AGGDLP : Comprendre les comptes, groupes et permissions dans Active Directory

Introduction

Active Directory (AD) est le pilier de l’authentification et de l’autorisation dans les environnements Windows Server. Une gestion efficace des comptes, groupes et permissions est cruciale pour la sécurité et l’efficacité de votre infrastructure. Le modèle AGGDLP (Accounts, Global Groups, Domain Local Groups, Permissions) est une approche éprouvée pour structurer les accès et optimiser la gestion des ressources.

Dans cet article, nous allons approfondir ce modèle avec des exemples concrets et des bonnes pratiques.

1. Comptes d’utilisateurs (Accounts)

Un compte utilisateur est une identité numérique attribuée à une personne ou un service pour accéder aux ressources réseau. Il permet de s’authentifier sur un système, d’exécuter des tâches et d’interagir avec les applications et les fichiers en fonction des permissions définies. Ces comptes sont généralement classés en plusieurs catégories :

Types de comptes

• Comptes d’utilisateurs standards : pour les employés ayant un accès limité aux ressources.
• Comptes d’administrateurs : utilisés par le personnel IT pour gérer le réseau.
• Comptes de service : destinés aux applications nécessitant un accès aux ressources AD.
• Comptes invités : souvent temporaires et dotés d’autorisations restreintes.

Exemples pratiques

• Un employé de la comptabilité, Paul, possède un compte utilisateur standard « paul.dubois ».
• Un administrateur réseau, Sophie, dispose d’un compte « s.administrateur » avec des privilèges élevés.
• Un compte de service « svc_sqlserver » est utilisé pour gérer les connexions SQL Server.

Bonnes pratiques

• Utilisation de mots de passe forts (au moins 12 caractères, mélange de chiffres, lettres et symboles).
• Mise en œuvre de l’authentification multifacteur (MFA) pour renforcer la sécurité.
• Désactivation/Suppression des comptes inactifs pour limiter les risques d’intrusion.
• Ajout une nomenclature claire et standardisée afin d’améliorer la visibilité et de faciliter la gestion par les équipes futures (ex. « USR_Prenom.Nom » pour les utilisateurs, « SVC_NomService » pour les comptes de service).

2. Groupes globaux (Global Groups)

Les groupes globaux permettent d’organiser les comptes utilisateurs selon leur fonction ou leur rôle.

Caractéristiques

• Peuvent inclure des comptes utilisateurs et d’autres groupes globaux du même domaine.
  • Les groupes globaux contiennent des utilisateurs
• Peuvent être intégrés dans des groupes locaux (que nous verront juste après) de domaine pour l’attribution de permissions.
  • Les groupes globaux font parti de groupe locaux (voir 3e section)
• Représentent souvent des équipes ou services dans une entreprise.

Exemples concrets

• Groupe « GG_Comptabilité » contenant tous les employés du service comptable.
• Groupe « GG_IT_Admins » incluant tous les administrateurs informatiques.
• Groupe « GG_Ventes » rassemblant les commerciaux.

Avantages

• Facilite la gestion des permissions grâce à l’attribution en masse.
• Sécurise l’accès aux ressources en limitant les affectations individuelles.
• Améliore la clarté de l’organisation en structurant les accès.

3. Groupes locaux de domaine (Domain Local Groups)

Les groupes locaux de domaine servent à attribuer des permissions aux ressources situées dans un domaine spécifique.

Caractéristiques

• Peuvent contenir des utilisateurs (peut recommandé), des groupes globaux et d’autres groupes locaux.
  • De manière propre, il (groupe domain local) contient uniquement des groupes globaux (GG)
    • Lui-même contient uniquement des comptes utilisateurs (A)
• Permettent d’appliquer des permissions aux ressources locales (dossiers, imprimantes, bases de données).

Exemples pratiques

• Groupe « DL_Finance_ReadOnly » donnant un accès en lecture aux fichiers financiers.
• Groupe « DL_HR_Access » autorisant les RH à modifier les dossiers du personnel.
• Groupe « DL_IT_Admins_Files » permettant aux administrateurs IT de gérer les fichiers système.

Pourquoi utiliser les groupes locaux de domaine ?

