Annexe E : Sécurisation des groupes d’administrateurs de l’entreprise dans Active Directory

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Annexe E : Sécurisation des groupes d’administrateurs de l’entreprise dans Active Directory

Le groupe Administrateurs de l’entreprise, qui est hébergé dans le domaine racine de forêt, ne doit contenir aucun utilisateur au jour le jour, à l’exception possible du compte Administrateur du domaine racine, à condition qu’il soit sécurisé comme décrit à l’Annexe D : Sécurisation des comptes Administrateur intégrés dans Active Directory.

Les Administrateurs de l’entreprise sont, par défaut, membres du groupe Administrateurs dans chaque domaine de la forêt. Vous ne devez pas supprimer le groupe Administrateurs de l’entreprise des groupes Administrateurs de chaque domaine, car dans un scénario de reprise d’activité de forêt, des droits Administrateurs de l’entreprise seront probablement requis. Le groupe Administrateurs de l’entreprise de la forêt doit être sécurisé comme indiqué dans les instructions pas à pas qui suivent.

Pour le groupe Administrateurs de l’entreprise dans la forêt :

  1. Dans les objets de stratégie de groupe liés à des unités d’organisation contenant des stations de travail et des serveurs membres dans chaque domaine, le groupe Administrateurs de l’entreprise doit être ajouté aux droits utilisateur suivants dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attributions de droits utilisateur :

    • Refuser l'accès à cet ordinateur à partir du réseau

    • Interdire l’ouverture de session en tant que tâche

    • Interdire l’ouverture de session en tant que service

    • Interdire l’ouverture d’une session locale

    • Interdire l’ouverture de session par les services Bureau à distance

  2. Configurez l’audit de façon à envoyer des alertes si des modifications sont apportées aux propriétés ou à l’appartenance au groupe Administrateurs de l’entreprise.

Instructions pas à pas pour supprimer tous les membres du groupe Administrateurs de l’entreprise

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs Active Directory.

  2. Si vous ne gérez pas le domaine racine de la forêt, dans l’arborescence de la console, cliquez avec le bouton droit sur <Domaine>, puis cliquez sur Changer de domaine (où <Domaine> est le nom du domaine que vous administrez actuellement).

    Screenshot that highlights the Change Domain menu option.

  3. Dans la boîte de dialogue Changer de domaine, cliquez sur Parcourir, sélectionnez le domaine racine de la forêt, puis cliquez sur OK.

    Screenshot that shows the OK button in the Change domain dialog box.

  4. Pour supprimer tous les membres du groupe Administrateurs de l’entreprise :

    1. Double-cliquez sur le groupe Administrateurs de l’entreprise, puis cliquez sur l’onglet Membres.

      Screenshot that shows the Members tab within the Enterprise Admins group.

    2. Sélectionnez un membre du groupe, cliquez sur Supprimer, sur Oui, puis sur OK.

  5. Répétez l’étape 2 jusqu’à ce que tous les membres du groupe Administrateurs de l’entreprise aient été supprimés.

Instructions pas à pas pour sécuriser les administrateurs de l’entreprise dans Active Directory

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.

  2. Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>, puis Objets de stratégie de groupe (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

    Remarque

    Dans une forêt qui contient plusieurs domaines, un objet de stratégie de groupe similaire doit être créé dans chaque domaine où le groupe Administrateurs de l’entreprise doit être sécurisé.

  3. Dans l’arborescence de la console, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

    Screenshot that shows the New menu option in the Group Policy Objects menu.

  4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez le <Nom d’objet de stratégie de groupe>, puis cliquez sur OK (où <Nom d’objet de stratégie de groupe> est le nom de cet objet de stratégie de groupe).

    Screenshot that shows where to type the GPO name and select the source starter GPO.

  5. Dans le volet des détails, cliquez avec le bouton droit sur <Nom de l’objet de stratégie de groupe>, puis cliquez sur Modifier.

  6. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales, puis cliquez sur Attribution des droits d’utilisation.

    Screenshot that shows where to select User Rights Assignment.

  7. Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise d’accéder aux stations de travail et aux serveurs membres sur le réseau en effectuant les étapes suivantes :

    1. Double-cliquez sur Interdire l’accès à cet ordinateur à partir du réseau, puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

    3. Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations over the network.

    4. Cliquez sur OK, puis de nouveau sur OK.

  8. Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise de se connecter en tant que tâche en effectuant les étapes suivantes :

    1. Double-cliquez sur Interdire l’ouverture de session en tant que tâche, puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

      Remarque

      Dans une forêt qui contient plusieurs domaines, cliquez sur Emplacements et sélectionnez le domaine racine de la forêt.

