Professional Documents
Culture Documents
Pellarin Anthony
Travail de diplme
Pellarin Anthony
Introduction ........................................................................................................ 4
1.1
2.
3.
4.
5.
6.
Active Directory.................................................................................................10
3.1
3.2
Objets : .........................................................................................................14
4.2
4.3
4.4
5.2
Autorisations NTFS...........................................................................................26
6.1
6.2
6.2.1
6.2.2
6.3
7.
Chapitres ....................................................................................................... 5
7.2
7.3
Travail de diplme
7.4
9.
7.4.1
7.4.2
7.5
Taskpad........................................................................................................44
7.6
7.7
8.
Pellarin Anthony
7.6.1
Spcification : .....................................................................................52
7.6.2
Ralisation : ........................................................................................55
Audit .............................................................................................................58
8.2
PowerShell ...................................................................................................68
Travail de diplme
Pellarin Anthony
1. Introduction
Le sujet de cette premire partie du travail de diplme propos par la banque prive
Pictet&Cie est bas sur lannuaire Active Directory dans Windows Server
2008 et plus particulirement sur la dlgation de contrle. Cette technique tait
dj prsente dans Windows Server 2003 et Windows Server 2000 .
Elle consiste dlguer ladministration dune ou plusieurs tches dans lannuaire
AD un utilisateur. Elle peut aller de tches simples comme la gestion des comptes
utilisateurs du domaine, des actions plus complexes comme la gestion du
contrleur de domaine.
Cette technique est base sur la gestion des autorisations NTFS en accordant ou
non la permission deffectuer une tche spcifique un utilisateur. Plusieurs tches
dadministrations peuvent tre confies un mme utilisateur et un objet peut tre
administr par plusieurs administrateurs.
Cette technique est utiliser avec prcaution et il faut faire confiance aux utilisateurs
auxquels on donne le droit dintervenir sur lannuaire. Le principe du moindre
privilge est appliquer si lon veut garantir la scurit de lannuaire. Lutilisateur
qui lon confie une tche dadministration ne doit pas pouvoir effectuer dautres
actions sur lannuaire que celles qui lui ont ts confies. Un utilisateur malveillant
pourrait tre tent de corrompre les donnes de lannuaire.
Cette solution est utile par exemple lorsque lon veut isoler ladministration de
plusieurs dpartements, ou lorsque lon veut sparer les tches dadministration
entre plusieurs administrateurs ou encore lorsque le nombre dobjets dans lannuaire
devient important et que les tches dadministration deviennent longues.
Travail de diplme
Pellarin Anthony
1.1 Chapitres
Le chapitre 1 est donc la prsentation du travail de diplme avec une brve
introduction sur le sujet du travail et sur lobjectif de ltude.
Travail de diplme
Pellarin Anthony
Etude thorique des principales fonctions disponibles d'Active Directory ainsi que les
outils disponibles et identification des risques
3 semaines
Travail de diplme
Pellarin Anthony
La version de Windows Server 2008 utilise pour ce travail est la RC0 qui est la
dernire version disponible ce jour :
Travail de diplme
Pellarin Anthony
Server Core
Dans Windows Server 2008, on a maintenant la possibilit dinstaller une
version minimale de Windows. Cette version est dpourvue dinterface
graphique. De cette faon la scurit est amliore puisquon va installer que
le strict minimum utile.
Une installation Server Core permet dutiliser les mmes composantes que
dans la version normale comme le serveur DHCP, DNS ou Active
Directory par exemple.
On administre donc le serveur par des lignes de commande que lon tape
dans une fentre de commande.
Travail de diplme
Pellarin Anthony
Travail de diplme
Pellarin Anthony
3. Active Directory
Active Directory1 est le nom du service d'annuaire (au sens informatique) de
Microsoft. AD permet de regrouper toutes les informations concernant le rseau, que
ce soient les utilisateurs, les machines ou les applications. L'utilisateur peut ainsi
trouver facilement des ressources partages, et les administrateurs peuvent contrler
leurs utilisations grce des fonctionnalits de scurisation des accs aux
ressources rpertories.
