Travail de diplme

Pellarin Anthony

Server 2008 Active Directory

Dlgation de contrle

Etudiant : Pellarin Anthony

Professeur : Litzistorf Grald
En collaboration avec : Pictet&Cie
Date du travail : 17.09.2007

Server 2008 Active Directory

Travail de diplme

Pellarin Anthony

Table des matires :

1.

Introduction ........................................................................................................ 4
1.1

2.

Windows Server 2008 : ...................................................................................... 7

2.1

3.

4.

5.

6.

Nouveauts de Windows Server 2008 : ........................................................ 8

Active Directory.................................................................................................10
3.1

Arborescence Active Directory .....................................................................10

3.2

Unit dOrganisation .....................................................................................11

Schma Active Directory :................................................................................13

4.1

Objets : .........................................................................................................14

4.2

Classe dobjets : ...........................................................................................14

4.3

Les attributs : ................................................................................................15

4.4

Accder au schma Active Directory............................................................18

Groupes Active Directory :...............................................................................20

5.1

Container Builtin : .........................................................................................22

5.2

Container Users :..........................................................................................24

Autorisations NTFS...........................................................................................26
6.1

Systme de fichier NTFS..............................................................................26

6.2

Autorisations de base NTFS.........................................................................28

6.2.1

Autorisations de base NTFS sur un fichier.............................................28

6.2.2

Autorisations de base NTFS sur un dossier...........................................28

6.3
7.

Chapitres ....................................................................................................... 5

Autorisations avances NTFS ......................................................................29

Dlgation dadministration dans Active Directory .......................................31

7.1

Dfinition des rles des administrateurs.......................................................33

7.2

Dveloppement dun modle darchitecture .................................................33

7.3

Utilisation des comptes administrateurs dlgus........................................34

Server 2008 Active Directory

Travail de diplme
7.4

9.

Procdure de dlgation dadministration ....................................................35

7.4.1

Assistant de dlgation de contrle .......................................................35

7.4.2

Modification manuelle des autorisations NTFS ......................................41

7.5

Taskpad........................................................................................................44

7.6

Scnario pratique .........................................................................................52

7.7
8.

Pellarin Anthony

7.6.1

Spcification : .....................................................................................52

7.6.2

Ralisation : ........................................................................................55

Audit .............................................................................................................58

Gestion dAD par ligne de commandes ..........................................................65

8.1

Invite de commandes ...................................................................................65

8.2

PowerShell ...................................................................................................68

Problme rencontrs ........................................................................................71

10. Conclusion ........................................................................................................72

Server 2008 Active Directory

Travail de diplme

Pellarin Anthony

1. Introduction
Le sujet de cette premire partie du travail de diplme propos par la banque prive
Pictet&Cie est bas sur lannuaire Active Directory dans Windows Server
2008 et plus particulirement sur la dlgation de contrle. Cette technique tait
dj prsente dans Windows Server 2003 et Windows Server 2000 .
Elle consiste dlguer ladministration dune ou plusieurs tches dans lannuaire
AD un utilisateur. Elle peut aller de tches simples comme la gestion des comptes
utilisateurs du domaine, des actions plus complexes comme la gestion du
contrleur de domaine.
Cette technique est base sur la gestion des autorisations NTFS en accordant ou
non la permission deffectuer une tche spcifique un utilisateur. Plusieurs tches
dadministrations peuvent tre confies un mme utilisateur et un objet peut tre
administr par plusieurs administrateurs.
Cette technique est utiliser avec prcaution et il faut faire confiance aux utilisateurs
auxquels on donne le droit dintervenir sur lannuaire. Le principe du moindre
privilge est appliquer si lon veut garantir la scurit de lannuaire. Lutilisateur
qui lon confie une tche dadministration ne doit pas pouvoir effectuer dautres
actions sur lannuaire que celles qui lui ont ts confies. Un utilisateur malveillant
pourrait tre tent de corrompre les donnes de lannuaire.
Cette solution est utile par exemple lorsque lon veut isoler ladministration de
plusieurs dpartements, ou lorsque lon veut sparer les tches dadministration
entre plusieurs administrateurs ou encore lorsque le nombre dobjets dans lannuaire
devient important et que les tches dadministration deviennent longues.

Le but est donc dtudier cette dlgation de contrle, de comprendre le

fonctionnement, et de prsenter les outils servant raliser la dlgation et comment
lappliquer un cas rel.
Un scnario pratique est donc mis en place en fin de travail pour montrer
pratiquement le fonctionnement de cette technique et prsenter les diffrents
lments mis en place pour assurer la dlgation de contrle.

Server 2008 Active Directory

Travail de diplme

Pellarin Anthony

1.1 Chapitres
Le chapitre 1 est donc la prsentation du travail de diplme avec une brve
introduction sur le sujet du travail et sur lobjectif de ltude.

Le chapitre 2 prsente le systme dexploitation Windows Server 2008

ainsi que quelques nouveauts apportes par rapport aux anciennes versions.

Le chapitre 3 introduit le concept dannuaire Active Directory , prsente

larchitecture AD ainsi que la notion dunit dorganisation qui est le point cl
de la dlgation de contrle.

Le chapitre 4 prsente une introduction au schma AD. Le schma

reprsente le cur de lannuaire et tout les objets crent dans AD se basent
sur le schma AD.

Le chapitre 5 est une bref introduction aux groupes cres automatiquement

linstallation dAD avec une explication sur le rle des principaux groupes.

Le chapitre 6 prsente la notion de systme de fichiers NTFS. Les

nouveauts apportes par ce systme ainsi quun aperu des diffrentes
autorisations applicables des objets.

Le chapitre 7 reprsente le cur du travail avec la prsentation du

fonctionnement de la dlgation de contrle. Il introduit dabord lutilit de la
dlgation et pourquoi on peut avoir recours cette mthode.
Il est expliqu quels sont gnralement les diffrentes tapes respecter
lorsque lon veut dlguer le contrle dune partie de lannuaire un
utilisateur.

Server 2008 Active Directory

Travail de diplme

Pellarin Anthony

Un guide t ralis sur la mise en place pratique de la dlgation en

utilisant soit lassistant automatique, soit en effectuant les modifications
manuellement.
Ce chapitre comporte aussi une explication sur la manire dont on peut
auditer une action dans lannuaire avec la procdure pour activer laudit dun
vnement.
Finalement, un scnario pratique est propos prsentant les diffrentes
actions que lon peut dlguer.
Le chapitre 8 explique comment on peut se passer de linterface graphique
pour ladministration dAD et utiliser les outils CLI disposition.
Le chapitre 9 prsente les diffrents problmes survenus pendant le travail
avec la solution utilise.
Le chapitre 10 est la conclusion avec un rappel des diffrents lments vus
pendant le travail.

Temps consacr aux diffrents points de l'nonc :

Etude thorique des principales fonctions disponibles d'Active Directory ainsi que les
outils disponibles et identification des risques
3 semaines

Mis en place du scnario pratique

3 semaines

Server 2008 Active Directory

Travail de diplme

Pellarin Anthony

2. Windows Server 2008 :

Aprs la sortie du nouveau systme dexploitation de Microsoft Windows Vista , la

suite logique tait donc la sortie du nouveau systme dexploitation serveur de
Microsoft Windows Server 2008 . Il va donc remplacer terme lancien systme
dexploitation Windows Server 2003 aujourdhui utilis dans la majorit des
entreprises.
Windows Server 2008 et Windows Vista embarquent donc le mme kernel c'est-dire le NT 6.0. On constate donc des similitudes aux niveaux des nouveauts comme
par exemple lintroduction de l UAC (User Account Control) qui permet
dappliquer le principe du moindre privilge en accordant des privilges restreints, et
des similitudes au niveau de linterface avec lapparition de Windows Aero offrant
une interface plus conviviale.
La sortie du systme dexploitation Windows Server 2008 est prvue pour
le dbut de lanne 2008 en mme temps que le Service Pack 1 pour Windows
Vista et le Service Pack 3 pour Windows XP .

