Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Les services AD LDS
  3. Gestion des objets AD LDS
Extrait - Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019
Extraits du livre
Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019 Revenir à la page d'achat du livre

Gestion des objets AD LDS

Introduction

La gestion des comptes utilisateur et des groupes est un élément essentiel de l’administration d’un service d’annuaire. L’AD LDS utilise un référentiel interne afin de prendre en charge les affectations de rôles au niveau de chaque partition d’application et de stocker les informations relatives aux groupes qui seront utilisées lors du processus d’affectation de rôles.

Plusieurs utilisateurs peuvent accéder simultanément aux partitions AD LDS et chaque utilisateur peut avoir différents types d’autorisations. Ces autorisations peuvent être réglées de manière à ce que certains utilisateurs puissent modifier des objets, tandis que d’autres ne peuvent que lire des données.

Il existe, dans le serveur AD LDS, trois types d’objets qui vont permettre d’accéder à l’annuaire et de gérer efficacement l’accès aux ressources : les utilisateurs, les groupes, qui sont destinés à l’octroi de permissions et de privilèges, et enfin les conteneurs, qui facilitent les opérations d’administration.

La structure organisationnelle de ces éléments est de type hiérarchique. Cette hiérarchie va permettre de mettre en place une politique sûre, afin de garantir l’intégrité...

Les utilisateurs dans AD LDS

Les comptes utilisateur permettent d’attribuer différents droits aux personnes qui ont besoin d’accéder à l’annuaire AD LDS.

Il existe deux modes d’identification : l’identification Windows et l’identification AD LDS.

  • L’identification Windows est une méthode permettant d’authentifier un compte d’utilisateur local ou de domaine.

  • L’identification AD LDS consiste à utiliser des comptes créés dans l’annuaire. Ces comptes sont distincts de ceux utilisés pour se connecter au système d’exploitation, ou au domaine…

1. Création d’utilisateur

Le plus facile, pour ajouter un nouvel utilisateur à l’annuaire AD LDS, est d’utiliser le composant logiciel enfichable ADSI Edit. Mais que faire si nous devons créer de nombreux comptes utilisateur, ou si le composant ADSI Edit n’est pas disponible pour une raison ou une autre ?

Dans cette section, nous expliquerons les deux méthodes de création de comptes d’utilisateur AD LDS.

Création des utilisateurs via l’interface graphique

 Sur votre serveur AD LDS, ouvrez une invite de commandes en tant qu’administrateur et exécutez la commande adsedit.msc.

L’outil ADSI Edit est disponible par défaut sur Windows Server 2008 (et versions ultérieures).

 Connectez-vous à l’instance AD LDS et à la partition d’application à laquelle vous voulez ajouter l’utilisateur.

images/09RI01.PNG

 Déroulez l’arborescence de la partition O=lab, CN=Editions-ENI, puis faites un clic droit sur le conteneur auquel vous souhaitez ajouter l’utilisateur, pointez sur nouveau, puis cliquez sur Objet…

 Sélectionnez la classe user, puis cliquez sur Suivant.

AD LDS contient quatre classes pour définir un objet de compte d’utilisateur : La classe user, la classe person, la classe inetOrgPerson et la classe organizationalPerson. Elles disposent des attributs nécessaires pour définir un compte utilisateur dans AD LDS ; elles servent en fait de modèle à l’annuaire pour créer ce type d’objet.

La classe user est la classe la plus utilisée pour créer...

Les groupes dans AD LDS

Dans AD LDS, l’accès aux données d’annuaire et aux partitions d’application est géré par un mécanisme d’appartenance basé sur les rôles, par lequel les utilisateurs sont ajoutés à des groupes qui autorisent ou refusent les accès aux objets de l’annuaire.

L’objectif principal des groupes dans un service d’annuaire est d’optimiser le processus d’attribution de permissions en facilitant les tâches quotidiennes d’un administrateur système. Un changement apporté à un groupe est immédiatement répercuté sur tous les membres du groupe.

