Déléguer l'administration d'Active Directory dans Windows Server

Déléguer l'administration d'Active Directory dans Windows Server

L'un des aspects les plus importants mais en même temps prudents dans un environnement de serveur est de définir qui peut accéder au serveur et quels privilèges ils peuvent avoir dans le système depuis tout changement non requis ou non approuvé peut mettre en danger l'ensemble de l'infrastructure de l'organisation.

Beaucoup d'entre nous, en tant que personnel informatique de nos entreprises, avons dû accorder des autorisations d'administrateur à des utilisateurs qui ne devraient pas faire partie de ce groupe car ils doivent effectuer un certain type de tâche administrative et en tant qu'utilisateurs normaux, ce n'est pas possible.

Un exemple réel que nous connaissons est qu'il était nécessaire d'ajouter un utilisateur du groupe systèmes du pays de la Bolivie au groupe administrateurs afin qu'il puisse créer des utilisateurs dans une unité organisationnelle spéciale, pour laquelle il était nécessaire d'ajouter ledit utilisateur à le groupe Administrateurs et la surprise C'est arrivé lorsque cet utilisateur a éliminé certains équipements de production très importants, ce qui a généré un peu de chaos dans l'entreprise.

Pour résoudre ces problèmes Windows Server inclut la possibilité de déléguer l'administration de certaines tâches à des utilisateurs spécifiques dans certaines unités d'organisation, domaines ou objets de stratégie de groupe.

1. Comprendre la délégation d'administration dans Windows Server 2016


Pour beaucoup, cela peut sembler chaotique et dangereux d'attribuer des rôles administratifs à des utilisateurs qui n'ont peut-être pas l'expérience ou les connaissances nécessaires pour gérer les éléments de Windows Server 2016 et, comme nous le savons bien, il n'est pas possible d'ajouter un utilisateur au groupe Administrateurs. et restreindre les tâches puisque Par défaut, ce groupe accorde toute la gestion sur le serveur.

En déléguant l'administration, nous pouvons indiquer qu'un utilisateur sans expérience approfondie peut créer un utilisateur dans une unité organisationnelle spécifique sans affecter le reste du système car il n'aura accès qu'à l'endroit que nous déterminons et non à l'ensemble de l'arbre de Serveur Windows 2016.

Des autorisations administratives peuvent être accordées à un utilisateur ou à un groupe Il contient différents utilisateurs mais le plus important est que nous sachions très clairement quelles autorisations et à qui nous les accordons. Pour cette étude, nous avons créé une unité d'organisation appelée Permissions et nous avons créé un groupe appelé Solvetic et un utilisateur appelé Access (l'utilisateur a été inclus dans le groupe Solvetic).

Comme nous savons qu'aucun utilisateur ne peut se connecter immédiatement au domaine, nous devons autoriser l'accès de cet utilisateur au domaine, pour lequel nous accordons l'autorisation à l'utilisateur Accéder pour se connecter au domaine.

Pour établir cette autorisation, nous devons ouvrez l'éditeur de stratégie de groupe GPO, pour ce faire, appuyez sur le bouton enfoncé les fenêtres + R apparaîtra pour pouvoir entrer la commande à exécuter, tapez : 

 gpedit.msc
vous irez sur l'itinéraire suivant :
  • Stratégies informatiques locales
  • Configuration de l'équipement
  • Paramètres Windows
  • Les paramètres de sécurité
  • Directives locales
  • Cession de droits

Et là, sélectionnez l'option Autoriser la connexion locale. Avec cela, ce groupe ou l'utilisateur sélectionné pourra se connecter localement à l'ordinateur ou au serveur pour pouvoir effectuer certaines tâches désignées.

Ici, nous ajoutons simplement le groupe Solvetic afin que l'utilisateur Access puisse se connecter.