La version de Windows Server 2008 utilise pour ce travail est la RC0 qui est la
dernire version disponible ce jour :

Windows Server (R) 2008 Enterprise

Evaluation copy. Build 6001

Server 2008 Active Directory

Travail de diplme

Pellarin Anthony

2.1 Nouveauts de Windows Server 2008 :

Un certain nombre de nouveauts ont t apportes dans Windows Server 2008
comme par exemple :

Server Core
Dans Windows Server 2008, on a maintenant la possibilit dinstaller une
version minimale de Windows. Cette version est dpourvue dinterface
graphique. De cette faon la scurit est amliore puisquon va installer que
le strict minimum utile.
Une installation Server Core permet dutiliser les mmes composantes que
dans la version normale comme le serveur DHCP, DNS ou Active
Directory par exemple.
On administre donc le serveur par des lignes de commande que lon tape
dans une fentre de commande.

Figure 2.1 Interface de la version Server Core

Server 2008 Active Directory

Travail de diplme

Pellarin Anthony

Active Directory Domain Services: Read-Only Domain

Controller
Une nouveaut dans Windows Server 2008 est la possibilit dinstaller un
contrleur de domaine en lecture seule.
En effet, lorsque la scurit physique du serveur ne peut tre garantie comme
dans le cas de succursales par exemple, on a la possibilit dinstaller un
RODC, Read-Only Domain Controller, sur lequel on ne va donc rien pouvoir
crire et qui ne vas stocker aucun mot de passe. Ce RODC est donc une
copie du contrler de domaine principal .

Auditing Active Directory Domain Services Access

Dans Windows Server 2003, il ny avait quune seule catgorie pour laudit des
activits dans Active Directory, qui tait donc soit enabled soit
disabled . Dans Windows Server 2008, la catgorie a t subdivise en 4
sous-catgories :

Directory Service Access

Directory Service Change
Directory Service Replication
Detailed Directory Service Replication

Fine-Grained Password Policies

Microsoft Windows Server 2008 offre la possibilit de dfinir plusieurs
politiques de mots de passe pour diffrents utilisateurs.
Dans les anciennes versions du systme dexploitation serveur de Microsoft,
une seule politique de mot de passe tait cre pour tous les utilisateurs du
domaine, ce qui ntait donc pas trs optimis sachant que certains comptes
taient plus importants que dautres.
On peut donc faire en sorte que les comptes sensibles comme les comptes
administrateurs requirent un mot de passe plus complexe quun compte
normal.

Server 2008 Active Directory

Travail de diplme

Pellarin Anthony

3. Active Directory
Active Directory1 est le nom du service d'annuaire (au sens informatique) de
Microsoft. AD permet de regrouper toutes les informations concernant le rseau, que
ce soient les utilisateurs, les machines ou les applications. L'utilisateur peut ainsi
trouver facilement des ressources partages, et les administrateurs peuvent contrler
leurs utilisations grce des fonctionnalits de scurisation des accs aux
ressources rpertories.
AD a pour objectif de permettre la gestion des comptes, des ordinateurs, des
ressources et de la scurit de faon centralise, dans le cadre dun domaine. Un
domaine constitue un ensemble dutilisateurs et de machines dont le contrle est
centralis.

3.1 Arborescence Active Directory

Une arborescence Active Directory est compose de :

La fort : ensemble de tous les domaines AD

L'arbre : Reprsente le domaine et toutes ses ramifications. domaine.com,
sous1.domaine.com, sous2.domaine.com et projet.sous1.domaine.com
forment un arbre
Le domaine : constitue les feuilles de l'arborescence.
projet.sous1.domaine.com peut-tre un domaine au mme titre que
domaine.com

http://www.supinfo-projects.com/fr/2002/decouverte_active_directory/0/

Server 2008 Active Directory

10

Travail de diplme

Pellarin Anthony
fort

domaine.com

domaine2.com

sous2.domaine.com

sous1.domaine.com

projet.sous1.domaine.com

arbre

Figure 3.1 Arborescence Active Directory

Dans le cadre du projet, en partant du principe que lon a quun seul domaine, on va
donc avoir une fort compos dun domaine qui sera le domaine racine.

3.2 Unit dOrganisation

Une unit dorganisation (OU, Organizational Unit) est un conteneur dans lequel on
va pouvoir mettre des utilisateurs, des groupes, des ordinateurs ainsi que dautres
OU.
On peut grce aux OU reprsenter une certaine architecture pouvant ou non
reprsenter la structure de lentreprise.
Des stratgies de groupes peuvent tre affectes une OU et on va pouvoir
dlguer ladministration de celle-ci et son contenu un administrateur par exemple.
On peut donc donner les autorisations un utilisateur, de modifier les objets
contenus dans une OU par exemple. Avec la structure dOU que lon peut mettre en
place, la dlgation dadministration est simplifie et la gestion plus facile en
sparant les diffrents privilges accordes en fonction des diffrentes OU.
Server 2008 Active Directory

11

Travail de diplme

Pellarin Anthony

Dans ce travail de diplme, toute la dlgation de contrle sera base sur les OU.
Une architecture de test sera cre pour simuler larchitecture dune entreprise.
On va cre ensuite des groupes et des utilisateurs de test que lon va rpartir dans
ces OU en fonction de leur rle.
Des autorisations vont tre finalement appliques aux OU pour accorder ou non aux
utilisateurs prsents dans ces OU des tches dadministrations, comme par exemple
la gestion des utilisateurs, la gestion des ordinateurs de lentreprise ou encore la
gestion du serveur DNS.
Certains utilisateurs peuvent donc avoir plusieurs rles dadministration grer et
lon peut avoir des utilisateurs avec plus ou moins de privilges que dautres.
Certaines pourront par exemple cre de nouveaux utilisateurs alors que dautres ne
pourront que modifier les informations de comptes dj existants.
Il existe beaucoup de scnarios possibles que lon peut appliquer lentreprise. Cela
dpend par exemple du niveau de scurit que lon veut pouvoir garantir, du nombre
dadministrateurs dlgus que lon veut avoir, du nombre de tches dadministration
effectuer ou encore de la complexit de larchitecture de lentreprise.
Je vais prsenter quelques scnarios possibles dans ce travail de diplme.

Pour crer une OU il suffit de faire un clique droit lendroit o lon veut crer lOU et
de faire, New puis de choisir Organizational Unit :

Figure 3.2 Cration dune OU

Server 2008 Active Directory

12

Travail de diplme

Pellarin Anthony

4. Schma Active Directory :

Le sujet de ce travail de diplme portant principalement sur Active Directory, et le
schma tant le cur dAD, ce paragraphe introduit la notion de schma dAD mme
si dans ce projet, aucune modification du schma ne sera effectue.

Le schma2 Active Directory dcrit toutes les classes ainsi que leurs attributs pour
les diffrents objets que compose le rseau. Un annuaire ne peut stocker que des
entres qui correspondent une classe dobjet dcrite dans le schma AD. Le
schma peut tre modifi pour rpondre plus prcisment ses besoins.

Figure 4.1 Schma Active Directory

http://msdn2.microsoft.com/en-us/library/ms675085.aspx

Server 2008 Active Directory

13

Travail de diplme

Pellarin Anthony

4.1 Objets :
Dans un annuaire AD, les objets reprsentent les lments du rseau comme les
utilisateurs, les serveurs, etc. LorsquAD doit crer un nouvel objet, il va se baser sur
le schma AD pour crer lobjet et plus prcisment sur les classes dobjets du
schma.