AD a pour objectif de permettre la gestion des comptes, des ordinateurs, des
ressources et de la scurit de faon centralise, dans le cadre dun domaine. Un
domaine constitue un ensemble dutilisateurs et de machines dont le contrle est
centralis.
http://www.supinfo-projects.com/fr/2002/decouverte_active_directory/0/
10
Travail de diplme
Pellarin Anthony
fort
domaine.com
domaine2.com
sous2.domaine.com
sous1.domaine.com
projet.sous1.domaine.com
arbre
Dans le cadre du projet, en partant du principe que lon a quun seul domaine, on va
donc avoir une fort compos dun domaine qui sera le domaine racine.
11
Travail de diplme
Pellarin Anthony
Dans ce travail de diplme, toute la dlgation de contrle sera base sur les OU.
Une architecture de test sera cre pour simuler larchitecture dune entreprise.
On va cre ensuite des groupes et des utilisateurs de test que lon va rpartir dans
ces OU en fonction de leur rle.
Des autorisations vont tre finalement appliques aux OU pour accorder ou non aux
utilisateurs prsents dans ces OU des tches dadministrations, comme par exemple
la gestion des utilisateurs, la gestion des ordinateurs de lentreprise ou encore la
gestion du serveur DNS.
Certains utilisateurs peuvent donc avoir plusieurs rles dadministration grer et
lon peut avoir des utilisateurs avec plus ou moins de privilges que dautres.
Certaines pourront par exemple cre de nouveaux utilisateurs alors que dautres ne
pourront que modifier les informations de comptes dj existants.
Il existe beaucoup de scnarios possibles que lon peut appliquer lentreprise. Cela
dpend par exemple du niveau de scurit que lon veut pouvoir garantir, du nombre
dadministrateurs dlgus que lon veut avoir, du nombre de tches dadministration
effectuer ou encore de la complexit de larchitecture de lentreprise.
Je vais prsenter quelques scnarios possibles dans ce travail de diplme.
Pour crer une OU il suffit de faire un clique droit lendroit o lon veut crer lOU et
de faire, New puis de choisir Organizational Unit :
12
Travail de diplme
Pellarin Anthony
Le schma2 Active Directory dcrit toutes les classes ainsi que leurs attributs pour
les diffrents objets que compose le rseau. Un annuaire ne peut stocker que des
entres qui correspondent une classe dobjet dcrite dans le schma AD. Le
schma peut tre modifi pour rpondre plus prcisment ses besoins.
http://msdn2.microsoft.com/en-us/library/ms675085.aspx
13
Travail de diplme
Pellarin Anthony
4.1 Objets :
Dans un annuaire AD, les objets reprsentent les lments du rseau comme les
utilisateurs, les serveurs, etc. LorsquAD doit crer un nouvel objet, il va se baser sur
le schma AD pour crer lobjet et plus prcisment sur les classes dobjets du
schma.
Display-Name
Nom de lutilisateur affich dans AD, gnralement constitu du nom, des
initiales et du prnom
14
Travail de diplme
Pellarin Anthony
15
Travail de diplme
Pellarin Anthony
defaultGroup
Groupe auquel lobjet est associ lors de sa cration
Avec le bouton Add on remarque que lon peut ajouter des attributs.
16
Travail de diplme
Pellarin Anthony
Si on regarde les proprits dun attribut, on voit quil possde plusieurs champs dont
certains que lon peut modifier.
17
Travail de diplme
Pellarin Anthony
18
Travail de diplme
Pellarin Anthony
3. Dans lcran qui apparait, sont lists tous les composants que lon peut
ajouter. Dans notre cas, nous voulons changer le schma. Choisissez alors
Active Directory Schema puis cliquer sur Add > . Le composant est
alors ajout aux composants slectionns. Cliquer enfin sur OK.
