Comptes et Groupes Privilégiés Intégrés dans Active Directory
Active Directory permet la délégation de l’administration tout en soutenant le principe des privilèges minimaux pour l’attribution des droits et autorisations. Les utilisateurs « courants » ayant des comptes dans un domaine peuvent, par défaut, lire une grande partie des données du répertoire, mais ne peuvent modifier qu’un ensemble très limité d’informations. Les utilisateurs nécessitant des privilèges supplémentaires peuvent être ajoutés à différents groupes privilégiés intégrés au répertoire, leur permettant d’effectuer des tâches spécifiques liées à leurs rôles, mais sans accéder à des fonctions non pertinentes pour eux. Les organisations peuvent également créer des groupes adaptés à des responsabilités spécifiques et accorder des droits et autorisations précis, permettant au personnel informatique de réaliser des fonctions administratives quotidiennes sans dépasser les privilèges nécessaires.
Groupes aux Privilèges les Plus Élevés dans Active Directory
Administrateurs d’Entreprise
Le groupe « Administrateurs d’Entreprise » (EA) existe uniquement dans le domaine racine de la forêt et est, par défaut, membre du groupe Administrateurs dans tous les domaines de la forêt. Le compte Administrateur intégré du domaine racine de la forêt est le seul membre par défaut de ce groupe. Les EA ont des droits et autorisations pour implémenter des modifications à l’échelle de la forêt, comme l’ajout ou la suppression de domaines, l’établissement d’approbations de forêt, ou l’élévation des niveaux fonctionnels de la forêt. Dans un modèle de délégation bien conçu, l’appartenance au groupe EA n’est requise que lors de la construction initiale de la forêt ou pour certaines modifications à l’échelle de la forêt, la plupart des droits pouvant être délégués à des utilisateurs ou groupes moins privilégiés.
Administrateurs de Domaine
Chaque domaine d’une forêt possède son propre groupe « Administrateurs de Domaine » (DA), membre du groupe Administrateurs du domaine et du groupe Administrateurs local sur chaque ordinateur joint au domaine. Le seul membre par défaut de ce groupe est le compte Administrateur intégré du domaine. Les DA ont des privilèges étendus au sein de leurs domaines. Dans un modèle de délégation bien conçu, l’appartenance aux DA est réservée aux scénarios d’urgence. Bien que la délégation Active Directory permette une gestion fine des privilèges, de nombreuses organisations utilisent des outils tiers pour accélérer ce processus.
Administrateurs
Le groupe « Administrateurs » (BA) est un groupe local intégré au domaine dans lequel les DA et EA sont imbriqués. Ce groupe dispose de nombreux droits et autorisations directs dans l’annuaire et sur les contrôleurs de domaine, mais n’a pas de privilèges sur les serveurs membres ou les stations de travail, sauf via l’appartenance au groupe Administrateurs local des ordinateurs.
Administrateurs du Schéma
Le groupe « Administrateurs du Schéma » (SA) existe uniquement dans le domaine racine de la forêt, avec le compte Administrateur intégré du domaine comme membre par défaut. Ce groupe est destiné à être rempli temporairement pour les modifications du schéma AD DS. Bien que le groupe SA soit le seul à pouvoir modifier le schéma Active Directory, son champ de droits est plus limité comparé aux autres groupes privilégiés. Il est courant que les organisations gèrent strictement l’appartenance à ce groupe, contrairement aux pratiques moins courantes pour les groupes EA, DA, et BA.
Notes
Bien que ces configurations soient par défaut, un membre de l’un des trois groupes principaux (EA, DA, BA) peut manipuler le répertoire pour devenir membre des autres groupes. D’un point de vue des privilèges potentiels, ces groupes doivent être considérés comme équivalents.
Administrateurs du Schéma
Le groupe « Administrateurs du Schéma » (SA), présent uniquement dans le domaine racine de la forêt, a par défaut le compte Administrateur intégré comme unique membre. Ce groupe est utilisé temporairement pour les modifications du schéma AD DS.
Bien que le groupe SA soit le seul autorisé à modifier le schéma Active Directory (les structures de données comme les objets et attributs), ses droits sont plus limités comparés aux autres groupes privilégiés. Les organisations gèrent souvent strictement l’appartenance au groupe SA, car son utilisation est rare et de courte durée. Cela devrait également s’appliquer aux groupes EA, DA, et BA, mais c’est moins fréquent en pratique.
Bonnes Pratiques pour la Gestion des Groupes Privilégiés dans Active Directory
1. Principe du Moindre Privilège :
- Accordez uniquement les droits nécessaires pour accomplir les tâches spécifiques. Les utilisateurs ne devraient appartenir à des groupes privilégiés que s’ils en ont réellement besoin pour leurs fonctions.
2. Utilisation Temporaire et Contrôlée :
- Les appartenances aux groupes comme « Administrateurs de Schéma » (SA) devraient être temporaires. Accordez l’accès uniquement le temps nécessaire pour effectuer les modifications requises.
3. Comptes Distincts pour les Tâches Administratives :
- Créez des comptes spécifiques pour les tâches administratives et assurez-vous qu’ils sont utilisés uniquement pour ces tâches. Les comptes standards des utilisateurs ne doivent pas disposer de privilèges administratifs élevés.
4. Surveillance et Audits Réguliers :
- Mettez en place des audits réguliers pour surveiller les activités des comptes privilégiés. Utilisez des outils de surveillance pour détecter les anomalies ou les activités suspectes.
5. Mise en Œuvre de l’Authentification Multi-Facteurs (MFA) :
- Exigez l’authentification multi-facteurs pour les comptes ayant des privilèges élevés afin de renforcer la sécurité.
6. Segmentation des Tâches :
- Segmentez les tâches administratives entre différents groupes et utilisateurs pour éviter que trop de pouvoirs soient concentrés entre les mains de quelques individus.
7. Formation et Sensibilisation :
- Formez les administrateurs et les utilisateurs sur les bonnes pratiques de sécurité et l’importance de la gestion des privilèges.
8. Documentation et Procédures de Changement :
- Documentez clairement les procédures pour accorder, modifier et révoquer les privilèges des groupes. Toute modification devrait suivre un processus de demande et d’approbation formalisé.
9. Utilisation d’Outils de Gestion des Privilèges :
- Employez des solutions de gestion des accès privilégiés (PAM) pour contrôler et surveiller l’accès aux ressources critiques.
10. Revues Périodiques de l’Appartenance aux Groupes :
- Effectuez des revues périodiques pour vérifier que les membres des groupes privilégiés ont toujours besoin de leurs accès et révoquez ceux qui ne sont plus nécessaires.
Sources :