4.2 Classe dobjets :

Les classes dobjets et leurs attributs forment une structure qui va dfinir lobjet.
Cette structure forme le schma AD. La classe est constitu dun numro unique
X.500 OID pour viter les conflits entre les diffrents annuaires.
Une classe est constitue dattributs. Chaque attribut est dfini comme tant
obligatoire ou facultatif.
Prenons comme exemple la classe user qui permet de stocker les informations
concernant un utilisateur. Celle-ci comporte donc plusieurs attributs comme par
exemple :
Account-Expires
Date laquelle le compte expire

Display-Name
Nom de lutilisateur affich dans AD, gnralement constitu du nom, des
initiales et du prnom

Control Access Rights

Dtermine quels sont les oprations permises pour lutilisateur sur un objet

Server 2008 Active Directory

14

Travail de diplme

Pellarin Anthony

Figure 4.2 Exemple de la classe user

4.3 Les attributs :

Une classe a un certain nombre dattributs mais ceux-ci ne sont pas tous obligatoire,
en effet lorsquon cre un nouvel objet, on nest gnralement pas obliger de remplir
tous les champs.
Par exemple la classe organizationalUnit , celle-ci comporte plusieurs attributs
mais un seul est obligatoire :
ou
Renseigne sur le nom de lunit dorganisation

Dautres sont facultatifs comme par exemple :

businessCategory
Texte descriptif sur lunit dorganisation
Server 2008 Active Directory

15

Travail de diplme

Pellarin Anthony

defaultGroup
Groupe auquel lobjet est associ lors de sa cration

Figure 4.3 Exemple des attributs de la classe organizationalUnit

Avec le bouton Add on remarque que lon peut ajouter des attributs.

Server 2008 Active Directory

16

Travail de diplme

Pellarin Anthony

Si on regarde les proprits dun attribut, on voit quil possde plusieurs champs dont
certains que lon peut modifier.

Figure 4.4 Exemple de lattribut ou

Plus dinformations sur le schma Active Directory :

Active Directory 2nd edition Chapitre 4 : http://www.ellipse.ch/Produit.aspx?Produit=40476

Server 2008 Active Directory

17

Travail de diplme

Pellarin Anthony

4.4 Accder au schma Active Directory

Pour accder au schma Active Directory suivez la procdure suivante :

1. Lancer la console MMC en appuyant sur Start , puis Run . Vous

arriver donc sur la console de management MMC (Microsoft Management
Console).

Figure 4.5 Console de management

Server 2008 Active Directory

18

Travail de diplme

Pellarin Anthony

2. Allez dans File, puis cliquer sur Add/Remove Snap-in .

Figure 4.6 Ajout du composant logiciel enfichable

3. Dans lcran qui apparait, sont lists tous les composants que lon peut
ajouter. Dans notre cas, nous voulons changer le schma. Choisissez alors
Active Directory Schema puis cliquer sur Add > . Le composant est
alors ajout aux composants slectionns. Cliquer enfin sur OK.

Figure 4.7 Choix du composant ajouter

Server 2008 Active Directory

19

Travail de diplme

Pellarin Anthony

5. Groupes Active Directory :

Les groupes3 dans Active Directory servent rassembler plusieurs objets comme
des utilisateurs4 ou des ordinateurs dans une mme entit pour simplifier
ladministration.
Lors de linstallation de lannuaire AD, le systme installe certains groupes et
utilisateurs par dfaut avec des droits et des autorisations prdfinis. Comme par
exemple linstallation de Windows Vista o le systme installe les comptes
administrator et guest par dfaut.
Il existe plusieurs sortes de groupes, on diffrentie ceux-ci avec une caractristique
appele tendue de groupe ou Group Scope . Celle-ci va permettre de
restreindre laccs des objets de la fort.
On peut observer trois sortes de groupes :

Domain Local Groups

Gnralement ce groupe est utilis lorsque lon veut appliquer des
autorisations pour laccs une application. On ne peut assigner des
autorisations que sur les ressources se trouvant dans le mme domaine que
l o le groupe a t cre.
On peut ajouter des utilisateurs de nimporte quel domaine au groupe
Domain Local Groups .

Global Groups
On utilise souvent ce type de groupe pour rassembler des utilisateurs afin de
simplifier ladministration. Dans ce groupe, on ne peut ajouter que des
utilisateurs faisant partis du mme domaine que le Global Groups cr.

http://technet.microsoft.com/en-us/library/Bb727067.aspx

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1631acadef34-4f77-9c2e-94a62f8846cf.mspx?mfr=true

Server 2008 Active Directory

20

Travail de diplme

Pellarin Anthony

Universal Groups
Ce type de groupe est gnralement utilis lorsque lon veut partager des
ressources entres plusieurs domaines par exemple ou lorsque lon veut
regrouper plusieurs Global Groups entre eux. On peut ajouter des
utilisateurs de nimporte quel domaine ce groupe.
Dans ce projet, lutilisation de groupes universelle est inutile tant donn que
lon a quun seul domaine.

Les diffrents groupes cres sont rassembls dans 2 containers diffrents, le premier
est le container Builtin et le second Users .

Figure 5.1 Container cres par dfaut

Je vais dans le chapitre suivant juste prsenter ces deux groupes sachant que dans
mon travail je nai pas utilis ces groupes prinstalls.
Jai utilis des groupes que jai cre moi-mme pour une avoir une architecture plus
personnalise et grer de la faon que je veux, les diffrentes autorisations
accordes aux groupes et utilisateurs.

Server 2008 Active Directory

21

Travail de diplme

Pellarin Anthony

5.1 Container Builtin :

Le container Builtin contient les groupes prinstall avec une tendue au
domaine local. On utilise gnralement ces groupes pour rassembler des groupes de
scurit globale auxquels ont va attribuer des autorisations daccs diffrentes
applications.

Figure 5.2 Tableau des diffrents groupes du container Builtin

Administrators :
Ce groupe possde le contrle total des contrleurs de domaine, il est donc utilis
avec prcaution. Ce groupe contient le compte Administrator et les groupes
Domain Admins et Enterprise Admins .

Server 2008 Active Directory

22

Travail de diplme

Pellarin Anthony

Account Operators :
Ce groupe permet de configurer tous les objets de la fort comme par exemple les
utilisateurs, les ordinateurs et les groupes (ajout, modification, suppression) mais il
ne permet pas de modifier le groupe Administrators , Domain Admin ainsi que
lOU Domain Controllers .

Backup Operators :
Les membres de ce groupe peuvent sauvegarder et restaurer les fichiers des
contrleurs de domaine.

Print Operators :
Les membres de ce groupe ont la gestion des imprimantes du rseau.

Server Operators :
Les membres qui font partis de ce groupe nont que des privilges simples de
maintenance, ils ont la possibilit de lire les informations du domaine et de cre des
ressources partages par exemple.

Users :
Dans ce groupe se trouve les utilisateurs. Ceux-ci sont autoriss effectuer des
tches courantes, comme lancer certaines applications, utiliser des imprimantes mais
nont aucune droits de modification du contrleur de domaine.

Guest :
Ce groupe est gnralement utilis pour accueillir des utilisateurs temporaires avec
des droits restreins. Un profil est cre temporairement lorsque lutilisateur ouvre une
session et est supprim lorsque lutilisateur ferme la session.

Server 2008 Active Directory

23

Travail de diplme

Pellarin Anthony

5.2 Container Users :

Le container Users contient des groupes de scurit automatiquement crs lors
de la cration du domaine avec pour la plupart une tendue globale. On va
gnralement utiliser ces groupes pour rassembler des utilisateurs. On va ensuite
donner des autorisations ces groupes qui se rpercuteront sur les utilisateurs pour
ne pas devoir donner les autorisations pour chaque utilisateur sparment.

Figure 5.3 Tableau des diffrents groupes du container Users

Domain Admins :
Les utilisateurs de ce groupe ont un contrle total sur le domaine. Ce groupe est
automatiquement ajout au groupe des administrateurs correspondant dans chacun
des domaines.

