Annexe F : Sécurisation des groupes d’administrateurs de domaine dans Active Directory

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Annexe F : Sécurisation des groupes d’administrateurs de domaine dans Active Directory

Comme c’est le cas avec le groupe Administrateurs d’entreprise (Enterprise Admins, EA), l’appartenance au groupe Administrateurs de domaine (Enterprise Admins, EA) doit être requise uniquement dans des scénarios de génération ou de récupération d’urgence. Le groupe Administrateurs du domaine ne doit comprendre aucun compte d’utilisateur quotidien, à l’exception du compte Administrateur intégré pour le domaine, s’il a été sécurisé comme décrit dans l’Annexe D : sécurisation des comptes Administrateur intégrés dans Active Directory.

Par défaut, les Administrateurs de domaine sont membres des groupes Administrateurs locaux sur tous les serveurs membres et stations de travail de leurs domaines respectifs. Cette imbrication par défaut ne doit pas être modifiée à des fins de prise en charge et de récupération d’urgence. Si des Administrateurs de domaine ont été supprimés des groupes Administrateurs locaux sur les serveurs membres, le groupe doit être ajouté au groupe Administrateurs sur chaque station de travail et serveur membre du domaine. Le groupe Administrateurs de domaine de chaque domaine doit être sécurisé comme décrit dans les instructions pas à pas qui suivent.

Pour le groupe Administrateurs de domaine dans chaque domaine de la forêt :

  1. Supprimez tous les membres du groupe, à l’exception possible du compte Administrateur intégré pour le domaine, s’il a été sécurisé comme décrit dans l’Annexe D : sécurisation des comptes Administrateur intégrés dans Active Directory.

  2. Dans les objets de stratégie de groupe liés à des unités d’organisation contenant des stations de travail et des serveurs membres dans chaque domaine, le groupe Administrateurs de domaine de l’entreprise doit être ajouté aux droits utilisateur suivants dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attributions de droits utilisateur :

    • Refuser l'accès à cet ordinateur à partir du réseau

    • Interdire l’ouverture de session en tant que tâche

    • Interdire l’ouverture de session en tant que service

    • Interdire l’ouverture d’une session locale

    • Refuser l’ouverture de session via les droits d’utilisateur des Services Bureau à distance

  3. L’audit doit être configuré de façon à envoyer des alertes si des modifications sont apportées aux propriétés ou à l’appartenance au groupe Administrateurs de domaine.

Instructions pas à pas pour supprimer tous les membres du groupe Administrateurs de domaine

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs Active Directory.

  2. Pour supprimer tous les membres du groupe DA, procédez comme suit :

    1. Double-cliquez sur le groupe Administrateurs de domaine, puis cliquez sur l’onglet Membres.

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. Sélectionnez un membre du groupe, cliquez sur Supprimer, sur Oui, puis sur OK.

  3. Répétez l’étape 2 jusqu’à ce que tous les membres du groupe Administrateurs de domaine soient supprimés.

Instructions pas à pas pour sécuriser les administrateurs de domaine dans Active Directory

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.

  2. Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>, puis Objets de stratégie de groupe (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

  3. Dans l’arborescence de la console, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez le <Nom d’objet de stratégie de groupe>, puis cliquez sur OK (où <Nom d’objet de stratégie de groupe> est le nom de cet objet de stratégie de groupe).

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. Dans le volet des détails, cliquez avec le bouton droit sur <Nom de l’objet de stratégie de groupe>, puis cliquez sur Modifier.

  6. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales, puis cliquez sur Attribution des droits d’utilisation.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. Configurez les droits utilisateur pour empêcher les membres du groupe Administrateurs de domaine d’accéder aux serveurs membres et aux stations de travail sur le réseau en procédant comme suit :

    1. Double-cliquez sur Refuser l’accès à cet ordinateur à partir du réseau, puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

    3. Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. Cliquez sur OK, puis de nouveau sur OK.

