logo

Différences entre les groupes de sécurité et les groupes de distribution de l’Active Directory

Gérer l’Active Directory à travers la création de groupes est considéré comme une meilleure pratique. Cet article présente les deux types de groupes Active Directory, les groupes de sécurité et les groupes de distribution, et vous offre des conseils pour une gestion optimale.

Principales différences entre groupes de sécurité et listes de distribution

Les groupes de sécurité et les groupes de distribution, plus souvent appelés listes de distribution, font tous les deux partie de l’Active Directory, mais leurs objectifs sont très différents :

  • Les groupes de sécurité servent à gérer les utilisateurs et les accès à des ressources informatiques partagées, comme peuvent l’être les données et les applications. Les autorisations sont attribuées à des groupes de sécurité. Tous les utilisateurs et comptes d’ordinateur qui appartiennent à un groupe de sécurité bénéficient de ces autorisations automatiquement.
  • Les groupes de distribution (ou listes de distribution) servent à envoyer des e-mails à un ensemble d’utilisateurs, sans avoir à saisir l’adresse e-mail de chacun d’entre eux de manière individuelle.

Il est bon de rappeler que les groupes de sécurité peuvent être utilisés pour la distribution d’e-mails. L’inverse est impossible : les listes de distribution ne peuvent pas servir à l’attribution d’autorisations aux utilisateurs ou aux comptes d’ordinateur.

Analysons maintenant plus en détail les caractéristiques de chaque groupe.

Groupes de sécurité

Les groupes de sécurité de l’Active Directory servent à gérer les utilisateurs et les accès aux ressources informatiques, par exemple des dossiers, des applications et des imprimantes. Ils permettent de simplifier l’attribution de privilèges d’accès et d’assurer l’exactitude du processus. Par exemple, lorsqu’une nouvelle personne rejoint une organisation, l’équipe informatique peut lui accorder rapidement les accès précis dont elle a besoin pour effectuer ses tâches. Il suffit de l’ajouter aux groupes de sécurité appropriés, comme ceux de son département ou des projets spécifiques sur lesquels elle travaille. Les groupes de sécurité peuvent également être configurés pour refuser l’accès d’un ensemble d’utilisateurs à certaines ressources.

Les deux fonctions essentielles d’un groupe de sécurité sont les suivantes :

  • Attribution de droits d’utilisateur : attribuer des droits d’utilisateur à un groupe de sécurité permet de définir ce que les membres d’un groupe donné peuvent faire à l’intérieur d’un domaine précis. Par exemple, un utilisateur membre du groupe Opérateurs de sauvegarde au sein d’un domaine particulier peut effectuer des sauvegardes et restaurer des fichiers et des répertoires situés sur chaque contrôleur de domaine. Le simple fait d’être membre du groupe permet à l’utilisateur d’hériter des droits attribués au groupe.
  • Attribution d’autorisations d’accès aux ressources : à la différence des droits d’utilisateur, qui s’appliquent à l’ensemble d’un domaine, les autorisations sont pensées pour une entité concrète. Elles déterminent qui a accès à une ressource spécifique, ainsi que le niveau d’accès, par exemple des autorisations de contrôle total ou en lecture seule.

Autrement dit, les droits de l’utilisateur s’appliquent aux comptes d’utilisateur, tandis que les autorisations sont liées à des objets.

Il existe de nombreuses méthodes permettant aux administrateurs de créer des groupes de sécurité et de gérer les autorisations et les membres. Par exemple, ils peuvent utiliser la console Utilisateurs et ordinateurs Active Directory (ADUC), Windows PowerShell, ou encore d’autres logiciels tiers de gestion des groupes.

Que sont les autorisations des groupes de sécurité de l’Active Directory ?

Au sein de l’Active Directory, les autorisations représentent un ensemble de règles et de normes qui définissent le niveau d’autorité que chaque objet possède, notamment pour visualiser ou modifier d’autres objets et fichiers dans le répertoire. Pour veiller à ce que chaque utilisateur ne dispose que de l’accès aux ressources dont il a besoin, les administrateurs informatiques attribuent des autorisations en utilisant des listes de contrôle d’accès (ACL).