Server 2008 Active Directory

24

Travail de diplme

Pellarin Anthony

DnsAdmins :
Les membres de ce groupe sont chargs de la configuration des serveurs DNS du
rseau.
Domain Computers :
Ce groupe contient la liste des ordinateurs du domaine.

Domain Guests :
Ce groupe contient la liste des utilisateurs invits du domaine.

Domain Users :
Ce groupe contient la liste des utilisateurs du domaine.

Enterprise Admins :
Les membres de ce groupe ont un accs complet sur la configuration de tous les
contrleurs de domaine de la fort AD.

Schema Admins :
Ce groupe permet aux utilisateurs de modifier le schma AD.

Server 2008 Active Directory

25

Travail de diplme

Pellarin Anthony

6. Autorisations NTFS
6.1 Systme de fichier NTFS
NTFS (New Technology File System)5 est le systme de fichiers utilis par la famille
NT, cest-a-dire Windows NT, 2000, XP et Vista. Il est le remplaant de lancien
systme de fichiers FAT qui tait prsent dans les anciennes versions de Windows
comme Windows 95, 98 et ME.

Figure 6.1 Systme de fichiers NTFS

Lavantage de cette nouvelle technologie de fichiers est la scurit apporte. Dans le

systme de fichier FAT, aucune protection sur les fichiers et dossiers ntait possible.
5

http://technet2.microsoft.com/windowsserver/en/library/59a9462a-cbdd-45e7-828b12c6cd9ae4781033.mspx?mfr=true
Document dtaill sur NTFS : http://www.mp-arpajon.ac-versailles.fr/IMG/pdf/Autorisations_NTFS.pdf

Server 2008 Active Directory

26

Travail de diplme

Pellarin Anthony

Avec le systme NTFS on va pouvoir donner des permissions daccs aux fichiers et
aux dossiers ainsi que des actions possibles sur ceux-ci comme par exemple,
lcriture ou la suppression.
Un fichier stock sur une partition NTFS comporte une liste de contrle daccs
discrtionnaire (DACL)6 qui rpertorie les utilisateurs et les groupes autorises
accder la ressource ainsi que les privilges possibles sur cette ressource.
Les utilisateurs et les groupes qui composent cette DACL sont appels entres de
contrle daccs (ACE)7.
Les autorisations NTFS disponibles sont rpertories sous longlet Security dans
les proprits de lobjet.

Figure 6.2 Onglet Security

http://msdn2.microsoft.com/en-us/library/aa374872.aspx

http://msdn2.microsoft.com/en-us/library/Aa374868.aspx

Server 2008 Active Directory

27

Travail de diplme

Pellarin Anthony

6.2 Autorisations de base NTFS

Il existe des autorisations de base NTFS qui permettent dexcuter des tches
simples sur les objets et des autorisations avances qui permettent deffectuer des
tches supplmentaires plus prcises.
Les autorisations diffrents lgrement si on les applique sur un fichier ou sur un
dossier.

6.2.1 Autorisations de base NTFS sur un fichier

Read
Write
Read & Execute
Modify
Full control

6.2.2 Autorisations de base NTFS sur un dossier

Read
Write
Read & Execute
Modify
List folder contents
Full control

Server 2008 Active Directory

28

Travail de diplme

Pellarin Anthony

6.3 Autorisations avances NTFS

Dans longlet Security on a donc un aperu des diffrentes autorisations de base
NTFS mais il existe beaucoup dautres autorisations plus prcises quant leurs
actions.
Lorsquon se trouve sur longlet Security , en appuyant sur le bouton
Advanced , on accde une vue plus dtailles des autorisations accordes au
dossier ou au fichier.

Figure 6.3 Vue dtaille des autorisations NTFS

Server 2008 Active Directory

29

Travail de diplme

Pellarin Anthony

En appuyant sur le bouton Edit , on accde donc toutes les autorisations

NTFS que lon va pouvoir attribuer.

Figure 6.4 Autorisations avances NTFS

Lors de la dlgation de contrle sur les objets de lannuaire, on va devoir donc

modifier les autorisations NTFS. Les autorisations lies lannuaire ne sont pas les
mmes que celle que lon a pour les fichiers ou dossiers dans Windows.
Ces deux types dautorisations ne sont donc pas pareils, mais cela reste des
autorisations NTFS prcisant quels sont les privilges accordes tel ou tel objet.

Server 2008 Active Directory

30

Travail de diplme

Pellarin Anthony

7. Dlgation dadministration dans Active Directory

Aujourdhui, beaucoup dentreprises possdent un annuaire Active Directory pour la
gestion de ses utilisateurs ainsi que le partage de fichiers ou dapplications.
Les diffrents secteurs de lentreprise sont gnralement rpartis, classs, dans des
units dorganisation diffrentes par exemple pour faciliter la gestion, ladministration
ainsi que la maintenance de lannuaire AD.

Figure 7.1 Exemple darchitecture Active Directory

Dans chaque unit dorganisation, on va gnralement avoir plusieurs groupes

composs eux-mmes de plusieurs utilisateurs dont certains avec des privilges plus
ou moins levs que dautres.
Pour organiser et grer les utilisateurs et les privilges accords ceux-ci, on va
donc avoir des personnes qui sont responsables de ladministration de lannuaire AD.
La personne qui a cr lannuaire, a cr en mme temps un compte administrateur
qui possde tous les privilges sur lannuaire. Ce compte est utiliser avec
prcaution tant donn quil a tous les droits sur lannuaire.
Lorsque la taille de lentreprise est importante et que le nombre dutilisateurs, de
groupes et de ressources est lev, il est difficile pour une seule personne
dadministrer tout lannuaire AD. Pour simplifier la gestion, on va alors dlguer
ladministration dune ou plusieurs tches des sous-administrateurs . On peut
avoir plusieurs administrateurs pour une mme OU si on le souhaite. La dlgation
dadministration ne sarrte pas seulement AD, on peut tout fait dlguer une
personne qui sera responsable de la configuration DNS du serveur par exemple.

Server 2008 Active Directory

31

Travail de diplme

Pellarin Anthony

Pour dlguer des tches dadministration8 des utilisateurs, on va donc modifier les
autorisations NTFS (lies lannuaire AD) de ceux-ci pour leurs accorder ou non des
privilges sur les objets de lannuaire. Cette dlgation permet dappliquer le principe
du moindre privilge en ne donnant que les privilges ncessaire un
administrateur. De cette faon on rduit le risque derreur non volontaire dans
lannuaire qui peut dans certains cas, avoir un impact important.

Il existe 2 sortes dadministrations dans Active Directory :

Administration des services

Consiste en la gestion des composantes dinfrastructure de lannuaire tel que
les contrleurs de domaine par exemple.
Les privilges accords aux administrateurs de service sont levs et donc le
principe du moindre privilge est recommand dans ce cas-la.
On peut par exemple dlguer ladministration du contrleur de domaine un
administrateur charg exclusivement de cette tche.

Administration des donnes

Gestion des objets de lannuaire tel que les comptes utilisateurs, les groupes
et les ressources partages par exemple.
Pour ces tches dadministration, des privilges moins importants sont
ncessaires que pour un administrateur de services.
On peut par exemple avoir une personne charge de grer les comptes
utilisateurs, une autre les ordinateurs et enfin une charge des partages de
lentreprise.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/60096a048494-4551-bfd6-3aebadddc3fe.mspx?mfr=true
Best Practices for Delegating AD Administration: http://go.microsoft.com/fwlink/?linkid=22707
Scurisation des groupes dadministration :
http://www.microsoft.com/france/technet/securite/sec_ad_admin_groups.mspx

Server 2008 Active Directory

32

Travail de diplme

Pellarin Anthony

La dlgation dadministration peut se dfinir en 3 phases :

Dfinition des rles des administrateurs

Dveloppement dun modle darchitecture
Utilisation des comptes administrateurs dlgus

7.1 Dfinition des rles des administrateurs

Pour commencer, il faut dfinir toutes les tches dadministration qui vont devoir tre
effectue sur lannuaire AD. Dfinir les tches des administrateurs de services ainsi
que ceux des administrateurs de donnes.
Il faut valuer les tches pour dfinir quels sont celles qui seront effectues le plus
souvent, celles qui demandent une plus grande comptence et celles qui demandent
des privilges plus levs.
Les tches qui ne demandent pas de privilges trs levs peuvent tre dlgues
sans problme un utilisateur comme par exemple la possibilit de rinitialiser le
mot de passe dun utilisateur, tandis que celle qui sont effectues moins souvent et
qui demande un niveau lev sont plus difficiles dlguer pour ne pas mettre en
pril la scurit de lentreprise comme la gestion du contrleur de domaine par
exemple.

