Windows Server 1.1 : Comprendre les privilèges délégués

Dans un environnement basé sur un domaine, on trouve des groupes à haut niveau de privilèges comme les administrateurs d'entreprise (Enterprise Admins) et les administrateurs de domaine (Domain Admins). Être membre de ces groupes permet d'exécuter à peu près n'importe quelle fonction administrative sur le domaine. Mais dans la vraie vie, on a souvent besoin que des collaborateurs effectuent certaines tâches administratives sans pour autant leur donner ce niveau de pouvoir. On parle alors d'admins « non-admins » : par exemple des techniciens help desk qui doivent réinitialiser des mots de passe, modifier des appartenances de groupe ou créer des comptes utilisateurs et ordinateurs, sans avoir besoin du contrôle complet du domaine.

Windows Server fournit déjà des groupes intégrés avec des droits prédéfinis. Le groupe Account Operators, par exemple, permet de créer, supprimer et gérer des comptes utilisateurs et des groupes. Le problème, c'est que ces groupes intégrés vont souvent trop loin pour le besoin réel. Si je veux qu'une personne puisse créer un compte utilisateur mais pas le supprimer, ni créer un compte ordinateur, le groupe Account Operators ne convient plus : il donne trop de droits d'un coup.

L'assistant de délégation de contrôle

La solution propre est l'assistant de délégation de contrôle d'Active Directory (Delegation of Control Wizard). On part d'un utilisateur ou d'un groupe — par exemple un groupe nommé Help Desk — et on lui délègue très précisément les permissions voulues sur une OU. Par exemple : « les membres du groupe Help Desk peuvent réinitialiser les mots de passe et créer des comptes utilisateurs, mais ne peuvent pas supprimer d'objets ». La suppression doit alors être escaladée au niveau supérieur, conformément à la procédure standard de l'entreprise.

  • Sélection des utilisateurs ou groupes à qui déléguer les droits
  • Sélection des tâches administratives autorisées (tâches pré-définies ou personnalisées)
  • Application de la délégation sur une OU précise pour limiter la portée

La délégation de contrôle est donc un moyen de personnaliser finement qui peut faire quoi dans votre environnement Active Directory. Les tâches courantes sont déjà pré-définies dans l'assistant, il suffit de les attribuer aux bons groupes. Dans un prochain module, cette délégation sera démontrée en pratique, une fois Active Directory installé.

En résumé

Cette leçon explique les privileges delegues dans un environnement Active Directory et Windows Server, montrant comment certains utilisateurs peuvent recevoir des droits administratifs specifiques sans etre administrateurs complets. Elle illustre des cas concrets comme le help desk qui doit reinitialiser les mots de passe et creer des comptes utilisateurs. La delegation de controle permet de personnaliser precisement qui peut faire quoi, appliquant ainsi le principe du moindre privilege pour une meilleure securite.

Points clés

  • Les privileges delegues permettent de donner des droits administratifs specifiques sans accorder tous les privileges d'administrateur de domaine
  • Exemple concret : un utilisateur help desk peut reinitialiser les mots de passe et creer des comptes utilisateurs, mais pas les supprimer
  • Les groupes integres comme Operateurs de comptes offrent des ensembles de droits predefinis adaptes a des roles courants
  • La delegation de controle permet de personnaliser precisement les droits pour chaque groupe d'utilisateurs et ameliore la securite
  • Cette approche applique le principe du moindre privilege, reduisant les risques lies aux exces de droits administratifs

Questions fréquentes

Qu'est-ce qu'une delegation de controle dans Active Directory ?

C'est le processus de donner des droits administratifs specifiques a certains utilisateurs ou groupes, sans leur accorder tous les droits d'administrateur de domaine, permettant une gestion granulaire des permissions.

Quel est l'avantage de deleguer plutot que de faire tous les administrateurs du domaine ?

La delegation permet de personnaliser precisement qui peut faire quoi, ce qui ameliore la securite en appliquant le principe du moindre privilege et reduit les risques d'acces excessif aux systemes.

Qu'est-ce que le groupe Operateurs de comptes ?

C'est un groupe integre dans Windows Server qui a les droits de creer, supprimer et gerer des comptes utilisateurs et des comptes d'ordinateurs.