Que sont les listes de contrôle d’accès (ACL) ?

Les listes de contrôle d’accès permettent de définir quelle entité bénéficie d’un accès à un objet, ainsi que le type d’accès. Une entité peut être un compte d’utilisateur, un compte d’ordinateur ou un groupe. Par exemple, si un objet fichier possède une liste de contrôle d’accès qui établit les accès [Marie : lecture] et [Sarah : lecture et écriture], Marie pourra seulement lire le fichier, tandis que Sarah pourra également le modifier.

Une liste de contrôle d’accès peut être configurée pour un objet individuel ou une unité d’organisation (UO). Dans le cas d’une UO, tous les objets descendants héritent de la liste de contrôle d’accès.

Types de listes de contrôle d’accès

Il existe deux types de listes de contrôle d’accès. Chacune avec une fonction différente :

  • Liste de contrôle d’accès discrétionnaire (DACL) : cette liste indique les droits d’accès attribués à une entité sur un objet. Lorsqu’une entité ou un processus effectue une tentative d’accès à un objet, le système détermine le niveau d’accès en fonction des éléments suivants :
    • Si un objet ne dispose pas d’une liste de contrôle d’accès discriminatoire, le système autorise un accès total à cet objet.
    • Si un objet dispose d’une DACL, le système accorde un accès restreint explicitement autorisé et défini dans les entrées de contrôle d’accès (ACE) de la liste.
    • Si une liste de contrôle d’accès discriminatoire contient des entrées de contrôle d’accès qui autorisent un ensemble limité d’utilisateurs et de groupes à accéder à un objet, le système refuse automatiquement l’accès à toutes les entités qui n’y sont pas incluses.
    • Si la DACL d’un objet ne contient aucune entrée de contrôle d’accès, le système refuse l’accès à toutes les entités.
  • Liste de contrôle d’accès système (SACL) : cette liste permet la création de rapports d’audit qui indiquent quelle entité a tenté d’accéder à un objet. Elle précise également si l’accès à un objet a été refusé ou accordé à l’entité, ainsi que le type d’accès autorisé.

Conseil : évitez l’utilisation des groupes de sécurité pour envoyer des e-mails

Dans une configuration typique, des adresses e-mail sont attribuées par défaut aux groupes de distribution créés dans Microsoft Exchange et Microsoft 365, mais pas aux groupes de sécurité. En conséquence, ils ne peuvent pas en principe être utilisés pour envoyer des e-mails. Il est néanmoins possible d’activer l’envoi d’e-mails dans un groupe de sécurité pour à la fois accorder un accès aux ressources et envoyer des e-mails.

Cependant, cette pratique est déconseillée, car elle peut compromettre la sécurité. En effet, l’activation de l’envoi d’e-mails dans un groupe de sécurité augmente le risque d’usurpation d’identité, qui peut se propager à d’autres groupes de sécurité membres du groupe compromis. La réception d’un lien malveillant dans un message peut également porter atteinte à la confidentialité de votre organisation en modifiant certains paramètres.

Si vous devez envoyer un e-mail à tous les membres d’un groupe de sécurité, il est recommandé de créer un groupe de distribution avec les mêmes membres.

Groupes de distribution

Les groupes de distribution de l’Active Directory sont utilisés pour envoyer des e-mails à un ensemble d’utilisateurs plutôt qu’à des utilisateurs de manière individuelle. Une entreprise peut par exemple créer une liste de distribution pour ses employés, une autre pour tous ses managers, et une liste pour chaque département. Lorsque vous souhaitez envoyer un e-mail à l’un de ces groupes, il vous suffit de sélectionner la liste de distribution, plutôt que d’ajouter un à un chaque destinataire. Cela permet de gagner du temps et d’éviter les erreurs.

Comme nous l’avons observé plus tôt, on ne peut pas attribuer d’autorisations aux listes de distribution.