7.2 Dveloppement dun modle darchitecture

Deuximement, lorsque les rles administratifs sont dfinis, il convient de mettre en
place un modle dunits dorganisation et de groupes de scurits. Cette partie
permet de faciliter la gestion de lannuaire et daugmenter la scurit de
larchitecture.
On va cre gnralement une OU, dans laquelle on va cre des groupes de scurit
qui eux, contiendront les comptes utilisateurs.
De cette manire ladministration sera simplifi en appliquant les autorisations aux
OU et aux groupes. De cette faon, il nest pas ncessaire de devoir appliquer les

Server 2008 Active Directory

33

Travail de diplme

Pellarin Anthony

autorisations pour chaque utilisateur sparment. Ce travail deviendrait vite trs

laborieux si le nombre dutilisateurs est important.

Figure 7.2 Architecture Active Directory avec groupes et comptes

7.3 Utilisation des comptes administrateurs dlgus

Finalement, il reste dfinir quels sont les tches administratives que lon va
dlgues, et qui lon va les attribues.
Pour augmenter la scurit au maximum, il est recommand dutiliser le principe du
moindre privilge. Un utilisateur qui on confie une tche dadministration, doit
seulement pourvoir excuter les tches associes son rle.
On cre donc un compte spcifiquement pour chaque tche dadministration qui on
attribue un certains nombres dautorisations en fonction du rle du compte. Aucune
autre action ne doit pouvoir tre effectue partir de ce compte. De cette faon le
principe du moindre privilge est respect.
Si un utilisateur est charg de la gestion des comptes par exemple, il ne doit pas
pouvoir intervenir sur la configuration DNS du serveur ou pouvoir supprimer des
ordinateurs de lannuaire.

Server 2008 Active Directory

34

Travail de diplme

Pellarin Anthony

7.4 Procdure de dlgation dadministration

Lorsque lon veut dlguer des droits dadministrations un utilisateur, il existe 2
mthodes diffrentes qui aboutissent au mme rsultat :

Assistant de dlgation de contrle

Modification manuelle des autorisations NTFS

7.4.1 Assistant de dlgation de contrle

La premire mthode est donc dutiliser lassistant de dlgation de contrle qui va
cre les autorisations NTFS en fonction des tches que lon souhaite pouvoir
effectuer avec le compte.
Pour lancer lassistant de dlgation de contrle :
1. Faites un clic droit sur lOU auquel vous voulez dlguer le contrle et
slectionner Delegate Control

Figure 7.3 Slectionner Delegate Control

Server 2008 Active Directory

35

Travail de diplme

Pellarin Anthony

2. Sur le premier cran qui apparat cliquez sur Next , vous arrivez ensuite
sur la fentre sur laquelle vous devez ajouter les comptes auxquelles vous
voulez dlguer le contrle. Pour ajouter un compte, appuyer sur le bouton
Add .

Figure 7.4 Choix des comptes pour la dlgation

3. Ajouter les utilisateurs qui vous voulez octroyer des privilges

dadministration.

Figure 7.5 Ajout des utilisateurs

Server 2008 Active Directory

36

Travail de diplme

Pellarin Anthony

4. Sur cet cran vous allez choisir les actions que vont pouvoir excuter les
administrateurs. Slectionner les actions autorises en cochant les cases et
ensuite cliquez sur Next
Pour donner des privilges avancs, Slectionner Create a custom task to
delegate et cliquez sur Next .

Figure 7.6 Choix des actions autorises

Server 2008 Active Directory

37

Travail de diplme

Pellarin Anthony

5. Finalement sur le dernier cran, vous trouvez un rsum des choix effectus.
Si cela correspond la configuration souhaite, cliquez sur Finish pour
terminer lassistant.

Figure 7.7 Fin de lassistant

Server 2008 Active Directory

38

Travail de diplme

Pellarin Anthony

Aprs avoir effectu la dlgation grce lassistant, celui-ci a donc cre les
autorisations NTFS ncessaire pour correspondre la configuration indique dans
lassistant.
Voici un exemple dautorisations NTFS cres par lassistant si on slectionne la
Figure 7.6 Create, delete and manage user accounts .

Figure 7.8 Autorisation NTFS cres par lassistant

Lassistant tente de simplifier la dlgation de contrle en proposant lutilisateur le

choix des actions sans devoir rentrer dans les permissions NTFS du conteneur
auquel on veut ajouter des autorisations.
Dans un premier temps, lassistant propose un choix de tche simple comme par
exemple :

Lajout, la modification ou la suppression de comptes utilisateurs

La possibilit de rinitialiser les mots de passe des comptes
Lire les proprits dun utilisateur
Lajout/modification/suppression de groupes
Modifier lappartenance dun utilisateur un groupe

Server 2008 Active Directory

39

Travail de diplme

Pellarin Anthony

Mais on peut, avec lassistant, assigner des tches plus spcifiques en allant dans
les tches personnalises.
A partir de l, on a le choix dabord dattribuer les autorisations tous les objets du
conteneur ou seulement un type prcis dobjet comme les utilisateurs ou les
imprimantes par exemple.
Lorsque ce choix est fait, on va alors pouvoir choisir le type dautorisation que lon
veut attribuer avec une granularit beaucoup plus grande comme par exemple :

La possibilit de crer nimporte quel type dobjets ou alors de ne pouvoir cre

quun seul type dobjets comme par exemple :

Un utilisateur

Un groupe

Une imprimante

Choisir quels sont les proprits dun objet que lon va pouvoir lire/modifier

Nom

Adresse

Description

Server 2008 Active Directory

40

Travail de diplme

Pellarin Anthony

7.4.2 Modification manuelle des autorisations NTFS

La seconde mthode pour dlguer des droits dadministrations, est de modifier les
autorisations NTFS manuellement. On peut de cette faon choisir directement les
privilges dont ladministrateur va bnficier.
Toutes les tches qui taient proposes par lassistant peuvent tre configures
manuellement en modifiant directement les autorisations NTFS.

Pour modifier les autorisations NTFS sur une OU :

1. Par dfaut on ne peut pas accder aux autorisations NTFS, il faut donc
dabord aller dans longlet View et cocher Advanced Features .

Figure 7.9 Advanced Features

Server 2008 Active Directory

41

Travail de diplme

Pellarin Anthony

2. Ensuite slectionnez lOU laquelle vous voulez modifier les autorisations

NTFS en faisant un clic droit dessus et en slectionnant Properties .

