Implémenter des privilèges délégués

Effectué

Vous étudiez le rapport produit pour Contoso par une firme de spécialistes de la sécurité informatique. Vous vous rendez compte que les comptes d’utilisateur qui sont membres de groupes à privilèges élevés, tels que les administrateurs d’entreprise et les administrateurs de domaine, ont un accès complet à tous les systèmes et données. Vous reconnaissez que ces comptes doivent être étroitement protégés.

Toutefois, certains utilisateurs nécessitent certains droits d’administrateur pour effectuer leurs tâches. Par exemple, le personnel du support technique doit être en mesure de réinitialiser les mots de passe et de déverrouiller les comptes pour les utilisateurs ordinaires, tandis que certains membres du personnel informatique sont responsables de l’installation d’applications sur des clients ou des serveurs, ou de l’exécution de sauvegardes.

Bien que les serveurs Active Directory et de membres possèdent des groupes intégrés ayant des privilèges prédéterminés affectés, tels que les opérateurs de sauvegarde et les opérateurs de compte, ceux-ci peuvent ne pas répondre à vos besoins. Vous devez maintenant déterminer la meilleure façon de fournir cet accès administratif limité.

Utiliser l’Assistant Délégation de contrôle

Le privilège délégué offre un moyen d’accorder une autorité limitée aux utilisateurs ou groupes spécifiés. Vous pouvez déléguer des privilèges plus granulaires à des utilisateurs ou des groupes à l’aide de l'Assistant Délégation de contrôle. L’assistant vous permet d’attribuer des autorisations au niveau du site, du domaine ou de l’unité d’organisation. L’assistant contient les tâches prédéfinies suivantes que vous pouvez attribuer :

• Créer, supprimer et gérer des comptes d’utilisateur.
• Réinitialiser des mots de passe d’utilisateur et obliger la modification du mot de passe à la prochaine ouverture de session.
• Lire toutes les informations d’utilisateur.
• Créer, supprimer et gérer des groupes.
• Modifier l’appartenance à un groupe.
• Joindre un ordinateur au domaine (disponible uniquement au niveau du domaine).
• Gérer les liens de stratégies de groupe.
• Générer le Jeu de stratégie résultant (Planification).
• Générer le Jeu de stratégie résultant (Enregistrement).
• Créer, supprimer et gérer des comptes inetOrgPerson.
• Réinitialiser des mots de passe inetOrgPerson et obliger la modification du mot de passe à la prochaine ouverture de session
• Lire toutes les informations inetOrgPerson.

Vous pouvez également combiner des autorisations pour créer et assigner des tâches personnalisées.

Pour lancer l'Assistant Délégation de contrôle, ouvrez Utilisateurs et ordinateurs Active Directory et recherchez l’unité d’organisation à laquelle vous souhaitez déléguer le contrôle.

Notes

Vous pouvez également déléguer le contrôle à l’objet de domaine.

Conseil

Pour déléguer le contrôle à un site, utilisez l’outil Sites et services Active Directory pour déléguer le contrôle.

Ensuite, utilisez la procédure suivante :

1. Cliquez avec le bouton droit ou activez le menu contextuel sur Unité d’organisation, sélectionnez Déléguer le contrôle, puis sélectionnez Suivant.

2. Dans l'Assistant Délégation de contrôle, sélectionnez l’utilisateur ou le groupe auquel vous souhaitez déléguer le contrôle, puis sélectionnez Suivant.

   Conseil

   Évitez d’attribuer des droits à des utilisateurs spécifiques. Au lieu de cela, utilisez des groupes, même si le groupe contient un seul utilisateur. Cela facilite l’administration continue.

3. Sur la page Tâches à déléguer, effectuez une sélection dans une liste de tâches courantes ou sélectionnez une tâche personnalisée à déléguer. Par exemple, pour déléguer la capacité à gérer les comptes d’utilisateur, sélectionnez les éléments suivants :

   • Créer, supprimer et gérer des comptes d’utilisateur.
   • Réinitialiser des mots de passe d’utilisateur et obliger la modification du mot de passe à la prochaine ouverture de session.
   • Lire toutes les informations d’utilisateur.

4. Sélectionnez Terminer.

Important

Une fois que vous avez attribué l’accès délégué, vous ne pouvez pas utiliser l'Assistant Délégation de contrôle pour passer en revue vos paramètres.

Pour passer en revue les tâches déléguées précédemment configurées :

1. Dans Utilisateurs et ordinateurs Active Directory, dans le menu, sélectionnez Afficher, puis sélectionnez Fonctionnalités avancées.
2. Localisez l’unité d’organisation que vous avez déléguée. Cliquez avec le bouton droit ou activez le menu contextuel, puis sélectionnez Propriétés.
3. Dans la boîte de dialogue Nom d’unité d’organisation Propriétés, sélectionnez l’onglet Sécurité, puis sélectionnez Avancé.
4. Localisez le principal de sécurité auquel vous avez délégué le contrôle et passez en revue les autorisations. Vous pouvez également modifier les autorisations déléguées ici.

Notes

L'Assistant Délégation de contrôle fournit une interface simple, pilotée par un assistant, pour la configuration des autorisations AD DS sur les objets AD DS.

Démonstration

La vidéo suivante montre comment utiliser l'Assistant Délégation de contrôle pour implémenter des privilèges délégués. Les principales étapes du processus sont les suivantes :

1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Créez un nouveau groupe nommé Responsables des ventes dans l’unité d’organisation Responsables.
3. Ajoutez un utilisateur au groupe Responsables des ventes.
4. Exécutez l'Assistant Délégation de contrôle, en ciblant l’unité d’organisation Ventes.
5. Attribuez au groupe Responsables des ventes l’autorisation Réinitialiser les mots de passe utilisateur et forcer le changement de mot de passe à la prochaine ouverture de session sur l’unité d’organisation Ventes.
6. Connectez-vous en tant que membre du groupe Responsable des ventes et vérifiez que l’utilisateur peut réinitialiser un mot de passe pour les utilisateurs dans l’unité d’organisation Ventes mais pas dans l’unité d’organisation Recherche.

Révision rapide

1.

L’un des administrateurs du service informatique de Contoso souhaite déléguer la gestion des ordinateurs à une petite équipe de support informatique. Les ordinateurs se trouvent tous dans le service des ventes et leurs comptes résident dans l’unité d’organisation Ventes. Dans le cadre des meilleures pratiques, comment l’administrateur doit-il procéder ?

Créez un groupe pour l’équipe de gestion des ordinateurs des ventes, puis créez une délégation de tâche personnalisée pour cette équipe sur l’unité d’organisation Ventes. La tâche personnalisée sera destinée aux objets d’ordinateur.

Créez un groupe pour l’équipe de gestion des ordinateurs des ventes, puis créez une délégation de tâche personnalisée pour cette équipe sur l’unité d’organisation Ventes.

Créez une délégation de tâche personnalisée pour les utilisateurs de l’équipe de gestion des ordinateurs des ventes sur l’unité d’organisation Ventes. La tâche personnalisée sera destinée aux objets d’ordinateur.

Vous devez répondre à toutes les questions avant de vérifier votre travail.