1. Présentation des groupes
1.1 Définition
Les groupes dans Active Directory vous permettront de regrouper tout type d’objet (compte utilisateur, compte ordinateur, groupe) dans une seule et unique entité dans le but de simplifier le travail d’administration dans une forêt Active Directory. De plus, on verra que les groupes se caractérisent par leur étendue qui permettra de limiter leur application dans la forêt. Mais aussi par leur type, on pourra leur assigner des autorisations de sécurité si leur type l'autorise.
Un groupe sous Active Directory pourra être user pour ces différentes applications :
-
Lors d’un partage d’une ressource quelconque (Imprimantes, dossier, serveur d’application)
-
Lors de la création d’une stratégie de groupe
-
Lors de l’envoi de mails groupés
On notera que la notion de groupe diffère entre un groupe local d'un ordinateur et un groupe dans une forêt Active Directory. Pour entamer, prenons par exemple un utilisateur qui souhaite accéder à un partage dans un domaine 2003 Server.
Les différentes notions de ACE et SID seront traités plus loin dans l'article. De plus, certaines notions ont été modifiées afin de les vulgariser
On remarque de suite que le contrôleur de domaine est celui qui est le centre de toutes les transactions mais aussi qu'il permet à l'utilisateur d'unifier son authentification une unique fois. De plus, il possède un jeton unique qui énumère une fois pour toutes son appartenance à un certain nombre de groupes.
Ci-dessous, le cas où il n'y a pas de domaine mais plusieurs serveurs de fichiers...
On note ici déjà plusieurs failles de sécurité, d'abord l'utilisateur doit s'identifier à chaque fois qu'il souhaite accéder à différentes ressources. De plus, il ne possède jamais le même SID utilisateur sur les différentes ressources auxquelles il accède. On constate aussi les difficultés d'administrer un réseau sans domaine : l'administrateur devra attribuer sur chaque machine et chaque serveur un accès pour le même utilisateur ainsi que son appartenance à un ou plusieurs groupes.
Le but de ces deux schémas est de vous montrer que la notion de groupe sera beaucoup plus étendue dans un domaine et qu'il ne sera pas seulement appliqué à un seul objet mais à un ensemble d'objets.
1.2 Les contrôles d’accès
Avant d’entamer les différentes caractéristiques d’un groupe dans Active Directory, il faut discerner les notions qu’englobent les contrôles d’accès. Les contrôles d’accès vont permettre à l’administrateur de savoir d’une part si un utilisateur ou un groupe aura ou non l’accès à une ressource et d’une autre les types de droit que cette entité aura sur l’objet.
SID (Security IDentifier) : chaque objet entité de sécurité (utilisateur, groupe et ordinateur) aura un identificateur de sécurité qui sera unique dans une forêt Active Directory. Cet identificateur est automatiquement créé lors de la création de l’entité de sécurité. Ce numéro unique est composé du SID du domaine + d'un RID défini par la maître RID du domaine.
ACE (Access Control Entrie) : un ACE est un couple : un SID et une permission
DACL (Discretionary Access Control List) : c’est une liste d’ACE pour un objet. Tout objet dans Active Directory possède une DACL. C’est grâce à celle-ci qu’on autorise ou non une entité de sécurité. Toute entité de sécurité non listé dans cette DACL aura de suite un accès refusé.
SACL (System Access Control Lists): cette liste d’ACE est particulière et très peu utilisé. Elle permet d’auditer un certain nombre d’événements (sécurité, réseau) sur l’objet d’une ou plusieurs entités. On pourra ainsi déterminer les violations d’accès ainsi que son étendu qu'on souhaite auditer.
2. Présentation avancée
2.1 Les droits utilisateurs
Microsoft considère l'entité groupe comme un utilisateur qui possède des autorisations d'exécution de tâche sur une machine ou sur un domaine. Chaque membre de ce groupe héritera des droits utilisateurs attribués au groupe. Il existe deux types de droits utilisateurs:
- Droit de connexion : ce type de droit va permettre d'autoriser un utilisateur à se connecter sur une machine et comment l'effectuer.