Différences entre groupes de distribution et boîtes aux lettres partagées

La différence entre un groupe de distribution et une boîte aux lettres partagée est significative. On utilise une boîte aux lettres partagée lorsque plusieurs personnes ont besoin d’accéder à la même boîte de réception. Par exemple, l’équipe du support technique et l’équipe de support informatique peuvent utiliser une boîte aux lettres partagée pour collaborer sur certaines tâches. Qui plus est, tous les membres peuvent envoyer et recevoir des e-mails au nom de l’équipe à laquelle ils appartiennent. En général, on utilise une adresse générique pour la boîte aux lettres partagée, par exemple « support@entreprise.com ». De cette manière, l’adresse reste inchangée, même si la composition de l’équipe responsable de l’e-mail évolue au fil du temps. Lorsqu’un utilisateur envoie un e-mail à partir d’une boîte aux lettres partagée, ce dernier est envoyé depuis l’adresse e-mail partagée, et non celle de l’utilisateur. Une copie est envoyée à la boîte de réception partagée pour que les membres soient informés.

La suppression d’e-mails permet de mettre en avant les différences entre une liste de distribution et une boîte aux lettres partagée. Si un utilisateur supprime un e-mail d’une boîte aux lettres partagée, cet e-mail est supprimé pour tous les membres ayant accès à cette boîte. En revanche, lorsqu’un membre appartenant à une liste de distribution supprime un e-mail envoyé au groupe de distribution auquel il appartient, cet e-mail n’est pas supprimé dans la boîte de réception des autres membres.

Un groupe de distribution peut-il être géré par un groupe de sécurité, et inversement ?

Un groupe de sécurité peut être le propriétaire d’un groupe de distribution. Ce cas de figure permet à tous les membres du groupe de sécurité de gérer le groupe de distribution. Cela inclut les destinataires des notifications d’échec de remise, ainsi que les restrictions en matière d’envoi et de réception de messages. Par exemple, une liste de distribution peut appartenir à un groupe de sécurité créé spécialement pour une équipe de projet. De la même manière, l’équipe responsable des communications de l’entreprise peut être propriétaire de plusieurs listes de distribution.

En revanche, un groupe de distribution ne peut pas être propriétaire d’un groupe de sécurité.

Peut-on supprimer les groupes de distribution et les groupes de sécurité en toute sécurité ?

La suppression d’un groupe de distribution ne représente pas une menace à la sécurité de votre organisation. En revanche, supprimer de manière accidentelle une liste de distribution peut perturber les communications. Pour y remédier, il faudra restaurer le groupe à partir d’une sauvegarde, ou en créer un nouveau avec les mêmes membres.

La suppression d’un groupe de sécurité peut quant à elle entraîner des conséquences graves en matière de :

  • Sécurité — Supprimer un groupe de sécurité qui limite l’accès à certaines ressources revient à autoriser les membres de ce groupe à accéder auxdites ressources.
  • Productivité — Supprimer un groupe de sécurité dont les membres ont accès à certaines ressources signifie que les utilisateurs n’ont plus accès aux données et aux applications dont ils ont besoin pour travailler.

Vous devez donc être très prudent au moment de supprimer un groupe de sécurité.

Conclusion

La gestion précise et le maintien à jour de vos groupes de sécurité et de vos listes de distribution sont essentiels pour la continuité des activités de votre entreprise et pour sa sécurité. Pour éviter que ces tâches ne soient fastidieuses, envisagez d’investir dans une solution comme Netwrix GroupID. Netwrix GroupID vous permet de facilement vous assurer que :

  • Chaque groupe de votre répertoire est utile.
  • Chaque groupe a un propriétaire.
  • Les utilisateurs n’appartiennent pas à certains groupes de manière injustifiée.
  • Aucun groupe ne dispose d’autorisations excessives.
  • Vos groupes n’ont plus de raison d’être.
  • Aucun groupe n’est dupliqué.
Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité GDPR Insider threat IT compliance IT security Office 365 PowerShell Risk assessment SharePoint Windows Server
...