19
Travail de diplme
Pellarin Anthony
Global Groups
On utilise souvent ce type de groupe pour rassembler des utilisateurs afin de
simplifier ladministration. Dans ce groupe, on ne peut ajouter que des
utilisateurs faisant partis du mme domaine que le Global Groups cr.
http://technet.microsoft.com/en-us/library/Bb727067.aspx
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1631acadef34-4f77-9c2e-94a62f8846cf.mspx?mfr=true
20
Travail de diplme
Pellarin Anthony
Universal Groups
Ce type de groupe est gnralement utilis lorsque lon veut partager des
ressources entres plusieurs domaines par exemple ou lorsque lon veut
regrouper plusieurs Global Groups entre eux. On peut ajouter des
utilisateurs de nimporte quel domaine ce groupe.
Dans ce projet, lutilisation de groupes universelle est inutile tant donn que
lon a quun seul domaine.
Les diffrents groupes cres sont rassembls dans 2 containers diffrents, le premier
est le container Builtin et le second Users .
Je vais dans le chapitre suivant juste prsenter ces deux groupes sachant que dans
mon travail je nai pas utilis ces groupes prinstalls.
Jai utilis des groupes que jai cre moi-mme pour une avoir une architecture plus
personnalise et grer de la faon que je veux, les diffrentes autorisations
accordes aux groupes et utilisateurs.
21
Travail de diplme
Pellarin Anthony
Administrators :
Ce groupe possde le contrle total des contrleurs de domaine, il est donc utilis
avec prcaution. Ce groupe contient le compte Administrator et les groupes
Domain Admins et Enterprise Admins .
22
Travail de diplme
Pellarin Anthony
Account Operators :
Ce groupe permet de configurer tous les objets de la fort comme par exemple les
utilisateurs, les ordinateurs et les groupes (ajout, modification, suppression) mais il
ne permet pas de modifier le groupe Administrators , Domain Admin ainsi que
lOU Domain Controllers .
Backup Operators :
Les membres de ce groupe peuvent sauvegarder et restaurer les fichiers des
contrleurs de domaine.
Print Operators :
Les membres de ce groupe ont la gestion des imprimantes du rseau.
Server Operators :
Les membres qui font partis de ce groupe nont que des privilges simples de
maintenance, ils ont la possibilit de lire les informations du domaine et de cre des
ressources partages par exemple.
Users :
Dans ce groupe se trouve les utilisateurs. Ceux-ci sont autoriss effectuer des
tches courantes, comme lancer certaines applications, utiliser des imprimantes mais
nont aucune droits de modification du contrleur de domaine.
Guest :
Ce groupe est gnralement utilis pour accueillir des utilisateurs temporaires avec
des droits restreins. Un profil est cre temporairement lorsque lutilisateur ouvre une
session et est supprim lorsque lutilisateur ferme la session.
23
Travail de diplme
Pellarin Anthony
Domain Admins :
Les utilisateurs de ce groupe ont un contrle total sur le domaine. Ce groupe est
automatiquement ajout au groupe des administrateurs correspondant dans chacun
des domaines.
24
Travail de diplme
Pellarin Anthony
DnsAdmins :
Les membres de ce groupe sont chargs de la configuration des serveurs DNS du
rseau.
Domain Computers :
Ce groupe contient la liste des ordinateurs du domaine.
Domain Guests :
Ce groupe contient la liste des utilisateurs invits du domaine.
Domain Users :
Ce groupe contient la liste des utilisateurs du domaine.
Enterprise Admins :
Les membres de ce groupe ont un accs complet sur la configuration de tous les
contrleurs de domaine de la fort AD.
Schema Admins :
Ce groupe permet aux utilisateurs de modifier le schma AD.