- Accéder à cet ordinateur depuis le réseau :
- Ce droit de connexion est nécessaire pour se connecter sur l'ordinateur via le réseau. Ce droit d'utilisateur est requis, par exemple, pour les utilisateurs qui souhaite accéder à un partage de fichier, à un partage d'imprimante ou au service HTTP
- Permettre l'ouverture d'une session locale :
- Tout groupe ou utilisateur souhaitant ouvrir une session sur un ordinateur devra posséder ce droit utilisateur
- Accéder à cet ordinateur depuis le réseau :
- Privilèges : ce type de droit va permettre de donner des privilèges d'utilisation machine à l'utilisateur
- Ajouter des stations de travail au domaine :
- Ce privilège permet au utilisateur de pouvoir ajouter jusqu'a 10 ordinateurs à un domaine (bien sûr si le droit utilisateur est configuré sur un contrôleur de domaine)
- Sauvegarder des fichiers et des répertoires :
- Les utilisateurs pourront sauvegarder les dossiers et fichiers en outrepassant les autorisations (NTFS). Ils pourront aussi se rendre propriétaire des données et ainsi modifier les autorisations. (à utiliser avec parcimonie)
- Arrêter le système :
- Les utilisateurs pourront ainsi éteindre le poste local
- Ajouter des stations de travail au domaine :
Pour modifier l'attribution des droits utilisateurs, vous devez effectuer les changements dans les consoles « Paramètre de sécurité du contrôleur de domaine par défaut » et « Paramètre de sécurité du domaine par défaut ». Vous pouvez grâce à ces deux consoles ajouter ou supprimer des droits utilisateurs à n’importe quel groupe, même ceux que vous avez créés sur le domaine.
2.2 Les type de groupe
On entame avec le chapitre "Type de groupe", les concepts ajoutés au groupe dans Active Directory...
Dans Active Directory, lors de la création d'un groupe vous pouvez spécifier le type de groupe. Ce type limitera ou non les actions dans le domaine.
Il existe deux types de groupe:
- Groupe de distribution
- Il s’agit d’une implémentation pour les serveurs de mail (par exemple : Microsoft Exchange Server) pour pouvoir envoyer des mails à un groupe d’utilisateur. Il est limité à cette tâche et ne permettent aucune autre action.
Particularité avec Microsoft Exchange 2003 (et version supérieur):- Vous avez la possibilité de créer un groupe de distribution dynamique fondés sur une requête LDAP (par exemple: "Tous les employés qui travaillent au siège social"). Attention: comme ce groupe est dynamique, à chaque envoie de message au groupe dynamique , le serveur de catalogue global (contrôleur de domaine) devra exécuter la requête LDAP (augmentation de la charge du serveur conséquente).
- Groupe de sécurité
- Les groupes de sécurité permettent deux types de droits qui doivent se corréler entre eux.
- Assigner des droits utilisateurs (voir ci-dessus)
- Assigner des autorisations sur des ressources
- Permet aussi l'envoie de mail au groupe (comme les groupes de distribution)
La correspondance entre les droits utilisateurs et les autorisations sur les ressources est ici très importante.
Exemple : Si on donne un droit d’utilisateur ‘Ouvrir une session localement’ à un groupe utilisateur 'g_secretaire' et que l’on donne comme autorisation de ressources à ce groupe des objets de type ‘Serveur’, le groupe ainsi crée sera très dangereux pour tout le parc informatique car vous donnez la possibilité à un groupe de personne ayant des connaissances informatiques trop restreinte.
Microsoft, pour simplifier l’administration d’un domaine, a créé des groupes de sécurité par défaut qui regroupe plusieurs droits utilisateurs (cf. groupe par défaut).
2.3 Les étendues de groupe
L’étendue d’un groupe va permettre de limiter l’accès à des ressources de la forêt.
On pourra par exemple décider qu’un certain nombre d’administrateurs pourront avoir accès à toutes les ressources de la forêt (Groupe Universel) et que d’autres administrateurs aient un accès à un domaine bien spécifique (Domaine Local).
Il existe trois types d’étendue de groupe :
- Domaine Local
- Globale
- Universelle
Le comportement de ces groupes évolue en fonction du niveau fonctionnel de la forêt Active Directory. On peut généraliser par le fait qu'en mode mixte (compactibilité avec NT4) les possibilités sont beaucoup plus restreintes qu'en mode natif. Généralement en mode mixte les possibilités d’ajout d’objet sont plus restreintes.