  8. Configurez les droits utilisateur pour empêcher les membres du groupe Administrateurs de domaine de se connecter en tant que tâche de traitement par lots en procédant comme suit :

    1. Double-cliquez sur Refuser l’ouverture de session en tant que tâche de traitement par lots, puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

    3. Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. Cliquez sur OK, puis de nouveau sur OK.

  9. Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de domaine de se connecter en tant que service en procédant comme suit :

    1. Double-cliquez sur Refuser l’ouverture de session en tant que service, puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

    3. Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. Cliquez sur OK, puis de nouveau sur OK.

  10. Configurez les droits utilisateur pour empêcher les membres du groupe Administrateurs de domaine de se connecter localement aux serveurs membres et aux stations de travail sur le réseau en procédant comme suit :

    1. Double-cliquez sur Refuser l’ouverture d’une session locale et sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

    3. Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. Cliquez sur OK, puis de nouveau sur OK.

  11. Configurez les droits utilisateur pour empêcher les membres du groupe Administrateurs de domaine d’accéder aux serveurs membres et aux stations de travail via les Services Bureau à distance en procédant comme suit :

    1. Double-cliquez sur Refuser l’ouverture de session via les Services Bureau à distance et sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

    3. Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. Cliquez sur OK, puis de nouveau sur OK.

  12. Pour quitter l’Éditeur de gestion des stratégies de groupe, cliquez sur Fichier, puis sur Quitter.

  13. Dans Gestion des stratégies de groupe, liez l’objet de stratégie de groupe aux unités d’organisation des stations de travail et serveurs membres en procédant comme suit :

    1. Accédez à <Forêt>\Domaines\<Domaine> (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

    2. Cliquez avec le bouton droit sur l’unité d’organisation à laquelle l’objet de stratégie de groupe sera appliqué, puis cliquez sur Lier un objet de stratégie de groupe existant.

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. Sélectionnez l’objet de stratégie de groupe que vous venez de créer, puis cliquez sur OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. Créez des liens vers toutes les autres unités d’organisation qui contiennent des stations de travail.

    5. Créez des liens vers toutes les autres unités d’organisation qui contiennent des serveurs membres.

      Important

      Si des serveurs de saut sont utilisés pour administrer les contrôleurs de domaine et Active Directory, vérifiez qu’ils se trouvent dans une unité d’organisation à laquelle cet objet de stratégie de groupe n’est pas lié.

Étapes de vérification

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’accès à cet ordinateur à partir du réseau »

À partir d’un serveur membre ou d’une station de travail qui n’est pas affecté(e) par les modifications de l’objet de stratégie de groupe (par exemple un « serveur de saut »), essayez d’accéder à un serveur membre ou à une station de travail sur le réseau qui est affecté(e) par les modifications de l’objet de stratégie de groupe. Pour vérifier les paramètres de l’objet de stratégie de groupe, essayez de mapper le lecteur système à l’aide de la commande NET USE.

  1. Connectez-vous localement à l’aide d’un compte membre du groupe Administrateurs de domaine.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone Rechercher, tapez invite de commandes, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commandes avec élévation de privilèges.

  4. Lorsque vous êtes invité à approuver l’élévation, cliquez sur Oui.

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. Dans la fenêtre Invite de commandes, tapez net use \\<nom_serveur>\c$, où <nom_serveur> est le nom de la station de travail ou du serveur membre auquel vous tentez d’accéder via le réseau.

  6. La capture d’écran suivante montre le message d’erreur qui doit apparaître.

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que tâche »

À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

Créer un fichier batch

  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone Rechercher, tapez bloc-notes, puis cliquez sur Bloc-notes.

  3. Dans Bloc-notes, tapez dir c:.

  4. Cliquez sur Fichier, puis sur Enregistrer sous.

  5. Dans le champ Nom de fichier, tapez <Filename>.bat (où <Filename> est le nom du nouveau fichier de batch).

Planifier une tâche

  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone Rechercher, tapez planificateur de tâches, puis cliquez sur Planificateur de tâches.