25
Travail de diplme
Pellarin Anthony
6. Autorisations NTFS
6.1 Systme de fichier NTFS
NTFS (New Technology File System)5 est le systme de fichiers utilis par la famille
NT, cest-a-dire Windows NT, 2000, XP et Vista. Il est le remplaant de lancien
systme de fichiers FAT qui tait prsent dans les anciennes versions de Windows
comme Windows 95, 98 et ME.
http://technet2.microsoft.com/windowsserver/en/library/59a9462a-cbdd-45e7-828b12c6cd9ae4781033.mspx?mfr=true
Document dtaill sur NTFS : http://www.mp-arpajon.ac-versailles.fr/IMG/pdf/Autorisations_NTFS.pdf
26
Travail de diplme
Pellarin Anthony
Avec le systme NTFS on va pouvoir donner des permissions daccs aux fichiers et
aux dossiers ainsi que des actions possibles sur ceux-ci comme par exemple,
lcriture ou la suppression.
Un fichier stock sur une partition NTFS comporte une liste de contrle daccs
discrtionnaire (DACL)6 qui rpertorie les utilisateurs et les groupes autorises
accder la ressource ainsi que les privilges possibles sur cette ressource.
Les utilisateurs et les groupes qui composent cette DACL sont appels entres de
contrle daccs (ACE)7.
Les autorisations NTFS disponibles sont rpertories sous longlet Security dans
les proprits de lobjet.
http://msdn2.microsoft.com/en-us/library/aa374872.aspx
http://msdn2.microsoft.com/en-us/library/Aa374868.aspx
27
Travail de diplme
Pellarin Anthony
28
Travail de diplme
Pellarin Anthony
29
Travail de diplme
Pellarin Anthony
30
Travail de diplme
Pellarin Anthony
31
Travail de diplme
Pellarin Anthony
Pour dlguer des tches dadministration8 des utilisateurs, on va donc modifier les
autorisations NTFS (lies lannuaire AD) de ceux-ci pour leurs accorder ou non des
privilges sur les objets de lannuaire. Cette dlgation permet dappliquer le principe
du moindre privilge en ne donnant que les privilges ncessaire un
administrateur. De cette faon on rduit le risque derreur non volontaire dans
lannuaire qui peut dans certains cas, avoir un impact important.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/60096a048494-4551-bfd6-3aebadddc3fe.mspx?mfr=true
Best Practices for Delegating AD Administration: http://go.microsoft.com/fwlink/?linkid=22707
Scurisation des groupes dadministration :
http://www.microsoft.com/france/technet/securite/sec_ad_admin_groups.mspx
32
Travail de diplme
Pellarin Anthony
33
Travail de diplme
Pellarin Anthony
34
Travail de diplme
Pellarin Anthony
35
Travail de diplme
Pellarin Anthony
2. Sur le premier cran qui apparat cliquez sur Next , vous arrivez ensuite
sur la fentre sur laquelle vous devez ajouter les comptes auxquelles vous
voulez dlguer le contrle. Pour ajouter un compte, appuyer sur le bouton
Add .
36
Travail de diplme
Pellarin Anthony
4. Sur cet cran vous allez choisir les actions que vont pouvoir excuter les
administrateurs. Slectionner les actions autorises en cochant les cases et
ensuite cliquez sur Next
Pour donner des privilges avancs, Slectionner Create a custom task to
delegate et cliquez sur Next .
37
Travail de diplme
Pellarin Anthony
5. Finalement sur le dernier cran, vous trouvez un rsum des choix effectus.
Si cela correspond la configuration souhaite, cliquez sur Finish pour
terminer lassistant.
38
Travail de diplme
Pellarin Anthony
Aprs avoir effectu la dlgation grce lassistant, celui-ci a donc cre les
autorisations NTFS ncessaire pour correspondre la configuration indique dans
lassistant.
Voici un exemple dautorisations NTFS cres par lassistant si on slectionne la
Figure 7.6 Create, delete and manage user accounts .
39
Travail de diplme
Pellarin Anthony
Mais on peut, avec lassistant, assigner des tches plus spcifiques en allant dans
les tches personnalises.
A partir de l, on a le choix dabord dattribuer les autorisations tous les objets du
conteneur ou seulement un type prcis dobjet comme les utilisateurs ou les
imprimantes par exemple.
Lorsque ce choix est fait, on va alors pouvoir choisir le type dautorisation que lon
veut attribuer avec une granularit beaucoup plus grande comme par exemple :
Choisir quels sont les proprits dun objet que lon va pouvoir lire/modifier
Nom
Adresse
Description
40
Travail de diplme
Pellarin Anthony
1. Par dfaut on ne peut pas accder aux autorisations NTFS, il faut donc
dabord aller dans longlet View et cocher Advanced Features .
41
Travail de diplme
Pellarin Anthony
42
Travail de diplme
Pellarin Anthony
4. Lorsque vous tes satisfaits des rglages, cliquez sur OK pour appliquer
les modifications.
43
Travail de diplme
Pellarin Anthony
7.5 Taskpad
Lorsque lon doit modifier les proprits dun objet, il faut parcourir larborescence de
lannuaire pour arriver lendroit o lon veut effectuer les modifications, choisir
lobjet modifier et effectuer les modifications.
Pour faciliter ladministration de lannuaire AD et laccs aux objets, on peut installer
une Taskpad View que lon va placer dans une OU de son choix et qui va
permettre dafficher toutes les actions possibles sur les objets contenus dans cette
OU. Les diffrentes actions affiches vont devoir tre configures.
Pour afficher une Taskpad View sur une OU :
1. Faites Start puis Run et lancer la console MMC . Ajouter le
composant enfichable Active Directory Users and Computers . Vous
avez donc larchitecture de votre annuaire AD.
44
Travail de diplme
Pellarin Anthony
2. Slectionnez lOU sur laquelle vous voulez ajouter la Taskpad View , puis
faites un clic droit sur celle-ci et slectionnez New Taskpad View pour
lancer lassistant.
3. Dans le premier cran cliquer sur Next , ensuite vous arriver sur un cran
sur lequel vous pouvez choisir la disposition de la Taskpad (horizontale,
verticale,) et si vous voulez voir apparaitre explicitement la description de la
tche que vous pouvez effectuer. Cliquer sur Next lorsque vous avez fait
votre choix.
45
Travail de diplme
Pellarin Anthony
4. Sur cet cran, vous devez choisir si vous voulez que la Taskpad apparaisse
seulement sur lOU que vous avez slectionne ou sur toutes les OU de
lannuaire.
46
Travail de diplme
Pellarin Anthony
6. Dans lcran suivant, vous allez devoir slectionner la tche que vous voulez
effectuer. Dans la fentre de gauche se trouve les OU sur lequel vous pouvez
effectuer une tche et sur la fentre de droite, les tches disponibles.
On constate que ces tches ressemblent aux actions disponibles dans
lassistant de dlgation de contrle. Cest normal puisque en fait ce sont les
mmes actions savoir par exemple, lajout dun utilisateur ou dun groupe.
Les actions disponibles sont celles que lont aurait en faisant un clic droit sur
lOU slectionne. Cliquez sur Next lorsque vous avez choisi laction.
47
Travail de diplme
Pellarin Anthony
7. Ensuite, sur lcran suivant, vous indiquez le nom et la description que vous
voulez donner la tche slectionne. Cliquez sur Next ensuite.
Sur lcran suivant vous devez slectionnez licne que vous voulez donner
laction. Vous pouvez choisir une icne prinstalle ou une icne
personnalise. Appuyer ensuite sur Next .
48
Travail de diplme
Pellarin Anthony
8. Finalement, sur le dernier cran, vous avez un rsum de ce que vous avez
slectionn. Si cela correspond la configuration souhaite, cliquez sur
Finish pour terminer lassistant.
49
Travail de diplme
Pellarin Anthony
On constate alors quune liste avec les tches que lon peut effectuer est apparu
cot des OU.
Si pendant lassistant, la Figure 7.17, on a slectionn par exemple
New->User , on constate que si on slectionne une OU, on a une icne qui
apparait avec laction slectionner qui par exemple ici nous donne lopportunit de
crer un utilisateur dans lOU.
