Définition des autorisations de sécurité des dossiers dans Active Directory

Contrôler qui peut accéder à un dossier est la meilleure pratique. La définition des autorisations de dossier garantit que les informations sensibles sont protégées contre les espions qui ne devraient pas avoir l'autorisation de modifier ou même d'accéder au contenu. Dans le même temps, la configuration des autorisations permet aux utilisateurs ayant le droit d'accéder à un dossier de le faire en toute sécurité.

Contenu [ cacher ]

• Que sont les autorisations dans Active Directory ?
• Comment définir les autorisations de sécurité des dossiers dans Active Directory
• Gestion des autorisations du dossier AD avec des outils tiers
• Bonne pratique en matière d'accès utilisateur : moindre privilège
• Autorisations de sécurité AD : un incontournable

Que sont les autorisations dans Active Directory ?

Les autorisations dans Active Directory sont des privilèges d'accès que vous accordez aux utilisateurs et aux groupes qui leur permettent d'interagir avec des objets. Un administrateur attribue des autorisations à un utilisateur ou à un groupe afin qu'il puisse accéder ou gérer un dossier.

Les autorisations dans Active Directory sont divisées enautorisations standardetautorisations spéciales. Les autorisations standard donnent à l'utilisateur des privilèges tels que la lecture, l'écriture et un contrôle total. Les autorisations spéciales donnent à l'utilisateur différentes capacités, telles que lui permettre de modifier les autorisations ou les propriétaires des objets.

Comment définir les autorisations de sécurité des dossiers dans Active Directory

Le processus de définition des autorisations de dossier est simple et vous pouvez choisir d'attribuer l'accès aux dossiers aux utilisateurs et aux groupes. Dans cette section, nous allons voir comment vous pouvez attribuer des autorisations depuis Active Directory via leConsole de gestion des stratégies de groupe(GPMC).

Création d'une stratégie de groupe via la console de gestion des stratégies de groupe

LeGPMCfournit des paramètres de stratégie de groupe que vous pouvez utiliser pour configurer les autorisations de sécurité. L'une des façons les plus simples d'utiliser le programme consiste à créer un objet de stratégie de groupe. Un objet de stratégie de groupe est un groupe de paramètres que vous créez avec l'éditeur d'objets de stratégie de groupe et qui peuvent restreindre l'accès des utilisateurs à des fichiers particuliers.

Pour créer un nouvel objet de stratégie de groupe, suivez les instructions ci-dessous :

1. Cliquez surDémarrer > Outils d’administration > Gestion des stratégies de groupe.La console de gestion des stratégies de groupe s'affichera.
2. Cliquez avec le bouton droit sur l'icône Objets de stratégie de groupe et sélectionnezNouveau. LeNouvel objet de stratégie de groupela fenêtre s’affichera.
3. Entrez unNomet laisse leObjet de stratégie de groupe de démarrage sourceoption définie comme(aucun).
4. Faites un clic droit sur le GPO que vous venez de créer et sélectionnezModifiez l'objet de stratégie de groupe.La fenêtre de l'éditeur de gestion des stratégies de groupe s'affichera.
5. Aller àConfiguration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité et cliquez avec le bouton droit sur Système de fichiers > Ajouter un fichier.La boîte de dialogue « Ajouter un fichier ou un dossier » s’affichera.
6. Localisez le dossier ou le fichier auquel vous souhaitez attribuer des autorisations et cliquez dessus. Maintenant, appuyez surD'ACCORD.
7. Une fois laSécurité de la base de donnéesLa fenêtre apparaît, cliquez sur le bouton Avancé pour afficher leParamètres de sécurité avancésfenêtre.
8. Dans leAutorisations, vous pouvez attribuer une autorisation à un utilisateur nouveau ou existant. Pour créer un nouvel utilisateur, cliquezAjouter.Si vous souhaitez sélectionner un utilisateur existant, sélectionnez-le et appuyez surModifier.
9. Une fois laEntrée d'autorisationLa boîte de dialogue s'ouvre, vous pouvez afficher une liste d'autorisations que vous pouvez choisirPermettreouRefuser, ainsi que de déterminer où ces autorisations serontAppliquer. Clique sur lePostuler aumenu déroulant pour choisir où vous souhaitez appliquer les autorisations.
10. Dans leAutorisationsvue liste, vérifiez les autorisations que vous souhaitez attribuer à votre objet. Maintenant, appuyez surD'ACCORD.
11. Une fois de retour auSécurité avancéefenêtre, allez à laAuditlanguette. Ici, vous pouvez choisir d'auditer les modifications apportées au dossier et aux autorisations. Vous pouvez également vous rendre auPropriétairepour configurer les paramètres de propriété.
12. Une fois que vous avez entré vos paramètres, cliquez surD'ACCORD. Une fois laSécurité avancéela fenêtre se ferme, cliquezD'ACCORDencore une fois pour fermer leSécurité de la base de donnéesfenêtre.
13. Lorsque la fenêtre Ajouter un objet apparaît, vous disposez d'un certain nombre d'options :Configurer ce fichier ou dossierLa section comprend deux sous-options ;
    Option A) Propager les autorisations héritables à tous les sous-dossiers et fichiers– La première sous-option signifie que tous les sous-dossiers hériteront des autorisations du dossier parent, mais en cas de conflit, les autorisations des sous-dossiers auront la priorité.
    Option B) Remplacer les autorisations existantes sur tous les sous-dossiers et fichiers par des autorisations héritables. -La deuxième sous-option signifie que tous les paramètres du sous-dossier seront écrasés par les paramètres du parent. Alternativement, vous pouvez sélectionner leNe pas autoriser le remplacement des autorisations sur ce fichier ou dossieret créez une entrée pour le dossier spécifique dont vous ne souhaitez pas hériter des autorisations. Si vous sélectionnez la première option, cliquez surD'ACCORDpour fermer la fenêtre.
14. Fermez l'éditeur de gestion des stratégies de groupefenêtre et cliquez avec le bouton droit sur le domaine auquel vous souhaitez appliquer le GPO et cliquez surLiez un objet de stratégie de groupe existant.
15. Une fois laSélectionnez un objet de stratégie de groupeLa fenêtre affiche, sélectionnez le nom du GPO que vous venez de créer dans la liste et appuyez surD'ACCORD.
16. Allez maintenant auObjets de stratégie de groupe liésonglet et faites un clic droit surAttribution d'autorisations de dossier > Appliqué. Maintenant, appuyez surD'ACCORDpour finir.

