Bonnes Pratiques : Partage de données et groupes Active Directory

Auteur de l'article

Partager l'article

Metsys
18 avril 2015
Divers

Cliquez pour évaluer cet article !

0 avis

Implémentation des silos d’authentification Active Directory

Metsys 12 avril 2024

Dans cet article, nous allons aborder l’implémentation des Silos d’authentification dans Active Directory. Introduction Dans

RETEX CERT

Metsys 8 mars 2024

Tout d’abord, en termes d’éthique et pour respecter la confidentialité des sujets aussi sensibles que

Faire l’extension de schéma de son Active Directory

Metsys 28 février 2024

Introduction Le schéma Active Directory définit la manière dont les objets peuvent être créés, ainsi

Sommaire

Dans cet article vous découvrirez les bonnes pratiques concernant l’utilisation de l’Active Directory dans le cas d’un partage de fichiers Microsoft.

Introduction

Lorsque l’on créé un partage NTFS, deux niveaux de permissions sont à définir :

Les permissions de partage
Les permissions NTFS

Ces deux permissions sont indépendantes l’une de l’autre, c’est-à-dire qu’elles ne se modifient pas réciproquement. En revanche, le droit d’accès à la ressource finale résulte de la combinaison de ces deux permissions.

Permission de partage

Les permissions de partage s’appliquent uniquement pour les partages réseaux et ne s’appliquent donc pas aux utilisateurs ayant un accès local au dossier (accès à l’explorateur de fichiers sur le serveur de fichiers, par exemple lors d’un accès à un bureau à distance). On peut les définir sur trois niveaux :

Lecture : voir les fichiers et les dossiers, ouvrir un fichier ou un dossier, exécuter un programme.
Modification : en plus des droits de lecture, ce droit donne également la possibilité d’ajouter des fichiers, créer des dossiers, modifier les fichiers et de supprimer les fichiers et les dossiers.
Contrôle total : les droits de modification et de lecture avec en plus la possibilité de modifier les permissions NTFS sur les dossiers et les fichiers.

Ce premier niveau de permission limite les droits de l’utilisateur, même si ceux-ci sont plus ouverts avec les permissions NTFS. Notez également que, par défaut, le groupe administrateur hérite du droit contrôle total et que le groupe tout le monde hérite du droit de lecture. Le droit de contrôle total ne devrait être donné qu’aux utilisateurs dont le rôle est d’administrer les droits NTFS, généralement celui des administrateurs systèmes. Le droit de modification devrait être donnée aux utilisateurs ayant pour objectifs d’alimenter le partage avec du contenu.

Permission NTFS

Les permissions NTFS définissent les droits de l’utilisateur sur l’objet lui-même, que celui-ci soit accédé par le réseau ou localement. On peut le définir sur l’objet (droit explicite) ou bien par héritage de l’objet parent (qui peut lui-même l’avoir hérité) et lui attribuer une autorisation ou une interdiction, l’interdiction prévalant toujours sur l’autorisation et le droit explicite prévalant toujours sur le droit hérité.

Par défaut, il existe six groupes de permission NTFS prédéfini. Ces groupes de permissions correspondent en réalité au groupement de droits spéciaux ; on les utilise pour les droits « classiques », mais il est tout à fait possible d’assigner directement les droits spéciaux sur un objet.

Attention, bien que le droit « Lister le contenu du dossier » semble identique à « Lire et exécuter », celui-ci ne s’applique qu’au dossier là où son pendant s’applique aux deux. Vous pouvez ainsi donner un droit « lecture » tout en permettant aux utilisateurs de continuer à accéder aux sous-dossiers.

Bonnes pratiques

Lorsque les permissions se combinent, le droit de partage bornera le droit NTFS. Un utilisateur qui accède à un fichier sur lequel il possède le droit « contrôle total » mais dont le droit de partage ne lui accorde que le droit « lecture » ne pourra rien faire de plus que lire le fichier.