2.3.1 Étendu Domaine local
Ce type d’étendu sera très efficace si on ne souhaite pas que le groupe que vous créez se propage dans toute la forêt mais vous pourrez ajouter comme membre n'importe quel objet de la forêt.
| Mode Natif | Mode Mixte | |
|---|---|---|
| Membres | Dans tous les autres domaines de la forêt: comptes utilisateurs, groupes globaux et groupes universels | Dans tous les autres domaines de la forêt : comptes utilisateurs, groupes globaux Du même domaine : comptes utilisateurs, groupes globaux |
| Membres de | De tous les autres domaines de la forêt : aucun Du même domaine : groupes locaux | De tous les autres domaines de la forêt : aucun Du même domaine : aucun |
| Visibilité/ Attribution d'autorisation | Dans tous les autres domaines de la forêt : aucun Du même domaine : visibilité et attribution d'autorisation possible | |
Exemple d'utilisation: vous êtes dans une forêt microsoft.com . Vous souhaitez partager un dossier sur un domaine enfant east.microsoft.com. Vous désirez administrer facilement les utilisateurs pour ce partage spécifique sans ajouter nominativement des autorisations sur chaque utilisateur, mais aussi, éviter que le groupe ainsi créé puissent être visible dans d’autres domaines (par exemple : domaine west.microsoft.com). Créez un groupe avec une étendue de domaine local. Ce groupe pourra être ainsi utilisé pour assigner des autorisations sur les ressources seulement sur les ressources où est présent le groupe.
Schéma des membres d'une étendue
2.3.2 Étendue Globale
On utilisera les groupes de type global dans le but de simplifier l’administration de l’annuaire Active Directory. Et on s’en servira surtout pour donner une image complète des services dans chaque domaine (Comptabilité, Consultant, …).
| Mode Natif | Mode Mixte | |
|---|---|---|
| Membres | Dans tous les autres domaines de la forêt : aucun | Dans tous les autres domaines de la forêt: aucun Du même domaine: comptes utilisateurs |
| Membres de | De tous les autres domaines de la forêt: groupes locaux Du même domaine: groupes locaux | De tous les autres domaines de la forêt: aucun Du même domaine: groupes locaux |
| Visibilité/ Attribution d'autorisation | Dans tous les autres domaines de la forêt: visibilité et attribution d'autorisation possible Du même domaine: visibilité et attribution d'autorisation possible | |
Schéma des membres d'une étendue
2.3.3 Étendue Universelle
On utilisera les groupes avec une étendue universelle dans le but de renforcer les groupes globaux (exemple : rassembler tous les groupes « Utilisa. du domaine », dans un groupe universel « Utilisateurs de l’entreprise »). Un groupe universel ne doit en aucun cas avoir des modifications fréquentes car il n’a pas été crée dans ce but là. Car tout changement sur un groupe universel s’ensuit d’une synchronisation des objets Active Directory sur tous les contrôleurs de domaine (augmentation conséquente du trafic réseau). A noter que ce type d'étendu n'existe pas en mode mixte.
| Mode Natif | Mode Mixte | |
|---|---|---|
| Membres | Dans tous les autres domaines de la forêt: comptes utilisateurs, groupes globaux et groupes universels | |
| Membres de | De tous les autres domaines de la forêt: groupes locaux et groupes universelles Du même domaine: groupes locaux et groupes universelles | |
| Visibilité/ Attribution d'autorisation | Dans tous les autres domaines de la forêt: visibilité et attribution d'autorisation possible Du même domaine: visibilité et attribution d'autorisation possible |
Schéma des membres d'une étendue
3. Bien utiliser les groupes dans Active Directory
3.1 Stratégie d'utilisation des groupes
Pour une bonne gestion des autorisations sur des objets Active Directory, il faut utiliser à bon escient les groupes. Ceci dans le but de dissocier et de prévenir tous problèmes futures, il faut acquérir l'habitude suivante: un objet ou entité d'objet dans un domaine doit posséder un groupe local pour attribuer les autorisations sur cet objet ou entité.
