Délégation d’AzMan objets permet de créer des objets de groupe d’utilisateurs

Symptômes

Lorsqu’un administrateur ou une application crée et délègue l’objet du Gestionnaire d’autorisations (Azman) dans Active Directory et effectue ensuite la délégation d’autorisations objet pour permettre aux utilisateurs de domaine standard contrôle de ces objets, le compte de l’utilisateur délégué peut ensuite effectuer des opérations telles que la création de comptes d’utilisateur ou groupe. Types d’objet AzMan liés à ce problème sont msDS-AzAdminManager, msDS-AzApplication et l’attribut msDS-AzScope.

Cause

Compte tenu de la définition de schéma par défaut de ces types d’objet, un utilisateur qui est été autorisations déléguées pour créer ces objets peuvent à son tour de Azman également obtenir l’autorisation de créer des objets utilisateur et groupe dans certaines circonstances. Il s’agit par le comportement de conception étant donné la dépendance de classes d’objets Azman sur les objets de la classe conteneur. Toutefois, pour les administrateurs de la délégation de ces objets, le comportement peut être inattendus et/ou indésirables dans certains environnements d’entreprise.

Résolution

Pour permettre la délégation de ces objets Azman sans autorise également la création de ces types d’objets non souhaités, la solution consiste à modifier le schéma Active Directory pour modifier les autorisations de sécurité par défaut pour les objets en question.

Instructions d’ordre général et des précautions à prendre pour la modification des autorisations de schéma par défaut sont référencées ici :

265399 COMMENT : Modifier les autorisations par défaut pour les objets qui sont créés dans Active Directory
http://support.microsoft.com/kb/265399/EN-US

À l’aide des instructions de KB265399, la solution est de modifier les objets suivants :

msDS-AzAdminManager, msDS-AzApplication et l’attribut msDS-AzScope

comme suit :

À l’aide de ADSIEdit.msc :

L’attribut du descripteur de sécurité par défaut contient plusieurs toutes les entrées de l’ACL de l’objet.

Par exemple :

D:(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO ; ; CO)(A;; LCRPLORC ; ; AU) (A ; CCDCLCSWRPWPDTLOCRSDRCWDWO ; ; SY) (A ; CCDCLCSWRPWPDTLOCRSDRCWDWO ; ; D A)

Modifiez l’entrée de créateur/propriétaire :

(A ; CCDCLCSWRPWPDTLOCRSDRCWDWO ; ; CO)

Pour chaque type d’objet, modifiez la partie du créateur/propriétaire (CO) de la description de sécurité par défaut pour se présenter comme suit :

(A ; LCSWRPWPSDRC ; ; CO)

Veillez à ne modifier que la partie de créateur/propriétaire de l’attribut du descripteur de sécurité par défaut en laissant les autres sections du descripteur de sécurité par défaut inchangée.

L’attribut du descripteur de sécurité qui en résulte apparaissent alors comme suit :

D:(A;; LCSWRPWPSDRC ; ; CO)(A;; LCRPLORC ; ; AU) (A ; CCDCLCSWRPWPDTLOCRSDRCWDWO ; ; SY) (A ; CCDCLCSWRPWPDTLOCRSDRCWDWO ; ; D A)


En utilisant le composant logiciel enfichable MMC du schéma Active Directory :

Vous pouvez également le descripteur de sécurité par défaut pour chaque type d’objet peut être modifié à l’aide du composant logiciel enfichable MMC du schéma Active Directory.

Pour chaque type d’objet, recherchez le nom de l’objet sous dossier de Classes de schéma Active Directory dans le composant logiciel enfichable MMC du schéma Active Directory.

Avec le bouton droit sur le nom de classe d’objet, puis sélectionnez Propriétés.

Sélectionnez l’onglet « Sécurité par défaut » sur les propriétés de l’objet.

Sélectionnez l’entrée « CRÉATEUR PROPRIÉTAIRE » sous la zone de liste de noms de groupe ou l’utilisateur.

« CRÉATEUR PROPRIÉTAIRE » mis en surbrillance, cliquez sur le bouton Avancé.

« CRÉATEUR PROPRIÉTAIRE » mis en surbrillance, cliquez sur le bouton Modifier.

Dans les liste des autorisations, par défaut, toutes les options d’autorisation seront vérifiées sous la colonne Autoriser.

Désélectionnez la case à cocher Autoriser pour les éléments suivants :

Contrôle total, modifier les autorisations Modifier le propriétaire.

Cliquez sur OK.

Cliquez sur les appliquer et cliquez sur OK pour enregistrer ces modifications.



Plus d'informations

Par défaut, les autorisations de schéma par défaut pour ces objets donne créateur/propriétaire contrôle total. Lorsqu’un compte d’utilisateur est des autorisations déléguées pour créer ces objets, le compte d’utilisateur bénéficie des autorisations de contrôle total sur le nouvel objet créé. Les objets Azman en question sont des objets de la classe conteneur et sont autorisés à créer des objets enfants conteneur d’objets de classe tel que défini par le schéma. Ainsi, la capacité de l’utilisateur délégué créer des types d’objet tel que le compte d’utilisateur et de groupes au sein de ces objets créés récemment conteneur de classe. Pendant que l’utilisateur délégué dispose de ces autorisations par l’administrateur, il n’est pas intuitive à l’administrateur de la délégation d’autorisations pour créer les objets Azman permettrait à tour de rôle pour la création d’objets de groupe d’utilisateurs dont les administrateurs souhaitent généralement restreindre pour des raisons de secureity.
Propriétés

ID d'article : 2841254 - Dernière mise à jour : 9 janv. 2017 - Révision : 1

Commentaires