Annexe E : Sécurisation des groupes d’administrateurs de l’entreprise dans Active Directory
Annexe E : Sécurisation des groupes d’administrateurs de l’entreprise dans Active Directory
Le groupe Administrateurs de l’entreprise, qui est hébergé dans le domaine racine de forêt, ne doit contenir aucun utilisateur au jour le jour, à l’exception possible du compte Administrateur du domaine racine, à condition qu’il soit sécurisé comme décrit à l’Annexe D : Sécurisation des comptes Administrateur intégrés dans Active Directory.
Les Administrateurs de l’entreprise sont, par défaut, membres du groupe Administrateurs dans chaque domaine de la forêt. Vous ne devez pas supprimer le groupe Administrateurs de l’entreprise des groupes Administrateurs de chaque domaine, car dans un scénario de reprise d’activité de forêt, des droits Administrateurs de l’entreprise seront probablement requis. Le groupe Administrateurs de l’entreprise de la forêt doit être sécurisé comme indiqué dans les instructions pas à pas qui suivent.
Pour le groupe Administrateurs de l’entreprise dans la forêt :
Dans les objets de stratégie de groupe liés à des unités d’organisation contenant des stations de travail et des serveurs membres dans chaque domaine, le groupe Administrateurs de l’entreprise doit être ajouté aux droits utilisateur suivants dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attributions de droits utilisateur :
Refuser l'accès à cet ordinateur à partir du réseau
Interdire l’ouverture de session en tant que tâche
Interdire l’ouverture de session en tant que service
Interdire l’ouverture d’une session locale
Interdire l’ouverture de session par les services Bureau à distance
Configurez l’audit de façon à envoyer des alertes si des modifications sont apportées aux propriétés ou à l’appartenance au groupe Administrateurs de l’entreprise.
Instructions pas à pas pour supprimer tous les membres du groupe Administrateurs de l’entreprise
Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs Active Directory.
Si vous ne gérez pas le domaine racine de la forêt, dans l’arborescence de la console, cliquez avec le bouton droit sur <Domaine>, puis cliquez sur Changer de domaine (où <Domaine> est le nom du domaine que vous administrez actuellement).
Dans la boîte de dialogue Changer de domaine, cliquez sur Parcourir, sélectionnez le domaine racine de la forêt, puis cliquez sur OK.
Pour supprimer tous les membres du groupe Administrateurs de l’entreprise :
Double-cliquez sur le groupe Administrateurs de l’entreprise, puis cliquez sur l’onglet Membres.
Sélectionnez un membre du groupe, cliquez sur Supprimer, sur Oui, puis sur OK.
Répétez l’étape 2 jusqu’à ce que tous les membres du groupe Administrateurs de l’entreprise aient été supprimés.
Instructions pas à pas pour sécuriser les administrateurs de l’entreprise dans Active Directory
Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.
Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>, puis Objets de stratégie de groupe (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).
Remarque
Dans une forêt qui contient plusieurs domaines, un objet de stratégie de groupe similaire doit être créé dans chaque domaine où le groupe Administrateurs de l’entreprise doit être sécurisé.
Dans l’arborescence de la console, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.
Dans la boîte de dialogue Nouvel objet GPO, tapez <Nom de l’objet de stratégie de groupe>, puis cliquez sur OK (où <Nom de l’objet de stratégie de groupe> est le nom de cet objet de stratégie de groupe).
Dans le volet des détails, cliquez avec le bouton droit sur <Nom de l’objet de stratégie de groupe>, puis cliquez sur Modifier.
Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise d’accéder aux stations de travail et aux serveurs membres sur le réseau en effectuant les étapes suivantes :
Double-cliquez sur Interdire l’accès à cet ordinateur à partir du réseau, puis sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise de se connecter en tant que tâche en effectuant les étapes suivantes :
Double-cliquez sur Interdire l’ouverture de session en tant que tâche, puis sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Remarque
Dans une forêt qui contient plusieurs domaines, cliquez sur Emplacements et sélectionnez le domaine racine de la forêt.
Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise de se connecter en tant que service en effectuant les étapes suivantes :
Double-cliquez sur Interdire l’ouverture de session en tant que service et sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Remarque
Dans une forêt qui contient plusieurs domaines, cliquez sur Emplacements et sélectionnez le domaine racine de la forêt.
Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise d’ouvrir une session locale sur les stations de travail et les serveurs membres en effectuant les étapes suivantes :
Double-cliquez sur Interdire l’ouverture d’une session locale, puis sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Remarque
Dans une forêt qui contient plusieurs domaines, cliquez sur Emplacements et sélectionnez le domaine racine de la forêt.
Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise d’accéder aux stations de travail et aux serveurs membres par les services Bureau à distance en effectuant les étapes suivantes :
Double-cliquez sur Interdire l’ouverture de session par les services Bureau à distance et sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Remarque
Dans une forêt qui contient plusieurs domaines, cliquez sur Emplacements et sélectionnez le domaine racine de la forêt.
Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Pour quitter l’Éditeur de gestion des stratégies de groupe, cliquez sur Fichier, puis sur Quitter.
Dans Gestion des stratégies de groupe, liez l’objet de stratégie de groupe aux unités d’organisation des stations de travail et serveurs membres en effectuant les étapes suivantes :
Accédez à <Forêt>\Domaines\<Domaine> (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).
Cliquez avec le bouton droit sur l’unité d’organisation à laquelle l’objet de stratégie de groupe sera appliqué, puis cliquez sur Lier un objet de stratégie de groupe existant.
Sélectionnez l’objet de stratégie de groupe que vous venez de créer, puis cliquez sur OK.
Créez des liens vers toutes les autres unités d’organisation qui contiennent des stations de travail.
Créez des liens vers toutes les autres unités d’organisation qui contiennent des serveurs membres.
Dans une forêt qui contient plusieurs domaines, un objet de stratégie de groupe similaire doit être créé dans chaque domaine où le groupe Administrateurs de l’entreprise doit être sécurisé.
Important
Si des serveurs de saut sont utilisés pour administrer les contrôleurs de domaine et Active Directory, vérifiez qu’ils se trouvent dans une unité d’organisation à laquelle cet objet de stratégie de groupe n’est pas lié.
Étapes de vérification
Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’accès à cet ordinateur à partir du réseau »
À partir d’un serveur membre ou d’une station de travail qui n’est pas affecté(e) par les modifications de l’objet de stratégie de groupe (par exemple un « serveur de saut »), essayez d’accéder à un serveur membre ou à une station de travail sur le réseau qui est affecté(e) par les modifications de l’objet de stratégie de groupe. Pour vérifier les paramètres de l’objet de stratégie de groupe, essayez de mapper le lecteur système à l’aide de la commande NET USE en effectuant les étapes suivantes :
Ouvrez une session locale à l’aide d’un compte membre du groupe Administrateurs de l’entreprise.
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez invite de commandes, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commandes avec élévation de privilèges.
Lorsque vous êtes invité à approuver l’élévation, cliquez sur Oui.
Dans la fenêtre Invite de commandes, tapez net use \\<nom_serveur>\c$, où <nom_serveur> est le nom de la station de travail ou du serveur membre auquel vous tentez d’accéder via le réseau.
La capture d’écran suivante montre le message d’erreur qui doit apparaître.
Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que tâche »
À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.
Créer un fichier batch
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez bloc-notes, puis cliquez sur Bloc-notes.
Dans Bloc-notes, tapez dir c:.
Cliquez sur Fichier, puis sur Enregistrer sous.
Dans la zone Nom de fichier, tapez <nom_fichier>.bat (où <nom_fichier> est le nom du nouveau fichier de commandes).
Planifier une tâche
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez planificateur de tâches, puis cliquez sur Planificateur de tâches.
Notes
Sur les ordinateurs exécutant Windows 8, dans la zone Rechercher, tapez planifier des tâches, puis cliquez sur Planifier des tâches.
Cliquez sur Action, puis sur Créer une tâche.
Dans la boîte de dialogue Créer une tâche, tapez <nom_tâche> (où <nom_tâche> est le nom de la nouvelle tâche).
Cliquez sur l’onglet Actions, puis sur Nouveau.
Dans le champ Action, sélectionnez Démarrer un programme.
Sous Programme/script, cliquez sur Parcourir, recherchez et sélectionnez le fichier de commandes créé dans la section Créer un fichier de commandes, puis cliquez sur Ouvrir.
Cliquez sur OK.
Cliquez sur l’onglet General (Général).
Dans le champ Options de sécurité, cliquez sur Utilisateur ou groupe.
Tapez le nom d’un compte membre du groupe Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.
Sélectionnez Qu’un utilisateur ait ouvert une session ou non, puis Ne pas stocker le mot de passe. La tâche n’aura accès qu’aux ressources de l’ordinateur local.
Cliquez sur OK.
Une boîte de dialogue doit s’afficher, invitant à fournir les informations d’identification du compte d’utilisateur pour exécuter la tâche.
Après avoir entré les informations d’identification, cliquez sur OK.
Une boîte de dialogue similaire à celle qui suit doit s’afficher.
Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que service »
À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez services, puis cliquez sur Services.
Recherchez et double-cliquez sur Spouleur d’impression.
Cliquez sur l'onglet Se connecter.
Sous Se connecter en tant que, sélectionnez Ce compte.
Cliquez sur Parcourir, tapez le nom d’un compte membre du groupe Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.
Sous Mot de passe et Confirmer le mot de passe, tapez le mot de passe du compte sélectionné, puis cliquez sur OK.
Cliquez à nouveau sur OK à trois reprises.
Cliquez avec le bouton droit sur le service Spouleur d’impression, puis sélectionnez Redémarrer.
Lorsque le service est redémarré, une boîte de dialogue similaire à celle-ci doit s’afficher.
Annuler les modifications apportées au service Spouleur d’impression
À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez services, puis cliquez sur Services.
Recherchez et double-cliquez sur Spouleur d’impression.
Cliquez sur l'onglet Se connecter.
Sous Se connecter en tant que, sélectionnez le compte Système local, puis cliquez sur OK.
Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture d’une session locale »
À partir de n’importe quel serveur membre ou station de travail affecté(e) par les modifications apportées à l’objet de stratégie de groupe, essayez de vous connecter localement à l’aide d’un compte membre du groupe Administrateurs de l’entreprise. Une boîte de dialogue similaire à celle qui suit doit s’afficher.
Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session par les services Bureau à distance »
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez connexion bureau à distance, puis cliquez sur Connexion Bureau à distance.
Dans le champ Ordinateur, tapez le nom de l’ordinateur auquel vous souhaitez vous connecter, puis cliquez sur Se connecter. (Vous pouvez également taper l’adresse IP au lieu du nom de l’ordinateur.)
À l’invite, fournissez les informations d’identification d’un compte membre du groupe Administrateurs de l’entreprise.
Une boîte de dialogue similaire à celle qui suit doit s’afficher.