• Home

  • Documents

  • Délégation d’administration - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 -...
6
Délégation dadministration Lun des principaux avantages dun domaine Active Directory est de pouvoir fournir un annuaire commun à plusieurs entités au sein dune même société. Cet annuaire partagé aide ainsi à réduire les coûts de gestion associés au maintien de linfrastructure. 1. Approche de la délégation dadministration Les politiques de sécurité étant généralement différentes au sein des divisions et les équipes IT nétant pas les mêmes, il convient de trouver une solution afin de déléguer les tâches nécessaires au travail de chacun sans pour autant compromettre la sécurité de tout le domaine Active Directory. La structure dun domaine Active Directory est organisée par défaut de façon hiérarchique. Il est en effet possible de déléguer des tâches au niveau dune forêt, dun site, dun domaine ou bien même dune unité dorganisation. De plus, chaque objet possédant des attributs avec des DACL (Discretionary Access Control List) associées à ces derniers, il est également possible de déléguer des options de façon assez fine (réinitialiser le mot dun utilisateur, autoriser la désactivation dun compte utilisateur, etc.). Nous passerons à la pratique un peu plus loin dans ce chapitre. Avant de vous lancer dans la configuration de la délégation de votre Active Directory, il convient de bien étudier les besoins auxquels vous devez répondre. Une lecture (en anglais) vous permettra dy voir un peu plus clair sur la délégation de ladministration dun Active Directory. Elle est disponible à cette adresse http://www.microsoft.com/downloads/details.aspx?familyid=631747a3 79e148fa9730dae7c0a1d6d3&displaylang=en 2. Délégation de comptes utilisateur Passons maintenant à la pratique en déléguant deux actions particulièrement utiles à la hotline et au support informatique dune entreprise. Ces services nayant pas pour vocation deffectuer des tâches administratives lourdes sur lActive Directory, il serait démesuré dajouter ces derniers au groupe « Administrateurs du domaine » par exemple. Parmi les besoins les plus demandés par ces services afin de répondre aux demandes utilisateurs, vous trouverez notamment le droit de joindre un poste à un domaine Active Directory et le droit de réinitialiser les mots de passe des utilisateurs. Les délégations seffectuent généralement sur tout ou partie des objets dune unité dorganisation (ou OU pour Organizational Unit) ou dun domaine. Cela a pour but de simplifier ladministration et la gestion des droits de votre Active Directory. Inutile de vous rappeler quil est dailleurs impératif de garder une trace des délégations effectuées afin de faciliter ladministration quotidienne et les opérations de dépannage en cas de problème. Prenons comme besoin celui du service de hotline qui souhaite pouvoir réinitialiser les mots de passe des utilisateurs et déverrouiller leur compte. Tous les utilisateurs de la hotline font partie du même groupe nommé HotlineUsers. Afin de déléguer ces droits, Microsoft met à disposition un assistant délégation. Pour cela, placezvous au niveau de l objet ou du conteneur parent depuis lequel vous souhaitez effectuer une délégation de droits. Dans la plupart des cas, cette délégation seffectue au niveau dune unité dorganisation. Faites alors un clic avec le bouton droit de la souris sur lobjet et choisissez Délégation de contrôle. - 1 - © ENI Editions - All rigths reserved - Guillaume DUBOIS

Délégation d’administration - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 - Administration... · Cela a pour but de simplifier l’administration et la gestion

  • Upload
    ngohanh

  • View
    213

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Délégation d’administration - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 - Administration... · Cela a pour but de simplifier l’administration et la gestion

Délégation d’administration 

L’un des principaux avantages d’un domaine Active Directory est de pouvoir  fournir un annuaire commun à plusieurs entités  au  sein  d’une  même  société.  Cet  annuaire  partagé  aide  ainsi  à  réduire  les  coûts  de  gestion  associés  au maintien de l’infrastructure. 

1. Approche de la délégation d’administration 

Les  politiques  de  sécurité  étant  généralement  différentes  au  sein  des  divisions  et  les  équipes  IT  n’étant  pas  les mêmes,  il convient de trouver une solution afin de déléguer  les tâches nécessaires au travail de chacun sans pour autant compromettre la sécurité de tout le domaine Active Directory. 

La structure d’un domaine Active Directory est organisée par défaut de façon hiérarchique. Il est en effet possible de déléguer des tâches au niveau d’une forêt, d’un site, d’un domaine ou bien même d’une unité d’organisation. De plus, chaque objet possédant des attributs avec des DACL (Discretionary Access Control List) associées à ces derniers, il est également  possible  de  déléguer  des  options  de  façon  assez  fine  (réinitialiser  le mot  d’un  utilisateur,  autoriser  la désactivation d’un compte utilisateur, etc.). Nous passerons à la pratique un peu plus loin dans ce chapitre. 

