Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Présentation de la délégation Active Directory

Présentation de la délégation Active Directory

Nov 14, 2022

Understanding Active Directory (AD) permissions is vital for cybersecurity, compliance and business continuity. In this blog, we’ll be going over, at a high level, how Active Directory permission are applied in a domain and how to view them natively.

La manière la plus courante d'appliquer les permissions Active Directory est via l'outil Active Directory Users and Computers (ADUC). Il existe deux manières dans ADUC pour appliquer des permissions

Assistant de délégation Active Directory

L'assistant de délégation Active Directory est une interface utilisateur facile à utiliser pour accorder des permissions à un utilisateur ou à un groupe afin de réaliser une tâche spécifique. Passons en revue les étapes que nous suivrions en tant qu'administrateur qui doit permettre au groupe 'Help Desk' de gérer les réinitialisations de mot de passe pour tous les utilisateurs dans une OU spécifique.

1. Lancez l'assistant en cliquant avec le bouton droit sur une unité d'organisation ou un conteneur et en sélectionnant 'Déléguer le contrôle…'.

Image

L'assistant de délégation de contrôle Active Directory s'ouvrira :

Image

2. La première étape de l'assistant consiste à choisir les utilisateurs ou les groupes auxquels nous souhaitons accorder des permissions :

Image

3. Ensuite, nous spécifions quelles tâches ces objets devraient être capables d'effectuer. Nous pouvons choisir parmi une liste de tâches courantes ou créer une tâche personnalisée pour leur déléguer l'accès à l'exécution. Pour cet exemple, nous nous en tiendrons au scénario mentionné, réinitialiser les mots de passe des utilisateurs.

Image

4. Enfin, vous devez confirmer votre sélection en cliquant sur Terminer :

Image

Comme vous pouvez le voir, nous avons accordé au groupe ‘Help Desk’ le droit de ‘Réinitialiser les mots de passe des utilisateurs et forcer le changement de mot de passe à la prochaine connexion’ à tous les utilisateurs descendants de l’OU ‘SB Test Area’.

Onglet Sécurité

Révision des autorisations

Pour confirmer que les autorisations que nous avons spécifiées dans l'assistant de délégation ont été appliquées correctement, nous vérifierons l'onglet Sécurité de l'OU ‘SB Test Area’.

1. Pour afficher l'onglet Sécurité sur un objet, vous devez activer les Fonctionnalités avancées dans ADUC en choisissant « Fonctionnalités avancées » dans le menu déroulant View:

Image

2. Ensuite, faites un clic droit sur l'unité d'organisation SB Test Area et sélectionnez 'Propriétés'; puis allez à l'onglet Sécurité :

Image

3. Cet onglet nous montre la liste de contrôle d'accès (ACL) pour l'objet SB Test Area, qui comprend des entrées de contrôle d'accès (ACE). Si nous examinons les groupes et les comptes d'utilisateurs qui ont été appliqués à l'ACL de l'unité d'organisation SB Test Area, nous pouvons trouver le groupe Help Desk que nous avons ajouté :

Image

4. Nous pouvons constater que ce compte a reçu des 'Permissions Spéciales', donc pour visualiser les permissions de sécurité appliquées, nous devrons cliquer sur Avancé. Nous pouvons voir dans la capture d'écran ci-dessous que l'ACE pour le principal 'Help Desk' accorde des permissions de 'Réinitialisation du mot de passe' sur les 'Objets Utilisateur descendants' de l'OU SB Test Area.

Image

5. En cliquant sur Edit ici, nous pouvons réviser l'ACE pour le principal du Help Desk sur l'OU SB Test Area.

Image

Nous pouvons voir ci-dessus que l'autorisation que nous avons accordée au compte du Help Desk sur l'OU SB Test Area était simplement de 'Réinitialiser le mot de passe'.

Application directe des permissions

Maintenant que nous avons vu comment appliquer des permissions à l'aide de l'assistant de délégation, voyons comment nous pouvons appliquer des permissions directement depuis l'onglet Sécurité.

