Délégation d’administration
L’un des principaux avantages d’un domaine Active Directory est de pouvoir fournir un annuaire commun à plusieurs entités au sein d’une même société. Cet annuaire partagé aide ainsi à réduire les coûts de gestion associés au maintien de l’infrastructure.
1. Approche de la délégation d’administration
Les politiques de sécurité étant généralement différentes au sein des divisions et les équipes IT n’étant pas les mêmes, il convient de trouver une solution afin de déléguer les tâches nécessaires au travail de chacun sans pour autant compromettre la sécurité de tout le domaine Active Directory.
La structure d’un domaine Active Directory est organisée par défaut de façon hiérarchique. Il est en effet possible de déléguer des tâches au niveau d’une forêt, d’un site, d’un domaine ou bien même d’une unité d’organisation. De plus, chaque objet possédant des attributs avec des DACL (Discretionary Access Control List) associées à ces derniers, il est également possible de déléguer des options de façon assez fine (réinitialiser le mot d’un utilisateur, autoriser la désactivation d’un compte utilisateur, etc.). Nous passerons à la pratique un peu plus loin dans ce chapitre.
Avant de vous lancer dans la configuration de la délégation de votre Active Directory, il convient de bien étudier les besoins auxquels vous devez répondre.
Une lecture (en anglais) vous permettra d’y voir un peu plus clair sur la délégation de l’administration d’un Active Directory. Elle est disponible à cette adresse http://www.microsoft.com/downloads/details.aspx?familyid=631747a379e148fa9730dae7c0a1d6d3&displaylang=en
2. Délégation de comptes utilisateur
Passons maintenant à la pratique en déléguant deux actions particulièrement utiles à la hotline et au support informatique d’une entreprise. Ces services n’ayant pas pour vocation d’effectuer des tâches administratives lourdes sur l’Active Directory, il serait démesuré d’ajouter ces derniers au groupe « Administrateurs du domaine » par exemple.
Parmi les besoins les plus demandés par ces services afin de répondre aux demandes utilisateurs, vous trouverez notamment le droit de joindre un poste à un domaine Active Directory et le droit de réinitialiser les mots de passe des utilisateurs.
Les délégations s’effectuent généralement sur tout ou partie des objets d’une unité d’organisation (ou OU pour Organizational Unit) ou d’un domaine. Cela a pour but de simplifier l’administration et la gestion des droits de votre Active Directory. Inutile de vous rappeler qu’il est d’ailleurs impératif de garder une trace des délégations effectuées afin de faciliter l’administration quotidienne et les opérations de dépannage en cas de problème.
Prenons comme besoin celui du service de hotline qui souhaite pouvoir réinitialiser les mots de passe des utilisateurs et déverrouiller leur compte. Tous les utilisateurs de la hotline font partie du même groupe nommé HotlineUsers.
Afin de déléguer ces droits, Microsoft met à disposition un assistant délégation.
■ Pour cela, placezvous au niveau de l’objet ou du conteneur parent depuis lequel vous souhaitez effectuer une délégation de droits. Dans la plupart des cas, cette délégation s’effectue au niveau d’une unité d’organisation. Faites alors un clic avec le bouton droit de la souris sur l’objet et choisissez Délégation de contrôle.
- 1 -© ENI Editions - All rigths reserved - Guillaume DUBOIS
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber
■ Cliquez sur Suivant dans l’écran de bienvenue. L’assistant vous demande alors de sélectionner les utilisateurs ou groupes pour lesquels les droits délégués seront attribués. Cliquez sur Ajouter puis tapez le nom de votre groupe et Vérifier les noms puis OK.
Une fois le ou les groupe(s) ajouté(s), cliquez sur Suivant.
■ Vous pouvez maintenant choisir le niveau de permissions qui sera appliqué à l’objet délégué. Vous avez le choix entre choisir des délégations prédéfinies pour des tâches courantes ou bien de définir une tâche personnalisée à déléguer.
- 2 - © ENI Editions - All rigths reserved - Guillaume DUBOIS
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber
■ Dans notre exemple, nous pourrions choisir les tâches prédéfinies mais cellesci permettraient trop de droits comparés à ce que nous souhaitons autorisés. Choisissez donc de Créer une tâche personnalisée à déléguer afin de pouvoir effectuer une délégation très granulaire puis cliquez sur Suivant.
