Chapitre 1

Planification et configuration d'une stratégie d'autorisation et

d'authentification

Introduction
Une des parties les plus importantes et malgré tout négligée de la stratégie de sécurité d'une organisation
consiste à garantir l'identité des entités de sécurité et à leur fournir l'accès aux ressources appropriées. Pour
protéger les ressources de votre organisation des utilisateurs malintentionnés et non autorisés et améliorer
l'intégrité des données de votre organisation, il est important d'évaluer l'infrastructure de votre organisation,
puis de créer et documenter un projet d'autorisation et d'authentification accordant le niveau d'accès
approprié aux différentes entités de sécurité.
Compte tenu de leur importance dans un contrôle efficace des accès, les comptes d'utilisateurs et les groupes
de sécurité forment le composant principal d'une stratégie d'autorisation et d'authentification. De plus, vous
devez également avoir une bonne connaissance des relations d'approbation, des niveaux fonctionnels du
domaine et de la forêt, et des principes de sécurité de base pour concevoir une stratégie d'autorisation et
d'authentification des ressources.

Objectifs

• déterminer la structure de groupe nécessaire pour un environnement à plusieurs domaines ou à

plusieurs forêts ;
• créer des approbations dans un environnement Microsoft® Windows Serveur;
• planifier, implémenter et gérer une stratégie d'autorisation et d'authentification dans une organisation
à plusieurs forêts ;
• décrire les composants, outils et protocoles qui prennent en charge l'autorisation et l'authentification ;
• planifier et implémenter une stratégie d'autorisation et d'authentification dans une organisation à
plusieurs forêts ;
• décrire les stratégies d'autorisation et d'authentification supplémentaires.

1
1 Groupes et stratégie de groupe de base dans Windows serveur
Un groupe est un ensemble de comptes d'utilisateurs. Vous pouvez utiliser des groupes pour administrer
efficacement les accès aux ressources d'un domaine, ce qui contribue à simplifier l'administration et la
maintenance du réseau. Vous pouvez utiliser les groupes séparément ou placer un groupe dans un autre
groupe pour réduire davantage le nombre de tâches d'administration impliquées dans la gestion des groupes.
Pour pouvoir utiliser efficacement les groupes, vous devez connaître les types de groupes disponibles dans
un environnement Windows serveur ainsi que leur fonction.

Types de groupes dans Windows serveur

Il existe deux types de groupes dans le service d'annuaire Active Directory : les groupes de distribution et les
groupes de sécurité.

Groupes de distribution
Vous pouvez utiliser des groupes de distribution uniquement avec des applications de messagerie, telles que
Microsoft Exchange Server, pour envoyer des messages à un ensemble d'utilisateurs. La sécurité n'est pas
activée sur les groupes de distribution, ce qui signifie qu'ils ne peuvent pas être répertoriés dans des listes de
contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List), utilisées pour définir les
autorisations d'accès aux ressources et aux objets.

Remarque Si vous n'avez pas besoin d'un groupe pour des raisons de sécurité, créez un groupe de
distribution, car ce type de groupe ne fait jamais partie du jeton de la sécurité de l'utilisateur ce qui, par
conséquent, accélère le processus d'ouverture de session.

Groupes de sécurité
Vous utilisez des groupes de sécurité pour affecter des droits et des autorisations aux groupes d'utilisateurs et
d'ordinateurs. Les droits déterminent ce que les membres d'un groupe de sécurité peuvent effectuer dans un
domaine ou une forêt. Les autorisations déterminent quelles ressources sont accessibles aux membres d'un
groupe sur le réseau. Un groupe de sécurité peut également être utilisé comme entité de messagerie
électronique. L'envoi d'un message électronique au groupe envoie le message à tous les membres du groupe.
Une méthode d'utilisation efficace des groupes de sécurité consiste à utiliser l'imbrication, c'est-à-dire, l'ajout
d'un groupe en tant que membre d'un autre groupe. Par exemple, au lieu de conserver deux groupes distincts
nommés AccountsPayable et AccountsReceivable pour les utilisateurs du groupe comptabilité, vous pouvez
les imbriquer dans un autre groupe appelé AllAccounting.
Le groupe imbriqué hérite des autorisations du groupe dont il est membre, ce qui simplifie le processus
d'attribution des autorisations à plusieurs groupes à la fois. L'imbrication réduit également le trafic réseau
provoqué par la réplication des changements de membres d'un groupe. Dans un domaine en mode mixte,
vous ne pouvez pas imbriquer des groupes possédant la même étendue de groupe.

Étendues de groupes
Chaque groupe de Windows Server a un attribut d'étendue qui détermine quelles entités de sécurité peuvent
être membres du groupe et où vous pouvez utiliser ce groupe dans un environnement à plusieurs domaines
ou plusieurs forêts.
Types d'étendues de groupes
• Groupes locaux. Ils résident sur les serveurs membres et les ordinateurs clients. Utilisez un groupe
local pour accorder l'accès aux ressources locales de l'ordinateur où ils résident. Les groupes locaux
sont généralement utilisés dans un environnement sans domaine.
• Groupes globaux. Les groupes globaux résident dans Active Directory au niveau du domaine.
Utilisez un groupe global pour organiser des utilisateurs qui partagent les mêmes tâches
professionnelles et dont les conditions d'accès au réseau sont similaires, tels que, par exemple, tous
les comptables du service comptabilité d'une organisation. Les groupes globaux peuvent être
membres d'autres groupes globaux, universels et locaux de domaine.
Remarque Vous ne pouvez imbriquer des groupes globaux que lorsque le niveau fonctionnel du domaine est
défini sur Microsoft Windows 2000 natif ou ultérieur.
• Groupes locaux de domaine. Les groupes locaux de domaine résident dans Active Directory au

2
 niveau du domaine. Utilisez un groupe local de domaine lorsque vous souhaitez affecter des
autorisations d'accès à des ressources qui se situent dans le même domaine que celui dans lequel
vous créez le groupe local de domaine. Vous pouvez ajouter tous les groupes globaux qui doivent
partager les mêmes ressources au groupe local de domaine approprié.
• Groupes universels. Les groupes universels résident dans Active Directory au niveau de la forêt.
Utilisez les groupes universels lorsque vous souhaitez imbriquer des groupes globaux afin d'attribuer
des autorisations à des ressources apparentées dans plusieurs domaines. Les groupes universels
peuvent être membres d'autres groupes universels, globaux et locaux de domaine. Le niveau
fonctionnel du domaine Windows serveur doit être en mode Windows 2000 natif ou ultérieur pour
utiliser des groupes de sécurité universels. Vous pouvez utiliser des groupes de distribution
universels dans un domaine Windows serveur en mode Windows 2000 mixte et ultérieur.
Remarque Le niveau fonctionnel de domaine détermine le type de groupe que vous pouvez créer. Par
exemple, tous les types de groupes ne sont pas disponibles tant que le niveau fonctionnel de domaine n'a pas
été augmenté. Vous en saurez plus sur les niveaux fonctionnels de domaine dans les rubriques suivantes.

Groupes prédéfinis

Générateurs d'approbations de forêt entrante

Les membres de ce groupe peuvent créer des approbations unidirectionnelles entrantes dans le domaine
racine de la forêt. Par exemple, les membres de ce groupe résidant dans la forêt A peuvent créer une
approbation de forêt entrante unidirectionnelle à partir de la forêt B. Cette approbation permet aux

Groupe Droits et fonctions

Opérateurs de Les membres peuvent créer, modifier et supprimer les comptes des utilisateurs, des groupes et des
compte ordinateurs situés dans les conteneurs Utilisateurs ou Ordinateurs et les unités d'organisation du
domaine, sauf ceux de l'unité d'organisation Contrôleurs de domaine.
Administrateurs Les membres bénéficient d'un contrôle total sur le serveur et peuvent attribuer des droits
d'utilisateurs et des autorisations de contrôle d'accès aux utilisateurs en fonction des besoins.
Opérateurs de Les membres peuvent sauvegarder et restaurer tous les fichiers des contrôleurs de domaine du
sauvegarde domaine, quelles que soient leurs propres autorisations individuelles sur ces fichiers.

utilisateurs de la forêt A d'accéder aux ressources situées dans la forêt B.

Opérateurs de configuration réseau

Les membres de ce groupe peuvent modifier les paramètres TCP/IP, et renouveler et libérer des adresses
TCP/IP sur les contrôleurs de domaine du domaine.

Utilisateurs du journal de performances

Les membres de ce groupe peuvent administrer des compteurs, des sessions et des alertes de performance sur
les contrôleurs de domaine du domaine, localement et à partir de clients distants sans être membres du
groupe Administrateurs.

Utilisateurs de l'Analyseur de performances

Droits d'utilisateurs par défaut : aucun. Les membres de ce groupe peuvent surveiller les compteurs de
performance sur les contrôleurs de domaine du domaine, localement et à partir de clients distants, sans être
membres des groupes Administrateurs ou Utilisateurs du journal de performance. Droits d'utilisateurs par
défaut : aucun. Les membres de ce groupe ont un accès en lecture à tous les utilisateurs et groupes du
domaine.

Accès compatible pré-Windows 2000

Ce groupe est fourni pour une compatibilité ascendante avec les ordinateurs Microsoft Windows NT 4.0 et
antérieurs. Par défaut, l'identité spéciale Tout le monde fait partie de ce groupe.

3
Opérateurs d'impression
Droits d'utilisateurs par défaut : Accéder à cet ordinateur à partir du réseau, Outrepasser le contrôle de
parcours. Les membres de ce groupe peuvent gérer, créer, partager et supprimer des imprimantes connectées
aux contrôleurs de domaine du domaine. Ils peuvent également gérer les objets imprimantes Active
Directory du domaine.

Utilisateurs du Bureau à distance

Les membres de ce groupe peuvent se connecter à distance aux contrôleurs de domaine du domaine.

Duplicateurs
Ce groupe prend en charge les fonctions de réplication d'annuaire et est utilisé par le service de réplication de
fichiers sur les contrôleurs de domaine du domaine. Ce groupe ne comprend pas de membres par défaut.
N'ajoutez pas d'utilisateurs à ce groupe. Ce groupe appartenant au système d'exploitation, l'ajout d'utilisateurs
peut provoquer des problèmes avec le service de réplication de fichiers.

Opérateurs de serveur
Sur des contrôleurs de domaine, les membres de ce groupe peuvent ouvrir une session interactivement, créer
et supprimer des ressources partagées, démarrer et arrêter certains services, sauvegarder et restaurer des
fichiers, formater le disque dur et arrêter l'ordinateur. Ce groupe ne comprend pas de membres par défaut.

Utilisateurs
Les membres de ce groupe peuvent effectuer la plupart des tâches courantes, telles que l'exécution
d'applications, l'utilisation d'imprimantes locales et réseau et le verrouillage du serveur. Par défaut, les
groupes Utilisateurs du domaine, Utilisateurs authentifiés et Interactif sont membres de ce groupe. Tous les
comptes d'utilisateurs du domaine sont membres de ce groupe.

Groupes spéciaux
Les utilisateurs deviennent membres des groupes spéciaux en interagissant simplement avec le système
d'exploitation. Par exemple, quand les utilisateurs se connectent localement à un ordinateur, ils deviennent
membres du groupe Interactif. Ces groupes étant créés par défaut, vous pouvez leur accorder des droits et des
autorisations d'utilisateurs, mais vous ne pouvez ni modifier ni visualiser leurs appartenances. En outre, les
étendues de groupe ne s'appliquent pas aux groupes spéciaux.
Il est important de comprendre le but des groupes spéciaux, car vous pouvez les utiliser pour gérer la sécurité
puisqu'ils vous permettent de créer des stratégies d'accès plus précises et de contrôler l'accès aux ressources.

Le groupe Ouverture de session anonyme représente les utilisateurs et services qui accèdent à un session
ordinateur et à ses ressources via le réseau sans utiliser un nom de compte, un mot de passe ou un anonyme
nom de domaine.

Utilisateurs authentifiés :
Le groupe Utilisateurs authentifiés représente tous les utilisateurs et ordinateurs dont les identités ont été
authentifiées. Pour éviter que des invités n'accèdent aux ressources, utilisez toujours le groupe Utilisateurs
authentifiés pour accorder des autorisations sur des ressources plutôt que le groupe Tout le monde.
Tâche : Le groupe Tâche inclut tous les utilisateurs et services qui accèdent à un ordinateur et à ses
ressources via le réseau à l'aide d'une file d'attente de tâches, par exemple les travaux du Planificateur de
tâches.
Créateur : Le groupe Créateur inclut le compte d'utilisateur de la personne qui a créé la ressource.
Créateur propriétaire: Le groupe Créateur propriétaire inclut le compte d'utilisateur de la personne qui a créé
ou pris possession d'une ressource. Si un membre du groupe Administrateurs crée une ressource, ce groupe
devient propriétaire de la ressource.
Ligne : Le groupe Ligne inclut tous les utilisateurs ayant ouvert une session sur le système via une connexion
d'accès à distance.
Tout le monde : Le groupe Tout le monde représente tous les utilisateurs actuels du réseau, y compris les
invités et les utilisateurs des autres domaines. Dès qu'un utilisateur ouvre une session sur le réseau,

4
l'utilisateur est automatiquement ajouté au groupe Tout le monde.
Interactif : Le groupe Interactif représente tous les utilisateurs qui ont ouvert une session sur un ordinateur
donné et qui accèdent à une ressource de l'ordinateur, et non les utilisateurs qui accèdent à la ressource via le
réseau. Lorsqu'un utilisateur accède à une ressource de l'ordinateur sur lequel il ouvre la session, l'utilisateur
est automatiquement ajouté au groupe Interactif.
Système local : Le groupe Système local est un compte de service utilisé par le système d'exploitation.
Réseau : Le groupe Réseau représente les utilisateurs qui accèdent à une ressource du réseau et non les
utilisateurs qui accèdent à une ressource en ouvrant une session locale sur l'ordinateur contenant la ressource.
Lorsqu'un utilisateur accède à une ressource du réseau, l'utilisateur est automatiquement ajouté au groupe
Réseau.
Self : Le groupe Self est un groupe d'espace réservé dans une entrée de contrôle d'accès (ACE) sur un objet
utilisateur, groupe ou ordinateur dans Active Directory. Lorsque vous accordez des autorisations à Principal
Self, vous les accordez à l'entité de sécurité représentée par l'objet. Lors d'un contrôle d'accès, le système
d'exploitation remplace l'identificateur de sécurité de Principal Self par celui de l'entité de sécurité
représentée par l'objet.
Service : Le groupe Service est un groupe qui inclut toutes les entités de sécurité qui ont ouvert une
session en tant que service. L'appartenance à ce groupe est contrôlée par le système d'exploitation.
Utilisateurs Terminal : Le groupe Utilisateurs Terminal Server inclut tous les utilisateurs qui ont ouvert une
session sur un serveur de services Terminal Server en mode de compatibilité d'application de services
Terminal

Outils d'administration des groupes de sécurité

Le tableau suivant répertorie les outils liés à l'administration des groupes de sécurité et leurs fonctions.
Active Directory : Utilisateurs et Outil graphique utilisé pour administrer les utilisateurs et les ordinateurs
dans Active Directory.
Éditeur ACL : Outil graphique utilisé pour administrer les utilisateurs et les groupes sur une ressource.
Whoami : Outil de ligne de commande qui affiche le contenu complet du jeton d'accès dans la fenêtre
de commande. Il affiche le nom d'utilisateur et l'identificateur de sécurité, les groupes et leurs identificateurs
de sécurité, les privilèges et leur état (par exemple, activé ou désactivé) et l'ID d'ouverture de session.
Dsadd : Outil de ligne de commande permettant de créer des groupes et de gérer l'appartenance à ces
groupes.
Ifmember : Outil de ligne de commande permettant d'énumérer tous les groupes auxquels le membre
actif appartient. Il est généralement utilisé dans les scripts d'ouverture de session. Vous pouvez trouver cet
outil dans le Kit de ressources techniques Windows serveur.
Getsid : Outil de ligne de commande permettant de comparer les identificateurs de sécurité de deux comptes
d'utilisateurs.

Qu'est-ce qu'une stratégie Groupes restreints ?

Windows serveur inclut un paramètre de stratégie de groupe appelé stratégie Groupes restreints qui vous
permet de contrôler l'appartenance aux groupes. l'aide de la stratégie Groupes restreints, vous pouvez
spécifier l'appartenance d'un groupe n'importe où dans votre domaine Active Directory.
Par exemple, vous pouvez créer une stratégie Groupes restreints pour limiter l'accès à une unité
d'organisation qui contient des ordinateurs hébergeant des données sensibles. La stratégie Groupes restreints
supprime les utilisateurs du domaine du groupe des utilisateurs locaux, limitant ainsi le nombre d'utilisateurs
pouvant ouvrir une session sur l'ordinateur. Les membres des groupes ne figurant pas dans la stratégie sont
supprimés lorsque le paramètre de stratégie de groupe est appliqué ou actualisé sur l'ordinateur ou l'unité
d'organisation.

