Annexe I: Création de comptes de gestion pour les comptes protégés et les groupes dans Active Directory

Appliqué à: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Lors de la mise en place d’un modèle Active Directory qui ne repose pas sur l’appartenance permanente à des groupes hautement privilégiés, il est nécessaire de trouver un mécanisme pour remplir ces groupes lorsque l’appartenance temporaire est requise. Certaines solutions de gestion des identités privilégiées nécessitent que les comptes de service du logiciel aient une appartenance permanente à des groupes tels que DA ou Administrateurs dans chaque domaine de la forêt. Cependant, les solutions de gestion des identités privilégiées (PIM) n’ont pas nécessairement besoin de s’exécuter dans de tels contextes privilégiés.

Cette annexe fournit des informations sur la création de comptes de gestion pour les solutions PIM implémentées en mode natif ou tierce. Ces comptes disposent de privilèges limités et peuvent être strictement contrôlés, mais ils peuvent être utilisés pour remplir des groupes privilégiés dans Active Directory lorsqu’une élévation temporaire est requise. Si vous mettez en œuvre PIM en tant que solution native, ces comptes peuvent être utilisés par le personnel administratif pour la gestion temporaire des groupes. Si vous utilisez un logiciel tiers pour implémenter PIM, vous pouvez éventuellement adapter ces comptes en tant que comptes de service.

Création de comptes de gestion pour les groupes et les comptes protégés dans Active Directory

La création de comptes qui peuvent gérer l’appartenance à des groupes privilégiés sans accorder des droits excessifs et des autorisations comporte quatre activités générales décrites dans les instructions pas à pas suivantes :

1. Tout d’abord, vous devez créer un groupe de gestion qui sera chargé de gérer les comptes. Ce groupe doit être géré par un ensemble limité d’utilisateurs approuvés. Si vous n’avez pas déjà une structure d’unité d’organisation prenant en charge les comptes privilégiés et protégés, ainsi que les systèmes provenant de la population générale du domaine, vous devez en créer une. Les captures d’écran fournissent un exemple de hiérarchie d’unité d’organisation, mais des instructions spécifiques ne sont pas fournies dans cette annexe.

2. Créez les comptes de gestion en tant que comptes d’utilisateurs “réguliers” qui n’ont pas de droits d’utilisateur supplémentaires au-delà de ceux déjà accordés aux utilisateurs par défaut.

3. Mettez en place des restrictions sur les comptes de gestion pour qu’ils ne puissent être utilisés que pour les fonctions spécialisées pour lesquelles ils ont été créés. Contrôlez également qui peut activer et utiliser les comptes en utilisant le groupe de gestion créé à l’étape précédente.

4. Configurez les autorisations sur l’objet AdminSDHolder dans chaque domaine pour permettre aux comptes de gestion de modifier l’appartenance des groupes privilégiés dans le domaine.

Il est important de tester attentivement toutes ces procédures et de les adapter si nécessaire à votre environnement avant de les mettre en œuvre en production. Assurez-vous également que tous les paramètres fonctionnent comme prévu et effectuez des tests de récupération d’urgence pour vous assurer que les comptes de gestion ne sont pas nécessaires pour remplir des groupes protégés à des fins de récupération. Pour plus d’informations sur la sauvegarde et la restauration d’Active Directory, consultez le guide de sauvegarde et de récupération d’AD DS.

Instructions pas à pas pour créer des comptes de gestion pour les groupes protégés

Création d’un groupe pour activer et désactiver des comptes de gestion

Les comptes de gestion doivent avoir leurs mots de passe réinitialisés à chaque utilisation et doivent être désactivés une fois leurs tâches terminées. Bien que vous envisagiez également d’implémenter des exigences de connexion à carte à puce pour ces comptes, cela est facultatif. Les instructions suivantes supposent que les comptes de gestion seront configurés avec un nom d’utilisateur et un mot de passe complexe comme mesures de sécurité minimales. Pour créer un groupe permettant d’activer et de désactiver des comptes de gestion, suivez les étapes suivantes :

1. Dans la structure de l’unité d’organisation où vous souhaitez créer le groupe, faites un clic droit sur l’unité d’organisation, sélectionnez “Nouveau” et cliquez sur “Groupe”.

