samedi 19 juillet 2014

Comment déléguer : la gestion d'autorisation de serveurs DHCP

Bonjour à tous.

On continue dans notre série sur la délégation d'administration avec toujours pour objectif de tendre vers le "Zéro Admins".

On va voir ici une tâche qui par défaut nécessite beaucoup trop de droits sur l'Active Directory, l'autorisation de serveur DHCP. En effet, pour gérer l'autorisation de serveur DHCP dans Active Directory, il faut être membre soit du groupe "Domain Admins", soit "Enterprise Admins".

Bien évidemment il est inconcevable dans notre optique du "Zéro Admins" qu'une équipe d'administration du service DHCP ait autant de droits.


Prenons un scénario assez classique :
Vous venez d'installer un nouveau serveur DHCP et vous voulez déléguer son administration à un administrateur qui aura pour unique tâche la gestion du DHCP.
Vous créez un groupe de sécurité dédié, vous l'imbriquez dans le groupe local d'administration DHCP du serveur DHCP et vous mettez votre administrateur dans le groupe que vous avez créé.

Votre administrateur se connecte au serveur DHCP par la Console DHCP mais il n'a pas l'option d'autorisation du serveur DHCP.



Vu que l'on ne souhaite pas donner des droits "Domain Admins" ou "Enterprise Admins" pour cette tâche il va falloir la déléguer.
La délégation s'effectue depuis la console Sites et Services Active Directory.
Par défaut, seule la partie Sites est visible.



Pour voir la partie Services, il faut se placer à la racine de la console puis aller dans "Affichage" puis sélectionner "".



La partie Services est désormais visible. C'est le conteneur "NetServices" qui nous intéresse.



Voici les droits par défaut sur ce conteneur.



Pour déléguer l'autorisation de serveur DHCP, faire un clic-droit sur le conteneur NetServices puis cliquer sur "Delegate Control ..."



L'assistant de délégation apparait. Cliquer sur "Next"



Ajouter le groupe que vous avez créé au préalable.



Sélectionner "Create a custom task to delegate"



Sélectionner "This folder, existing objects in this folder ..."



Sélectionner ensuite "Full Control"



Finaliser la délégation.



Il est aussi possible de faire cette action en Powershell afin d'industrialiser la délégation et éviter les erreurs.



Les commandes Powershell suivantes permettent d'effectuer la tâche de délégation :


Import-Module ActiveDirectory

$AdminDHCP = Get-ADGroup "Manage DHCP Authorization"

### Container NetServices
$ObjectDN = "CN=NetServices,CN=Services,CN=Configuration," + (Get-ADDomain).DistinguishedName
### Contrôle total sur tous les objets
[System.Security.Principal.SecurityIdentifier] $AdminDHCPSecId = $AdminDHCP.SID
[System.DirectoryServices.ActiveDirectoryRights] $ADRights = "GenericAll"
[System.Security.AccessControl.AccessControlType] $AccCtrlType = "Allow"
[System.DirectoryServices.ActiveDirectorySecurityInheritance] $SecInherit = "All"
$ACE01 = New-Object -TypeName System.DirectoryServices.ActiveDirectoryAccessRule -ArgumentList $AdminDHCPSecId,$ADRights,$AccCtrlType,$SecInherit
### Setting ACE
$ACL = Get-Acl AD:\$ObjectDN
$ACL.AddAccessRule($ACE01)
$ACL|Set-ACL




L'autorisation de serveur DHCP est maintenant délégué au groupe "Manage DHCP Authorization".
Votre administrateur DHCP peut désormais autoriser des serveurs DHCP.



Et nous avons réussi à limiter les droits de notre administrateur.



J'espère que cet article vous aura intéressé.

A très bientôt.

1 commentaire:

  1. Bonjour,

    Comme faites vous sur un contrôleur de domaine ? Est-ce possible ?

    RépondreSupprimer