Bonnes pratiques de délégation
des autorisations d’Active Directory
Étape 1: Créez des rôles et attribuez des responsabilités
La première chose à faire est de créer un ensemble de rôles d’administrateur et de leur attribuer les responsabilités appropriées. Les bonnes pratiques recommandent d’utiliser les rôles suivants :
- Administrateurs de services :
- Administrateurs d’entreprise – Responsables de l’administration des services de haut niveau pour toute l’entreprise. Ce rôle ne doit pas contenir de membres permanents.
- Administrateurs de domaine – Responsables de l’administration des services de haut niveau pour tout le domaine. Ce rôle ne doit contenir qu’un nombre restreint et gérable d’administrateurs de confiance.
- Administrateurs de niveau 4 – Responsables de l’administration des services pour tout le domaine. Seuls les droits nécessaires à la gestion des services nécessaires sont accordés. Sert de point de remontée aux administrateurs de données.
- Administrateurs de données :
- Administrateurs de niveau 1 – Responsables de la gestion générale des objets d’annuaire, y compris la réinitialisation des mots de passe, la modification des propriétés des comptes d’utilisateur, etc.
- Administrateurs de niveau 2 – Responsables de la création et de la suppression sélectives de comptes d’utilisateur et d’ordinateur pour leur site ou leur organisation.
- Administrateurs régionaux – Responsables de la gestion de la structure locale de leur OU. Autorisations accordées pour créer la plupart des objets au sein de leur OU.
- Administrateurs de niveau 3 – Responsables de la gestion de tous les administrateurs de données. Sert de centre d’assistance de haut niveau et de point de remontée pour tous les administrateurs régionaux.
Étape 2: Définissez le modèle de sécurité des OU
- Une fois les rôles définis dans l’organisation, vous devez définir votre OU et le modèle du groupe de sécurité. Une OU de niveau supérieur (ou une série d’OU) doit être créée directement sous le domaine pour accueillir tous les objets. Cette OU a pour but spécifique de définir l’étendue de gestion de plus haut niveau pour les administrateurs de niveau 4. Avec une OU de niveau supérieur en place, les droits sur le service d’annuaire peuvent commencer explicitement au niveau de l’OU plutôt qu’au niveau du domaine.
- Sous les OU de niveau supérieur, vous devez créer des hiérarchies de sous-OU distinctes représentant chaque région ou unité opérationnelle qui dispose d’une équipe de gestion des données distincte. Chaque sous-OU régionale doit avoir une hiérarchie commune et non extensible pour la gestion des objets d’annuaire.
- Enfin, pour éviter que les administrateurs n’augmentent leurs privilèges, créez des groupes de sous-administrateurs distincts : un groupe d’administrateurs de niveau 1, un groupe d’administrateurs de niveau 2 et un groupe d’administrateurs régionaux pour chaque hiérarchie de sous-OU – et placez des comptes appropriés dans chaque groupe. Le fait de placer ces comptes dans des OU distinctes permet de restreindre la gestion à leur niveau ou à un niveau inférieur.
Étape 3: Établissez un modèle de délégation
- Un modèle de délégation efficace repose sur l’application du principe du moindre privilège. Dans la pratique, cela signifie que chaque responsable de la sécurité ne doit pouvoir accomplir que les tâches liées à son rôle et rien de plus. En principe, tous les administrateurs doivent normalement se connecter en tant qu’utilisateurs ordinaires et n’utiliser leurs droits privilégiés que lorsqu’ils en ont besoin.
- À cette fin, utilisez le service de connexion secondaire (Runas.exe) pour éviter à l’utilisateur d’avoir à se déconnecter puis se reconnecter. Cela permet aux utilisateurs d’augmenter leurs privilèges en fournissant un autre jeu d’identifiants lorsqu’ils exécutent des scripts ou d’autres exécutables sur des serveurs et des postes de travail.
- La dernière étape du développement d’un modèle de délégation est la délégation effective des droits dans Active Directory (AD). Les listes de contrôle d’accès des conteneurs Active Directory définissent les objets qui peuvent être créés et la manière dont ces objets sont gérés. La délégation de droits porte sur la réalisation d’opérations élémentaires sur les objets, par exemple la possibilité de visualiser un objet, de créer un objet enfant de classe spécifique ou de lire les attributs et les informations de sécurité des objets d’une classe spécifique. Hormis ces opérations élémentaires, Active Directory définit des droits étendus, qui permettent des opérations telles que « Envoyer en tant que » et « Gérer la topologie de réplication ».
