Simplifiez-vous la vie : la sécurité fondée sur les rôles

ou un technicien du Help desk était pressé et voulait clore rapidement un ticket d’incident.

Malheureusement, cette façon de faire peut entraîner des soucis en aval, si l’utilisateur auquel vous avez accordé des privilèges spéciaux change de département. Par exemple, l’une des entreprises dans laquelle je suis intervenu, déplace régulièrement son aide-comptable temporaire pour une fonction à temps plein au niveau de l’exploitation. Si un utilisateur a la permission d’accès aux fichiers comptables et s’il occupe une nouvelle fonction, il peut être difficile de savoir tous les endroits où il a eu des permissions.

A tel point que l’utilisateur est souvent affecté à un nouveau poste avec les anciennes permissions comptables encore intactes. Dans un tel cas, la réponse consiste à utiliser des groupes de sécurité. Les groupes existent depuis les premiers jours de LAN Manager. Bien que la plupart des organisations aient des groupes de sécurité, beaucoup d’entre elles ne les utilisent pas au maximum de leur potentiel. Dans mon travail de conseil, j’appelle généralement « rôles » les groupes de sécurité. Quand on les combine avec les rôles officiels dans l’entreprise, les groupes de sécurité sont une solution de sécurité puissante.

Par conséquent, au lieu d’utiliser des noms de groupes de sécurité obscurs que seuls les gens de l’informatique comprennent, les rôles permettent aux managers de contrôler les données auxquelles leurs employés peuvent accéder. Imaginez une liste de rôles de groupes de sécurité pour le département comptabilité se présentant ainsi :

• Rôle comptabilité VP
• Rôle comptabilité Manager
• Rôle comptabilité AP
• Rôle comptabilité AR
• Rôle comptabilité Temp
• Rôle comptabilité

Tous Seuls ces rôles ont accès à votre nouvelle structure de dossiers. Désormais, quand un nouvel employé est recruté à la comptabilité, il est facile pour le manager d’expliquer au Help desk exactement à quels groupes de sécurité l’utilisateur doit appartenir. Quand vous ajoutez des rôles à la sécurité du dossier, vous pouvez utiliser les conventions de nommage montrées ci-dessus et les ajouts se feront en un clin d’oeil.

Trouvez le dossier pour lequel vous voulez configurer la sécurité. Faites un clic droit sur le dossier et choisissez Properties. Cliquez sur l’onglet Security et cliquez sur Add. Tapez le mot Role dans le champ Enter the object names to select, comme le montre la figure 2. Vous obtiendrez la liste des rôles qui se trouvent dans votre Active Directory (AD).