Figure 7.10 Slectionnez Properties

3. Vous arrivez donc dans les proprits de lOU. Slectionnez longlet

Security maintenant disponible pour accder aux autorisations NTFS.
Vous voyez donc toutes les autorisations NTFS accordes aux utilisateurs et
aux groupes sur lOU que vous avez slectionnez.
Vous pouvez partir de l, ajouter ou supprimer des utilisateurs ainsi que des
groupes et leur accorder des autorisations en cochant les cases
correspondantes la tche souhaite.
Sur cette fentre se trouve les autorisations NTFS basiques. Pour accder
aux autorisations NTFS avances, cliquez sur le bouton Advanced

Server 2008 Active Directory

42

Travail de diplme

Pellarin Anthony

Figure 7.11 Autorisations NTFS

4. Lorsque vous tes satisfaits des rglages, cliquez sur OK pour appliquer
les modifications.

Server 2008 Active Directory

43

Travail de diplme

Pellarin Anthony

7.5 Taskpad
Lorsque lon doit modifier les proprits dun objet, il faut parcourir larborescence de
lannuaire pour arriver lendroit o lon veut effectuer les modifications, choisir
lobjet modifier et effectuer les modifications.
Pour faciliter ladministration de lannuaire AD et laccs aux objets, on peut installer
une Taskpad View que lon va placer dans une OU de son choix et qui va
permettre dafficher toutes les actions possibles sur les objets contenus dans cette
OU. Les diffrentes actions affiches vont devoir tre configures.
Pour afficher une Taskpad View sur une OU :
1. Faites Start puis Run et lancer la console MMC . Ajouter le
composant enfichable Active Directory Users and Computers . Vous
avez donc larchitecture de votre annuaire AD.

Figure 7.12 Console MMC

Server 2008 Active Directory

44

Travail de diplme

Pellarin Anthony

2. Slectionnez lOU sur laquelle vous voulez ajouter la Taskpad View , puis
faites un clic droit sur celle-ci et slectionnez New Taskpad View pour
lancer lassistant.

Figure 7.13 Slectionnez New Taskpad View

3. Dans le premier cran cliquer sur Next , ensuite vous arriver sur un cran
sur lequel vous pouvez choisir la disposition de la Taskpad (horizontale,
verticale,) et si vous voulez voir apparaitre explicitement la description de la
tche que vous pouvez effectuer. Cliquer sur Next lorsque vous avez fait
votre choix.

Server 2008 Active Directory

45

Travail de diplme

Pellarin Anthony

Figure 7.14 Choix de laffichage de la Taskpad

4. Sur cet cran, vous devez choisir si vous voulez que la Taskpad apparaisse
seulement sur lOU que vous avez slectionne ou sur toutes les OU de
lannuaire.

Figure 7.15 Choix de ltendue dapplication

Server 2008 Active Directory

46

Travail de diplme

Pellarin Anthony

5. Ensuite, vous devez indiquer le nom et la description de la Taskpad .

Lorsque cest fait cliquer sur Next . Finalement sur le dernier cran,
appuyer sur Finish .
Aprs avoir fait ceci, un second assistant se lance pour configurer les tches.
Cliquer sur Next . Vous arrivez sur un cran vous demandant quel type de
commande vous voulez utiliser (menu, shell,). Cliquer sur Next lorsque
vous avez fait votre choix.

Figure 7.16 Choix du type de commande

6. Dans lcran suivant, vous allez devoir slectionner la tche que vous voulez
effectuer. Dans la fentre de gauche se trouve les OU sur lequel vous pouvez
effectuer une tche et sur la fentre de droite, les tches disponibles.
On constate que ces tches ressemblent aux actions disponibles dans
lassistant de dlgation de contrle. Cest normal puisque en fait ce sont les
mmes actions savoir par exemple, lajout dun utilisateur ou dun groupe.
Les actions disponibles sont celles que lont aurait en faisant un clic droit sur
lOU slectionne. Cliquez sur Next lorsque vous avez choisi laction.

Server 2008 Active Directory

47

Travail de diplme

Pellarin Anthony

Figure 7.17 Choix de la tche appliquer

7. Ensuite, sur lcran suivant, vous indiquez le nom et la description que vous
voulez donner la tche slectionne. Cliquez sur Next ensuite.
Sur lcran suivant vous devez slectionnez licne que vous voulez donner
laction. Vous pouvez choisir une icne prinstalle ou une icne
personnalise. Appuyer ensuite sur Next .

Server 2008 Active Directory

48

Travail de diplme

Pellarin Anthony

Figure 7.18 Choix de licne associe

8. Finalement, sur le dernier cran, vous avez un rsum de ce que vous avez
slectionn. Si cela correspond la configuration souhaite, cliquez sur
Finish pour terminer lassistant.

Figure 7.19 Rsum de la configuration

Server 2008 Active Directory

49

Travail de diplme

Pellarin Anthony

On constate alors quune liste avec les tches que lon peut effectuer est apparu
cot des OU.
Si pendant lassistant, la Figure 7.17, on a slectionn par exemple
New->User , on constate que si on slectionne une OU, on a une icne qui
apparait avec laction slectionner qui par exemple ici nous donne lopportunit de
crer un utilisateur dans lOU.

Figure 7.20 Action cre par lassistant

On peut tout fait rajouter des actions en ditant la Taskpad . Il suffit de faire un
clic droit sur lOU et slectionnez Edit Taskpad View . Allez ensuite sous
longlet Tasks et faites New

Figure 7.21 Actions rajoute par lutilisateur

Server 2008 Active Directory

50

Travail de diplme

Pellarin Anthony

Pour conserver la configuration cre et pouvoir revenir directement dans lOU dans
laquelle on a cre la Taskpad , on va devoir sauvegarder la console MMC. La
sauvegarde est un fichier avec lextension .msc
Pour faire ceci, dans la console MMC, cliquez sur File , et ensuite Save
As , donnez un nom la sauvegarde et choisissez lendroit o vous voulez
sauvegarder la console. Cliquez sur le bouton Save lorsque vous avez fait votre
choix.
Vous avez donc cre un raccourci la console MMC, qui lorsque vous le lancer, va
directement dans lOU que vous avez slectionn dans lassistant avec la
configuration de la Taskpad que vous avez indiquez.

Figure 7.22 Raccourci console MMC

Si vous quitter la console MMC sans sauvegarder, vous ne perdrez pas les
configurations que vous avez faits au niveau des OU ou des utilisateurs mais par
contre vous perdrez la configuration de la Taskpad que vous avez faite.

Server 2008 Active Directory

51

Travail de diplme

Pellarin Anthony

7.6 Scnario pratique

7.6.1 Spcification :

Chaque dpartement une OU spcifique contenant ses administrateurs locaux, ses

ordinateurs, ses partages et ses utilisateurs.
Une OU Admins qui contient
Les utilisateurs du helpdesk
Les responsables de la gestion des droits daccs (GDA)
Les administrateurs du serveur DNS
Les administrateurs du contrleur de domaine
Les administrateurs du scnario

Les administrateurs du scnario ont les mmes privilges que les responsables
GDA, mais ils peuvent en plus, cre des OU supplmentaires dans l'organisation.

Puis dans chaque dpartement, on trouve un administrateur spar pour la gestion

des ordinateurs, des partages, des imprimantes et des utilisateurs du dpartement
runis dans lOU Admins . Ladministrateur local de lOU peut cre des
utilisateurs et des groupes dans son dpartement.

