Autonomie et isolation
Vous pouvez concevoir votre structure logique Active Directory pour obtenir ce qui suit :
Autonomie. Implique un contrôle indépendant mais non exclusif d’une ressource. Lorsque vous atteignez l’autonomie, les administrateurs ont le pouvoir de gérer les ressources indépendamment ; toutefois, il existe des administrateurs dotés d’une plus grande autorité qui contrôlent également ces ressources et peuvent en prendre le contrôle si nécessaire. Vous pouvez concevoir votre structure logique Active Directory pour obtenir les types d’autonomie suivants :
Autonomie du service. Ce type d’autonomie implique le contrôle de tout ou partie de la gestion des services.
Autonomie des données. Ce type d’autonomie implique le contrôle de tout ou partie des données stockées dans l’annuaire ou sur les ordinateurs membres joints à l’annuaire.
Isolation. Implique le contrôle indépendant et exclusif d’une ressource. Lorsque vous atteignez l’isolation, les administrateurs ont le pouvoir de gérer une ressource indépendamment, et aucun autre administrateur ne peut prendre le contrôle de la ressource. Vous pouvez concevoir votre structure logique Active Directory pour obtenir les types d’isolation suivants :
Isolation du serviceisolation. Empêche les administrateurs (autres que ceux qui sont spécifiquement désignés pour contrôler la gestion des services) de contrôler ou d’interférer avec la gestion des services.
Isolation des données. Empêche les administrateurs (autres que ceux qui sont spécifiquement désignés pour contrôler ou afficher les données) de contrôler ou d’afficher un sous-ensemble de données dans l’annuaire ou sur les ordinateurs membres joints à l’annuaire.
Les administrateurs qui n’ont besoin que d’autonomie acceptent que les autres administrateurs disposant d’une autorité administrative égale ou supérieure aient un contrôle égal ou supérieur sur la gestion des services ou des données. Les administrateurs qui nécessitent une isolation ont un contrôle exclusif sur la gestion des services ou des données. La création d’une conception pour atteindre l’autonomie est généralement moins coûteuse que la création d’une conception pour atteindre l’isolation.
Dans Active Directory Domain Services (AD DS), les administrateurs peuvent déléguer l’administration des services et l’administration des données pour obtenir l’autonomie ou l’isolation entre les organisations. La combinaison des exigences de gestion des services, de gestion des données, d’autonomie et d’isolation d’une organisation a un impact sur les conteneurs Active Directory utilisés pour déléguer l’administration.
Exigences d’isolation et d’autonomie
Le nombre de forêts que vous devez déployer est basé sur les exigences d’autonomie et d’isolation de chaque groupe au sein de votre organisation. Pour identifier vos exigences de conception de forêt, vous devez identifier les exigences d’autonomie et d’isolation pour tous les groupes de votre organisation. Plus précisément, vous devez identifier le besoin d’isolation des données, d’autonomie des données, d’isolation du service et d’autonomie du service. Vous devez également identifier les zones de connectivité limitée dans votre organisation.
Isolation des données
L’isolation des données implique un contrôle exclusif des données par le groupe ou l’organisation propriétaire des données. Il est important de noter que les administrateurs de service ont la possibilité de prendre le contrôle d’une ressource à l’écart des administrateurs de données. Et les administrateurs de données n’ont pas la possibilité d’empêcher les administrateurs de service d’accéder aux ressources qu’ils contrôlent. Par conséquent, vous ne pouvez pas effectuer l’isolation des données quand un autre groupe au sein de l’organisation est responsable de l’administration du service. Si un groupe nécessite une isolation des données, ce groupe doit également assumer la responsabilité de l’administration du service.
