Contrôle fin de l'appartenance aux groupes dans Active Directory

Active Directory supporte depuis sa version initiale disponible avec Windows 2000 Server in mecanisme de contrôle de l'appartenance des uitlisateurs à certains groupes via une fonctionnalité appelée Restricted Groups ou Groupes Restreints.

Qu'est donc qu'un groupe restreint ?

Un groupe restreint est avant tout un groupe comme les autres, c'est-à-dire de type local, global ou universel, à ceci près que la liste de ses membres est contrôlée et mise à jour de manière automatique. A la différence des groupes dynamiques dont nous avions parlé dans un précédent post, la liste de ses membres n’est pas définie comme étant en le résultat d'une requête LDAP mais de manière arbitraire comme une liste d’utilisateurs ou de groupes.

L’interface de gestion des groupes restreints n’est pas Active Directory Users & Computers mais celle d’administration des stratégies de groupe.

Afin de mettre en œuvre les groupes restreints il suffit donc de modifier une GPO existante ou d’en créer une nouvelle puis de naviguer dans l’interface jusqu’à l’emplacement Computer Configuration \ Windows Settings \ Security Settings \ Restricted Groups et d’ajouter un nouveau groupe dont il est possible de gérer la liste des membres (utilisateurs ou groupes) ainsi que la liste des groupes dont il est lui-même membre.

Le groupe sera alors automatiquement créé puis maintenu à jour soit au niveau du domaine soit au niveau de la base SAM locale de certaines machines en fonction du ciblage de la stratégie de groupe utilisée.

Quelques précisions concernant la mise à jour des groupes ; l’intervalle de mise à jour varie de 90 minutes pour la base SAM locale d’un machine membre du domaine à 5 minutes pour un contrôleur de domaine ; le terme mise à jour est en réalité inapproprié dans la mesure la liste des membres n’est pas modifiée par ajout / suppression des membres mais par application globale des informations définies au niveau de la GPO et en supprimant les informations définies préalablement ou localement.

Ce dernier point est particulièrement important à prendre en compte car cela signifie qu’une fois le groupe géré sous forme de groupe restreint toute modification locale de ses membres ne pourra être que temporaire et sera perdu lors du prochain rafraichissement, ce mécanisme est particulièrement adapté pour sécuriser l’appartenance à des groupes sensibles en la restreignant.

Le mécanisme de mise à jour des groupes aux quels appartient le groupe restreint est lui beaucoup moins « brutal » puisqu’il fonctionne réellement en mode mise à jour donc par ajout / suppression du groupe restreint à la liste des membres des groupes. Ce mécanisme est particulièrement adapté pour permettre une modification de manière centralisée de l’appartenance à des groupes locaux, par exemple pour ajouter au groupe local Administrateurs de serveurs membres des groupes qui permettront une administration déléguée ou pour ajouter au groupe local Administrateurs des stations de travail un groupe qui sera utilisable pour des opérations liées au support aux utilisateurs.