureau Agence Lille, puis cliquez sur Déléguer le contrôle, c’est-à -dire
la première entrée du menu contextuel. Cliquez sur Suivant dans l’écran d’accueil
de l’Assistant de Délégation de contrôle qui s’affiche, pour commencer la procédure
de délégation. Cette action entraîne l’ouverture de la fenêtre Utilisateurs ou
groupes. (La partie Utilisateurs et groupes sélectionnés de cette fenêtre est
toujours vide, même si le contrôle a déjà été délégué à cette UO auparavant. Cette
zone vide est déconcertante les premières fois que l’on effectue des délégations).
Cliquez sur Ajouter pour afficher la fenêtre de sélection des utilisateurs, des
ordinateurs ou des groupes, de la Figure 2. Dans cette fenêtre, vous pouvez sélectionner
des utilisateurs et des groupes dans la totalité de l’annuaire, le domaine actif
ou un autre domaine (y compris des domaines Windows NT 4.0) dans la zone déroulante
Regarder dans. Comme il n’existe qu’un domaine, le contenu du répertoire et le
domaine sont identiques. Double-cliquez ensuite sur le groupe Administrateurs
Lille. Si vous voulez déléguer le contrôle de l’UO à plusieurs groupes, ou à des
groupes et à des utilisateurs individuels, vous pouvez sélectionner plusieurs
entrées dans l’annuaire ou l’affichage des domaines en double-cliquant sur chaque
entrée. L’Assistant affiche chaque sélection dans la partie inférieure de l’écran.
Cliquez sur OK pour continuer et vérifiez vos sélections dans la zone de la fenêtre
Utilisateurs ou groupes qui était vide précédemment.
Lorsque vous cliquez sur Suivant, l’Assistant affiche la fenêtre Tâches à déléguer,
que montre la Figure 3. L’option Déléguer les tâches communes suivantes est activée
par défaut. Pour déléguer, comme vous le souhaitez, le contrôle des comptes d’utilisateurs
et de groupes aux administrateurs de Lille, vous devez sélectionner les six options
dans la liste des tâches communes : créer, supprimer et gérer les comptes d’utilisateurs
; redéfinir les mots de passe des comptes d’utilisateurs ; lire toutes les informations
sur les utilisateurs ; créer, supprimer et gérer des groupes ; modifier l’appartenance
à un groupe et gérer les liens des stratégies de groupes. Pour ne déléguer qu’un
contrôle limité à l’équipe informatique de Lille, il faut cocher seulement les
cases Redéfinir les mots de passe des comptes d’utilisateurs et Lire toutes les
informations sur les utilisateurs.
Si la liste des tâches communes n’inclut pas la tâche que vous voulez déléguer,
sélectionnez l’option Créer une tâche personnalisée à déléguer, qui affiche deux
options. La première : Ce dossier, les objets existant dans ce dossier et la création
de nouveaux objets dans ce dossier, permet de déléguer l’entière autorité de gérer
tout ce que contient le dossier, ainsi que le droit de créer tout nouvel objet
dans le dossier. Si voulez ne déléguer que certaines de ces tâches, sélectionnez
l’option Seulement les objets suivants dans le dossier et sélectionnez un sous-ensemble
des objets dans la liste. Pour déléguer la gestion des imprimantes et des dossiers
partagés dans une UO, sélectionnez uniquement ces objets dans la liste et cliquez
sur Suivant. Dans la fenêtre Permissions qui s’affiche (Figure 4), vous identifiez
comment vos délégués peuvent manipuler les imprimantes et les dossiers partagés.
Pour déléguer la gestion sans permettre aux délégués de créer des sous-dossiers,
cochez les cases Lire, Ecrire, Lire toutes les propriétés et Ecrire toutes les
propriétés.
Cliquez sur Suivant. L’écran Terminer de l’assistant présente une récapitulation
de vos sélections. Si tout est correct, cliquez sur Terminer. Si vous avez sélectionné
le mauvais groupe ou oublié de déléguer une tâche, cliquez sur Retour pour corriger
vos erreurs.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Et si les clients n’avaient plus le choix ?
- Les 6 étapes vers un diagnostic réussi
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
Les plus consultés sur iTPro.fr
- Teams Live Event: Kollective ou Microsoft ECDN ?
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