On peut tout fait rajouter des actions en ditant la Taskpad . Il suffit de faire un
clic droit sur lOU et slectionnez Edit Taskpad View . Allez ensuite sous
longlet Tasks et faites New
50
Travail de diplme
Pellarin Anthony
Pour conserver la configuration cre et pouvoir revenir directement dans lOU dans
laquelle on a cre la Taskpad , on va devoir sauvegarder la console MMC. La
sauvegarde est un fichier avec lextension .msc
Pour faire ceci, dans la console MMC, cliquez sur File , et ensuite Save
As , donnez un nom la sauvegarde et choisissez lendroit o vous voulez
sauvegarder la console. Cliquez sur le bouton Save lorsque vous avez fait votre
choix.
Vous avez donc cre un raccourci la console MMC, qui lorsque vous le lancer, va
directement dans lOU que vous avez slectionn dans lassistant avec la
configuration de la Taskpad que vous avez indiquez.
Si vous quitter la console MMC sans sauvegarder, vous ne perdrez pas les
configurations que vous avez faits au niveau des OU ou des utilisateurs mais par
contre vous perdrez la configuration de la Taskpad que vous avez faite.
51
Travail de diplme
Pellarin Anthony
Les administrateurs du scnario ont les mmes privilges que les responsables
GDA, mais ils peuvent en plus, cre des OU supplmentaires dans l'organisation.
Pour laccs ces ressources, une OU diffrente est cre pour chaque type de
ressource savoir :
Computers
Users
Printers
Share
52
Travail de diplme
Pellarin Anthony
OU Admins :
Admin_Scnario_2
Administrateurs des comptes du scnario avec la possibilit de cre des OU
DC
Administrateurs du contrleur de domaine
DNS
Administrateurs du serveur DNS
53
Travail de diplme
Pellarin Anthony
GDA
Administrateurs des comptes utilisateurs
Helpdesk
Utilisateurs ayant la possibilit de rinitialiser les mots de passes des
utilisateurs
OU Dpartement_X :
Admins
Administrateurs du dpartement X
Comptes
Ordinateurs
Imprimantes
Partages
Computers
Contient les ordinateurs du dpartement
Users
Utilisateurs du dpartement
Printers
Contient les imprimantes du dpartement
54
Travail de diplme
Pellarin Anthony
Share
Contient les fichiers et dossiers partags du dpartement
7.6.2 Ralisation :
Admin
Admin
Admin
Admin
Users
Computers
Printers
Share
Create OU object
Delete OU object
Create Computer object
Reset Password
Tableau 7.1 Autorisations NTFS accordes aux comptes administrateurs dlgus
55
Travail de diplme
Pellarin Anthony
Admin
GDA
Helpdesk
Scnario_2
Create user object
Create OU object
Delete OU object
Tableau 7.6 Autorisations NTFS accordes aux comptes administrateurs dlgus (suite)
56
Travail de diplme
Pellarin Anthony
Admin
Admin
Admin
Admin
Users
Computers
Printers
Share
Read Admins OU
Write Admins OU
Read Computers OU
Write Computers OU
Read Users OU
Write Users OU
Read Printers OU
Write Printers OU
Read Share OU
Write Share OU
Admin
GDA
Helpdesk
Scnario_2
Read Admins OU
Write Admins OU
Read Users OU
Write Users OU
Read Computers OU
Write Computers OU
Read Printers OU
Write Printers OU
Read Share OU
Write Share OU
Tableau 7.8 Accs et autorisations aux diffrentes OU (suite)
57
Travail de diplme
Pellarin Anthony
7.7 Audit
Lorsque lon dlgue une tche administrative un utilisateur, on veut par exemple
pouvoir contrler ses actions, vrifier que lutilisateur ne fait pas des manipulations
quil ne devrait pas et en cas derreur dans lannuaire, comme par exemple des
privilges accords un groupe incorrect, pouvoir vrifier qui fait lerreur.
