par Siegfried Jagott
Comment déléguer les autorisations dans l'AD (Active Directory) de
Windows 2000 ? D'après Microsoft, on peut utiliser le modèle de délégation
et de sécurité de l'AD pour déléguer tous les droits dont on a besoin dans
Win2K. La réponse générale de Microsoft à la question est la suivante :
« Utilisez simplement l'Active Directory Delegation of Control Wizard.
Cependant, l'expérience de ma société montre que même si le wizard joue son
rôle pour des procédures de base comme la création d'utilisateurs et la
gestion de groupes, il est impuissant si l'on ambitionne de déléguer les
autorisations d'AD de manière plus granulaire.
Dans son article de septembre 2000, « The Active Directory Delegation of Control Wizard », Paula Sharick introduit la fonctionnalité du wizard. Cet article est amplement suffisant si vous commencez seulement à déléguer le contrôle dans l'environnement Win2K. Mais imaginons que vous ayez l'intention de mettre en oeuvre un domaine à l'échelle mondiale dans une très grande forêt d'AD (par exemple, une division contenant plus de 10.000 utilisateurs). Comment commencer?
Chez Siemens Power Generation (PG), nous avons dû relever exactement ce défi. Chez nous, chaque division fonctionne comme une société autonome et a une équipe informatique dont les employés sont dispersés dans différents sites fonctionnant de manière indépendante. Nous voulions créer un domaine pour la division - au lieu de plus de 88 domaines avec plus de 400 trusts sur la planète (comme c'était le cas de la division dans son environnement Windows NT 4.0). Nous avions l'intention d'exploiter le domaine indépendamment de l'Active Directory Forest Root Service Provider (FRSP) de Siemens - le principal service informatique interne de la société qui gère toutes les configurations pour l'ensemble des forêts, comme les extensions de schéma. Mais nous avons vu d'emblée qu'il nous faudrait établir un département informatique similaire, responsable de la gestion générale des domaines, et agissant comme point de contact unique pour le domaine de nos divisions. Nous avons baptisé ce département Domain Central Service Provider (DCSP). Nous voulions aussi accorder aux administrateurs locaux de la division les autorisations leur permettant d'accomplir leur travail comme ils le faisaient sous NT 4.0
En route, nous avons rencontré des problèmes et les avons résolus. A la fin, nous nous sommes trouvés face à une nouvelle perspective quant au jeu d'autorisations de l'AD - une perspective bien plus profonde que celle qu'aucun article ou livre pourrait fournir. Donc, si vous décidez d'adapter les techniques de cet article à votre implémentation d'AD, soyez extrêmement prudent. Certains des conseils fournis ici pourraient fort bien donner des résultats imprévisibles faute de tests approfondis préalables. Pour notre mise en oeuvre, nous avons utilisé la version d'AD qui accompagnait la release initiale de Win2K.
