par Jeff Bennion - Mis en ligne le 04/03/2003
Bien utilisées, les possibilités de
délégation d'AD (Active Directory)
Windows 2000 améliorent la productivité
informatique de l'entreprise et
contribuent à sa sécurité. Cependant,
au moment de mettre en oeuvre votre
modèle de délégation, des difficultés
risquent de survenir parce que la manière
dont Microsoft a conçu AD ne
correspond pas forcément à celle
dont vos administrateurs travailleront.Lorsque vous structurez votre modèle
de délégation, vous devez traduire des
fonctions de jobs concrètes en droits
d'accès AD spécifiques. Bien que vous
puissiez définir les tâches que les différents
informaticiens doivent effectuer,
il n'est pas toujours facile d'établir la
corrélation entre ces tâches et les permissions
d'AD. Je présente quelques
techniques qui vont au-delà des
simples scénarios de délégation pour aborder les problèmes que vous risquez
fort de rencontrer dans l'entreprise.
Ces exemples du monde réel
peuvent vous aider à concevoir et à déployer
un modèle de délégation d'AD
sécurisé répondant à vos besoins.
Délégation d’AD : au-delà du basique
A première vue, le modèle de délégation
d’AD paraît simple. Tout comme
vous pouvez attribuer des permissions
NTFS pour donner à des utilisateurs
l’accès à une portion du système de fichiers, vous pouvez écrire des ACE (access
control entries) dans AD pour accorder
(ou refuser) aux utilisateurs l’accès
à une portion de votre répertoire.
Vous pouvez attribuer des droits à certains
types d’objets (comptes d’ordinateurs,
par exemple) et pas à d’autres
(comptes de groupes, par exemple)
dans le même conteneur. Vous pouvez
également accorder des droits à un objet
entier pour que, par exemple, un administrateur
contrôle entièrement la totalité
d’un compte utilisateur. Mais vous
pouvez également sécuriser chaque attribut
d’objet individuellement. Vous
pourriez, par exemple, permettre aux
administrateurs de changer les numéros
de téléphone des utilisateurs mais pas
leurs mots de passe. Une fois que vous
comprendrez les règles, la conception
de votre modèle de délégation ira de soi.
En fait, vous voulez donner aux administrateurs
délégués des permissions de
lecture et d’écriture sur les portions de
leur forêt d’AD dont ils ont besoin pour
accomplir le travail – ni plus ni moins.
Tout d’abord, j’explique la délégation
des droits d’options Account – en
particulier, la possibilité de forcer les
changements de mot de passe –
comme une première en délégation
d’AD. Deuxièmement, j’examine la délégation
des droits de déplacer des objets
vers et à partir d’OU (organizational
units) pour vous montrer comment
résoudre une limitation de délégation,
de manière efficace et sûre. Sur les
bases de ces discussions, je vous guide
dans la définition d’un modèle de délégation
centralisé.
Enfin, je passe du contexte de
nommage de domaine, dans lequel résident
les tâches de délégation évoquées
jusqu’à ce point, dans un autre
contexte de nommage d’AD, le
contexte de nommage de configuration,
pour explorer la délégation de
gestion de site.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.
Les articles les plus consultés
- Afficher les icônes cachées dans la barre de notification
- Chiffrements symétrique vs asymétrique
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Activer la mise en veille prolongée dans Windows 10
Les plus consultés sur iTPro.fr
- L’Intelligence Artificielle, le nouveau copilote du CRM : une révolution incontournable
- Optimiser la gestion de la relation client dans le secteur des sciences de la vie
- 2025, un « âge de raison » pour l’écosystème de la technologie ?
- 59 % des entreprises françaises victimes de ransomwares ont stoppé leurs opérations !
- KeeeX accélère son développement en Europe en 2025 !