    3. Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from logging on as a batch job.

    4. Cliquez sur OK, puis de nouveau sur OK.

  9. Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise de se connecter en tant que service en effectuant les étapes suivantes :

    1. Double-cliquez sur Interdire l’ouverture de session en tant que service et sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

      Remarque

      Dans une forêt qui contient plusieurs domaines, cliquez sur Emplacements et sélectionnez le domaine racine de la forêt.

    3. Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the EA group from logging on as a service.

    4. Cliquez sur OK, puis de nouveau sur OK.

  10. Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise d’ouvrir une session locale sur les stations de travail et les serveurs membres en effectuant les étapes suivantes :

    1. Double-cliquez sur Interdire l’ouverture d’une session locale, puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

      Remarque

      Dans une forêt qui contient plusieurs domaines, cliquez sur Emplacements et sélectionnez le domaine racine de la forêt.

    3. Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you have configured user rights to prevent members of the Enterprise Admins group from logging on locally to member servers and workstations.

    4. Cliquez sur OK, puis de nouveau sur OK.

  11. Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de l’entreprise d’accéder aux stations de travail et aux serveurs membres par les services Bureau à distance en effectuant les étapes suivantes :

    1. Double-cliquez sur Interdire l’ouverture de session par les services Bureau à distance et sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

      Remarque

      Dans une forêt qui contient plusieurs domaines, cliquez sur Emplacements et sélectionnez le domaine racine de la forêt.

    3. Tapez Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations via Remote Desktop Services.

    4. Cliquez sur OK, puis de nouveau sur OK.

  12. Pour quitter l’Éditeur de gestion des stratégies de groupe, cliquez sur Fichier, puis sur Quitter.

  13. Dans Gestion des stratégies de groupe, liez l’objet de stratégie de groupe aux unités d’organisation des stations de travail et serveurs membres en effectuant les étapes suivantes :

    1. Accédez à <Forêt>\Domaines\<Domaine> (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

    2. Cliquez avec le bouton droit sur l’unité d’organisation à laquelle l’objet de stratégie de groupe sera appliqué, puis cliquez sur Lier un objet de stratégie de groupe existant.

      Screenshot that highlights the Link an existing GPO menu option.

    3. Sélectionnez l’objet de stratégie de groupe que vous venez de créer, puis cliquez sur OK.

      Screenshot that shows where to select the GPO that you just created.

    4. Créez des liens vers toutes les autres unités d’organisation qui contiennent des stations de travail.

    5. Créez des liens vers toutes les autres unités d’organisation qui contiennent des serveurs membres.

    6. Dans une forêt qui contient plusieurs domaines, un objet de stratégie de groupe similaire doit être créé dans chaque domaine où le groupe Administrateurs de l’entreprise doit être sécurisé.

Important

Si des serveurs de saut sont utilisés pour administrer les contrôleurs de domaine et Active Directory, vérifiez qu’ils se trouvent dans une unité d’organisation à laquelle cet objet de stratégie de groupe n’est pas lié.

Étapes de vérification

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’accès à cet ordinateur à partir du réseau »

À partir d’un serveur membre ou d’une station de travail qui n’est pas affecté(e) par les modifications de l’objet de stratégie de groupe (par exemple un « serveur de saut »), essayez d’accéder à un serveur membre ou à une station de travail sur le réseau qui est affecté(e) par les modifications de l’objet de stratégie de groupe. Pour vérifier les paramètres de l’objet de stratégie de groupe, essayez de mapper le lecteur système à l’aide de la commande NET USE en effectuant les étapes suivantes :

  1. Ouvrez une session locale à l’aide d’un compte membre du groupe Administrateurs de l’entreprise.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone Rechercher, tapez invite de commandes, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commandes avec élévation de privilèges.

  4. Lorsque vous êtes invité à approuver l’élévation, cliquez sur Oui.

    Screenshot that shows the dialog box where you approve the elevation.

  5. Dans la fenêtre Invite de commandes, tapez net use \\<nom_serveur>\c$, où <nom_serveur> est le nom de la station de travail ou du serveur membre auquel vous tentez d’accéder via le réseau.

  6. La capture d’écran suivante montre le message d’erreur qui doit apparaître.

    Screenshot that shows the error message that should appear.