Pour laccs ces ressources, une OU diffrente est cre pour chaque type de
ressource savoir :
Computers
Users
Printers
Share

Server 2008 Active Directory

52

Travail de diplme

Pellarin Anthony

Figure 7.23 Architecture du scnario 2

OU Admins :

Admin_Scnario_2
Administrateurs des comptes du scnario avec la possibilit de cre des OU

DC
Administrateurs du contrleur de domaine

DNS
Administrateurs du serveur DNS

Server 2008 Active Directory

53

Travail de diplme

Pellarin Anthony

GDA
Administrateurs des comptes utilisateurs

Helpdesk
Utilisateurs ayant la possibilit de rinitialiser les mots de passes des
utilisateurs

OU Dpartement_X :

Admins
Administrateurs du dpartement X

Comptes

Ordinateurs

Imprimantes

Partages

Computers
Contient les ordinateurs du dpartement

Users
Utilisateurs du dpartement

Printers
Contient les imprimantes du dpartement

Server 2008 Active Directory

54

Travail de diplme

Pellarin Anthony

Share
Contient les fichiers et dossiers partags du dpartement

7.6.2 Ralisation :

Admin

Admin

Admin

Admin

Users

Computers

Printers

Share

Create user object

Delete user object

Create group object

Delete group object

Create OU object
Delete OU object
Create Computer object

Delete Computer object

Create Printer object

Delete Printer object

Create Share object

Delete Share object

Reset Password
Tableau 7.1 Autorisations NTFS accordes aux comptes administrateurs dlgus

Server 2008 Active Directory

55

Travail de diplme

Pellarin Anthony

Admin
GDA

Helpdesk

Scnario_2
Create user object

Delete user object

Create group object

Delete group object

Create OU object

Delete OU object

Create Computer object

Delete Computer object
Create Printer object
Delete Printer object
Create Share object
Delete Share object
Reset Password

Tableau 7.6 Autorisations NTFS accordes aux comptes administrateurs dlgus (suite)

Server 2008 Active Directory

56

Travail de diplme

Pellarin Anthony
Admin

Admin

Admin

Admin

Users

Computers

Printers

Share

Read Admins OU

Write Admins OU

Read Computers OU

Write Computers OU

Read Users OU

Write Users OU

Read Printers OU

Write Printers OU

Read Share OU

Write Share OU

Tableau 7.7 Accs et autorisations aux diffrentes OU

Admin
GDA

Helpdesk

Scnario_2
Read Admins OU

Write Admins OU

Read Users OU

Write Users OU

Read Computers OU
Write Computers OU

Read Printers OU
Write Printers OU
Read Share OU
Write Share OU
Tableau 7.8 Accs et autorisations aux diffrentes OU (suite)

Server 2008 Active Directory

57

Travail de diplme

Pellarin Anthony

7.7 Audit
Lorsque lon dlgue une tche administrative un utilisateur, on veut par exemple
pouvoir contrler ses actions, vrifier que lutilisateur ne fait pas des manipulations
quil ne devrait pas et en cas derreur dans lannuaire, comme par exemple des
privilges accords un groupe incorrect, pouvoir vrifier qui fait lerreur.
Pour contrler les actions effectues sur lannuaire, on va donc utiliser les logs. Ces
logs sont visibles dans longlet Event Viewer accessibles sur la page principale
des rles du serveur.

Figure 7.24 Event Viewer

Lorsquune action que lon aura configure comme tant auditer sera effectue,
une trace de cette action sera inscrite dans longlet Security , dans Windows
Logs .

Figure 7.25 onglet Security

Server 2008 Active Directory

58

Travail de diplme

Pellarin Anthony

On peut auditer par exemple les vnements suivants :

Cration dun utilisateur
Modification des privilges dun utilisateur
Rinitialisation du mot de passe dun utilisateur

Pour activer laudit dans Windows Server 2008 :

1. Allez dans les Administrative Tools , dans Local Security Policy

2. Dveloppez larborescence Local Policies puis allez dans Audit

Policy . Dans cet onglet sont listes toutes les actions que lon peut auditer.
Dans notre cas, nous allons auditer les actions effectues sur lannuaire.

Figure 7.26 Audit Policy

Server 2008 Active Directory

59

Travail de diplme

Pellarin Anthony

3. Allez dans les prfrences de la police intitule Audit directory service

access et cochez les cases Success et Failure .

Figure 7.27 Proprits de la police daudit

Aprs avoir valid les modifications, on constate que laudit est maintenant activ. Si
une modification sur lannuaire est effectue avec succs ou non, une trace sera
inscrite dans les logs.

Server 2008 Active Directory

60

Travail de diplme

Pellarin Anthony

Figure 7.28 Audit activ

Maintenant que lon a activ laudit, il faut encore dire quels sont les objets que lon
veut auditer. Dans les proprits de lobjet que lon veut auditer, on va rajouter une
rgle disant quels sont les actions que lon veut contrler.
Pour activer laudit sur une OU :

1. Faites un clic droit sur lOU que vous voulez auditer et allez dans les
proprits de celle-ci. Rendez vous dans longlet Security et appuyer
sur le bouton Advanced .

2. Allez dans longlet Auditing . Vous pouvez ici mettre les rgles sur les
actions que vous voulez auditer.
Par exemple pour auditer la cration dun utilisateur dans lOU, appuyez
sur le bouton Add , choisissez quels sont les utilisateurs dont laction
doit tre audite, choisissez par exemple Everyone pour auditer toute
cration dutilisateur.

Server 2008 Active Directory

61

Travail de diplme

Pellarin Anthony

Figure 7.29 Utilisateurs auditer

3. Ensuite vous devez slectionnez les actions auditer. Pour notre exemple,
on va auditer la cration dun utilisateur dans lOU. Dans Apply onto ,
slectionnez This object and all descendant objects si vous voulez
auditer aussi toutes les sous-OU. Cochez alors la case Create User
objects .

Figure 7.30 Actions auditer

Server 2008 Active Directory

62

Travail de diplme

Pellarin Anthony

Maintenant, chaque fois quun utilisateur sera cre dans lOU o lon a cre la rgle
une trace de cet ajout sera inscrit dans les logs du serveur.

Voici un exemple dun log cre aprs la cration dun utilisateur :

Figure 7.31 Log cre aprs la cration dun utilisateur

Cette fentre renseigne sur :

Lutilisateur et lordinateur qui gnr lvnement
Lactions qui gnr lvnement
La catgorie du log

lID de lvnement

Divers informations complmentaires sur laction ralise

Server 2008 Active Directory

63

Travail de diplme

Pellarin Anthony

Voila les informations gnres dans le log suite lajout dun utilisateur

----------------------------------------------------------------------------------------------------------------An operation was performed on an object.

Subject :
Security ID:
Account Name:
Account Domain:
Logon ID:

APEIG\u1
u1
APEIG
0x3b174e

Object:
Object Server:
Object Type:

DS
organizationalUnit

Object Name:
OU=Users,OU=Dpartement_1,OU=Dpartements,OU=Scnario_2,DC=apeig
,DC=ch
Handle ID:

0x0

Operation:
Operation Type:
Accesses:

Object Access
Create Child

Access Mask:
Properties:

0x1
Create Child

Additional Information:
Parameter 1:
cn=Jean,OU=Users,OU=Dpartement_1,OU=Dpartements,OU=Scnario_2,
DC=apeig,DC=ch
-----------------------------------------------------------------------------------------------------------------

Server 2008 Active Directory

64

Travail de diplme

Pellarin Anthony

8. Gestion dAD par ligne de commandes

Dans ce travail, la gestion de lannuaire t effectue grce linterface graphique
de Windows. Mais toutes les tches ralises comme par exemple lajout dun
utilisateur ou encore la rinitialisation dun mot de passe peuvent aussi tre
effectues en utilisant des commandes en lignes de textes.
Cette solution permet dautomatiser un grand nombre de tche dadministrations
grce des scripts.
Pour administrer lAD sans interface GUI, il existe 2 solutions :
Linvite de commande de Windows
PowerShell

8.1 Invite de commandes

Linvite de commande est prsente par dfaut dans Windows. Elle est accessible en
excutant le programme CMD.EXE . Elle permet par exemple dinterroger le
systme, de lancer des programmes en ayant la possibilit de passer des
paramtres, ou encore dans notre cas dadministrer lannuaire AD.

Figure 8.1 Invite de commandes

Server 2008 Active Directory

65

Travail de diplme

Pellarin Anthony

Il existe donc plusieurs commandes nous permettant deffectuer les diffrentes

tches dadministration dans lannuaire AD.