Par exemple: je possède une imprimante qui se nomme 'printercouloir' et je veux associer un nombre d'utilisateur restreint et spécifique à cette imprimante. Il faut alors créer un groupe 'dl_printercouloir' (groupe de sécurité avec une étendue locale). Ajouter les membres à celle-ci et attribuer les autorisations pour l'imprimante au nouveau groupe ainsi créé.
Appliquer cette stratégie peut être fastidieux au début mais le gain en maintenance sera conséquent. Par exemple, un an plus tard, une nouvelle imprimante 'printercouloir2' est ajoutée et vous souhaitez que seuls les utilisateurs qui avaient déjà accès à l'imprimante 'printercouloir' y aient accès. Très simplement, vous n'aurez à donner que des autorisations au groupe 'dl_printercouloir'. Si vous aviez donné des autorisations nominativement auparavant, il aurait fallu reprendre chaque membre un par un et donnez des autorisations à chacun.
Ci-dessus a été explicité une partie de la stratégie A G DL P (Account, Global group, Domain Local group, Permission) et A G U DL P (Account, Global group, Universal group, Domain Local group, Permission).
AGDLP
Ce type de stratégie est très efficace seulement dans un domaine restreint (pas de notion de forêt).
Les tâches à suivre:
- Ajoutez les utilisateurs dans des groupes de sécurité avec une étendue globale.
- Ajoutez les groupes globaux à un groupe de sécurité avec une étendue locale qui sera réservée aux permissions de l'objet ou d'une entitée d'objet.
- Ajoutez les autorisations pour le ou les objets au groupe domaine local précédemment créé.
AGUDLP
Voici la méthode à retenir si vous possédez une forêt Active Directory:
Les tâches à suivre:
- Ajoutez les utilisateurs dans des groupes de sécurité avec une étendue globale dans chaque domaine où se situe l'utilisateur.
- Ajoutez les groupes globaux à un groupe de sécurité avec une étendue universelle (ceci pour limiter le traffic lors de la réplication de la forêt Active Directory si vous effectuez des modifications de permission)
- Ajoutez le ou les groupes universels à un groupe de sécurité avec une étendue locale qui sera réservée aux permissions de l'objet ou d'une entitée d'objet.
- Ajoutez les permissions pour le ou les objets au groupe local précédemment créé.
3.2 Convention de nommage
Pour faciliter l’administration des groupes dans votre forêt Active Directory, n’hésitez pas à user d’une convention de nommage propre ou non à votre entreprise.
On pourra utiliser par exemple la convention suivante :
Groupe de sécurité :
Groupes locaux : dl_finance
Groupes Globaux : g_finance
Groupes Universels : u_finance
On remarquera que cette convention est limitée car on ne peut identifier s’il s’agit d’un groupe de distribution ou de sécurité.
Pour être complet, on pourra utiliser la convention suivante pour les groupes de distribution et garder la convention ci-dessus pour les groupes de sécurité:
Groupe de distribution :
Groupes locaux : d_dl_finance
Groupes Globaux : d_g_finance
Groupes Universels : d_u_finance
4. Groupe par défaut
4.1 Les groupes BUILTIN
Les groupes présents dans BUILTIN possèdent des droits utilisateurs seulement sur les contrôleurs de domaine du domaine. Donc ils ne pourront effectuer aucune action sur les autres ordinateurs (exemple: ne pourront pas ouvrir une session locale sur un ordinateur). Si l'utilisateur 'Administrateur' possède des droits sur les contrôleurs de domaine et sur le domaine, c'est parce qu'il est membre du groupe 'Administrateurs' du container BUILTIN et membre du groupe 'Administrateur du domaine' du container USERS. On peut comparer les groupes du container BUILTIN aux groupes locaux "classique".
Tableau exhaustif des groupes du container BUILTIN (voir annexe pour le tableau complet):
| Nom | Descriptif | Droit(s) par défaut | Membre par défaut |
| Administrateurs (SID : S-1-5-32-544) | Le groupe ‘Administrateurs’ possède la majorité des droits sur les contrôleurs de domaine. A utiliser avec beaucoup de parcimonie. | Accéder à cet ordinateur à partir du réseau, Changer les quotas de mémoire d'un processus, Sauvegarder des fichiers et des répertoires, Outrepasser le contrôle de parcours... (cf. annexe) | Administrateur (U), Administrateur de l’entreprise (G), Admins du domaine (G). |
| Opérateurs de compte (SID : S-1-5-32-548) | Ce groupe permet de manager tous les objets (Ajout, Modification, Suppression) dans la forêt. Leurs limites se situe qu’ils ne peuvent accéder au conteneur ‘Domain Controllers’ et ne peuvent modifier le groupe ‘Administrateurs’ et ‘Admins du domaine’ | Permettre l'ouverture d'une session locale, Arrêter le système. | Aucun. |
| Opérateurs de configuration réseau (SID : S-1-5-32-556) | Les membres de ce groupe peuvent configurer toute la configuration des paramètres TCP/IP des contrôleurs de domaine | Aucun. | Aucun. |
| Opérateurs de sauvegarde (SID : S-1-5-32-551) | Les membres de ce groupe peuvent sauvegarder et restaurer les fichiers des contrôleurs de domaine et ceci en outrepassant les droits NTFS. | Sauvegarder des fichiers et des répertoires, Permettre l'ouverture d'une session locale, Restaurer des fichiers et des répertoires, Arrêter le système. | Aucun. |
| Opérateurs de serveur (SID : S-1-5-32-549) | Les membres de ce groupe ne possèdent que des droits simples sur les contrôleurs de domaine. Ouverture de session, Sauvegarde et Restauration de fichiers, formatage de disque, création et suppression de ressources partages. | Sauvegarder des fichiers et des répertoires, Modifier l'heure du système, Forcer l'arrêt à partir d'un système distant, Permettre l'ouverture d'une session locale, Restaurer des fichiers et des répertoires, Arrêter le système. | Aucun. |
| Opérateurs d'impression (SID : S-1-5-32-550) | Les membres de ce groupe auront à leur charges toute la gestion des imprimantes sur un contrôleur de domaine (installation de pilote, création de partage imprimantes, gestion des spool, objet imprimantes dans le domaine) | Permettre l'ouverture d'une session locale, Arrêter le système. | Aucun. |
Vous trouverez ici le tableau complet des groupes du container BUILTIN
4.2 Les groupes USERS
La portée des groupes présents dans le conteneur USERS s’applique à tous les objets du domaine sauf les contrôleurs de domaine. Un certain nombre de groupe permettent de lister les membres présent dans le domaine (exemple: groupe 'ordinateur du domaine' liste tous les ordinateurs du domaine). Il existe des groupes qui sont présents seulement sur le domaine root (domaine qui ne possède pas de parents).
Tableau exhaustif des groupes du container USERS (voir annexe pour le tableau complet):
| Nom | Descriptif | Droit(s) par défaut | Membre par défaut |
| Administrateurs de l’entreprise (SID : S-1-5-y-519) | Les membres de ce groupe ont un contrôle total sur toute la forêt Active Directory (donc sur tous les objets de tous les domaines). Il est déconseillé d’ajouter un membre à ce groupe. Il vaut mieux utiliser des groupes pour la forêt avec des droits plus restreints. Ce groupe n’existe que sur un contrôleur de domaine racine. | Accéder à cet ordinateur à partir du réseau, Changer les quotas de mémoire d'un processus, Sauvegarder des fichiers et des répertoires, Outrepasser le contrôle de parcours... (cf. annexe) | Administrateur (U) (SID: S-1-5-x-500). |
| Admins du domaine (SID : S-1-5-x-512) | Les membres de ce groupe ont un contrôle total sur les ordinateurs et les serveurs du domaine. | Accéder à cet ordinateur à partir du réseau, Changer les quotas de mémoire d'un processus, Sauvegarder des fichiers et des répertoires, Outrepasser le contrôle de parcours... (cf. annexe) | Administrateur (U) (SID: S-1-5-x-500). |
| Contrôleurs du domaine (SID : S-1-5-x-516) | Ce groupe regroupe tous les contrôleurs de domaine présent dans le domaine. | Aucun. | Liste de tous les contrôleurs de domaine du domaine. |
| Ordinateurs du domaine (SID : S-1-5-x-515) | Ce groupe contient la liste de tous les ordinateurs du domaine | Aucun. | Liste de tous les ordinateurs du domaine. |
| Propriétaires créateurs de la stratégie de groupe (SID : S-1-5-x-520) | Les membres de ce groupe peuvent modifier les Stratégies de groupe du domaine. | Aucun. | Administrateur (U) (SID: S-1-5-x-500). |
| Utilisa. du domaine (SID : S-1-5-x-513) | Ce groupe contient la liste de tous les utilisateurs du domaine. | Aucun | Liste de tous les utilisateurs du domaine. |
Vous trouverez ici le tableau complet des groupes du container USERS
4.3 Les groupes systèmes
Un certain nombre de groupes spéciaux existe. Ils ne sont pas listé dans Active Directory. Mais on peut leur attribuer des autorisations à ces groupes lors d'un partage d'une ressource. Les membres de ce groupe sont dynamiques donc on ne peut les lister.
| Nom | Descriptif | Droit(s) par défaut |
| Tout le monde (ne possède pas de SID) | Liste tous les utilisateurs actifs sauf ceux du groupe ‘Anonymous logon’. | Accéder à cet ordinateur à partir du réseau, Outrepasser le contrôle de défilement. |
| Réseau (SID : S-1-5-2) | Liste tous les utilisateurs qui accèdent à des ressources via le réseau. | Aucun. |
| Interactif (SID : S-1-5-4) | Liste tous les utilisateurs qui accèdent à des ressources en local. | Aucun. |
| Anonymous logon (SID : S-1-5-7) | Liste tous les utilisateurs qui accèdent à une ressource sans authentification | Aucun. |
| Enterprise Domain Controllers (SID : S-1-5-9) | Liste tous les contrôleurs de domaine de toute la forêt. | Accéder à cet ordinateur à partir du réseau |
| Utilisateurs Authentifiés (SID : S-1-5-11) | Liste tous les utilisateurs et ordinateurs authentifiés par les contrôleurs de domaine de la forêt. | Accéder à cet ordinateur à partir du réseau, Ajouter des stations de travail au domaine, Outrepasser le contrôle de défilement |
| Remote Interactive Logon (SID : S-1-5-14) | Liste tous les utilisateurs qui ouvrent une session via ‘Bureau à Distance’ | Aucun. |
4.4 Conseil sur l'utilisation des groupes par défaut
Renommez le compte Administrateur sur tous les contrôleurs de domaine. Un grand nombre d'attaque (password recovery) se fait via ce compte car il existe par défaut sur tous les produits Microsoft.
N’autorisez les ouvertures de session qu'au groupe utilisateurs sur toutes les machines. Si une tâche nécessite des droits supplémentaires alors utilisez la fonction "Exécuter en tant que". Si vous utilisez des scripts automatiques, assurez d’avoir les droits nécessaires avant l’exécution du script. Si le script a besoin de droits supplémentaires, implémentez dans votre script soit une demande d’identification (donc présence physique d’un administrateur ou d’un technicien lors de chaque exécution de script) ou implémenter une authentification automatique du script (l’implémentation du compte utilisé doit alors être inscrit dans le script donc il est nécessaire de le crypter mais aussi de restreindre ses droits au maximum). Ce conseil est bien sûr lourd d'utilisation mais le gain de sécurité est très important.
Conclusion
Vous avez pu découvrir toutes les possibilitées qui se présentent avec les groupes dans Active Directory. Mais l'utilisation de celle-ci doit être prudente. La sécurité de votre parc informatique, de vos données en dépend largement car il en découle des possibilités d'actions pour chaque utilisateur, y compris l'utilisateur inconnu. L'utilisation des groupes dans une forêt Active Directory doit suivre une convention connue de chaque administrateur pour ne pas polluer Active Directory.
Le TCO (Total Cost of Ownership = coût total de possession) en découlera. Mais aussi l'installation ou les mises à jour hardware et logiciel en seront facilitées (ajout d'un nouveau domaine, mise à jour vers un nouveau système d'exploitation).