Gestion des autorisations du dossier AD avec des outils tiers

Active Directory est un outil tellement établi que les outils qui s'intègrent pour offrir une meilleure expérience de gestion AD ne manquent pas. Vous pouvez utiliser des outils tiers commeManageEngine ADManager Pluspour gérer les autorisations des dossiers via un logiciel externe.

L’avantage de cette méthode est que vous pouvez gérer AD via un programme plus convivial, ce qui facilite la gestion de nombreux utilisateurs et groupes. Le processus exact dépendra du type de programme que vous utilisez.

ManageEngine ADManager Plus

ManageEngine ADManager Plusest un outil de gestion Active Directory qui peut être utilisé pour gérer des objets, créer des groupes, etc. Pour gérer les autorisations de fichiers, procédez comme suit :

1. Connectez-vous àADManagerPlus.
2. Aller àGestion AD > Gestion du serveur de fichiers > Modifier les autorisations NTFS.
3. Choisissez les dossiers auxquels vous souhaitez autoriser l'accès d'un utilisateur ou d'un groupe.
4. Allez maintenant auCompteset choisissez les utilisateurs ou les groupes auxquels vous souhaitez accorder l'autorisation d'accéder au dossier.
5. Finalisez les modifications en cliquant surModifier.

Tu peux téléchargez l'essai gratuit de 30 jours version de ManageEngine ADManager Plus.

Voir également: Meilleur logiciel de gestion AD

Bonne pratique en matière d'accès utilisateur : moindre privilège

Lors de l'attribution d'autorisations aux utilisateurs, il est recommandé d'adhérer au concept du moindre privilège. L'accès utilisateur avec le moindre privilège consiste à attribuer à tous les utilisateurs les autorisations minimales possibles. Chaque autorisation attribuée à un employé doit être essentielle à son travail quotidien. Restreindre les privilèges des utilisateurs contribuera à minimiser votre exposition aux risques et réduira la probabilité de cyberattaques ou de violations de données.

Pour mettre en œuvre l’accès utilisateur au moindre privilège, vous devrez alors savoir précisément à quoi chaque employé doit avoir accès. Pour commencer, commencez par attribuer des privilèges à des comptes individuels ou à des groupes. Gérer d’abord un petit nombre d’utilisateurs vous assurera de ne pas vous laisser submerger.

Voir également: Meilleurs outils de gestion des droits d'accès

Autorisations de sécurité AD : un incontournable

La mise en œuvre des autorisations utilisateur Active Directory est l'un des contrôles les plus élémentaires que vous pouvez utiliser pour garantir que les informations sensibles restent privées. S'assurer que les employés ont uniquement accès aux documents pertinents pour leur rôle élimine toute confusion et protège vos données.

Protéger vos fichiers avec les autorisations des utilisateurs est le strict minimum que vous devriez faire pour contrôler l'accès à vos données. Vous ne savez jamais quand une cyberattaque aura lieu et minimiser le nombre d'utilisateurs ayant accès à un fichier réduira les chances qu'un attaquant puisse voir vos informations.

FAQ sur les autorisations des dossiers AD

Que sont les autorisations spéciales dans Active Directory ?

Les autorisations spéciales dans Active Directory, par opposition aux autorisations standard, vous permettent de définir des combinaisons d'autorisations personnalisées. Les autorisations de dossier accordent l'accès à d'autres personnes, qu'il s'agisse de membres du même groupe que le propriétaire du dossier ou de membres de n'importe quel groupe. Les autorisations peuvent également autoriser l'accès aux dossiers descendants.

Comment fonctionne la délégation dans Active Directory ?

Le principe de délégation dans Active Directory donne aux utilisateurs ou aux groupes la possibilité de créer ou de modifier des objets et de s'accorder ou d'accorder à d'autres des autorisations sans qu'ils aient besoin d'avoir le statut d'administrateur de domaine. Le nom complet de ce service est « délégation de contrôle ».

Combien de types de groupes existe-t-il dans Active Directory ?

Active Directory propose deux types de groupes. Le premier d’entre eux est le type Groupe de distribution, destiné à être utilisé avec les listes de distribution de courrier électronique. Le second est le type de groupe de sécurité, qui attribue des autorisations aux actifs partagés, tels que les dossiers de fichiers.