Avant de vous lancer dans la configuration de la délégation de votre Active Directory, il convient de bien étudier les besoins auxquels vous devez répondre. 

Une  lecture  (en  anglais)  vous  permettra  d’y  voir  un peu plus  clair  sur  la  délégation de  l’administration d’un Active Directory. Elle est disponible à cette adresse http://www.microsoft.com/downloads/details.aspx?familyid=631747a3­79e1­48fa­9730­dae7c0a1d6d3&displaylang=en 

2. Délégation de comptes utilisateur 

Passons  maintenant  à  la  pratique  en  déléguant  deux  actions  particulièrement  utiles  à  la  hotline  et  au  support informatique d’une entreprise. Ces services n’ayant pas pour vocation d’effectuer des tâches administratives lourdes sur  l’Active  Directory,  il  serait  démesuré  d’ajouter  ces  derniers  au  groupe  « Administrateurs  du  domaine »  par exemple. 

Parmi  les besoins  les plus demandés par ces services afin de répondre aux demandes utilisateurs, vous  trouverez notamment le droit de joindre un poste à un domaine Active Directory et le droit de réinitialiser les mots de passe des utilisateurs. 

Les  délégations  s’effectuent  généralement  sur  tout  ou  partie  des  objets  d’une  unité  d’organisation  (ou  OU  pour Organizational Unit) ou d’un domaine. Cela a pour but de simplifier  l’administration et  la gestion des droits de votre Active Directory. Inutile de vous rappeler qu’il est d’ailleurs impératif de garder une trace des délégations effectuées afin de faciliter l’administration quotidienne et les opérations de dépannage en cas de problème. 

Prenons  comme  besoin  celui  du  service  de  hotline  qui  souhaite  pouvoir  réinitialiser  les  mots  de  passe  des utilisateurs  et  déverrouiller  leur  compte.  Tous  les  utilisateurs  de  la  hotline  font  partie  du même  groupe  nommé HotlineUsers. 

Afin de déléguer ces droits, Microsoft met à disposition un assistant délégation. 

■ Pour  cela, placez­vous au niveau de  l’objet  ou du  conteneur parent  depuis  lequel  vous  souhaitez  effectuer une délégation  de  droits.  Dans  la  plupart  des  cas,  cette  délégation  s’effectue  au  niveau  d’une  unité  d’organisation. Faites alors un clic avec le bouton droit de la souris sur l’objet et choisissez Délégation de contrôle. 

- 1 -© ENI Editions - All rigths reserved - Guillaume DUBOIS

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber

Page 2: Délégation d’administration - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 - Administration... · Cela a pour but de simplifier l’administration et la gestion

 

■ Cliquez sur Suivant dans l’écran de bienvenue. L’assistant vous demande alors de sélectionner les utilisateurs ou groupes pour lesquels les droits délégués seront attribués. Cliquez sur Ajouter puis tapez le nom de votre groupe et Vérifier les noms puis OK. 

Une fois le ou les groupe(s) ajouté(s), cliquez sur Suivant. 

 

■ Vous pouvez maintenant choisir  le niveau de permissions qui sera appliqué à l’objet délégué. Vous avez le choix entre choisir des délégations prédéfinies pour des tâches courantes ou bien de définir une tâche personnalisée à déléguer. 

- 2 - © ENI Editions - All rigths reserved - Guillaume DUBOIS

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber

Page 3: Délégation d’administration - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 - Administration... · Cela a pour but de simplifier l’administration et la gestion

■ Dans  notre  exemple,  nous  pourrions  choisir  les  tâches  prédéfinies  mais  celles­ci  permettraient  trop  de  droits comparés à ce que nous souhaitons autorisés. Choisissez donc de Créer une tâche personnalisée à déléguer afin de pouvoir effectuer une délégation très granulaire puis cliquez sur Suivant. 

 

■ Choisissez de déléguer  le contrôle Seulement des objets suivants dans  le dossier et cochez Objets Utilisateur puis Suivant. 

 

■ Sélectionnez alors le ou les types d’autorisations que vous souhaitez déléguer aux utilisateurs. Dans notre exemple l’attribut Modifier  le mot de passe  (ou Change Password en anglais) est utilisé pour  la  réinitialisation du mot de passe et les attributs Lire lockout Time (ou Read lockout Time) et Ecrire lockout Time (ou Write lockout Time) sont 

- 3 -© ENI Editions - All rigths reserved - Guillaume DUBOIS

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber

Page 4: Délégation d’administration - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 - Administration... · Cela a pour but de simplifier l’administration et la gestion

utilisés pour déverrouiller un compte utilisateur. Les deux derniers attributs ne sont visibles qu’en cochant la case Spécifiques aux propriétés car comme son nom l’indique, ils sont spécifiques à l’objet Utilisateur. 

Une fois les trois cases cochées, cliquez sur Suivant. 