    Notes

    Sur les ordinateurs exécutant Windows 8, dans la zone Rechercher, tapez planifier des tâches, puis cliquez sur Planifier des tâches.

  3. Dans la barre de menus Planificateur de tâches, cliquez sur Action, puis sur Créer une tâche.

  4. Dans la boîte de dialogue Créer une tâche, tapez <Nom de la tâche> (où <Nom de la tâche> est le nom de la nouvelle tâche).

  5. Cliquez sur l’onglet Actions, puis sur Nouveau.

  6. Dans le champ Action, sélectionnez Démarrer un programme.

  7. Sous Programme/script, cliquez sur Parcourir, recherchez et sélectionnez le fichier de commandes créé dans la section Créer un fichier de commandes, puis cliquez sur Ouvrir.

  8. Cliquez sur OK.

  9. Cliquez sur l’onglet General (Général).

  10. Sous les options de Sécurité, cliquez sur Modifier l’utilisateur ou le groupe.

  11. Tapez le nom d’un compte membre du groupe Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.

  12. Sélectionnez Exécuter même si l’utilisateur n’est pas connecté, puis Ne pas stocker le mot de passe. La tâche n’aura accès qu’aux ressources de l’ordinateur local.

  13. Cliquez sur OK.

  14. Une boîte de dialogue doit s’afficher, invitant à fournir les informations d’identification du compte d’utilisateur pour exécuter la tâche.

  15. Après avoir entré les informations d’identification, cliquez sur OK.

  16. Une boîte de dialogue similaire à celle qui suit doit s’afficher.

    Screenshot that shows the error that should occur after you enter the credentials.

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que service »

  1. À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone Rechercher, tapez services, puis cliquez sur Services.

  4. Recherchez et double-cliquez sur Spouleur d’impression.

  5. Cliquez sur l'onglet Se connecter.

  6. Sous Ouvrir une session en tant que, sélectionnez l’option Ce compte.

  7. Cliquez sur Parcourir, tapez le nom d’un compte membre du groupe Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.

  8. Sous Mot de passe et Confirmer le mot de passe, tapez le mot de passe du compte sélectionné, puis cliquez sur OK.

  9. Cliquez à nouveau sur OK à trois reprises.

  10. Cliquez avec le bouton droit sur Spouleur d’impression et cliquez sur Redémarrer.

  11. Lorsque le service est redémarré, une boîte de dialogue similaire à celle-ci doit s’afficher.

    Screenshot that shows the dialog box that appears after the service is restarted.

Annuler les modifications apportées au service Spouleur d’impression

  1. À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone Rechercher, tapez services, puis cliquez sur Services.

  4. Recherchez et double-cliquez sur Spouleur d’impression.

  5. Cliquez sur l'onglet Se connecter.

  6. Sous Se connecter en tant que, sélectionnez le compte Système local, puis cliquez sur OK.

Vérifier les paramètres de l’objet de stratégie de groupe « Refuser l’ouverture d’une session locale »

  1. À partir de n’importe quel serveur membre ou station de travail affecté(e) par les modifications apportées à l’objet de stratégie de groupe, essayez de vous connecter localement à l’aide d’un compte membre du groupe Administrateurs de domaine. Une boîte de dialogue similaire à ce qui suit doit s’afficher.

    secure domain admin groups

Vérifier les paramètres de l’objet de stratégie de groupe « Refuser l’ouverture de session via Services Bureau à distance »

  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone Rechercher, tapez connexion Bureau à distance, puis cliquez sur Connexion Bureau à distance.

  3. Dans le champ Ordinateur, tapez le nom de l’ordinateur auquel vous souhaitez vous connecter, puis cliquez sur Se connecter. (Vous pouvez également taper l’adresse IP au lieu du nom de l’ordinateur.)

  4. Quand vous y êtes invité, fournissez les informations d’identification d’un compte membre du groupe Administrateurs de domaine.

  5. Une boîte de dialogue similaire à ce qui suit doit s’afficher.

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.