2. Implémenter la délégation d'administration dans Windows Server 2016


Une fois que nous avons ajouté l'utilisateur pour qu'il puisse se connecter, nous allons commencer le processus de délégation à l'utilisateur indiqué, dans ce cas Access, nous allons lui accorder des autorisations sur l'unité d'organisation Permissions. Pour cela, nous donnerons Cliquez avec le bouton droit sur l'unité d'organisation Autorisations et sélectionnez l'option Déléguer le contrôle.

On voit que l'assistant de délégation de contrôle s'affiche. Nous cliquons sur Suivant.

Ensuite, nous devons ajouter le groupe Solvetic que nous avons créé, pour cela, nous cliquons sur le bouton Ajouter et recherchons le groupe.

Nous cliquons à nouveau sur Suivant et nous pouvons voir qu'il existe différentes tâches qui peuvent être déléguées à l'utilisateur, telles que :

  • Créer, modifier ou supprimer des groupes
  • Créer, modifier ou supprimer des utilisateurs
  • Modifier les appartenances aux groupes
  • Gérer les stratégies de groupe

Dans ce cas Nous sélectionnerons les options Créer, supprimer et gérer des groupes et Créer, supprimer et gérer des comptes d'utilisateurs en sélectionnant les cases respectives.

Nous cliquons sur Suivant et nous pouvons voir que nous avons terminé la configuration requise.

Cliquez sur Terminer pour quitter l'assistant.

3. Vérifier la délégation de contrôle


Ensuite, nous allons nous connecter avec l'utilisateur Access dans Windows Server 2016.

AGRANDIR

Une fois connecté, nous essaierons de créer un utilisateur dans l'unité d'organisation Permissions pour valider que nous pouvons créer un utilisateur.

AGRANDIR

Nous allons créer un utilisateur appelé Solvetic1. Nous allons également créer un groupe appelé Tests (rappelez-vous que l'utilisateur d'accès s'est vu déléguer le contrôle pour créer, modifier ou supprimer des utilisateurs et des groupes).

Si nous essayons d'effectuer une tâche qui n'a pas été déléguée, par exemple ajouter une équipe ou toute autre, nous verrons qu'un message s'affiche indiquant que pour des raisons de sécurité nous ne pouvons pas créer l'objet.

4. Vérifier les permissions du groupe créé


Nous pouvons à nouveau accéder à Windows Server 2016 avec l'utilisateur Administrateur et nous allons dans Utilisateurs et ordinateurs Active Directory, là nous devons aller dans le menu Affichage et sélectionner l'option Fonctionnalités avancées. Là, nous faisons un clic droit sur l'unité d'organisation Permissions et nous pouvons voir que le groupe Solvetic a des permissions spéciales.

Si nous appuyons sur le bouton Options avancées, nous pourrons voir les autorisations que nous avons créées pendant le processus de délégation.

Comme on le voit En utilisant la délégation de contrôle dans Windows Server 2016, nous pouvons attribuer des tâches spécifiques sans mettre en danger la sécurité et l'intégrité du serveur et du domaine..

Une chose importante que nous devons garder à l'esprit est qu'en utilisant la délégation de contrôle, nous pouvons uniquement attribuer des autorisations, mais pas restreindre ou modifier les autorisations à des utilisateurs particuliers. Utilisons cet outil intéressant dans nos organisations pour éviter d'ajouter un utilisateur nécessitant une autorisation quelconque au groupe Administrateurs.

Voici un tutoriel qui pourrait vous intéresser :

Gérer AD dans Windows Server 2016

Vous contribuerez au développement du site, partager la page avec vos amis

wave wave wave wave wave

Articles Populaires

wave
1
post-title
Comment éteindre, redémarrer et forcer le redémarrage Xiaomi Mi 8 Lite
2
post-title
Comment mettre ou supprimer Apple Watch 4 en mode d'enregistrement
3
post-title
Comment faire fonctionner le business mobile ?
4
post-title
Comment effacer les paramètres de synchronisation de Windows 10 dans le compte Microsoft
5
post-title
▷ Comment installer DIG et NSLOOKUP sur Linux - Commandes

Recommandé

wave
- Sponsored Ad -

Choix De L'Éditeur

wave
- Sponsored Ad -