 

■ Une fenêtre récapitulative indique les différents choix effectués au cours de l’assistant délégation. En cliquant sur Terminer, les ACL seront modifiés sur le conteneur choisi. 

 

Vous pouvez lister et définir une autorisation directement depuis la console Utilisateurs et Ordinateurs Active Directory. Il faut pour cela activer les Fonctionnalités avancées au niveau du menu Affichage de la console. 

Ensuite, en affichant les Propriétés du conteneur ou de l’objet délégué, un onglet Sécurité sera disponible et vous permet de lister et modifier la sécurité directement depuis cet endroit. 

- 4 - © ENI Editions - All rigths reserved - Guillaume DUBOIS

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber

Page 5: Délégation d’administration - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 - Administration... · Cela a pour but de simplifier l’administration et la gestion

 

Une  fois  la  délégation  effectuée,  il  est  courant  qu’une  console  MMC  personnalisée  soit  distribuée  aux  personnes concernées. 

L’avantage d’une  console MMC  personnalisée  est  que  ces  utilisateurs  n’ont  accès  qu’à  une  vue  limitée  de  l’Active Directory.  Il est également possible de définir de  façon exhaustive  les actions disponibles (dans notre exemple, ce serait  les  options  de  réinitialiser  les  mots  de  passe  des  utilisateurs  et  de  déverrouiller  leur  compte).  Vous trouverez  plus  d’informations  sur  la  façon  de  créer  une  MMC  personnalisée  à  cette  adresse http://technet.microsoft.com/en­us/library/bb742441.aspx#XSLTsection126121120120 (en anglais). 

Bien qu’en ayant référencé toutes vos délégations, vous vous rendrez vite compte qu’il n’est pas toujours simple de retrouver  le bon document pour  savoir « qui à  le droit de  faire quoi ». Microsoft  a pour  cela  inclus un onglet vous permettant de lister les autorisations effectives d’un compte ou groupe utilisateur sur l’objet de votre choix (options disponibles  aussi  bien  au  niveau  des  droits  NTFS  qu’au  niveau  de  l’annuaire).  Cette  option  peut  donc  être  très pratique afin d’y voir plus clair dans la délégation mise en œuvre mais aussi afin de pallier des problèmes de droits souvent hérités d’objets parents difficilement identifiables. Grâce à cet outil, vous pourrez plus facilement identifier les problèmes. 

■ Ouvrez  les  Propriétés  d’un  compte  utilisateur  présent  dans  le  conteneur  de  votre  choix  (par  exemple,  l’unité d’organisation  sur  laquelle  vous  avez  défini  votre  délégation  lors  de  notre  précédent  exercice)  puis  cliquez  sur l’onglet Sécurité ­ Avancé ­ Autorisations  effectives  (pour  rappel,  si  l’onglet Sécurité  n’est  pas  présent,  il  faut choisir d’afficher les Fonctionnalités avancées au niveau des options d’affichage). 

■ Cliquez sur Sélectionner et indiquez le compte d’un utilisateur (dans notre exemple, il s’agit d’un compte utilisateur membre du groupe HotlineUsers). 

Tous les droits que possède le compte utilisateur sur l’objet sélectionné sont alors listés. Dans l’impression écran ci­après, nous voyons bien que la permission Écrire lockoutTime est activée. 

- 5 -© ENI Editions - All rigths reserved - Guillaume DUBOIS

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber

Page 6: Délégation d’administration - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 - Administration... · Cela a pour but de simplifier l’administration et la gestion

 

La  délégation  des  tâches  administratives  est  donc  un  élément  important  à  intégrer  dans  vos  processus d’administration afin de délimiter et limiter au mieux le rôle de chacun. 

- 6 - © ENI Editions - All rigths reserved - Guillaume DUBOIS

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber


rapport stage - analyseur fichier log

rapport stage - analyseur fichier log

Documents
La mise en place de la quarantaine réseau - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 - Administration... · servermanagercmd -install NPAS-Policy-Server ... Windows

La mise en place de la quarantaine réseau - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2 - Administration... · servermanagercmd -install NPAS-Policy-Server ... Windows

Documents
Chapitre 6 : Logarithme - edu · 3 Solution On a € loga× 1 a =loga+log 1 a mais € log1=0 d’où € loga+log 1 a =0 et donc : € log 1 a =−loga Le € log de l’inverse

Chapitre 6 : Logarithme - edu · 3 Solution On a € loga× 1 a =loga+log 1 a mais € log1=0 d’où € loga+log 1 a =0 et donc : € log 1 a =−loga Le € log de l’inverse

Documents
Déployer HyperV - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2... · When HyperV is installed in SBS 2008 it causes the bindings for DHCP to bind to the incorrect

Déployer HyperV - olbaum.free.frolbaum.free.fr/old/log/Windows Server 2008 R2... · When HyperV is installed in SBS 2008 it causes the bindings for DHCP to bind to the incorrect