■ Choisissez de déléguer le contrôle Seulement des objets suivants dans le dossier et cochez Objets Utilisateur puis Suivant.
■ Sélectionnez alors le ou les types d’autorisations que vous souhaitez déléguer aux utilisateurs. Dans notre exemple l’attribut Modifier le mot de passe (ou Change Password en anglais) est utilisé pour la réinitialisation du mot de passe et les attributs Lire lockout Time (ou Read lockout Time) et Ecrire lockout Time (ou Write lockout Time) sont
- 3 -© ENI Editions - All rigths reserved - Guillaume DUBOIS
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber
utilisés pour déverrouiller un compte utilisateur. Les deux derniers attributs ne sont visibles qu’en cochant la case Spécifiques aux propriétés car comme son nom l’indique, ils sont spécifiques à l’objet Utilisateur.
Une fois les trois cases cochées, cliquez sur Suivant.
■ Une fenêtre récapitulative indique les différents choix effectués au cours de l’assistant délégation. En cliquant sur Terminer, les ACL seront modifiés sur le conteneur choisi.
Vous pouvez lister et définir une autorisation directement depuis la console Utilisateurs et Ordinateurs Active Directory. Il faut pour cela activer les Fonctionnalités avancées au niveau du menu Affichage de la console.
Ensuite, en affichant les Propriétés du conteneur ou de l’objet délégué, un onglet Sécurité sera disponible et vous permet de lister et modifier la sécurité directement depuis cet endroit.
- 4 - © ENI Editions - All rigths reserved - Guillaume DUBOIS
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber
Une fois la délégation effectuée, il est courant qu’une console MMC personnalisée soit distribuée aux personnes concernées.
L’avantage d’une console MMC personnalisée est que ces utilisateurs n’ont accès qu’à une vue limitée de l’Active Directory. Il est également possible de définir de façon exhaustive les actions disponibles (dans notre exemple, ce serait les options de réinitialiser les mots de passe des utilisateurs et de déverrouiller leur compte). Vous trouverez plus d’informations sur la façon de créer une MMC personnalisée à cette adresse http://technet.microsoft.com/enus/library/bb742441.aspx#XSLTsection126121120120 (en anglais).
Bien qu’en ayant référencé toutes vos délégations, vous vous rendrez vite compte qu’il n’est pas toujours simple de retrouver le bon document pour savoir « qui à le droit de faire quoi ». Microsoft a pour cela inclus un onglet vous permettant de lister les autorisations effectives d’un compte ou groupe utilisateur sur l’objet de votre choix (options disponibles aussi bien au niveau des droits NTFS qu’au niveau de l’annuaire). Cette option peut donc être très pratique afin d’y voir plus clair dans la délégation mise en œuvre mais aussi afin de pallier des problèmes de droits souvent hérités d’objets parents difficilement identifiables. Grâce à cet outil, vous pourrez plus facilement identifier les problèmes.
■ Ouvrez les Propriétés d’un compte utilisateur présent dans le conteneur de votre choix (par exemple, l’unité d’organisation sur laquelle vous avez défini votre délégation lors de notre précédent exercice) puis cliquez sur l’onglet Sécurité Avancé Autorisations effectives (pour rappel, si l’onglet Sécurité n’est pas présent, il faut choisir d’afficher les Fonctionnalités avancées au niveau des options d’affichage).
■ Cliquez sur Sélectionner et indiquez le compte d’un utilisateur (dans notre exemple, il s’agit d’un compte utilisateur membre du groupe HotlineUsers).
Tous les droits que possède le compte utilisateur sur l’objet sélectionné sont alors listés. Dans l’impression écran ciaprès, nous voyons bien que la permission Écrire lockoutTime est activée.
- 5 -© ENI Editions - All rigths reserved - Guillaume DUBOIS
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber
La délégation des tâches administratives est donc un élément important à intégrer dans vos processus d’administration afin de délimiter et limiter au mieux le rôle de chacun.
- 6 - © ENI Editions - All rigths reserved - Guillaume DUBOIS
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABAMzg5NDA3IC0gR3VpbGxhdW1lIERVQk9JUyAtIGI5MzMxMjgxLTc0ZjktNGZiNy1hYzBmLWQzYzQxMTljYjgyY5BMne5wmsyICwA=-enidentnumber