Propriétés des paramètres de la stratégie Groupes restreints

Les paramètres de la stratégie Groupes restreints incluent deux propriétés : Membres et Membre de. La
propriété Membres définit qui appartient et qui n'appartient pas au groupe restreint. La propriété Membre de
spécifie les autres groupes auxquels le groupe restreint peut appartenir.

Effets de l'application de la stratégie

5
Lorsqu'une stratégie Groupes restreints est appliquée, tout membre d'un groupe restreint ne figurant pas sur

la liste Membres est supprimé. Les membres qui peuvent être supprimés incluent également les
administrateurs. Tous les utilisateurs qui ne sont pas encore membres du groupe restreint mais qui figurent
sur la liste Membres sont ajoutés au groupe. En outre, chaque groupe restreint est membre uniquement des
groupes spécifiés dans la colonne Membre de.
L'illustration suivante explique le concept des propriétés Membres et Membre de d'un groupe.

Tom, Jo et Kim sont Membres du groupe global Denver Admins. Le groupe global Denver Admins est
Membre du groupe de domaine local Denver OU Admins.
Sam, Scott et Amy sont Membres du groupe global Vancouver Admins. Le groupe global Vancouver
Admins est Membre du groupe de domaine local Denver OU Admins.

Procédure Pour créer une stratégie Groupes restreints, procédez comme suit :
1 Ouvrez Gestion de stratégie de groupe, accédez à l'unité d'organisation à laquelle vous souhaitez
appliquer l'objet de stratégie de groupe, cliquez avec le bouton droit sur l'unité d'organisation, puis cliquez
sur Créer et lier un objet de stratégie de groupe ici.
2 Dans la zone Nouvel objet GPO, tapez le nom du nouvel objet de stratégie de groupe, puis cliquez
sur OK.
3 Cliquez avec le bouton droit sur le nouvel objet de stratégie de groupe, puis cliquez sur Modifier.
Dans l'arborescence de la console, accédez à Configuration de l'ordinateur\Paramètres Windows
\Paramètres de sécurité\Groupes restreints.
4 Dans l'arborescence de la console, cliquez avec le bouton droit sur Groupes restreints, puis cliquez
sur Ajouter un groupe.
5 Dans Groupe, tapez le nom du groupe dont vous souhaitez restreindre l'appartenance, puis cliquez
sur OK.
6 Dans la page Propriétés, cliquez sur Ajouter sous le champ Ce groupe est membre de.
7 Sous Appartenance au groupe, tapez le nom du groupe que vous souhaitez ajouter à ce groupe,
puis cliquez sur OK.

6
2 Création d'approbations dans Windows serveur Approbations dans Windows serveur
Une approbation est une relation établie entre des domaines ou des forêts qui permet aux entités de sécurité
d'un domaine d'être authentifiées par les contrôleurs de domaine d'un autre domaine. Les approbations
permettent aux entités de sécurité de transmettre leurs informations d'identification d'un domaine à un autre,
mais n'autorisent pas l'accès aux ressources entre des domaines. L'accès est contrôlé à l'aide de descripteurs
de sécurité sur les ressources auxquelles les utilisateurs doivent accéder.

Types d'approbations

Parent/enfant Existe entre tous les domaines de la forêt. Cette approbation transitive bidirectionnelle
permet aux entités de sécurité d'être authentifiées dans n'importe quel domaine de la forêt. Ces approbations
sont créées par défaut et ne peuvent pas être supprimées.
Arborescence/ racine Existe entre toutes les arborescences de domaines de la forêt. Cette approbation
transitive bidirectionnelle permet aux entités de sécurité d'être authentifiées dans n'importe quel domaine de
la forêt. Ces approbations sont créées par défaut et ne peuvent pas être supprimées.
Externe Existe entre des domaines n'appartenant pas à la forêt. Ces approbations peuvent être uni- ou
bidirectionnelles et sont non transitives.
Domaine Kerberos Existe entre un domaine dont le système d'exploitation n'est pas un système Windows
(connu sous le nom de Domaine Kerberos) et un domaine Windows serveur. Ces approbations peuvent être
uni- ou bidirectionnelles et transitives ou non transitives.
Forêt Existe entre des forêts dont le mode de fonctionnement est celui d'une forêt Windows serveur. Ces
approbations peuvent être uni- ou bidirectionnelles et transitives ou non transitives.
Raccourci Existe dans une forêt Windows serveur créée pour réduire les temps d'ouverture de session
entre les domaines d'une forêt. Cette approbation uni- ou bidirectionnelle est particulièrement utile lors du
parcours d'approbations de racine d'arborescence, car le chemin d'accès de l'approbation à un domaine de
destination est potentiellement réduit.

Méthodes d'authentification utilisées avec les approbations dans Windows

Étant donné que les approbations permettent de faciliter l'accès aux ressources dans un environnement à
plusieurs domaines, il est important que vous utilisiez le protocole d'authentification le plus sécurisé lors de
la création d'approbations entre des domaines et des domaines Kerberos chaque fois que cela est possible.
Vous devez également connaître les différents types d'authentification associés à chaque type d'approbation.
Par exemple, si votre organisation accepte uniquement l'authentification Kerberos, une approbation externe
vers un domaine Windows NT 4.0 échouera, car un domaine Windows NT 4.0 ne peut pas utiliser Kerberos.
Protocoles d'authentification des types d'approbations Le tableau suivant liste les protocoles
d'authentification que vous pouvez utiliser avec des types d'approbation spécifiques.