2. Dans la boîte de dialogue “Nouvel objet – Groupe”, entrez un nom pour le groupe. Si vous prévoyez d’utiliser ce groupe pour “activer” tous les comptes de gestion dans votre forêt, faites-en un groupe de sécurité universel. Si vous avez une forêt à domaine unique ou si vous prévoyez de créer un groupe dans chaque domaine, vous pouvez créer un groupe de sécurité global. Cliquez sur “OK” pour créer le groupe.

3. Faites un clic droit sur le groupe que vous venez de créer, sélectionnez “Propriétés”, puis cliquez sur l’onglet “Objet”. Dans la boîte de dialogue “Propriété d’objet” du groupe, sélectionnez “Protéger l’objet contre la suppression accidentelle”, ce qui empêchera les utilisateurs autorisés de supprimer ou de déplacer le groupe vers une autre unité d’organisation sans désélectionner cette option.

4. Cliquez sur l’onglet “Membres” et ajoutez les comptes des utilisateurs approuvés qui seront chargés d’activer les comptes de gestion ou de remplir des groupes protégés si nécessaire.

5. Si ce n’est pas déjà fait, dans la console “Utilisateurs et ordinateurs Active Directory”, cliquez sur “Affichage” et sélectionnez “Fonctionnalités avancées”. Faites un clic droit sur le groupe que vous venez de créer, sélectionnez “Propriétés”, puis cliquez sur l’onglet “Sécurité”. Sous l’onglet “Sécurité”, cliquez sur “Avancé”.

6. Dans la boîte de dialogue “Paramètres de sécurité avancée pour [Groupe]”, cliquez sur “Désactiver l’héritage”. Lorsqu’on vous demande de confirmer, cliquez sur “Convertir les autorisations héritées en autorisations explicites pour cet objet”, puis sur “OK” pour revenir à la boîte de dialogue “Sécurité” du groupe.

7. Sous l’onglet “Sécurité”, supprimez les groupes qui ne doivent pas être autorisés à accéder au groupe de gestion. Par exemple, si vous ne souhaitez pas que les utilisateurs authentifiés puissent lire le nom du groupe ou les propriétés générales, vous pouvez supprimer cette autorisation. Laissez les autorisations suivantes inchangées :

• SELF
• SYSTEM
• Administrateurs du domaine
• Administrateurs de l’entreprise
• Administrateurs
• Groupe d’accès autorisé Windows (le cas échéant)
• Contrôleurs de domaine d’entreprise

Il peut sembler contre-intuitif d’autoriser les groupes privilégiés les plus élevés dans Active Directory à gérer ce groupe, mais l’objectif n’est pas d’empêcher les membres de ces groupes d’effectuer des modifications autorisées. L’objectif est de s’assurer que lorsque des niveaux de privilèges très élevés sont nécessaires, les modifications autorisées réussissent. C’est pourquoi la modification de l’imbrication, des droits et des autorisations des groupes privilégiés par défaut est déconseillée tout au long de ce document. En laissant les structures par défaut intactes et en vidant l’appartenance des groupes privilégiés les plus élevés dans l’annuaire, vous pouvez créer un environnement plus sécurisé qui fonctionne toujours comme prévu.

Vous avez maintenant terminé la configuration du groupe qui sera utilisé pour “extraire” les comptes de gestion lorsqu’ils sont nécessaires et “archiver” les comptes une fois leurs tâches terminées.

Création des comptes de gestion

Vous devez créer au moins un compte qui sera utilisé pour gérer l’appartenance aux groupes privilégiés dans votre installation Active Directory, et de préférence un deuxième compte en tant que sauvegarde. Que vous choisissiez de créer les comptes de gestion dans un domaine unique dans la forêt et de leur accorder des fonctionnalités de gestion pour tous les groupes protégés de domaines, ou si vous choisissez de mettre en place des comptes de gestion dans chaque domaine de la forêt, les procédures sont essentiellement les mêmes. Pour créer les comptes de gestion, suivez ces étapes :

1. Connectez-vous à un contrôleur de domaine avec un compte membre du groupe DA du domaine.

2. Lancez “Utilisateurs et ordinateurs Active Directory” et accédez à l’unité d’organisation où vous allez créer le compte de gestion.