Csvde
Importer et exporter des donnes AD

Dsadd
Ajouter des utilisateurs, des groupes, des ordinateurs, des contacts et des OU

Dsmod
Modifier un objet de lannuaire

Dsrm
Supprimer des objets de lannuaire

Dsmove
Renommer un objet ou modifier lemplacement dun objet au sein dun seul
contrleur de domaine

Dsquery
Rechercher un objet dans lannuaire

Dsget
Afficher les attributs dun objet

Ldifde
Crer, modifier et supprimez des objets dannuaire

Server 2008 Active Directory

66

Travail de diplme

Pellarin Anthony

Ntdsutil
Outil de gestion gnraliste dAD. Peut tre utilise pour par exemple excuter
la maintenance de la base de donnes d'AD

Dsacls
Permet de grer les ACL de l'annuaire AD

Exemple de cration dun utilisateur Jean dans lOU Users :

----------------------------------------------------------------------------------------------------------------Dsadd user cn=Jean,cn=Users,dc=apeig,dc=ch samID Jean pwd
p@assword1 disable no
-----------------------------------------------------------------------------------------------------------------

Exemple de l'ajout de la permissions "Jean" de crer un utilisateur dans l'OU

"Exemples"
----------------------------------------------------------------------------------------------------------------Dsacls "OU=Exemples,DC=apeig,DC=ch" /G apeig.ch\Jean:CC;user;
----------------------------------------------------------------------------------------------------------------/G : signifie que l'on veut ajouter une permission
CC;user : reprsente la permission "Create User objects"

Il ya encore beaucoup de paramtres que lon peut ajouter pour configurer tous les
champs de lutilisateur. 9

Pour avoir des informations dtailles sur les commandes pour ladministration dAD et les
paramtres possibles :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/59bec07601fe-4d09-8b4b-296e7fa9c557.mspx?mfr=true

Server 2008 Active Directory

67

Travail de diplme

Pellarin Anthony

8.2 PowerShell
PowerShell est une interface en ligne de commande comme linvit de
commande de Windows. La diffrence entre les deux est que PowerShell offre
beaucoup plus de fonctionnalits en matire dadministration.
On peut enregistrer les commandes excuter dans des fichiers de scripts pour
automatiser ladministration. Les scripts sont des fichiers textes standards que lon
peut lire avec nimporte quel diteur de texte. Ces fichiers textes ont lextension
.ps1 .

Figure 8.2 Interface de PowerShell

Toutes les tches dadministration effectues dans lannuaire AD en utilisant

linterface graphique comme la cration de groupes, dutilisateurs par exemple,
peuvent tre effectues par des commandes dans PowerShell.
Dans Windows Server 2008, PowerShell est directement intgr au systme
dexploitation.

Server 2008 Active Directory

68

Travail de diplme

Pellarin Anthony

Pour utiliser PowerShell :

1. Sur linterface Server Manager , dans Features Summary cliquez

sur Add Features .

Figure 8.3 Cliquez sur Add Features

2. Dans la fentre qui souvre, cochez Windows PowerShell , cliquez sur

Next et ensuite Install .

Figure 8.4 Assistant dajout de composant

Server 2008 Active Directory

69

Travail de diplme

Pellarin Anthony

Exemple de cration dun utilisateur dans une OU Exemples :

----------------------------------------------------------------------------------------------------------------$objContainer = [ADSI]LDAP://ou=Exemples,dc=apeig,dc=ch
$objUser = $objContainer.Create(user,cn=Jean)
$objUser.Put(sAMAccountName, "Jean")
$objUser.Put(description, "Utilisateur Jean")

$objUser.SetInfo()
$objUser.psbase.InvokeSet(Accountdisabled,$false)
$objUser.psbase.CommitChanges()
-----------------------------------------------------------------------------------------------------------------

$objContainer est lemplacement de lOU o lon veut crer lutilisateur

$objUser est lobjet reprsentant lutilisateur
o Le premiere parametre user signifie que lon veut crer un
utilisateur
o Le second cn=Jean represente le nom que lon veut donner
lutilisateur
$objUser.Put va nous permettre de configurer les champs de lutilisateur
o Nom
o Adresse
o Description
$objUser.psbase.InvokeSet(Accountdisabled,$false) sert activer le
compte

Server 2008 Active Directory

70

Travail de diplme

Pellarin Anthony

9. Problme rencontrs
Problme 1 : Lutilisateur dlgu ne pouvait pas crer de comptes utilisateurs, ses
privilges taient insuffisants.
Solution 1 : Pour essayer de simplifier larchitecture, les autorisations des
conteneurs par dfaut (Builtin, Users,) avait ts modifis. Pour que les
administrateurs dlgus puissent crer des utilisateurs ou rinitialiser des mots de
passe, il faut laisser les autorisations par dfaut pour les conteneurs pr installs.

Problme 2 : Lorsquun utilisateur dlgu essaie de se loguer sur le serveur, il

reoit un message derreur lui indiquant que la mthode dauthentification utilise
nest pas autorise.
Solution 2 : Si on dcide de ne pas utiliser les comptes par dfaut, il ne faut pas
oublier dautoriser les groupe que lon a cre dans lequel on a mis les utilisateurs de
pouvoir se loguer localement sur la machine en modifiant les polices de scurit du
serveur.

Server 2008 Active Directory

71

Travail de diplme

Pellarin Anthony

10. Conclusion
La dlgation dadministration est donc une fonctionnalit trs utile dans Active
Directory. Elle permet aux entreprises de concevoir une architecture dont
ladministration peut tre rpartie entre plusieurs utilisateurs. Chaque dpartement
peut avoir ses propres administrateurs pour ses diffrents objets.
On constate que lon peut dlguer ladministration de pratiquement nimporte quelle
tche et de nimporte quel objet :

Tous les attributs dun utilisateur peuvent tre modifis indpendamment par
plusieurs administrateurs dlgus
o Name
o Adresse
o Account Logon

Chaque OU peut tre administre par un utilisateur diffrent

o Cration/Modification/Suppression dutilisateurs
o Modification des permissions de lOU

On peut attribuer des niveaux de privilge diffrent aux utilisateurs

o Read/Write
o Read

Les rles du serveur peuvent chacun tre dlgus un utilisateur diffrents

o DNS
o DC

Server 2008 Active Directory

72

Travail de diplme

Pellarin Anthony

Mais, on constate que des risques au niveau de la scurit apparaissent lorsque lon
dlgue le contrle des utilisateurs. Ceux-ci vont donc intervenir sur lannuaire AD,
de ce fait si la configuration de la dlgation nest pas correctement effectue, des
trous au niveau de la scurit apparaissent en offrant par exemple la possibilit un
utilisateur malveillant daltrer les informations prsentes dans lannuaire AD.
Le principe du moindre privilges doit donc pouvoir tre respect en sassurant quun
utilisateur charg dune tche prcise comme par exemple la gestion des comptes
utilisateurs ne puisse pas effectuer dautre modifications dans lannuaire ou le
serveur comme par exemple modifier les polices de scurit.

On a la possibilit dutiliser les groupes par dfaut cres lors de linstallation avec des
autorisations prconfigures ou utiliser ses propres groupes pour avoir une
configuration plus personnalise de lannuaire AD et pouvoir grer les droits
accords aux groupe de manire plus prcise.
Toute la dlgation de contrle est donc base sur les autorisations NTFS. Que lon
utilise lassistant de dlgation qui va simplifier la mise en place des tches que
lutilisateur va pouvoir excuter ou que lon modifie les autorisations manuellement,
au final, le rsultat est le mme.

Toutes les oprations ont ts ralise sur Windows Server 2008 , mais toute la
procdure ralise peut tre fait de manire identique sur Windows Server 2003 .
La dlgation de contrle na donc subi aucune modification dans la nouvelle version
de Windows Server.

Avec plus de temps disposition, le scnario aurait pu tre complt avec plus de
tches dlgues par exemple, inclure d'avantages d'organismes pour rpartir de
manire encore plus dtailles les diffrentes tches.

Finalement, cette technique doit donc tre mise en place correctement pour ne pas
mettre en pril la scurit de lannuaire mais si cette opration est bien ralise, la
dlgation de contrle peut devenir une fonctionnalit cl dActive Directory.

Server 2008 Active Directory

73