Documents
FOREST TECHNOLOGY · cranes and hay loaders. In forest technology that includes our log trailers (tumbrils), timber cranes, log grips and our patented log splitter. Lasco machines

FOREST TECHNOLOGY · cranes and hay loaders. In forest technology that includes our log trailers (tumbrils), timber cranes, log grips and our patented log splitter. Lasco machines

Documents
Holmes - Old French Carole

Holmes - Old French Carole

Documents
SECTION 4.1 Logarithmeenseignement.reginaassumpta.qc.ca/laurencellej/CST/Chapitre_4_PdM_C.pdfx 5 2 log 80 log 7 4,5038 11. a) log 3 x 5 2 x 25 3 5 9 b) log 7 x 5 3 x 5 73 5 343 c)

SECTION 4.1 Logarithmeenseignement.reginaassumpta.qc.ca/laurencellej/CST/Chapitre_4_PdM_C.pdfx 5 2 log 80 log 7 4,5038 11. a) log 3 x 5 2 x 25 3 5 9 b) log 7 x 5 3 x 5 73 5 343 c)

Documents
Sécurisation du réseauolbaum.free.fr/old/log/Windows Server 2008 R2... · Windows Server 2008/2008 R2 apportent une surcouche réseau nommée NAP (pour Network Access Protection)

Sécurisation du réseauolbaum.free.fr/old/log/Windows Server 2008 R2... · Windows Server 2008/2008 R2 apportent une surcouche réseau nommée NAP (pour Network Access Protection)

Documents
Sol Log CorrID

Sol Log CorrID

Documents
Log is Ti Que

Log is Ti Que

Documents
Faciliter, c'est d'abord simplifier

Faciliter, c'est d'abord simplifier

Documents
Revue Archeo Log i 08 Pari

Revue Archeo Log i 08 Pari

Documents
Sommaire - Solar-Log® | Solar-Log™

Sommaire - Solar-Log® | Solar-Log™

Documents
Interfaces multitactiles LOG 745

Interfaces multitactiles LOG 745

Documents
Final Log Gis Tics

Final Log Gis Tics

Documents
Kata Log 2012

Kata Log 2012

Documents
Indic Perf Port Et Log Indices

Indic Perf Port Et Log Indices

Documents
Hybrid: Settling Old Scores

Hybrid: Settling Old Scores

Documents
Catalog 2018 - EZ Log Structures

Catalog 2018 - EZ Log Structures

Documents
Pour simplifier votre gestion

Pour simplifier votre gestion

Software
Kant-log y Deduc

Kant-log y Deduc

Documents
EAU - biologie.univ-mrs.frbiologie.univ-mrs.fr/masterBBSG/images/pdf/bi102-2017-eau.pdf · Keq = 1,8 . 10-16 M ... (1/10)= - log(10) = -1 ; log(0,01) = - 2 ; log(0,001) = -3. 1. Introduction

EAU - biologie.univ-mrs.frbiologie.univ-mrs.fr/masterBBSG/images/pdf/bi102-2017-eau.pdf · Keq = 1,8 . 10-16 M ... (1/10)= - log(10) = -1 ; log(0,01) = - 2 ; log(0,001) = -3. 1. Introduction

Documents
Nov@log clublog77

Nov@log clublog77

Business
E.M.M.A. old version

E.M.M.A. old version

Documents
Mettre en place un accès sécurisé à travers Internetolbaum.free.fr/old/log/Windows Server 2008 R2...Maintenant que vous savez configurer votre Windows Server 2008/2008 R2 en tant

Mettre en place un accès sécurisé à travers Internetolbaum.free.fr/old/log/Windows Server 2008 R2...Maintenant que vous savez configurer votre Windows Server 2008/2008 R2 en tant

Documents
Log Propos 113

Log Propos 113

Documents
Uri old pic's

Uri old pic's

Art & Photos
Les Réseaux Trophiques Microbiensjacquet.stephan.free.fr/Domaizon_Bourget.pdf · Log[VLP] = 0.61.Log [HB]+ 9.117 (r=0.461, p

Les Réseaux Trophiques Microbiensjacquet.stephan.free.fr/Domaizon_Bourget.pdf · Log[VLP] = 0.61.Log [HB]+ 9.117 (r=0.461, p

Documents
log file sous Netbeans et J2ME

log file sous Netbeans et J2ME

Technology
Les différentes méthodes pour se connecterolbaum.free.fr/old/log/VMw/39-Installation-Les différentes... · Les différentes méthodes pour se connecter Il y a plusieurs méthodes

Les différentes méthodes pour se connecterolbaum.free.fr/old/log/VMw/39-Installation-Les différentes... · Les différentes méthodes pour se connecter Il y a plusieurs méthodes

Documents