[Active Directory] – Concepts des annuaires informatiques

Au niveau le plus élémentaire, tout en sécurité se résume à des sujets et des objets. Les objets sont les choses que vous protégez, et les sujets sont les choses auquel accéderont les objets. Sujets et objets sont utilisés dans l’authentification (prouvez qui vous êtes), l’autorisation (donnant accès à quelque chose), et l’audit (savoir quel sujet a accédé à cet objet). Ces concepts sont fondamentalement très simple. Les sujets sont les utilisateurs. Les objets sont des fichiers. Authentification, autorisation et audit ont tous à voir avec la façon dont les sujets et les objets interagissent.

C’est pourquoi Active Directory se doit de protéger l’information et répond en ce sens à 3 fondamentaux des annuaires informatiques,

  • IDA : IDentity & Access
  • AAA : Authentication, Authorization, Accounting
  • CIA : Confidentiality, Integrity, Availability & Authenticity

Windows prend en charge une sémantique immensément riches quand il s’agit de sécurité et a considérablement élargi la définition d’un sujet et d’un objetUn sujet peut être beaucoup plus qu’un simple utilisateur, et la représentation est beaucoup plus complexe qu’un basique identifiant utilisateur.
Windows fait également référence à ces sujet et objets de manière différente, vous allez très souvent rencontré le terme d’entité principal de sécurité (Security Principal). En langage Windows, une entité principal de sécurité englobe non seulement le sujet typique (l’utilisateur), mais aussi des groupes et des ordinateurs. Une entité principal de sécurité est tout ce qui peut être assigné à un identificateur de sécurité (SID – Security IDentifier), et qui peut donner la permission d’accéder à quelque chose.

Afin de mieux comprendre l’interaction entre les objets et les SIDs du monde Microsoft, vous pouvez consulter un article que j’ai également écrit – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/11/28/active-directory-tout-conna-238-tre-224-propos-des-sids.aspx

Gérer la sécurité revient très souvent à la règle sujet/objet/ »action tuple ». Le sujet est l’acteur qui tente de prendre des mesures sur un objet. Par exemple, un utilisateur peut essayer d’accéder à un fichier. Pour comprendre cette notion fondamentale, faisons un petit schéma pour que ce soit clair pour tout le monde,

(Juste un petit mot à  propos du terme « Action-Tuple » qui ne se traduit pas littéralement de l’anglais vers le français en informatique. Pour donner une définition claire à cette expression, nous pourrions dire que cela correspond à une série d’information enregistrées dans une base de données (ici Active Directory) en programmation informatique).

Lorsqu’un utilisateur tente de lire un fichier, le système d’exploitation vérifie si les autorisations sont définies sur l’objet (ici notre fichier), ce qui permettra à l’objet deffectuer l’action demandée par l’utilisateur. Si les autorisations sont en place, la demande d’accès réussit. Si les autorisations ne confèrent pas, la demande d’accès est refusé. C’est aussi simple que ça! (Pour le moment 😉 )

Dans un prochain article, vous en apprendrez beaucoup plus sur la façon dont les autorisations et les contrôles d’accès travaillent.

  • Quels sont les types de sujets que nous pouvons rencontrer dans Active Directory?

Dans un premier temps, afin de dialoguer avec le bon jargon Active Directory, un sujet est une entité principale de sécurité (Security Principal en anglais).

 – Utilisateurs :

Un utilisateur est une entité distincte qui se connecte à un ordinateur. Fondamentalement, toutes les entités de sécurité sont liées aux utilisateurs. Dans Windows, il peut y avoir deux types d’utilisateurs: utilisateurs locaux (1) et utilisateurs de domaine (2). 

(1) Un utilisateur local est défini dans la base de données Security Accounts Manager (SAM) local sur un ordinateur. Chaque ordinateur Windows dispose d’un SAM locale qui contient tous les utilisateurs de dudit ordinateur. Chaque base SAM est unique à un ordinateur et chaque utilisateur devra donc être inscrit dans ces différentes bases locales pour utiliser ordinateurs différents.

Il est souvent dit que les contrôleurs de domaine (DC) n’ont pas de SAM locale et n’ont donc pas d’utilisateurs locaux. Ceci est incorrect. Même un DC a un SAM locale, mais les comptes de sa base SAM peuvent seulement être utilisés en mode restauration Active Directory. Par défaut, deux comptes d’utilisateurs sont toujours présents dans la SAM locale : l’administrateur et l’invité. Le compte Invité (Guest account) est toujours désactivée par défaut (A noter que côté client, le compte administrateur est désactivé par défaut  depuis Windows Vista – NT 6.0). 

Il est fortement recommandé que vous procédiez à la création de comptes supplémentaires pour chaque personne qui gérera un ordinateur donné. Si les administrateurs ont également besoin d’utiliser l’ordinateur pour des tâches non administratives, ils doivent aussi avoir des comptes non administratifs personnels.

(2) L’autre type de compte est un compte utilisateur  de domaine. Ceux-ci sont définies dans la base Active Directory de votre organisation (NTDS.DIT) et peuvent être utilisés sur n’importe quel ordinateur du domaine une fois que l’utilisateur à été déclaré dans celle-ci. Les comptes de domaine peuvent avoir un nombre beaucoup plus grand  de propriétés qui leur sont associées par rapport à un compte local, couvrant une variété d’attributs dans un environnement organisationnel, telles que des numéros de téléphone, les comptes e-mail, etc. D’une part, ceci permet de simplifier la gestion de vos utilisateurs au quotidien, et d’autre part de permettre à ceux-ci de trouver des informations de type entreprise comme c’est le cas dans un annuaire civique mais limité au rayon de l’organisation.

Domain Account

 

Local Account

Ordinateurs :

Un ordinateur est juste un autre type « d’utilisateur ». Dans Active Directory cela est particulièrement vrai et est corroborée par le modèle d’héritage dans Active Directory.

Premièrement, toutes les classes dans Active Directory dérivent d’une classe racine appelé Top. Deuxièmement, la classe User est dérivée de la classe organizationalPerson. La classe organizationalPerson est dérivé du Top. Troisièmement et c’est la partie la plus intéressante, la classe Computer est dérivée de la classe User. En d’autres termes, dans le langage orienté objet, un ordinateur est un type d’utilisateur. Cela signifie que les ordinateurs doivent être traités comme des « sujets » puisqu’ils ont presque les mêmes caractéristiques que les utilisateurs.

Groupes :

Un sujet est donc quelque chose qui tente d’accéder à un objet. Le système d’exploitation vérifie cette tentative d’accès en vérifiant les autorisations de l’objet. Très tôt, les concepteurs de systèmes d’exploitation ont réalisé qu’il serait difficile d’attribuer des autorisations à chaque objet unique à chaque utilisateur. Pour résoudre ce problème, ils ont permis aux utilisateurs d’être membres de groupes. Cela nous permet d’attribuer des autorisations à des groupes qui contiendraient des utilisateurs. Un groupe ne peut pas être un utilisateur, mais un groupe est toujours un type d’entité de sécurité, car il peut avoir un identifiant (SID), tout comme les utilisateurs et les ordinateurs. Dans Windows, un utilisateur peut être membre de plusieurs groupes et un objet peut avoir des autorisations attribuées par de nombreux groupes. Les groupes imbriqués sont également utilisables, avec certaines restrictions.

Un contrôleur de domaine ne peut contenir que deux types de groupes: les groupes prédéfinis (built-in groups) et les groupes que les administrateurs ont définis (user-defined groups). Dans Active Directory, vous trouverez six types de groupes de sécurité, nous parlons alors d’étendues (Group Scope),

 * Groupes prédéfinis par Active Directory (built-in groups)

Groupe de domaine local (Local Domain group) / Groupe global (Global group) / Groupes universel (Universal group)

 * Groupes définis par l’utilisateur (user-defined groups)

Groupe de domaine local (Local Domain group) / Groupe global (Global group) / Groupes universel (Universal group)

L’imbrication de ces groupes et leurs limitations peut être résumé par le tableau ci-dessous,

 * Quels sont les groupes par défaut dans Active Directory? (Attention, les groupes contenant  » CS* « ,  » RTC* « , ou encore  » *Mailbox*  » sont les groupes créés par les produits Microsoft Exchange et Microsoft Lync, si ceux-ci ne sont pas installés dans votre environnement, il est normal que vous ne les trouviez pas dans la console Utilisateurs et Ordinateurs Active Directory).

Conteneur « Utilisateurs » (Users container)

Conteneur « Builtin« 

Note : Lors de la création d’un groupe, en plus de définir l’étendue de celui-ci, vous aurez à choisir de le créer de type Sécurité (Security Group) ou Distribution (Distribution Group)! Quel pourrait être la différence entre ces deux groupes? Rien de bien compliqué finalement, un groupe de sécurité est associé à un identifiant de sécurité (SID) et vous pourrez assigner des permissions sur celui-ci qui contiendra des utilisateurs ou ordinateurs (très pratique pour simplifier la gestion de ces permissions sur plusieurs objets à la fois!); un groupe de distribution, quand à lui, n’aura pas d’identifiant de sécurité associé et servira seulement comme liste de distribution vers un produit utilisant cette fonctionnalité (Microsoft Exchange par exemple). Sur un contrôleur de domaine, vous trouverez, par défaut pas moins de 63 groupes par défaut!

 

 – Identités spéciales dans Active Directory :

 – Ouverture de session anonyme (Anonymous Logon)

Représente les utilisateurs et les services qui accèdent à un ordinateur et ses ressources à travers le réseau sans utiliser un nom de compte, mot de passe, ou nom de domaine. Sur les ordinateurs exécutant Windows NT 4.0 et les versions antérieures, le groupe Anonymous Logon est un membre par défaut du groupe Everyone.

 – Tout le monde (Everyone)

Représente tous les utilisateurs du réseau, y compris les invités (Guests) et les utilisateurs d’autres domaines. Chaque fois qu’un utilisateur ouvre une session sur le réseau, l’utilisateur est automatiquement ajouté au groupe Everyone.

 – Réseau (Network)

Représente les utilisateurs qui accèdent en ce moment même à une ressource donnée sur le réseau. Chaque fois qu’un utilisateur accède à une ressource donnée sur le réseau, l’utilisateur est automatiquement ajouté au groupe Réseau.

 – Interactif (Interactive)

Représente tous les utilisateurs actuellement connectés à un ordinateur particulier et qui accède à une ressource sur celui-ci (par opposition aux utilisateurs qui accèdent à la ressource sur le réseau). Chaque fois qu’un utilisateur accède à une ressource donnée sur un ordinateur, l’utilisateur est automatiquement ajouté au groupe Interactive.

SOURCES :

GROUP SCOPE – http://technet.microsoft.com/en-us/library/cc755692(v=ws.10).aspx

GROUP TYPES – http://technet.microsoft.com/en-us/library/cc781446(v=ws.10).aspx

DEFAULT GROUPS – http://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx

NESTING GROUPS – http://technet.microsoft.com/en-us/library/cc776499(v=ws.10).aspx

SPECIAL IDENTITIES – http://technet.microsoft.com/en-us/library/cc778060(v=ws.10).aspx

 

Non classé

jordanlaurent

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *