Lorsqu’on a plusieurs machines sous Windows, avoir un contrôleur de domaine peut être pratique pour les gérer et fournir un compte à ses gentils utilisateurs. On peut alors faire des groupes, gérer des droits,… et les utilisateurs peuvent utiliser n’importe quelle machine et se connecter aux services…

Mais vient un moment où un des services à besoin d’un compte sur le domaine pour fonctionner…

• La mibox pour monter un partage de fichier et lire les vidéos sur le NAS ?
• Gitlab, matomo, nextcloud et cie. pour authentifier les utilisateurs via LDAP(s) ?

Même si on fait confiance aux développeurs pour faire du travail excellent, on préfère quand même rester prudent et ne fournir à ses services qu’un compte minimal. En cas de compromission, il ne pourra pas servir de tremplin (ou le moins possible on l’espère).

Remerciements : à Unysoft Consulting pour la relecture et les conseils 😀.

Créer une Unité Organisationnelle

Si vous avez fait les choses bien, vous devriez déjà avoir un domaine avec ses propres unités organisationnelles (par type, par zone géographique ou tout autre système de tri que vous avez choisi).

Pour ceux qui débutent, On pourrait abréger en UO pour Unité Organisationnelle. Mais comme c’est franchement moche, on préfère utiliser la version anglophone OU pour Organisational Unit. C’est comme ça.

Nous allons en rajouter une, directement à la racine de votre domaine. Comme ça, il n’y a pas de risque qu’une GPO ne s’y applique et viennent lui donner des possibilités imprévues.

Pour ça, lancez le gestionnaire des utilisateurs et ordinateurs. Dans la zone de gauche, faite un clic-droit sur votre domaine et choisissez « Nouveau » puis « Unité d’organisation ».

Une nouvelle fenêtre s’ouvre et vous demande son nom, entrez-en un (on a choisi « Les services » mais faites comme vous préférez).

Créer un groupe

Comme on vous l’a dit, une OU n’est pas suffisante et nous allons y créer un groupe.

Toujours dans le gestionnaire des utilisateurs, sélectionnez votre OU et faites un clic-droit et choisissez « Nouveau » puis « Groupe ».

LA fenêtre vous demande un nom (on a mis « NoPrivileges » mais c’est vous qui voyez). Le reste peut être laissé tel quel.

Oui, je sais que c’est bizarre d’accorder au pluriel quand il n’y a rien mais j’aime bien 🙃.

Vous pourriez être tenté configurer une étendue « Domaine Local », l’idée est bonne dans l’absolu mais ça vous gênera pour la suite, lorsque vous voudrez l’utiliser comme groupe principal car ça n’est pas permit (seuls les groupes globaux peuvent être des groupes principaux).

Créer un compte

On peut maintenant créer un compte dans notre OU. Les restrictions seront faites dans un second temps.

Avant goût : comme on va le voir ensuite, ce compte ne va pas servir directement pour un service mais comme base à partir de laquelle les autres comptes seront créés.

Dans le gestionnaire des utilisateurs, sélectionnez votre OU et faites un cli-droit pour choisir « Nouveau » puis « utilisateur ».

Une nouvelle fenêtre vous demande les premiers paramètres pour identifier l’utilisateur. Comme ça n’est qu’un compte pour des services, inutile d’être très verbeux, seul le Prénom et le nom d’ouverture de session sont nécessaires.

La fenêtre vous demande ensuite de configurer le mot de passe. Un petit peu plus de travail cette fois :

• Il faut entrer le mot de passe (deux fois pour éviter les erreurs de saisies),
• Décocher la première case (et éviter une demande de changement de mot de passe à la première connexion)
• Cocher la troisième pour que le mot de passe n’expire pas (et éviter qu’un service tombe en panne au mauvais moment, je préfère planifier ces changements lors d’un moment calme).

La fenêtre vous fait enfin un récapitulatif et c’est terminé.

Restreindre le compte

Même si la présence du compte dans votre OU spécifique apporte quelques petites choses, on va aller plus loin.

Restreindre le groupe principal

La première restriction va être de supprimer le compte des utilisateurs du domaine et ainsi éviter qu’ils n’accède aux fonctionnalités habituelle des utilisateurs.

Via le gestionnaire d’utilisateurs, sélectionnez le compte à restreindre, faites un clic-droit et choisissez « Propriétés ». Naviguez dans l’onglet « Membre de ».

En bas de la liste des groupes (un seul pour l’instant), cliquez sur le bouton « Ajouter… ». Dans la nouvelle fenêtre, entrez le nom du groupe (NoPrivileges) et cliquez sur « OK ».

De retour aux propriétés du compte, sélectionnez maintenant le groupe restreint (NoPrivileges) puis cliquez sur le bouton « Définir le groupe principal ».

Vous pouvez maintenant cliquer sur le groupe « Utilisateurs du domaine » puis sur le bouton « Supprimer ».

Pour éviter les problèmes, le système vous demande de confirmer.

Le compte est maintenant restreint au seul groupe NoPrivileges et n’aura plus accès aux fonctionnalités des comptes habituels. Cliquez sur « OK » pour terminer.

Restreindre les machines

Pour continuer dans la paranoïa, on va maintenant restreindre, nommément, les machines accessibles par le compte.

Pour ça, et si ça n’est pas déjà fait, on ouvre les propriétés du compte, on va dans le troisième onglet « compte » et on clique sur le bouton « Se connecter à… ».

On coche ensuite la case « Les ordinateurs suivants » et on entre le nom des ordinateurs auxquels le compte est autorisé à se connecter :

• LDAP : s’il s’agit d’un compte qui se connecte à votre LDAP (pour authentifier les utilisateurs sur son service), entrez le nom de votre contrôleur de domaine.
• NAS : s’il s’agit d’un compte pour ouvrir des partages réseaux, entrez le nom des machines clientes (pour nextcloud : le serveur qui l’héberge et pour kodi sur la mibox : localhost).
• Aucune : si votre compte ne se connecte à aucune machine, entrez un nom dont vous savez qu’il ne sera jamais utilisé (sinon le réglage est ignoré et le compte peut se connecter partout).

On peut se poser la question « à quoi peut bien servir un compte qui ne se connecte nulle part ? » et effectivement, de prime abord, je ne vois pas. Par contre, comme je vais vous en parler ensuite, c’est pratique pour servir de « modèle » lorsqu’on crée de nouveaux comptes en copiant celui-ci.

On peut alors contrôler que le nom est ajouté et cliquer sur « OK » pour terminer ce réglage.

Restreindre les horaires

Facultatif dans de nombreux cas mais très pertinent si vous voulez renforcer le droit à la déconnexion (ou forcer une certaine forme de contrôle parental), vous pouvez restreindre les horaires de connexion du compte.

Bon à savoir… Les services utilisant ces comptes seront donc indisponibles en dehors de ces horaires.

Toujours via l’écran des propriétés du compte et ce même troisième onglet « Compte », cette fois, cliquez sur le bouton « Horaires d’accès… ».

Dans la nouvelle fenêtre, sélectionnez les horaires disponibles ou non puis cochez la case correspondante. Une fois satisfait, cliquez sur « OK ».

L’un des avantages de ce réglage, c’est qu’en cas de détournement du compte, des tentatives de connexions en dehors des horaires seront journalisées et fourniront un indice que votre réseau est peut être compromis.

Copier un compte

Comme on est pas sûr de se souvenir de toutes ces étapes (et qu’on a pas forcément envie de les refaire), l’idée est plutôt de copier un compte lorsqu’on veut en créer un nouveau.

Note : cette technique marche aussi très bien pour créer de nouveaux gentils utilisateurs.

Via le gestionnaire des utilisateurs, faites un clic-droit sur le compte restreint créé précédemment et choisissez « Copier… ».

Entrez maintenant les informations d’identification (prénom et nom d’ouverture de session).

Entrez ensuite le mot de passe (deux fois, comme toujours). Vous pouvez remarquer que les cases à cocher sont déjà dans le bon état (puisque c’est une copie).

La fenêtre vous montre le récapitulatif et c’est terminé.

Votre nouveau compte est autant restreint que celui de base. Si vous voulez, vous pouvez voir ses propriétés, l’onglet « Membre de » sera déjà configuré pour ne contenir que NoPrivileges.

Les autres restrictions du compte (machine et horaires) sont également copiées mais je ne vous met pas les captures correspondantes, faites-moi confiance.

Et après ?

Vous pouvez maintenant utiliser ce compte pour tous les services qui auraient besoin de se connecter à votre contrôleur de domaine.

Configurer LDAPs sur un Active Directory

2 Novembre 2020 Centraliser l’authentification, c’est bien, mais en protégeant ses communications, c’est mieux. Parce que, par défaut, Active Directory n’utilise pas TLS, on va devoir lui fournir un certificat.