Active Directory: La gestion des SIDs (fr-FR)
SID (Security Identifier) est un identifiant unique qu’Active Directory utilise pour identifier les objections en tant que security principal. Il est maintenu dans chaque domaine Active Directory et n’est jamais réutilisé.
Comment est généré le SID dans Active Directory? ** **
Chaque domaine Active Directory a un identifiant unique nommé Domain SID. Cet identifiant est utilisé pour générer les SIDs pour les security Principals au sein de ce domaine. En fait, un security Principal SID dans un domain Active Directory est composé d’un security principal domain SID comme préfixe et d’un RID (Relative Identifier) comme suffixe:
Pour obtenir le SID de votre domaine, vous pouvez utiliser la commande Powershell suivante Powershell:
import-module activedirectory
(Get-ADDomain).DomainSID.value
Example de résultat: S-1-5-21-453406510-812318184-4183662089
Pour obtenir un Active Directory security principal SID, vous pouvez lancer les commandes Powershell suivantes (Vous devez remplacer “Domain” par le nom NetBIOS de votre domaine et “SecPrin_sAMAccountName” par le sAMAccountName de votre security principal):
$Secprin = New-Object System.Security.Principal.NTAccount(“Domain”, “SecPrin_sAMAccountName”)
$strSID = $Secprin.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
**Example de résultat: **S-1-5-21-453406510-812318184-4183662089-62424
Comment les RIDs sont gérés dans Active Directory?
** **
Les RIDs sont gérés dans chaque domaine Active Directory par le maître RID. Ceci est unDomain Controller qui alloue une plage de RIDs pour chaque contrôleur de domaine se trouvant dans le même domaine Active Directory. Par défaut, une plage RID contient 500 RIDs mais cette valeur peut être augmentée.
Chaque contrôleur de domaine dans un domaine Active Directory utilise des RIDs qui est allouée par le maître des opéarations RID pour créer les nouveaux security Principals. Le maître RID guarantit que chaque plage des RIDs est unique et que les RIDs ne sont jamais reutilizes. Pour cette raison, les Security Identifiers sont toujours uniques et jamais réutilisés.
L’allocation des RIDCs sur un serveur contrôleur du domaine peut être vérifiée en lançant la commande suivante :
dcdiag.exe /test:ridmanager /v
Comment protéger votre Active Directory contre l’épuisement des plages des RIDs:
Pourquoi les SIDs ne sont jamais réutilisés?
** **
Les SIDs ne doivent jamais être réutilisés afin de garantir l’unicité d’un Security Principal dans un domain Active Directory et la réutilisation se terminera par des problèmes de sécurité
Il n’est pas sécurisé de réutiliser les SIDs vu que cette pratique peut donner des accès non autorisés à des systèmes qui donnent des accès en se basant sur les SIDs.
Ci-dessous un exemple qui explique à quel point la réutilisation d’un SID peut être dangereuse :
Supposons que nous avons un dossier partagé pour le département Finance dans la société CONTOSO. Un employé John SMITH a le contrôle total de ce dossier qui contient des informations classées confidentielles.
John SMITH A quitté l’entreprise et son compte AD a été supprimé. Sur le dossier partagé, la permission donnée à John SMITH permission ne sera pas supprimée automatiquement et le dossier va mentionner que John Smith dispose toujours de ses droits.
Si Active Directory autorisait la réutilisation des SIDs alors un autre security Principal peut avoir le meme SID que John Smith étant donné qu’il est disponible. Si cette condition était vraie alors le nouveau security Principal va automatiquement avoir le contrôle total sur dossier de la Finance alors que ceci ne doit jamais se produire.
Pour cette raison, Active Directory ne réutilise jamais les SIDs.
Combien de SIDs un security Principal peut avoir?
** **Par défaut, un security Principal possède un SID unique. Dans les situations où un security Principal a été migré d’un domain à un autre, le security Principal peut garder ses anciens SIDs (SID History) pour garder les accès aux anciennes ressources durant la transition. Ceci est faisable en utilisant des outils tel que ADMT (Active Directory Migration tool).
Où sont **stockés **les SIDs dans Active Directory?
Les SIDs sont stockés dans deux attributs:
- objectSid: Ceci est le security Principal SID qui est généré pendant la création de l’objet
- **sIDHistory: **Ces SIDs sont ceux migrés des anciens domaines (SID History)
Autres langues
Cet article est disponible dans d'autres langues.