Type d'approbation Protocole d'authentification

Approbations Parent/enfant Kerberos, NTLM
Approbations Arborescence/racine Kerberos, NTLM
Externe NTLM
Domaine Kerberos Kerberos
Forêt Kerberos, NTLM
Raccourci Kerberos, NTLM

7
Types d'approbations associés aux systèmes d'exploitation de serveur
Authentification entre des forêts Windows serveur
Lorsque vous établissez une approbation entre deux forêts Windows serveur, déterminez si tous les domaines
devront authentifier les utilisateurs de tous les autres domaines. Par exemple, si vous disposez de deux forêts
contenant chacune 10 domaines et que seuls les utilisateurs de deux domaines doivent s'authentifier les uns
auprès des autres, une approbation de forêt ne conviendrait pas. En outre, il arrive qu'une approbation de
forêt offre des fonctionnalités que d'autres types d'approbations ne prennent pas en charge, telles que
l'authentification Kerberos, l'ouverture de session UPN et la Stratégie de groupe. Si l'authentification au
niveau de toute la forêt ou les fonctionnalités supplémentaires indiquées précédemment sont nécessaires,
utilisez une approbation de forêt. Lorsque seuls certains domaines doivent s'authentifier auprès d'autres
domaines, établissez des approbations externes uni- ou bidirectionnelles entre les domaines qui requièrent
une authentification.

Authentification avec les serveurs qui exécutent d'autres systèmes d'exploitation

Vous pouvez créer des approbations entre des domaines Windows et des domaines qui utilisent UNIX ou
d'autres systèmes d'exploitation qui prennent en charge des versions Kerberos compatibles MIT. Ce type
d'approbation est appelé approbation de domaine Kerberos. Comme les approbations externes, les
approbations de domaine Kerberos peuvent être uni- ou bidirectionnelles. Toutefois, les comptes
d'utilisateurs et de services du domaine Kerberos ne contiennent pas d'associations de groupes, utilisées pour
contrôler les accès dans l'environnement Windows serveur. Pour signaler Active Directory aux entités de
sécurité du domaine Kerberos, vous pouvez utiliser des mappages de compte dans Windows serveur pour
mapper des comptes du domaine Kerberos sur des comptes Windows serveur.

Comment empêcher l'usurpation d'identificateur de sécurité à l'aide du filtrage SID

Les utilisateurs dotés des privilèges appropriés, tels que les administrateurs de domaines, peuvent manipuler
les identificateurs de sécurité associés à des comptes spécifiques. L'usurpation d'identificateur de sécurité se
produit quand un administrateur de domaine d'un domaine approuvé lie une entité de sécurité connue à
l'identificateur de sécurité d'un compte d'utilisateur normal du domaine approuvé. Dans le processus
d'usurpation d'identificateur de sécurité, un administrateur non autorisé ou contraint intercepte des paquets du
domaine approuvé pour rechercher l'identificateur de sécurité d'une entité de sécurité ayant l'accès total aux
ressources du domaine approuvé.
A l'aide de divers programmes, un administrateur peut lier l'identificateur de sécurité intercepté à l'attribut
SIDHistory d'un utilisateur. En procédant ainsi, des administrateurs de domaines approuvés peuvent
augmenter leurs privilèges dans le domaine approuvé pour accéder à des ressources qu'ils ne sont pas
autorisés à voir.
Par conséquent, si vous n'avez pas confiance dans les administrateurs d'autres domaines, n'établissez pas de
relations d'approbation avec eux. Toutefois, cela n'est pas toujours possible dans les faits. En tenant compte
de la menace, nous pouvons atténuer la vulnérabilité.

Utilisation du filtrage SID pour sécuriser des approbations

Vous pouvez utiliser le filtrage SID pour empêcher l'usurpation des identificateurs de sécurité. Le filtrage
SID permet aux administrateurs d'ignorer les informations d'identification qu'utilisent les identificateurs de
sécurité susceptibles d'être usurpés.
Lorsque des entités de sécurité sont créées dans un domaine, l'identificateur de sécurité du domaine est inclus
dans celui de l'entité de sécurité afin d'identifier le domaine dans lequel il a été créé. L'identificateur de
sécurité du domaine est une caractéristique importante d'une entité de sécurité car le sous-système de sécurité
de Windows l'utilise pour vérifier l'authenticité de l'entité de sécurité.
De manière semblable, les approbations externes sortantes créées à partir du domaine approbateur utilisent le
filtrage SID pour vérifier que les demandes d'authentification entrantes effectuées par des entités de sécurité
du domaine approuvé contiennent uniquement des identificateurs de sécurité d'entités de sécurité du domaine
approuvé. Cette opération nécessite la comparaison des identificateurs de sécurité de l'entité de sécurité
entrante avec l'identificateur de sécurité de domaine du domaine approuvé. Si l'un des identificateurs de
sécurité de l'entité de sécurité inclut un identificateur de sécurité de domaine autre que celui du domaine

8
approuvé, l'approbation supprime cet identificateur de sécurité.
Vous pouvez utiliser Netdom.exe pour activer ou désactiver le filtrage SID sur n'importe quelle relation
d'approbation entre des domaines ou des forêts.
Conseil Si vous disposez de domaines exécutant Windows 2000 Service Pack 3 ou antérieur, vous pouvez
utiliser Netdom.exe pour activer le filtrage SID sur les approbations externes.

Désactivation du filtrage SID Bien que cela ne soit généralement pas recommandé, vous pouvez, dans
certains cas, devoir désactiver le filtrage SID à l'aide de l'outil Netdom.exe. Le filtrage SID ne doit être
désactivé que dans les situations suivantes :
¢ Tous les administrateurs qui bénéficient d'un accès physique aux contrôleurs de domaine du domaine
approuvé disposent du même niveau de confiance que les administrateurs du domaine approbateur.
¢ Votre stratégie de sécurité écrite exige l'affectation de groupes universels aux ressources du domaine
approbateur qui n'ont pas été créées dans le domaine approuvé.
¢ Des utilisateurs ont été migrés vers le domaine approuvé avec leurs historiques SID conservés et
vous souhaitez leur accorder l'accès à des ressources du domaine approbateur en fonction de l'attribut
SIDHistory. Par exemple, une migration de comptes d'utilisateurs est effectuée du domaine A vers le
domaine B. La migration de certaines ressources du domaine A vers le domaine B n'a pas encore été
effectuée. Pour permettre aux utilisateurs ayant migré dans le domaine B d'accéder aux ressources du
domaine A, vous désactivez le filtrage SID afin qu'ils puissent encore utiliser l'ancien identificateur de
sécurité pour accéder aux ressources du domaine A.