Pour contrler les actions effectues sur lannuaire, on va donc utiliser les logs. Ces
logs sont visibles dans longlet Event Viewer accessibles sur la page principale
des rles du serveur.
Lorsquune action que lon aura configure comme tant auditer sera effectue,
une trace de cette action sera inscrite dans longlet Security , dans Windows
Logs .
58
Travail de diplme
Pellarin Anthony
59
Travail de diplme
Pellarin Anthony
Aprs avoir valid les modifications, on constate que laudit est maintenant activ. Si
une modification sur lannuaire est effectue avec succs ou non, une trace sera
inscrite dans les logs.
60
Travail de diplme
Pellarin Anthony
Maintenant que lon a activ laudit, il faut encore dire quels sont les objets que lon
veut auditer. Dans les proprits de lobjet que lon veut auditer, on va rajouter une
rgle disant quels sont les actions que lon veut contrler.
Pour activer laudit sur une OU :
1. Faites un clic droit sur lOU que vous voulez auditer et allez dans les
proprits de celle-ci. Rendez vous dans longlet Security et appuyer
sur le bouton Advanced .
2. Allez dans longlet Auditing . Vous pouvez ici mettre les rgles sur les
actions que vous voulez auditer.
Par exemple pour auditer la cration dun utilisateur dans lOU, appuyez
sur le bouton Add , choisissez quels sont les utilisateurs dont laction
doit tre audite, choisissez par exemple Everyone pour auditer toute
cration dutilisateur.
61
Travail de diplme
Pellarin Anthony
3. Ensuite vous devez slectionnez les actions auditer. Pour notre exemple,
on va auditer la cration dun utilisateur dans lOU. Dans Apply onto ,
slectionnez This object and all descendant objects si vous voulez
auditer aussi toutes les sous-OU. Cochez alors la case Create User
objects .
62
Travail de diplme
Pellarin Anthony
Maintenant, chaque fois quun utilisateur sera cre dans lOU o lon a cre la rgle
une trace de cet ajout sera inscrit dans les logs du serveur.
lID de lvnement
63
Travail de diplme
Pellarin Anthony
Voila les informations gnres dans le log suite lajout dun utilisateur
APEIG\u1
u1
APEIG
0x3b174e
Object:
Object Server:
Object Type:
DS
organizationalUnit
Object Name:
OU=Users,OU=Dpartement_1,OU=Dpartements,OU=Scnario_2,DC=apeig
,DC=ch
Handle ID:
0x0
Operation:
Operation Type:
Accesses:
Object Access
Create Child
Access Mask:
Properties:
0x1
Create Child
Additional Information:
Parameter 1:
cn=Jean,OU=Users,OU=Dpartement_1,OU=Dpartements,OU=Scnario_2,
DC=apeig,DC=ch
-----------------------------------------------------------------------------------------------------------------
64
Travail de diplme
Pellarin Anthony
65
Travail de diplme
Pellarin Anthony
Csvde
Importer et exporter des donnes AD
Dsadd
Ajouter des utilisateurs, des groupes, des ordinateurs, des contacts et des OU
Dsmod
Modifier un objet de lannuaire
Dsrm
Supprimer des objets de lannuaire
Dsmove
Renommer un objet ou modifier lemplacement dun objet au sein dun seul
contrleur de domaine
Dsquery
Rechercher un objet dans lannuaire
Dsget
Afficher les attributs dun objet
Ldifde
Crer, modifier et supprimez des objets dannuaire
66
Travail de diplme
Pellarin Anthony
Ntdsutil
Outil de gestion gnraliste dAD. Peut tre utilise pour par exemple excuter
la maintenance de la base de donnes d'AD
Dsacls
Permet de grer les ACL de l'annuaire AD
Il ya encore beaucoup de paramtres que lon peut ajouter pour configurer tous les
champs de lutilisateur. 9
Pour avoir des informations dtailles sur les commandes pour ladministration dAD et les
paramtres possibles :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/59bec07601fe-4d09-8b4b-296e7fa9c557.mspx?mfr=true
67
Travail de diplme
Pellarin Anthony
8.2 PowerShell
PowerShell est une interface en ligne de commande comme linvit de
commande de Windows. La diffrence entre les deux est que PowerShell offre
beaucoup plus de fonctionnalits en matire dadministration.
On peut enregistrer les commandes excuter dans des fichiers de scripts pour
automatiser ladministration. Les scripts sont des fichiers textes standards que lon
peut lire avec nimporte quel diteur de texte. Ces fichiers textes ont lextension
.ps1 .
68
Travail de diplme
Pellarin Anthony
69
Travail de diplme
Pellarin Anthony
$objUser.SetInfo()
$objUser.psbase.InvokeSet(Accountdisabled,$false)
$objUser.psbase.CommitChanges()
-----------------------------------------------------------------------------------------------------------------
70
Travail de diplme
Pellarin Anthony
9. Problme rencontrs
Problme 1 : Lutilisateur dlgu ne pouvait pas crer de comptes utilisateurs, ses
privilges taient insuffisants.
Solution 1 : Pour essayer de simplifier larchitecture, les autorisations des
conteneurs par dfaut (Builtin, Users,) avait ts modifis. Pour que les
administrateurs dlgus puissent crer des utilisateurs ou rinitialiser des mots de
passe, il faut laisser les autorisations par dfaut pour les conteneurs pr installs.
71
Travail de diplme
Pellarin Anthony
10. Conclusion
La dlgation dadministration est donc une fonctionnalit trs utile dans Active
Directory. Elle permet aux entreprises de concevoir une architecture dont
ladministration peut tre rpartie entre plusieurs utilisateurs. Chaque dpartement
peut avoir ses propres administrateurs pour ses diffrents objets.
On constate que lon peut dlguer ladministration de pratiquement nimporte quelle
tche et de nimporte quel objet :
Tous les attributs dun utilisateur peuvent tre modifis indpendamment par
plusieurs administrateurs dlgus
o Name
o Adresse
o Account Logon
72
Travail de diplme
Pellarin Anthony
Mais, on constate que des risques au niveau de la scurit apparaissent lorsque lon
dlgue le contrle des utilisateurs. Ceux-ci vont donc intervenir sur lannuaire AD,
de ce fait si la configuration de la dlgation nest pas correctement effectue, des
trous au niveau de la scurit apparaissent en offrant par exemple la possibilit un
utilisateur malveillant daltrer les informations prsentes dans lannuaire AD.
Le principe du moindre privilges doit donc pouvoir tre respect en sassurant quun
utilisateur charg dune tche prcise comme par exemple la gestion des comptes
utilisateurs ne puisse pas effectuer dautre modifications dans lannuaire ou le
serveur comme par exemple modifier les polices de scurit.
On a la possibilit dutiliser les groupes par dfaut cres lors de linstallation avec des
autorisations prconfigures ou utiliser ses propres groupes pour avoir une
configuration plus personnalise de lannuaire AD et pouvoir grer les droits
accords aux groupe de manire plus prcise.
Toute la dlgation de contrle est donc base sur les autorisations NTFS. Que lon
utilise lassistant de dlgation qui va simplifier la mise en place des tches que
lutilisateur va pouvoir excuter ou que lon modifie les autorisations manuellement,
au final, le rsultat est le mme.
Toutes les oprations ont ts ralise sur Windows Server 2008 , mais toute la
procdure ralise peut tre fait de manire identique sur Windows Server 2003 .
La dlgation de contrle na donc subi aucune modification dans la nouvelle version
de Windows Server.
Avec plus de temps disposition, le scnario aurait pu tre complt avec plus de
tches dlgues par exemple, inclure d'avantages d'organismes pour rpartir de
manire encore plus dtailles les diffrentes tches.
Finalement, cette technique doit donc tre mise en place correctement pour ne pas
mettre en pril la scurit de lannuaire mais si cette opration est bien ralise, la
dlgation de contrle peut devenir une fonctionnalit cl dActive Directory.
73