Le droit de partage est un limiteur d’accès : en aucun cas ce droit ne viendra se substituer à un droit NTFS. Vous pouvez avoir un droit de partage « contrôle total », si le fichier que vous accédez est en lecture seul au niveau des permissions NTFS il ne vous sera pas possible de le modifier ou de le supprimer. Ci-après un résumé des bonnes pratiques à adopter lorsque vous gérez un serveur de fichiers.

Assigner les permissions à des groupes
- De cette manière, les droits sont définis une fois pour toute et il n’est plus nécessaire de les modifier sur la ressource. L’administration est faite en ajoutant ou supprimant les utilisateurs du groupe. Pour interdire complétement l’accès de manière temporaire, configurer la permission « contrôle total » sur « refuser ».

Assigner le minimum de droit requis
- Cette stratégie vous évitera des accès non souhaité. Par exemple, si un utilisateur n’a pas besoin de modifier les fichiers, limitez son accès à la lecture.

NTFS et Partage
- Pour limiter les droits, privilégiez les permissions NTFS lorsque l’utilisateur à un accès local à la ressource (connexion sur le serveur par exemple). Limiter les droits avec les permissions de partage n’est efficace que pour une connexion réseau.

Organiser les ressources
- Créer une arborescence permettant de regrouper les privilèges à attribuer. Si trois dossiers à partager ont un accès commun en lecture seule, par exemple, il est plus pertinent de ne créer qu’un dossier partagé commun à la racine sur lequel on donne le droit de lecture. Ce type de partage permet ensuite de limiter les accès en utilisant les permissions NTFS.

Groupe « Tout le monde »
- Ne jamais définir une permission NTFS sur « refuser » pour le groupe « Tout le monde » : ce groupe contient les comptes ayant accès à la ressource et un droit refusé préemptant une approbation, cela provoquerait automatiquement un accès refusé à tous les utilisateurs.

Éviter de refuser explicitement un accès à une ressource
- Il vaut mieux gérer directement l’accès à la ressource en retirant le droit de l’utilisateur, plutôt que le lui interdisant explicitement. Par défaut, une absence de droit est une interdiction.

Administration
- Le groupe « Administrateurs » devrait toujours avoir le contrôle total sur la ressource. Le groupe local du serveur de fichier est suffisant.
Privilégier les noms courts
- En utilisant des noms courts, vous simplifiez le partage de l’information avec des ressources hétérogène et permettez aux utilisateurs d’identifier rapidement les ressources.

Utiliser les groupes de sécurité Active Directory

Les groupes de sécurité Active directory ont pour objectif de simplifier les tâches d’administration quotidienne et d’assurer un haut niveau de sécurité sur les accès. Ils sont particulièrement adaptés aux partages de fichiers. Chaque groupe peut être défini avec un scope différent : cela définit la portée du groupe au sein d’une forêt ou d’une arborescence de domaines. En fonction de son scope, le groupe peut accepter différents types d’objets comme membre :

Utilisation d’un groupe local :
- Ce groupe est à utiliser pour les accès aux ressources d’un domaine. Il devrait avoir pour membre des groupes globaux contenant les utilisateurs.

Utilisation d’un groupe global :
- Ce groupe est à utiliser pour gérer les objets réclamant une maintenance quotidienne comme les comptes utilisateurs et ordinateurs. Ce type de groupe n’est pas répliqué en dehors de son propre domaine : les modifications à répétition qui seront faites ne provoqueront pas de réplications vers les catalogues Globaux (optimisation réseau).

Utilisation d’un groupe universel :
- Ce groupe est à utiliser pour regroupe des groupes ayants une portée multi-domaine : ce groupe ne sera répliqué vers les catalogues globaux que lorsque une modification sera réalisée dans sa liste de membre. La modification des membres d’un groupe global lui appartenant n’affecte pas le groupe universel (optimisation réseau).

En respectant l’utilisation et la portée des différents types de groupes, vous éviterez de multiplier le nombre total d’objets de votre annuaire, simplifiant ainsi vos tâches d’administration.