Comment déléguer des privilèges d’administrateur dans Active Directory
L’assistant Délégation de contrôle offre un moyen simple de déléguer la gestion de l’annuaire actif. Vous souhaitez par exemple que les membres du groupe « Centre d’assistance » puissent créer, supprimer et gérer des comptes d’utilisateur dans l’OU « Tous les utilisateurs » de votre domaine AD. Pour cela, suivez les étapes ci-dessous :
- Ouvrez la console « Utilisateurs et ordinateurs Active Directory ».
- Cliquez avec le bouton droit sur l’OU « Tous les utilisateurs » et sélectionnez « Délégation de contrôle ». Cliquez sur le bouton Suivant pour passer à la page d’accueil de l’assistant.
- Sur la page Utilisateurs ou Groupes de l’assistant, cliquez sur le bouton Ajouter.
- Dans la boîte de dialogue « Sélectionner des utilisateurs/Ordinateurs/Groupes », entrez le nom du groupe (Centre d’assistance), cliquez sur le bouton « Vérifier les noms » pour vous assurer que le nom du groupe est correct, puis cliquez sur OK.
- Après vous être assuré que le nom du groupe figure sur la page Utilisateurs ou Groupes, cliquez sur Suivant.
- Dans la page « Tâches à déléguer », sélectionnez « Créer, supprimer et gérer les comptes d’utilisateur », puis cliquez sur Suivant.
- Vérifiez les informations de la dernière page de l’assistant, puis cliquez sur Terminer.
Autres bonnes pratiques de délégation AD
- Pour une délégation efficace, les OU doivent être conçues et mises en œuvre correctement et les objets adéquats (utilisateurs, groupes, ordinateurs) doivent y être placés.
- N’utilisez pas les groupes intégrés ; ils accordent des privilèges trop étendus dans le domaine. La conception de votre délégation doit inclure la création et la localisation de nouveaux groupes conçus uniquement pour la délégation.
- Utilisez les OU imbriquées. Les administrateurs de données se verront attribuer différents niveaux au sein d’AD. Certains obtiendront le contrôle de la totalité d’un type de données, par exemple les serveurs, et d’autres ne se verront confier qu’un sous-ensemble d’un type de données, par exemple les serveurs de fichiers. Cette hiérarchie s’établit en créant des OU et des sous-OU, l’administration déléguée au niveau le plus élevé disposant de plus de privilèges que les administrations inférieures dans la structure des OU.
- Effectuez régulièrement des audits sur les bénéficiaires de droits d’administrateur délégués aux différents niveaux dans AD.
- Effectuez des audits annuels pour savoir qui dispose de quels contrôles délégués dans AD. Un outil gratuit permet de visualiser les autorisations déléguées dans Active Directory : il s’agit de Netwrix Effective Permissions Reporting Tool.
Qu’est-ce que la délégation dans Active Directory ?
La délégation dans AD est un aspect essentiel de la sécurité et de la conformité. En déléguant le contrôle de l’annuaire actif, vous pouvez accorder aux utilisateurs ou aux groupes les autorisations dont ils ont besoin sans ajouter d’utilisateurs à des groupes privilégiés comme les administrateurs de domaine et les opérateurs de compte. Le moyen le plus simple d’effectuer une délégation est d’utiliser l’assistant de délégation de contrôle dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de la console de gestion Microsoft.
Même si le développement d’un modèle de délégation dans Active Directory peut sembler complexe, des modèles très simples peuvent en réalité être appliqués à la plupart des infrastructures informatiques. L’une des étapes les plus importantes dans le déploiement d’un modèle pratique de délégation est de définir des rôles clairs. Limitez-vous à un nombre restreint et gérable de rôles. Il n’est pas facile de trouver le bon équilibre : si vous avez trop de rôles, ils ne seront pas utilisés, tandis que si vous en avez trop peu, vous ne pourrez pas les dissocier.
Lorsque vous définissez les tâches, classez-les par fréquence, importance et difficulté. Développez un ensemble de cas d’utilisation pour faciliter l’identification de ce que chaque rôle peut et ne peut pas faire, et automatisez le processus de test pour vous assurer que chaque rôle fonctionne comme prévu. Des cas d’utilisation bien préparés vous aideront à expliquer ces rôles à vos collègues et à éviter les surprises dues aux erreurs d’automatisation.
Enfin, il est toujours bon d’adopter une approche pratique lorsque vous développez un modèle de délégation. Gardez à l’esprit que la simplicité est synonyme de gérabilité, et qu’un modèle de délégation viable sera très utile en vous permettant de contrôler correctement et efficacement les droits d’administration de domaine délégués dans votre environnement Active Directory. Et n’oubliez pas de définir régulièrement toutes les autorisations déléguées des annuaires actifs et de les analyser pour en vérifier la validité.