[Active Directory] 3 Implémentation d'une structure d'unité d'organisation
3.2 Délégation du contrôle administratif des unités d'organisation
Active Directory est un système intégrant la sécurisé : seuls les comptes ayant reçu les permissions adéquates peuvent effectuer des opérations sur ces objets (ajout, modification, …).
Les administrateurs, en charge de cette affectation de permissions peuvent aussi déléguer des tâches d’administration à des utilisateurs ou des groupes d’utilisateurs.
3.2.1 Sécurité des objets
Dans Active Directory, chaque objet est sécurisé, ce qui signifie que l’accès a chacun d’eux est cautionné par l’existence de permissions en ce sens.
A chaque objet est associé un descripteur de sécurité unique qui définit les autorisations d’accès nécessaires pour lire ou modifier les propriétés de cet objet.
En ce qui concerne la restriction d’accès aux objets ou à leurs propriétés, le descripteur contient la DACL (Discretionary Access Control List) et en ce qui concerne l’audit, le descripteur contient la SACL (System Access Control List).
Le contrôle d’accès dans Active Directory repose non seulement sur les descripteurs de sécurité des objets, mais aussi sur les entités de sécurité (par exemple un compte d’utilisateur ou un compte de machine), et les identificateurs de sécurité (SID, dont le fonctionnement est globalement identique à celui sous NT 4.0 et Windows 2000).
Active Directory étant organisé hiérarchiquement, il est possible de définir des permissions sur un conteneur et de voir ces permissions héritées à ses sous conteneurs et à ses objets enfants (si on le souhaite). Grâce à cela, l’administrateur n’aura pas à appliquer les mêmes permissions objet par objet, limitant ainsi la charge de travail, et le taux d’erreurs.
Dans le cas où l’on définirait des permissions spécifiques pour un objet et que ces dernières entrent en conflit avec des permissions héritées, ce seront les permissions héritées qui seront appliquées.
Dans certains cas, on ne souhaite pas que des permissions soient héritées, il est alors possible de bloquer cet héritage. Par défaut, lors de la création d’un objet, l’héritage est activé. Par conséquent, une DACL correspondant aux permissions du conteneur parent est créée pour cet objet. Lors du blocage de l’héritage, on définit une nouvelle DACL qui sera soit copiée depuis la DACL du parent, soit vierge.
3.2.2 Délégation de contrôle
Il est possible de déléguer un certain niveau d’administration d’objets Active Directory à n’importe quel utilisateur, groupe.
Ainsi, vous pourrez par exemple déléguer certains droits administratifs d’une unité organisationnelle (ex : création d’objets dans cette UO) à un utilisateur.
L’un des principaux avantages qu’offre cette fonctionnalité de délégation de contrôle est qu’il n’est plus nécessaire d’attribuer des droits d’administration étendus à un utilisateur lorsqu’il est nécessaire de permettre à un utilisateur d’effectuer certaines tâches.
Sous NT4, si l’on souhaitait qu’un utilisateur dans un domaine gère les comptes d’utilisateurs pour son groupe, il fallait le mettre dans le groupe des Opérateurs de comptes, qui lui permet de gérer tous les comptes du domaine.
Avec Active Directory, il suffira de cliquez avec le bouton droit sur l’UO dans laquelle on souhaite lui déléguer l’administration d’une tâche et de sélectionner Déléguer le contrôle.
On pourra définir quelques paramètres comme les comptes concernés par cette délégation et le type de délégation, dans notre cas, « Créer, supprimer et gérer des comptes d’utilisateur » (On peut affiner en déléguant des tâches personnalisées comme par exemple uniquement le droit de réinitialiser les mots de passe sur les objets de compte d’utilisateur de l’UO, …).