Structure des données d’un descripteur de sécurité

Liste
ListeDACL
DACL Descripteur de
sécurité

En-tête

 Identifie
Identifie les
les entités
entités de
de sécurité
sécurité
autorisées
autorisées ou ou non
non àà accéder,
accéder, et
et le
le SID du propriétaire
niveau
niveau d’accès
d’accès autorisé
autorisé ou
ou refusé
refusé
SID de groupe
(pour MAC et
POSIX)

Liste DACL
Entrées ACE
Liste
ListeSACL
SACL

Contrôle Liste SACL


 Contrôle lala façon
façon dont
dont l’accès
l’accès àà
l’objet
l’objet sera
sera audité
audité Entrées ACE
 Contrôleur de domaine

1
2 Ticket
Sous-système
Local 3 Ticket Service
de sécurité Kerberos
Jeton d’accès
Ticket 4
6
5

Etablit un
jeton d’accès
Serveur de
catalogue global

L’utilisateur ouvre une Le service Kerberos envoie un

1 session
4 ticket Poste de travail

Le sous-système local Le sous-système local de

2 de sécurité obtient un 5 sécurité établit un jeton d’accès
ticket pour l’utilisateur

Le sous-système local Le jeton d’accès est lié au

3 de sécurité demande un
6 processus de l’utilisateur
ticket Poste de travail
Autorisations Active Directory
• Contrôle de l'accès par des autorisations
– Chaque objet comporte une liste DACL
– Le type d'objet détermine les autorisations disponibles
• Autorisations multiples
• Octroi et refus d'autorisations
• Autorisations standard et spéciales

Contrôle total
Lire
Écrire
Créer tous les objets enfants
Supprimer tous les objets enfants
Octroi d'autorisations
Active Directory
 Utilisation de l'Assistant
Délégation de contrôle
• Un administrateur peut déléguer le contrôle :
– En accordant des autorisations dans une unité
d'organisation spécifique
– En accordant des autorisations pour modifier
les autorisations sur un objet
• Simplicité du suivi des autorisations déléguées au
niveau de l'unité d'organisation
• Utilisation de l'Assistant Délégation de contrôle
pour accorder des autorisations au niveau de
l'unité d'organisation
Fin ou
L’art de déléguer…