Les groupes représentent souvent :

  • un rôle de ressource : permet à un utilisateur d’accéder à un dossier partagé, d’ouvrir une session de bureau à distance…

  • une structure logique : permet d’organiser hiérarchiquement les utilisateurs par services, par départements…

De ce fait, les groupes ont tendance à être stables, tandis que le changement des comptes utilisateur est plus fréquent.

Pour simplifier l’administration d’un annuaire AD LDS, Microsoft a créé quatre groupes par défaut. Ces groupes peuvent être utilisés lors de l’authentification des utilisateurs (userProxy) pour accéder aux données des partitions d’application.

1. Rôles et privilèges

Le modèle de contrôle d’accès basé sur les rôles implémentés dans AD LDS fournit par défaut quatre groupes : Administrateurs, Instances, Lecteurs et Utilisateurs. Ces groupes deviennent un élément central car ce sont eux qui permettent aux utilisateurs d’accéder aux instances et aux partitions d’application.

Groupe Administrateurs : ce groupe a tous les droits sur toutes les partitions de l’instance sauf la partition de schéma. Par défaut, l’utilisateur spécifié en tant qu’administrateur lors de l’installation de l’instance AD LDS devient un membre de ce groupe.

Groupe Instances : ce groupe autorise l’accès en écriture sur la partition de configuration et d’application....

Les conteneurs dans AD LDS

Les conteneurs AD LDS permettent de regrouper logiquement des utilisateurs, des groupes et d’autres conteneurs. Le terme « Conteneur » est souvent remplacé par le terme « Unité d’Organisation », qui est abrégé en « OU ». D’après la documentation de Microsoft, tous les termes sont considérés comme corrects et interchangeables.

1. Conteneurs par défaut

Chaque partition d’application dispose d’un ensemble de conteneurs qui sont créés pendant l’installation des services AD LDS.

Le tableau ci-dessous dresse la liste de ces conteneurs par défaut :

Nom

Description

ForeignSecurityPrincipals

Contient des objets d’annuaire (Utilisateurs, Groupes et Unités d’Organisation) créés par les services AD LDS pour les entités de sécurité externes.

LostAndFound

Contient des objets dont les conteneurs ont été déplacés ou supprimés au moment où l’objet a été créé.

NTDS Quotas

Contient des informations sur le nombre maximal d’objets qu’un utilisateur peut créer dans une partition.

Roles

Contient les quatre rôles par défaut présentés dans la section précédente (Administrateurs, Instances, Lecteurs et Utilisateurs).

2. Création de conteneurs

Une infrastructure AD LDS est une structure pourvue d’une multitude d’objets. Ces objets, toujours nombreux, doivent être organisés d’une manière harmonieuse pour permettre une meilleure gestion. Un administrateur dont la tâche principale est de gérer un environnement AD LDS doit nécessairement savoir implémenter ce type d’objet qui se nomme conteneur. Parmi celles-ci, il y a évidemment les conteneurs, dont le rôle en matière d’architecture est primordial. Un administrateur dont la tâche principale est de gérer un environnement AD LDS doit nécessairement savoir implémenter ce type d’objet.

Création de conteneur via l’interface graphique

 Sur votre serveur AD LDS, exécutez en tant qu’administrateur l’invite de commandes....

Conclusion

La sécurité des accès à un service d’annuaire demeure la préoccupation centrale des administrateurs système, notamment lorsqu’il s’agit de l’octroi des permissions et des privilèges aux utilisateurs.

La gestion des comptes et des groupes d’utilisateurs constitue un élément principal de tout système informatique. Le concept de moindre privilège et la séparation des tâches consistent à s’assurer qu’un utilisateur n’a accès qu’à la ou les ressources dont il a le besoin opérationnel. Ces ressources peuvent comprendre des conteneurs ou des partitions d’applications.

Définir des autorisations pour chaque utilisateur est un travail fastidieux, d’où l’intérêt de mettre en place une collaboration étroite entre la DSI et les directions métier, qui permettra de réduire considérablement les risques liés à la sécurité d’un annuaire.