Par Kathy Ivens
En tant qu'administrateur de réseau, vous ne pouvez pas assumer toutes les tâches informatiques de l'entreprise - vous devez donc déléguer le contrôle administratif à d'autres membres de l'équipe. Bien que vous puissiez simplement désigner un groupe d'administrateurs chargés d'effectuer certaines tâches, il est bien préférable d'utiliser le Delegation of Control Wizard de Windows 2000 ...
Cet outil permet de configurer précisément trois aspects importants de la délégation : ceux à qui vous allez donner des pouvoirs administratifs, les objets sur lesquels vous voulez qu'ils agissent, et les autorisations dont ils ont besoin pour mener à bien leurs tâches administratives.
Retrouvez toutes les figures dans l'édition papier de cet article, Windows & .Net Magazine, n°1, janvier 2002
Win2K permet de déléguer le contrôle administratif de n’importe quel objet AD (Active Directory). Mais, le plus souvent, on délègue le contrôle d’une OU (organizational unit). Vous pouvez octroyer ce contrôle à un utilisateur ou à un groupe.
J’ai trouvé une méthode pratique qui consiste à créer un groupe d’administrateurs, puis à déléguer le contrôle d’une OU à ce groupe. En pratiquant de la sorte, il ne sera pas nécessaire de reconfigurer la d délégation quand l’utilisateur détenteur de pouvoirs délégués changera de poste ou quittera la société. De plus, le fait d’utiliser des groupes évite à la base de données de l’AD de trop grandir, ce qui pourrait rendre la réplication et la sauvegarde encore plus onéreuses qu’actuellement.
Pour chaque utilisateur auquel vous octroyez le droit d’administrer un objet, Win2K ajoute une ACE (Access Control Entry) sur l’ACL de l’objet. Les objets enfants héritent des propriétés de délégation de leurs objets parents, et donc Win2K ajoute une ACE à l’ACL des objets enfants de chacun des objets parents. A raison de presque 100 octets chacun, ces ACE peuvent rapidement accaparer un espace précieux dans la base de données de l’AD quand on délègue le contrôle à de nombreux utilisateurs indidviduels. Alors que quand on délègue le contrôle à un groupe, Win2K n’ajoute qu’une ACE – pour le groupe – à l’ACL de l’objet. On peut donc utiliser un groupe pour attribuer le contrôle à de multiples utilisateurs, sans ajouter beaucoup de données ACE à la base de données de l’AD. Et on peut également ajouter des utilisateurs au groupe, sans ajouter des ACE à l’ACL de l’objet.
Le Delegation of Control Wizard permet également de préciser l’étendue des pouvoirs octroyés aux groupes de délégation. On peut vouloir que tel groupe puisse effectuer toutes les tâches, ou bien limiter la gamme des tâches autorisées (par exemple, ne donner au groupe que le droit de créer des objets New Computer). Pour découvrir le principe de fonctionnement de l’assistant, nous allons déléguer un contrôle a administratif sur une OU (organizational unit).
Téléchargez cette ressource
*** SMART DSI *** VERSION NUMÉRIQUE
Découvrez SMART DSI, la nouvelle revue du Décideur IT en version numérique. Analyses et dossiers experts pour les acteurs de la transformation numérique de l'entreprise, Gagnez en compétences et expertise IT Professionnelle avec le contenu éditorial premium de SMART DSI.
