Gérer les groupes Active Directory avec l'Administration JIT

I. Présentation

Dans cet article, nous allons voir comment faciliter la gestion des groupes sensibles en environnement Active Directory, en appliquant le principe de l’administration « Just-in-time » (JIT).

Nous commencerons par quelques rappels sur le PAM (Privileged Access Management) et sur les risques associés à une mauvaise gestion des permissions Active Directory. Puis, nous verrons comment automatiser et faciliter la délégation selon le principe JIT grâce à l’utilisation d’un outil graphique basé sur PowerShell.

II. Rappel sur le PAM

PAM est une fonctionnalité apparue depuis Windows Server 2016 et présente dans le niveau fonctionnel de domaine Active Directory « Windows Server 2016 » minimum. Elle permet une administration gérée dans le temps (Appelée « Just in time ») accordant un accès hautement privilégié à un utilisateur pendant une période limitée pour accomplir une tâche spécifique. Cela permet de réduire les menaces et avoir le contrôle sur l'adhésion aux groupes sensibles.

L'article précédent décrit les principes de base de cette technologie ainsi que les différentes étapes de son utilisation. Il s'adresse avant tout à ceux qui souhaitent configurer l'administration JIT via PowerShell.

• Active Directory : ajouter un utilisateur à un groupe pour une durée limitée

A. Cas d'utilisation de l'administration JIT

Pour mieux comprendre le besoin de définir des autorisations limitées dans le temps et les risques associés à la négligence de la gestion des groupes, il est important de savoir pourquoi cela est nécessaire. Les autorisations limitées peuvent être utilisées dans trois cas majeurs : la gestion des groupes sensibles, les consultants externes et les stagiaires/apprenants.

• Groupes sensibles :

Historiquement, l'adhésion aux groupes se fais...
[Courte citation de 8% de l'article original]