Problèmes de sécurité par défaut de délégation d’Active Directory

Résumé

Microsoft Windows 2000 et Microsoft Windows Server 2003 incluent un Assistant de délégation pour faciliter la délégation des droits d’administration sur les conteneurs dans Active Directory.

Les fonctions d’Assistant Délégation en fournissant aux administrateurs avec un ensemble de boîtes de dialogue permettant de spécifier les éléments suivants :
  • Auquel l’administrateur souhaite déléguer l’autorité.
  • Les objets auxquels ces utilisateurs doivent avoir l’autorité.
  • Les autorisations utilisateurs désignés ont sur ces objets.
L’Assistant Délégation crée dynamiquement accès aux entrées de contrôle sur l’objet de conteneur cible selon les options spécifiées dans l’Assistant.


Il est important de noter que l’Assistant Délégation ne fournit pas de fonctionnalités permettant de supprimer les entrées de contrôle d’accès. Si un administrateur souhaite inverse les paramètres de configuration créés avec l’Assistant de délégation, il ou elle doit accéder à la boîte de dialogue Paramètres de sécurité pour l’unité d’organisation concernée et de supprimer manuellement ajoutées toutes les entrées.

Plus d'informations

L’exemple suivant montre comment l’Assistant Délégation crée accès entrées par les options sélectionnées :

  1. L’administrateur a configuré une nouvelle unité d’ORGANISATION. L’unité d’ORGANISATION contient tous les objets d’annuaire sur lequel l’administrateur déléguer le contrôle.
  2. L’administrateur démarre l’Assistant de délégation, avec le bouton droit à l’unité d’ORGANISATION, puis cliquez sur Délégation de contrôle.
  3. La boîte de dialogue titre Assistant Délégation s’affiche, fournissant des informations générales sur les fonctionnalités de l’Assistant. Cliquez sur suivant pour continuer.
  4. L’administrateur choisit le dossier vers lequel la délégation s’appliqueront.
  5. L’administrateur spécifie ensuite auquel délégation va être accordée dans la boîte de dialogue utilisateurs ou groupes .
  6. L’administrateur bénéficie de l’option Sélectionner les tâches à déléguer. Ces tâches peuvent être sélectionnés dans la liste des tâches courantes déléguées précompilée ou l’administrateur peut choisir de créer une tâche personnalisée à déléguer.
    1. Si l’administrateur sélectionne une tâche courante, un écran de résumé s’affiche, dans lequel l’administrateur pouvez détailler les modifications à apporter.
    2. Si l’administrateur choisit de créer une tâche personnalisée à déléguer, deux boîte de dialogue s’affichent, dans lesquelles l’administrateur peut personnaliser la tâche déléguée :
      1. Niveau de délégation. L’administrateur peut choisir de déléguer à la totalité du dossier, ou à des objets spécifiques dans le dossier.
      2. Dans la boîte de dialogue suivante, l’administrateur détermine les autorisations que les utilisateurs spécifiés seront en mesure d’exercer.
  7. Une boîte de dialogue de confirmation s’affiche, décrivant en détail toutes les options sélectionnées dans l’Assistant. Confirmer les modifications termine l’Assistant et ajoute toutes les entrées de contrôle d’accès approprié au conteneur Active Directory cible.

Références

Pour plus d’informations sur cette rubrique dans Windows 2000 Server, visitez le site Web de Microsoft à l’adresse suivante :
Les meilleures pratiques de conception d’Active Directory pour la gestion des réseaux Windows
http://technet.microsoft.com/en-us/library/bb727085.aspx
Pour plus d’informations sur cette rubrique dans Windows Server 2003, visitez les sites Web de Microsoft à l’adresse suivante :


Méthodes conseillées pour déléguer l’administration d’Active Directory : fonctionne de la délégation dans Active Directory
http://technet.microsoft.com/en-us/library/cc773317.aspx

Méthodes conseillées pour déléguer l’administration d’Active Directory : étude de cas : un scénario de délégation
http://technet.microsoft.com/en-us/library/cc773358.aspx
Propriétés

ID d'article : 235531 - Dernière mise à jour : 9 janv. 2017 - Révision : 1

Commentaires