Avant de créer une approbation de forêt, vous devez vérifier les éléments suivants :
¢ La résolution de nom DNS fonctionne entre les deux forêts. Pour ce faire, vous pouvez utiliser des
zones de stub, le transfert conditionnel, des zones secondaires ou un serveur d'indications de racine partagé
entre les deux forêts avec la délégation appropriée.
¢ Le niveau fonctionnel de forêt entre les deux forêts est Windows serveur.

Procédure Pour créer une approbation, procédez comme suit :

1 Dans Domaines et approbations Active Directory, dans l'arborescence de la console, cliquez avec le
bouton droit sur le nŒud de domaine du domaine racine de la forêt, puis cliquez sur Propriétés.
2 Sous l'onglet Approbation, cliquez sur Nouvelle approbation, puis sur Suivant.
3 Dans la page d'accueil de l'Assistant nouvelle approbation, cliquez sur Suivant.
4 Dans la page Nom d'approbation, entrez le nom DNS ou le nom NetBIOS d'une autre forêt, puis
cliquez sur Suivant.
5 Dans la page Type d'approbation, cliquez sur Approbation de forêt, puis sur Suivant.

6. Dans la page Direction de l'approbation, suivez l'une des étapes ci-dessous.

• Pour créer une approbation bidirectionnelle, cliquez sur Bidirectionnel, puis suivez les instructions
de l'Assistant.
• Pour créer une approbation à sens unique entrante, cliquez sur Sens unique : en entrée, puis suivez
les instructions de l'Assistant.
• Pour créer une approbation à sens unique sortante, cliquez sur Sens unique : en sortie, puis suivez
les instructions de l'Assistant.

1 Lorsque l'Assistant vous invite à entrer un mot de passe d'approbation, sélectionnez un mot de passe
complexe, puis cliquez sur Suivant.
2 Acceptez les paramètres par défaut sur les autres pages de l'Assistant.
3 Lorsque vous avez terminé, cliquez sur Terminer.

4 Planification, implémentation et maintenance d'une stratégie d'autorisation en utilisant des

groupes :
Authentification, autorisation et privilège minimum
L'authentification est le processus qui permet de vérifier l'identité d'un élément ou d'une personne. Elle
implique habituellement un nom d'utilisateur et un mot de passe, mais peut inclure n'importe quelle méthode
permettant de prouver son identité, telle que l'utilisation d'une carte à puce, l'analyse de la rétine, la

9
reconnaissance vocale ou une empreinte digitale.

L'autorisation est le processus qui détermine si un utilisateur ou un processus identifié est autorisé à accéder
à une ressource et le niveau d'accès approprié de cet utilisateur. Le propriétaire d'une ressource, ou toute
personne dotée de l'autorisation nécessaire, détermine si un utilisateur est membre d'un groupe prédéterminé
ou dispose un certain niveau d'autorisation. En définissant les autorisations sur une ressource, le propriétaire
contrôle quels sont les utilisateurs et les groupes du réseau qui peuvent accéder à la ressource. Par exemple,
les utilisateurs qui ont ouvert une session sur le domaine sont authentifiés auprès du domaine. Toutefois,
lorsque des utilisateurs tentent d'accéder aux ressources pour lesquelles ils ne disposent pas d'autorisation,
l'accès leur est refusé.

Le principe de privilège minimum stipule que vous devez fournir aux utilisateurs le niveau de privilèges
juste nécessaire à l'exécution de leurs tâches, rien de plus. En limitant l'accès qui n'est pas nécessaire à
l'exécution des tâches, vous pouvez empêcher des utilisateurs malintentionnés d'utiliser des privilèges
superflus pour contourner la sécurité de réseau. Par exemple, les directeurs régionaux peuvent avoir besoin
d'autorisations pour modifier leurs propres bases de données de ressources humaines, mais n'avoir besoin que
d'un accès en lecture aux bases de données d'autres régions. Le directeur des ressources humaines d'une
entreprise peut avoir besoin d'autorisations pour modifier toutes les bases de données, mais un responsable
des salaires peut n'avoir besoin que d'un accès en lecture à ces mêmes bases de données.

Méthode Utilisateur/ACL
Lorsque vous utilisez la méthode de contrôle d'accès aux ressources Utilisateur/ACL, vous ajoutez le compte
d'utilisateur qui a besoin d'un accès directement dans la liste de contrôle d'accès (ACL) de la ressource. Par
exemple, John, un utilisateur, crée un partage de fichiers et ajoute Sarah comme utilisateur autorisé, lui
donnant une autorisation d'accès en lecture seule au partage.

Avantages de la méthode Utilisateur/ACL

La méthode Utilisateur/ACL fonctionne bien pour les petites organisations. En général, les petites
organisations requièrent moins de groupes pour gérer l'accès aux ressources, ce qui réduit la complexité du
processus d'attribution des autorisations.