3. Faites un clic droit sur l’unité d’organisation, cliquez sur “Nouveau”, puis sur “Utilisateur”.

4. Dans la boîte de dialogue “Nouvel objet – Utilisateur”, entrez les informations de nommage souhaitées pour le compte, puis cliquez sur “Suivant”.

5. Fournissez un mot de passe initial pour le compte utilisateur, désactivez l’option “L’utilisateur doit modifier le mot de passe à la prochaine ouverture de session”, sélectionnez “L’utilisateur ne peut pas modifier le mot de passe” et “Le compte est désactivé”, puis cliquez sur “Suivant”.

6. Vérifiez que les détails du compte sont corrects et cliquez sur “Terminer”.

7. Faites un clic droit sur l’objet utilisateur que vous venez de créer, puis cliquez sur “Propriétés”.

8. Cliquez sur l’onglet “Compte”.

9. Dans le champ “Options” du compte, sélectionnez “Le compte est sensible et ne peut pas être délégué”, ainsi que l’option “Le compte prend en charge le chiffrement Kerberos AES 128 bits” et/ou “Le compte prend en charge l’indicateur de chiffrement Kerberos AES 256”. Cliquez sur “OK”.

10. Sous l’onglet “Objet”, sélectionnez “Protéger l’objet contre la suppression accidentelle”. Cela empêche non seulement la suppression de l’objet, mais aussi son déplacement vers une autre unité d’organisation, sauf si l’attribut est désactivé par un utilisateur autorisé.

11. Cliquez sur l’onglet “Contrôle à distance” et désactivez l’option “Activer le contrôle à distance”. Il ne devrait jamais être nécessaire pour le personnel du support technique de se connecter aux sessions de ce compte pour implémenter des correctifs.

12. Cliquez sur l’onglet “Organisation” et entrez les informations requises selon vos normes AD DS.

13. Cliquez sur l’onglet “Rendez-vous” et dans le champ “Autorisation d’accès réseau”, sélectionnez “Refuser l’accès”. Ce compte ne devrait jamais avoir besoin de se connecter via une connexion à distance.

14. Cliquez sur l’onglet “Membre de” et cliquez sur “Ajouter”. Entrez le nom du groupe de réplication de mot de passe RODC refusé, puis cliquez sur “Vérifier les noms”. Lorsque le nom du groupe est souligné, cliquez sur “OK” et vérifiez que le compte est maintenant membre des deux groupes affichés. Ne l’ajoutez pas aux groupes protégés.

15. Cliquez sur “OK”.

16. Cliquez sur l’onglet “Sécurité”, puis sur “Avancé”.

17. Dans la boîte de dialogue “Paramètres de sécurité avancée”, cliquez sur “Désactiver l’héritage” et sur “Convertir les autorisations héritées en autorisations explicites sur cet objet” lorsque vous y êtes invité. Cliquez ensuite sur “OK” pour revenir à la boîte de dialogue “Sécurité” du compte.

18. Sous l’onglet “Sécurité”, supprimez les groupes qui ne doivent pas être autorisés à accéder au compte ou à le gérer. Ne supprimez pas les groupes configurés avec des ACL Refuser, tels que le groupe “Tout le monde” et le compte auto-calculé. Ne supprimez pas non plus le groupe que vous venez d’ajouter, le compte SYSTEM ou les groupes tels que EA, DA, BA ou le groupe d’accès autorisé Windows.

19. Cliquez sur “Avancé” et vérifiez que les paramètres de sécurité avancés correspondent à la capture d’écran.

20. Cliquez sur “OK”, puis à nouveau sur “OK” pour fermer la boîte de dialogue de propriétés du compte.

La configuration du premier compte de gestion est maintenant terminée. Vous pouvez tester le compte dans une procédure ultérieure. Si nécessaire, vous pouvez créer des comptes de gestion supplémentaires en répétant les étapes précédentes, en copiant le compte que vous venez de créer ou en créant un script pour créer des comptes avec les paramètres de configuration souhaités.