• Centralisation des droits d’accès aux ressources partagées.
• Simplification des audits et des révisions de permissions.
• Évolutivité pour gérer des changements de structure dans l’entreprise.

4. Permissions et Sécurité

Les permissions contrôlent les actions que les utilisateurs ou groupes peuvent effectuer sur une ressource.

Types de permissions

• Permissions NTFS : gestion des fichiers et dossiers.
  • Exemple : Clara peut ajouter un document dans le dossier « Licenciement ».
• Permissions de partage : contrôle de l’accès aux dossiers réseau.
  • Exemple : Léa peut modifier les fichiers du dossier « Marketing partagé ».
• Permissions d’imprimante : gestion des files d’attente d’impression.
  • Exemple : Émile peut imprimer sur l’imprimante des managers.
• Autorisations Active Directory : administration des objets AD.
  • Exemple : Jean-Marc (administrateur) peut voir l’attribut de Marie-Line qui souhaite créer une boite mail partagé.

Bonnes pratiques

• Attribuer les permissions aux groupes et non aux utilisateurs individuels.
• Utiliser le principe du moindre privilège (PoLP*) pour limiter les accès.
  • PoLP *(Principle of Least Privilege) ou « Principe du Moindre Privilège » est une règle de cybersécurité qui consiste à donner aux utilisateurs, applications et services uniquement les permissions strictement nécessaires pour accomplir leurs tâches.
• Auditer régulièrement les permissions pour identifier les éventuelles failles de sécurité.

5. Le modèle AGGDLP en action

Le modèle AGGDLP s’appuie sur une hiérarchie claire :

1. Ajout des comptes utilisateurs aux groupes globaux selon leurs fonctions (RH_ Système _ Marketing… ).
2. Ajout des groupes globaux aux groupes locaux de domaine pour gérer les accès aux ressources.
3. Attribution des permissions aux groupes locaux de domaine.

Exemple d’implémentation AGGDLP

1. Paul (compte utilisateur) → Membre de « GG_Comptabilité ».
2. « GG_Comptabilité » → Ajouté à « DL_Finance_ReadOnly ».
3. « DL_Finance_ReadOnly » → Permission de lecture sur le dossier \Serveur\Finance.

Comment ça s’implémente concrètement dans une entreprise ? Concrètement, cela signifie :

1. Définir une nomenclature claire : Par exemple, utiliser des préfixes standardisés comme « USR_Paul-Dubois » dans l’active directory pour les utilisateurs, « GG_ » pour les groupes globaux et « DL_ » pour les groupes locaux de domaine.
2. Créer des groupes globaux basés sur les fonctions des utilisateurs (ex. « GG_Comptabilité« ).
3. Créer des groupes locaux de domaine pour attribuer des permissions spécifiques aux ressources (ex. « DL_Finance_ReadOnly » pour l’accès en lecture aux documents financiers).
4. Aller sur le serveur de fichier pour assigner les permissions de lecture sur le dossier \Serveur\Finance_1 aux groupes locaux de domaine (DL_Finance_ReadOnly) , plutôt qu’aux utilisateurs individuels, pour une gestion plus efficace et évolutive.
5. Automatiser et auditer régulièrement les accès pour éviter l’accumulation de permissions inutiles et garantir la sécurité des données. L’objectif est d’assurer une gestion des accès fluide, sécurisée et facile à maintenir, même lors de changements organisationnels ou d’arrivée de nouvelles équipes IT.

Avantages

• Gestion simplifiée des droits d’accès.
• Sécurité renforcée grâce à une attribution claire des permissions.
• Facilité d’audit et d’administration.

Conclusion

L’application du modèle AGGDLP garantit une gestion efficace et sécurisée des comptes, groupes et permissions dans Active Directory. En structurant les accès de manière claire et en respectant les bonnes pratiques, vous assurez une infrastructure robuste et évolutive.

Et Vous ?

Avez-vous déjà mis en place AGGDLP dans votre entreprise ?
Partagez vos expériences et questions dans les commentaires ci-dessous !

Lien

• Interne :
  • types_groupes_active_directory
  • Toutes Les définitions de l’Active Directory AD
  • Active Directory
  • Gestion des Identités
• Externe :
  • Microsoft Best Pratice
  • AGUDLP ?