Ouvrir les droits à une forêt partenaire

Dans le cas d’une ouverture des ressources vers une forêt partenaire, vous devez garder à l’esprit que la relation d’approbation vous permet d’établir des droits d’accès à des ressources de votre domaine.

Seul un groupe local du domaine cible (le domaine qui héberge la ressource à accéder) pourra définir des permissions pour un utilisateur, un groupe global ou un groupe universel du domaine source (la forêt partenaire). Dans ce contexte, il est recommandé de de créer un groupe universel dans le domaine source et d’en faire un membre du groupe local du domaine cible. Le groupe universel du domaine source sera associé à des groupes globaux qui permettront de réaliser les opérations d’administration.

Nous espérons que ces quelques rappels vous aideront à mieux gérer vos ressources !

Un article signé

Metsys

Partager l'article

Notez cet article

Vous avez aimé cet article ?

Rendez-le plus visible auprès des internautes en lui mettant une bonne note.

Cliquez pour évaluer cet article !

0 avis

Cookie	Durée	Description
__cfruid	Session	Cookie généré par Cloudflare pour identifier un traffic web sécurisé.
cookielawinfo-checbox-analytics	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits "Analytiques".
cookielawinfo-checbox-functional	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits "Fonctionnels".
cookielawinfo-checbox-others	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits "Autres".
cookielawinfo-checkbox-advertisement	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Publicitaire".
cookielawinfo-checkbox-necessary	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits "Essentiels".
cookielawinfo-checkbox-performance	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits de "Performance".
CookieLawInfoConsent	1 an	Cookie généré par le plugin "CookieYes" afin d'enregistrer l'état choisi par l'utilisateur via le bouton de préférence des cookies.
elementor	Aucune	Cookie généré par le site web. Il permet de réaliser des changements sur le site en temps réel.
PHPSESSID	Session	Cookie généré par les applications natives PHP. Il permet de stocker et identifier un identifiant unique de session d'un utilisateur afin de gérer la session sur le site. Ce cookie sera supprimé une fois la page du navigateur fermé.
viewed_cookie_policy	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies. Aucune donnée personnelle n'est stockée par le plugin.

Cookie	Durée	Description
_ga	1 an 1 mois et 4 jours	Cookie installé par Google Analytics pour récupérer des données sur le visiteur, sa session, les campagnes de données mais aussi analyser le parcours de l'utilisateur afin de générer des graphiques sur l'interface administrateur. Ces cookies emmagasinent les informations de manière anonyme et attribuent un chiffre au hasard pour identifier chaque visiteur unique.
_ga_*	1 an 1 mois et 4 jours	Cookie généré par Google Analytics afin de stocker et compter les vues sur les pages du site.
_jsuid	1 an	Cookie généré par Clicky afin de recenser la première visite d'un utilisateur sur le site.
cluid	9 heures	Coookie servant à identifier un utilisateur unique sur plusieurs domaines.
CONSENT	2 ans	Cookie généré par Youtube pour pister les informations remontées par les vidéos Youtube affichées sur le site récupérant de façon anonyme des informations statistiques.

Cookie	Durée	Description
eqy_sessionid	Session	Cookie généré par la solution Get Quanty permettant l'analyse de l'utilisateur sur le site.
eqy_siteid	Aucune	Cookie généré par la solution Get Quanty permettant d'identifier le site sur lequel il est placé pour pouvoir l'analyser.
gq_utm	session	Cookie à Analyser.

Bonnes Pratiques : Partage de données et groupes Active Directory

Auteur de l'article

Metsys

Partager l'article

Thème sombre/clair

Catégories

Rechercher

Nous suivre

Implémentation des silos d’authentification Active Directory

RETEX CERT

Faire l’extension de schéma de son Active Directory

Introduction

Permission de partage

Permission NTFS

Bonnes pratiques

Utiliser les groupes de sécurité Active Directory

Ouvrir les droits à une forêt partenaire

Un article signé

Metsys

Partager l'article

Notez cet article

Articles pouvant vous intéresser

Implémentation des silos d’authentification Active Directory

RETEX CERT

Faire l’extension de schéma de son Active Directory