Disons que nous voulons accorder à mon compte le droit de modifier les membres des groupes dans une certaine UO.

1. Nous faisons un clic droit sur l'OU souhaitée (KevinJSandbox), allons dans Propriétés puis ouvrons l'onglet Sécurité :

Image

2. Nous faisons défiler vers le bas et sélectionnons notre nom de compte, Kevin Joyce :

Image

3. Ensuite, nous cliquons sur 'Ajouter…' Comme vous pouvez le voir, cela a accordé à mon compte des droits d'accès 'Lecture' à l'OU KevinJSandbox, mais nous n'avons pas de moyen via cette interface pour permettre de manière granulaire les modifications de groupe. Pour cela, nous devrons cliquer sur 'Avancé'. Ensuite, nous cliquons sur 'Modifier' sur l'ACE pour l'objet auquel nous venons d'accorder l'accès :

Image

4. Nous pouvons voir l'ACE par défaut qui a été créé lorsque nous avons ajouté mon compte utilisateur ; il permet de lister le contenu, de lire toutes les propriétés et de lire les permissions uniquement sur l'objet KevinJSandbox. Nous allons modifier cela pour nous permettre également de modifier l'appartenance des groupes descendants dans l'OU KevinJSandbox. Pour ce faire, nous voulons d'abord sélectionner 'objets de groupe descendants' dans le menu déroulant 'S'applique à' :

Image

La liste des autorisations pouvant être appliquées change en fonction de l'objet ou des objets sélectionnés dans le champ S'applique à :

Image

5. Comme vous pouvez le voir dans la liste ci-dessus, il n'y a pas de permission 'Modifier l'appartenance au groupe' sous les entrées de Permissions. Pour donner au principal la capacité de modifier uniquement les membres d'un groupe, nous devons descendre et sélectionner la propriété 'Écrire les membres' comme indiqué dans la capture d'écran suivante :

Image

Conclusion

Comme vous pouvez le voir, comprendre, appliquer, analyser et supprimer les permissions d'Active Directory peut être très complexe. Cependant, il existe des outils qui peuvent vous aider dans la gestion et l'audit des permissions. En particulier, assurez-vous de consulter la Netwrix Active Directory Security Solution.

Meilleures pratiques de sécurité pour Active Directory

Découvrez des astuces d'experts pour renforcer la sécurité AD et réduire les risques

Téléchargez les meilleures pratiques

FAQ

Qu'est-ce que la délégation Active Directory ?

La délégation des droits administratifs vous permet d'accorder aux utilisateurs les permissions pour effectuer des tâches nécessitant des permissions élevées — sans les assigner à des groupes hautement privilégiés tels que les Domain Admins et les Account Operators.

Comment déléguer les privilèges d'administrateur dans Active Directory ?

Pour déléguer des permissions Active Directory, ouvrez la console Utilisateurs et ordinateurs Active Directory et lancez l'assistant de délégation AD en cliquant avec le bouton droit sur une unité d'organisation (OU) ou un conteneur et en sélectionnant 'Déléguer le contrôle…'

Comment vérifier la délégation dans Active Directory ?

In the Users and Computers console, go to the View menu and make sure ‘Advanced Features’ is ticked. Then right-click an OU, choose Properties and go to the Security tab to view the delegated permissions.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Kevin Joyce

Directeur de Product Management

Directeur de Product Management chez Netwrix. Kevin a une passion pour la cybersécurité, en particulier pour comprendre les tactiques et techniques utilisées par les attaquants pour exploiter les environnements des organisations. Avec huit ans d'expérience en gestion de produit, se concentrant sur la sécurité d'Active Directory et de Windows, il a utilisé cette passion pour aider à développer des solutions permettant aux organisations de protéger leurs identités, infrastructures et données.

En savoir plus sur ce sujet

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment créer, modifier et tester des mots de passe en utilisant PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Confiances dans Active Directory

Attaques de rançongiciels sur Active Directory

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité