Étendue de l’autorité de l’administrateur de service
Si vous choisissez de participer à une forêt Active Directory, vous devez faire confiance au propriétaire de la forêt et aux administrateurs de services. Les propriétaires de forêt sont responsables de la sélection et de la gestion des administrateurs de services. Par conséquent, quand vous faites confiance à un propriétaire de forêt, vous faites également confiance aux administrateurs de services que le propriétaire de la forêt gère. Ces administrateurs de services ont accès à l’ensemble des ressources de la forêt. Avant d’opter pour une forêt, il est important de comprendre que le propriétaire de la forêt et les administrateurs de services ont un accès complet à vos données. Il n’est pas possible d’empêcher cet accès.
Tous les administrateurs de services d’une forêt disposent d’un contrôle total sur l’ensemble des données et des services de tous les ordinateurs de la forêt. Les administrateurs de services peuvent effectuer les opérations suivantes :
Corriger les erreurs sur les listes de contrôle d’accès (ACL) d’objets. Cela permet à l’administrateur de services de lire, de modifier ou de supprimer des objets, quelles que soient les listes de contrôle d’accès qui sont définies sur ces objets.
Modifiez le logiciel système sur un contrôleur de domaine pour contourner les vérifications de sécurité normales. Cela permet à l’administrateur de services d’afficher ou de manipuler l’objet du domaine de votre choix, quelle que soit la liste de contrôle d’accès sur l’objet.
Utiliser la stratégie de sécurité Groupes restreints pour accorder l’accès administratif à tout ordinateur joint au domaine à l’utilisateur ou au groupe de votre choix. Ainsi, les administrateurs de services peuvent obtenir le contrôle de tout ordinateur joint au domaine, quelles que soient les intentions du propriétaire de l’ordinateur.
Réinitialiser les mots de passe ou modifier les appartenances aux groupes des utilisateurs.
Accéder à d’autres domaines de la forêt en modifiant le logiciel système sur un contrôleur de domaine. Les administrateurs de services peuvent affecter le fonctionnement de tout domaine de la forêt, afficher ou manipuler les données de configuration de forêt, afficher ou manipuler les données stockées dans tout domaine, ainsi qu’afficher ou manipuler des données stockées sur tout ordinateur joint à la forêt.
Pour cette raison, les groupes qui stockent des données dans des unités d’organisation (UO) dans la forêt et qui joignent des ordinateurs à une forêt doivent faire confiance aux administrateurs de services. Pour rejoindre une forêt, un groupe doit choisir d’approuver tous les administrateurs de services dans la forêt. Cela implique de s’assurer que :
Il est possible de faire confiance au propriétaire de la forêt qui agit dans l’intérêt du groupe et n’a pas aucune raison d’agir de manière malveillante contre le groupe.
Le propriétaire de la forêt limite l’accès physique aux contrôleurs de domaine de manière appropriée. Les contrôleurs de domaine au sein d’une forêt ne peuvent pas être isolés les uns des autres. Un attaquant qui dispose d’un accès physique à un contrôleur de domaine unique peut apporter des modifications hors connexion à la base de données d’annuaires. Ainsi, il peut affecter le fonctionnement de tout domaine dans la forêt, afficher ou manipuler des données stockées partout dans la forêt et afficher ou manipuler les données stockées sur tout ordinateur joint à la forêt. Pour cette raison, l’accès physique aux contrôleurs de domaine doit être limité au personnel approuvé.
Vous comprenez et acceptez le risque potentiel que les administrateurs de services approuvés soient contraints de compromettre la sécurité du système.
Certains groupes peuvent déterminer que les avantages de collaboration et de réduction des coûts en utilisant une infrastructure partagée sont plus importants que les risques d’un abus ou d’un abus de pouvoir contraint des administrateurs de services. Ces groupes peuvent partager une forêt et utiliser des unités d’organisation pour déléguer l’autorité. Toutefois, certains groupes peuvent refuser ce risque, car les conséquences d’une sécurité compromise sont trop graves. Ces groupes nécessitent des forêts distinctes.