locked
Restreindre les comptes administrateurs : est-ce recommandé pour améliorer la sécurité du domaine ? RRS feed

  • Question

  • Bonjour,

    J'ai suivi cette documentation (https://technet.microsoft.com/fr-fr/library/cc700835.aspx) qui consiste notamment à isoler et à auditer les comptes administrateurs, et je souhaiterais aller plus loin en restreignant l'ouverture des sessions possédant des droits étendus, comme par exemple l'administrateur du domaine créé par défaut.

    J'aimerais qu'on ne puisse pas s'authentifier avec des comptes administrateurs du domaine sur certains postes, comme ceux qui se connectent par VPN, par exemple. (Je pense à DirectAccess pour ceux qui connaissent. Il permet de maintenir facilement la connexion au domaine, même hors de l'entreprise.)

    Donc la question est : est-ce une bonne pratique ? Peut-être n'est-ce pas recommandable ? Et si c'est une bonne solution, quelle serait la meilleure façon de mettre cette sécurité en œuvre ?

    Pour mettre ça en œuvre, j'aurais été tenté de restreindre les comptes possédant des privilèges élevés à ne s'authentifier que sur certains postes, en utilisant la console Utilisateurs et ordinateurs Active Directory, ouvrir les propriétés d'un utilisateur, onglet Compte et aller dans Se connecter à…. Sauf que ce n'est même pas faisable pour l'administrateur par défaut du domaine…

    Également, j'ai régulièrement vu le terme poste d'administration. Mais concrètement, c'est quoi ? Ce n'est qu'un terme tout bête pour désigner l'ordinateur du DSI, éventuellement isolé dans un VLAN ? Ou ça signifie autre chose dans l'Active Directory, du style un ordinateur avec des autorisations étendues ? Parce que justement, je ne sais pas si c'est possible mais j'aimerais restreindre les tâches d'administrations à quelques utilisateurs ET ordinateurs (en terme AD). Est-ce possible ?

    lundi 28 décembre 2015 09:52

Réponses

  • Bonjour,

    Je ne pense pas que ce soit une bonne pratique d'interdire ou de verrouiller le groupe "Admin du domaine".

    La bonne pratique serait plutôt de ne pas utiliser ce groupe et de diviser les rôles d'administrations par services et par compte. Couplé à la délégation de contrôle par OU, ainsi que la gestion de droits via GPO, vous pouvez personnaliser les droits d'accès très finement.

    En théorie, très peu voir aucun administrateur devrait posséder un compte membre du groupe "Admin du domaine".

    A ma connaissance le terme "poste d'administration" fait référence à une station de travail possédant les outils d'administration RSAT (mais je ne vois pas le lien avec l'AD).

    Cdt,


    Ludovic CHOLLET | Microsoft System Administrator


    • Modifié Ludovic CH lundi 28 décembre 2015 10:16
    • Marqué comme réponse Ligre lundi 28 décembre 2015 10:25
    lundi 28 décembre 2015 10:15

Toutes les réponses

  • Bonjour,

    Je ne pense pas que ce soit une bonne pratique d'interdire ou de verrouiller le groupe "Admin du domaine".

    La bonne pratique serait plutôt de ne pas utiliser ce groupe et de diviser les rôles d'administrations par services et par compte. Couplé à la délégation de contrôle par OU, ainsi que la gestion de droits via GPO, vous pouvez personnaliser les droits d'accès très finement.

    En théorie, très peu voir aucun administrateur devrait posséder un compte membre du groupe "Admin du domaine".

    A ma connaissance le terme "poste d'administration" fait référence à une station de travail possédant les outils d'administration RSAT (mais je ne vois pas le lien avec l'AD).

    Cdt,


    Ludovic CHOLLET | Microsoft System Administrator


    • Modifié Ludovic CH lundi 28 décembre 2015 10:16
    • Marqué comme réponse Ligre lundi 28 décembre 2015 10:25
    lundi 28 décembre 2015 10:15
  • D'accord, je vois. En effet, pas besoin d'utiliser le compte administrateur du domaine. J'ai réussi à déployer des comptes utilisateurs du domaine mais administrateurs locaux, très pratique.

    Je pensais que restreindre les comptes ayant des privilèges ajouterait une couche de sécurité supplémentaire. Mais je reste quand même embêté d'avoir la possibilité de se connecter en admin du domaine sur des clients VPN quand cela n'est pas nécessaire.

    • Modifié Ligre lundi 28 décembre 2015 10:32
    lundi 28 décembre 2015 10:30