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que tâche »

À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

Créer un fichier batch

  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone Rechercher, tapez bloc-notes, puis cliquez sur Bloc-notes.

  3. Dans Bloc-notes, tapez dir c:.

  4. Cliquez sur Fichier, puis sur Enregistrer sous.

  5. Dans la zone Nom de fichier, tapez <nom_fichier>.bat (où <nom_fichier> est le nom du nouveau fichier de commandes).

Planifier une tâche

  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone Rechercher, tapez planificateur de tâches, puis cliquez sur Planificateur de tâches.

    Notes

    Sur les ordinateurs exécutant Windows 8, dans la zone Rechercher, tapez planifier des tâches, puis cliquez sur Planifier des tâches.

  3. Cliquez sur Action, puis sur Créer une tâche.

  4. Dans la boîte de dialogue Créer une tâche, tapez <nom_tâche> (où <nom_tâche> est le nom de la nouvelle tâche).

  5. Cliquez sur l’onglet Actions, puis sur Nouveau.

  6. Dans le champ Action, sélectionnez Démarrer un programme.

  7. Sous Programme/script, cliquez sur Parcourir, recherchez et sélectionnez le fichier de commandes créé dans la section Créer un fichier de commandes, puis cliquez sur Ouvrir.

  8. Cliquez sur OK.

  9. Cliquez sur l’onglet General (Général).

  10. Dans le champ Options de sécurité, cliquez sur Utilisateur ou groupe.

  11. Tapez le nom d’un compte membre du groupe Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.

  12. Sélectionnez Qu’un utilisateur ait ouvert une session ou non, puis Ne pas stocker le mot de passe. La tâche n’aura accès qu’aux ressources de l’ordinateur local.

  13. Cliquez sur OK.

  14. Une boîte de dialogue doit s’afficher, invitant à fournir les informations d’identification du compte d’utilisateur pour exécuter la tâche.

  15. Après avoir entré les informations d’identification, cliquez sur OK.

  16. Une boîte de dialogue similaire à celle qui suit doit s’afficher.

    Screenshot that shows the Task Scheduler dialog box.

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que service »

  1. À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone Rechercher, tapez services, puis cliquez sur Services.

  4. Recherchez et double-cliquez sur Spouleur d’impression.

  5. Cliquez sur l'onglet Se connecter.

  6. Sous Se connecter en tant que, sélectionnez Ce compte.

  7. Cliquez sur Parcourir, tapez le nom d’un compte membre du groupe Administrateurs de l’entreprise, cliquez sur Vérifier les noms, puis sur OK.

  8. Sous Mot de passe et Confirmer le mot de passe, tapez le mot de passe du compte sélectionné, puis cliquez sur OK.

  9. Cliquez à nouveau sur OK à trois reprises.

  10. Cliquez avec le bouton droit sur le service Spouleur d’impression, puis sélectionnez Redémarrer.

  11. Lorsque le service est redémarré, une boîte de dialogue similaire à celle-ci doit s’afficher.

    Screenshot that shows a message that says that Windows could not start the Print Spooler server.

Annuler les modifications apportées au service Spouleur d’impression

  1. À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone Rechercher, tapez services, puis cliquez sur Services.

  4. Recherchez et double-cliquez sur Spouleur d’impression.

  5. Cliquez sur l'onglet Se connecter.

  6. Sous Se connecter en tant que, sélectionnez le compte Système local, puis cliquez sur OK.

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture d’une session locale »

  1. À partir de n’importe quel serveur membre ou station de travail affecté(e) par les modifications apportées à l’objet de stratégie de groupe, essayez de vous connecter localement à l’aide d’un compte membre du groupe Administrateurs de l’entreprise. Une boîte de dialogue similaire à celle qui suit doit s’afficher.

    Screenshot that shows a message that says that the sign-in method you're using isn't allowed.

Vérifier les paramètres de l’objet de stratégie de groupe « Refuser l’ouverture de session via Services Bureau à distance »

  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone Rechercher, tapez connexion bureau à distance, puis cliquez sur Connexion Bureau à distance.

  3. Dans le champ Ordinateur, tapez le nom de l’ordinateur auquel vous souhaitez vous connecter, puis cliquez sur Se connecter. (Vous pouvez également taper l’adresse IP au lieu du nom de l’ordinateur.)

  4. À l’invite, fournissez les informations d’identification d’un compte membre du groupe Administrateurs de l’entreprise.

  5. Une boîte de dialogue similaire à celle qui suit doit s’afficher.

    secure enterprise admin groups