Étant donné que les données stockées dans AD DS et sur les ordinateurs joints à AD DS ne peuvent pas être isolées des administrateurs de service, la seule façon pour un groupe au sein d’une organisation d’obtenir une isolation complète des données est de créer une forêt distincte pour ces données. Les organisations pour lesquelles les conséquences d’une attaque par un logiciel malveillant ou par un administrateur de service sous la force sont importantes peuvent choisir de créer une forêt distincte pour isoler les données. Les exigences légales créent généralement un besoin pour ce type d’isolation des données. Par exemple :
Une institution financière est tenue par la loi de limiter l’accès aux données qui appartiennent aux clients d’une juridiction particulière aux utilisateurs, ordinateurs et administrateurs situés dans cette juridiction. Bien que l’institution fasse confiance aux administrateurs de services qui travaillent en dehors de la zone protégée, si la limitation d’accès est violée, l’établissement ne pourra plus faire affaire dans cette juridiction. Par conséquent, l’institution financière doit isoler les données des administrateurs de services situés en dehors de cette juridiction. Notez que le chiffrement n’est pas toujours une alternative à cette solution. Le chiffrement peut ne pas protéger les données des administrateurs de service.
Un entrepreneur de défense est tenu par la loi de limiter l’accès aux données du projet à un ensemble spécifié d’utilisateurs. Bien que l’entrepreneur approuve les administrateurs de services qui contrôlent les systèmes informatiques liés à d’autres projets, une violation de cette limitation d’accès entraînera la perte d’activité de l’entrepreneur.
Notes
Si vous avez une exigence d’isolation des données, vous devez décider si vous devez isoler vos données des administrateurs de service ou des administrateurs de données et des utilisateurs ordinaires. Si votre exigence d’isolation est basée sur l’isolation des administrateurs de données et des utilisateurs ordinaires, vous pouvez utiliser des listes de contrôle d’accès (ACL) pour isoler les données. Dans le cadre de ce processus de conception, l’isolation des administrateurs de données et des utilisateurs ordinaires n’est pas considérée comme une exigence d’isolation des données.
Autonomie des données
L’autonomie des données implique la capacité d’un groupe ou d’une organisation à gérer ses propres données, notamment à prendre des décisions administratives concernant les données et à effectuer les tâches administratives requises sans avoir besoin d’approbation d’une autre autorité.
L’autonomie des données n’empêche pas les administrateurs de service de la forêt d’accéder aux données. Par exemple, un groupe de recherche au sein d’une grande organisation peut vouloir être en mesure de gérer lui-même ses données spécifiques au projet, mais il n’est pas nécessaire de sécuriser les données contre les autres administrateurs de la forêt.
Isolation du service
L’isolation de service implique le contrôle exclusif de l’infrastructure Active Directory. Les groupes qui nécessitent une isolation de service nécessitent qu’aucun administrateur en dehors du groupe ne puisse interférer avec le fonctionnement du service d’annuaire.
Les exigences opérationnelles ou légales créent généralement un besoin d’isolation du service. Par exemple :
Une entreprise de fabrication dispose d’une application critique qui contrôle l’équipement de l’usine. Les interruptions de service sur d’autres parties du réseau de l’organisation ne peuvent pas interférer avec le fonctionnement de l’usine.
Une société d’hébergement fournit un service à plusieurs clients. Chaque client a besoin d’une isolation de service afin que toute interruption de service qui affecte un client n’affecte pas les autres.
Autonomie du service
L’autonomie du service implique la capacité à gérer l’infrastructure sans nécessiter de contrôle exclusif ; par exemple, lorsqu’un groupe souhaite apporter des modifications à l’infrastructure (l’ajout ou la suppression de domaines, la modification de l’espace de noms de domaine (DNS) ou la modification du schéma par exemple) sans l’approbation du propriétaire de la forêt.
L’autonomie du service peut être requise au sein d’une organisation pour un groupe qui souhaite pouvoir contrôler le niveau de service d’AD DS (en ajoutant et en supprimant des contrôleurs de domaine, selon les besoins) ou pour un groupe qui doit pouvoir installer des applications avec annuaire qui nécessitent des extensions de schéma.
Connectivité limitée
Si un groupe au sein de votre organisation possède des réseaux séparés par des appareils qui restreignent ou limitent la connectivité entre les réseaux (comme les pare-feu et les appareils NAT), cela peut avoir un impact sur la conception de votre forêt. Lorsque vous identifiez vos exigences de conception de forêt, veillez à noter les emplacements où vous disposez d’une connectivité réseau limitée. Ces informations sont nécessaires pour vous permettre de prendre des décisions concernant la conception de la forêt.