Archives de catégorie : Dynamic local Admin

Les restricted groups sous stéroïdes

Pour une fois, pas de torture. Ce sera tout ce qu’il y a de plus simple pour traiter un problème complexe.

 

Les restricted groups (ou groupes restreints) sont une fonctionnalité natives des stratégies de groupe depuis Windows 2000. Le principal intérêt de cette fonctionnalité est de pouvoir contrôler les membres des groupes locaux de nos serveurs et stations de travail.

D’un point de vue sécurité, la fonctionnalité est intéressante pour les stations de travail. Par contre coté serveurs, cela devient très vite lourd à gérer car on a besoin d’une GPO pour chaque configuration à propager. C’est encore plus problématique. Multiplier le nombre de stratégie de groupes n’est pas la solution.

Dans le contexte d’un projet VDI, j’ai eu à élaborer la gestion des droits administrateurs accordés sur les machines virtuelles, c’est juste une usine à gaz à gérer, c’est pas si simple que de positionner un compte dans le groupe local administrateur, surtout à l’échelle de plusieurs milliers de postes. Je recherchais donc une nouvelle approche. Techniquement l’approche que j’avais était bien tout-terrain mais trop complexe à mettre en œuvre.

 

En discutant avec l’auteur d’ADMPWD, j’ai découvert sa nouvelle création : Dynamic Local Admin. Comme pour ADMPWD, cela fonctionne sous la forme d’une Client-Side Extension des GPO qui vient compléter les "Restricted groups" en utilisant comme source le contenu de l’attribut ManagedBy du compte ordinateur dans l’Active Directory. La solution est simple et élégante car :

  • Contrairement à ADMPWD, pas besoin d’extension de schéma
  • On peut individualiser la configuration pour chaque ordinateur (positionner un compte utilisateur ou un groupe)
  • On peut déléguer la gestion de l’attribut ManagedBy
  • Pour auditer, plus besoin d’interroger chaque système

 

Coté mise en œuvre, il n’y a rien de plus simple :

  1. Installer le package MSI sur les stations / serveurs membre du domaine
  2. Importer les fichier ADMX / ADML
  3. Configurer une stratégie de groupe pour activer l’unique paramètre

clip_image001

Plus simple, c’est pas possible. Après, il n’y a plus qu’à peupler le contenu des attributs ManagedBy dans l’annuaire Active Directory et laisser les stratégies de groupe opérer.

Dans le contexte d’un projet Poste de travail, cette simple solution simplifie pas mal de choses. Plus besoin de gérer l’appartenance aux groupes locaux à distance et de devoir gérer les différentes problématiques (firewall, latence, VM offline, …). Tout est centralisé dans l’annuaire Active Directory. Le seul problème que pose cette approche, c’est la gestion de la compliance. Nous sommes nombreux à utiliser Desired Configuration Management (DCM) pour vérifier que les membres du groupe local administrateurs de nos stations de travail est bien conforme à ce qu’impose la sécurité et y remédier si nécessaire. La, cela va se compliquer un peu.

Bref, un must to have dans un projet poste de travail. En plus, pour une fois, c’est simple.

 

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)