Limites de la méthode Utilisateur/ACL

L'utilisation de la méthode Utilisateur/ACL dans les grandes organisations présente les limites suivantes :
¢ Les utilisateurs qui occupent la même fonction risquent de ne pas avoir un accès homogène aux
ressources. En règle générale, les utilisateurs qui partagent la même fonction ont besoin d'un accès uniforme
aux ressources. Par exemple, un ingénieur peut avoir accès à une imprimante laser, un traceur, une unité de
sauvegarde et un grand nombre de partages de fichiers. Un autre ingénieur du même groupe peut avoir
besoin d'accéder aux mêmes ressources, mais n'avoir accès qu'à un sous-ensemble de ces ressources. Par
conséquent, si les accès ne sont pas uniformes, l'administrateur réseau devra modifier les droits de chaque
individu en fonction de leurs besoins.
¢ La charge de travail de cet administrateur sera donc plus importante, car il devra contrôler les accès
aux ressources pour chaque utilisateur.
¢ Cette méthode n'est pas adaptée aux grandes organisations.
¢ Le suivi et le dépannage des accès de chaque utilisateur aux différentes ressources peuvent prendre
beaucoup de temps et augmenter la charge de travail d'administration.

5 Composants d'un modèle d'authentification

Fonctionnalités d'authentification de Windows serveur

¢ Administration centrale de comptes d'utilisateurs. Active Directory permet aux utilisateurs de se
connecter aux ordinateurs d'un environnement à plusieurs domaines ou plusieurs forêts en utilisant
l'authentification à facteur unique ou divers types d'authentification à plusieurs facteurs.
¢ Environnement d'ouverture de session unique. Lorsqu'une entité de sécurité est authentifiée sur un

10
domaine Windows serveur, les informations d'identification de l'entité sont utilisées pour accéder aux
ressources du domaine, éliminant ainsi la nécessité, pour les entités, de s'authentifier auprès de chaque
ressource à laquelle elles tentent d'accéder. Lorsque cette technologie est utilisée avec le gestionnaire
d'informations d'identification Windows XP, les utilisateurs peuvent accéder aux ressources d'autres
domaines en fournissant le mot de passe une fois, puis en le stockant comme élément du compte d'utilisateur
du domaine.
¢ Comptes d'ordinateurs et de services. Outre les utilisateurs, les comptes d'ordinateurs et de services
s'authentifient auprès du domaine.
¢ Prise en charge de plusieurs facteurs. Windows serveur prend en charge en mode natif les cartes à
puce et une variété d'autres mécanismes d'authentification à plusieurs facteurs.
¢ Audit. Windows serveur offre la possibilité d'auditer les tentatives d'ouverture de session et les accès
aux ressources.
¢ Protocoles. Windows serveur utilise une variété de protocoles d'authentification, tels que LM,
NTLM, NTLMv2 et Kerberos.

Protocoles d'authentification dans Windows serveur

Windows serveur offre la possibilité d'authentifier une variété de systèmes d'exploitation clients. Pour offrir
cette fonction pour les systèmes d'exploitation antérieurs, Windows utilise deux protocoles d'authentification
principaux : NTLM et Kerberos
Ce service utilise un mécanisme de stimulation/réponse pour authentifier les utilisateurs et les ordinateurs qui
exécutent Windows Millenium Edition et les ordinateurs antérieurs ou qui exécutent Windows 2000 ou
ultérieur n'appartenant pas à un domaine. La technique de stimulation/réponse est courante pour
l'authentification. Un utilisateur est invité (stimulation) à fournir des informations personnelles (réponse).
Windows serveur prend en charge les trois méthodes suivantes d'authentification par stimulation/réponse :
¢ LAN Manager (LM). Développé conjointement par IBM et Microsoft pour être utilisé dans OS2 et
Windows pour Workgroups, Windows 95, Windows 98 et Windows Millenium Edition. Il s'agit de
l'authentification par stimulation/réponse la moins sécurisée. Elle peut faire l'objet d'écoutes clandestines.
¢ NTLM version 1. Authentification par stimulation/réponse plus sécurisée que LM. Elle est utilisée
pour la connexion aux serveurs qui exécutent Windows NT avec Service Pack 3 ou antérieur. NTLMv1
utilise le cryptage 56 bits pour sécuriser le protocole.
¢ NTLM version 2. Authentification par stimulation/réponse la plus sécurisée. Cette version inclut un
canal sécurisé pour protéger le processus d'authentification. Elle est utilisée pour la connexion aux serveurs
qui exécutent Windows 2000, Windows XP et Windows NT avec Service Pack 4 ou ultérieur. NTLMv2
utilise le cryptage 128 bits pour sécuriser le protocole.

Kerberos : Protocole d'authentification par défaut pour Windows 2000, Windows XP Professionnel et
Windows serveur, le protocole Kerberos a été conçu pour être plus sécurisé et évolutif que NTLM sur les
grands réseaux hétérogènes. Par rapport à NTLM, Kerberos offre les avantages supplémentaires suivants :
¢ Efficacité. Lorsqu'un serveur doit authentifier un client, il peut valider les informations
d'identification du client sans avoir à contacter un contrôleur de domaine.
¢ Authentification mutuelle. Les identités du client et du serveur sont validées vers le client et le
serveur.
¢ Authentification déléguée. Permet aux services d'emprunter l'identité des clients lors de l'accès aux
ressources pour leur compte.
¢ Gestion simplifiée des approbations. Kerberos peut utiliser des approbations transitives entre les
domaines d'une même forêt et les domaines reliés par une approbation de forêt.
¢ Interopérabilité. Kerberos est basé sur les normes IETF (Internet Engineering Task Force) et il est
donc compatible avec d'autres domaines Kerberos IETF.
L'authentification Kerberos est basée sur des paquets de données mis en forme de manière spéciale, appelés
tickets. Dans Kerberos, ces tickets sont transmis sur le réseau à la place des mots de passe. Ce processus rend
le réseau plus sûr.
Remarque Le fournisseur de prise en charge de sécurité (SSP, Security Support Provider) négociée
Microsoft détermine le protocole d'authentification qui peut être utilisé entre le client et le serveur.

Authentification LanManager

11
Fonctionnement de l'authentification NTLM
1 Le client envoie le nom d'utilisateur et le nom de domaine au contrôleur de domaine.
2 Le contrôleur de domaine génère une chaîne de caractères aléatoire de 16 octets, appelée valeur
unique (nonce).
3 Le client crypte la valeur unique avec un hachage du mot de passe de l'utilisateur et le renvoie au
contrôleur de domaine.
4 Le contrôleur de domaine récupère le hachage du mot de passe de l'utilisateur à partir de la base de
données du compte de sécurité.
5 Le contrôleur de domaine utilise la valeur de hachage récupérée à partir de la base de données du
compte de sécurité pour crypter la valeur unique. La valeur est comparée à celle reçue du client. Si les
valeurs sont concordantes, le client est authentifié.

Stockage de secrets Windows serveur

Pour empêcher que les mots de passe ne soient découverts et compromis, Windows serveur, Windows 2000
et Windows XP doivent stocker ces derniers en lieu sûr. Pour garantir le niveau d'intégrité des mots de passe
le plus élevé, ceux-ci peuvent être stockés au niveau du domaine dans Active Directory.

Autorité de sécurité locale

Les mots de passe locaux sont stockés et gérés par l'autorité de sécurité locale. Celle-ci est chargée des
opérations suivantes :


Gestion des stratégies de sécurité locales.

Authentification des utilisateurs.

Création de jetons d'accès.

Contrôle des stratégies d'audit.

Secrets de l'autorité de sécurité locale

Les informations sensibles stockées par l'autorité de sécurité locale sont appelées secrets de l'autorité de
sécurité locale. Ces secrets contiennent les éléments suivants :
¢ Mots de passe des relations d'approbation
¢ Noms des utilisateurs
¢ Mots de passe
¢ Mots de passe des comptes de service
¢ Noms des comptes de service
Les secrets de l'autorité de sécurité locale peuvent être extraits par n'importe quelle entité de sécurité dotée
du droit Déboguer des programmes. Pour protéger les secrets de l'autorité de sécurité locale, vous pouvez
utiliser le programme syskey.exe, qui crypte le contenu de l'autorité de sécurité locale à l'aide d'une clé
publique et d'une clé privée. Seuls des administrateurs peuvent exécuter le programme syskey.exe.

Outils de résolution des problèmes d'authentification

Il peut parfois être difficile de déterminer la cause d'une défaillance d'authentification, autre qu'un mot de
passe incorrect. Par exemple, il peut être difficile de détecter la cause si un contrôleur de domaine est hors
connexion ou un lien WAN à un central distant est défaillant. Parfois, les défaillances d'authentification
NTLMv2 et Kerberos peuvent également être attribuées à une défaillance de la synchronisation des horloges.
La tolérance de panne pour les horloges présentant une défaillance de synchronisation est de 30 minutes pour
NTLMv2 et de 5 minutes pour Kerberos. Par conséquent, Windows serveur fournit plusieurs outils de
résolution des problèmes pour vous aider à déterminer la cause des défaillances d'authentification.

Kerbtray.exe : Cet outil d'interface graphique affiche les informations des tickets Kerberos. Il permet
également d'afficher et de purger le cache des tickets.
Klist.exe : Cet outil de ligne de commande vous permet d'afficher et de supprimer des tickets Kerberos
accordés à la session d'ouverture de session active.

12
CmdKey.exe : Crée, liste et supprime des noms d'utilisateurs et des mots de passe ou des informations
d'identification stockés.

6 Planification et implémentation d'une stratégie d'authentification

Considérations relatives à l'évaluation de votre environnement

¢ Le type de connectivité réseau entre les sites dans votre organisation. Vérifiez que les clients situés
dans des sites distants sont bien connectés pour s'authentifier auprès des contrôleurs de domaine situés dans
les sites principaux. Si la connectivité constitue un problème, pensez à installer des contrôleurs de domaine
dans les sites susceptibles de présenter des problèmes en raison de liaisons lentes ou peu fiables.
• Le nombre d'Autorités de certification disponibles dans votre organisation et leurs emplacements.
Assurez-vous que le nombre d'Autorités de certification est suffisant pour prendre en charge le
nombre prévu de demandes de certificats.

Paramètres de stratégie de groupe pour contrôler l'autorisation d'accès aux ordinateurs

Accéder à cet ordinateur à partir du réseau
Ce droit d'utilisateur détermine les utilisateurs et les groupes autorisés à se connecter à l'ordinateur via le
réseau.

Ouvrir une session localement

Ce droit d'ouverture de session détermine les utilisateurs qui peuvent ouvrir une session sur cet ordinateur de
manière interactive. Les ouvertures de session initialisées en appuyant sur les touches CTRL+ALT+DEL du
clavier nécessitent que l'utilisateur dispose de ce droit d'ouverture de session.
Interdire l'ouverture d'une session locale Interdire l'ouverture de session en tant que tâche
Ce paramètre de sécurité détermine quels utilisateurs n'ont pas le droit d'ouvrir une session sur l'ordinateur.
Ce paramètre de sécurité détermine les comptes qui n'ont pas le droit d'ouvrir une session en tant que tâche.

Interdire l'accès à cet ordinateur à partir du réseau Retirer l'ordinateur de la station d'accueil

Ce paramètre de sécurité détermine les utilisateurs ne pouvant pas accéder à un ordinateur via le réseau. Ce
paramètre de sécurité détermine si un utilisateur peut retirer un ordinateur portable de sa station d'accueil
sans ouvrir de session.

Les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux
utilisateurs anonymes
Ce paramètre de sécurité détermine quelles autorisations supplémentaires sont accordées pour les connexions
anonymes à l'ordinateur.
Chemins et sous-chemins de Registre accessibles à distance
Ce paramètre de sécurité détermine quels les chemins et sous-chemins de Registre sont accessibles via le
réseau, quels que soient les utilisateurs ou les groupes répertoriés dans la liste de contrôle d'accès de la clé de
Registre winreg.

Les partages qui sont accessibles de manière anonyme

Ce paramètre de sécurité détermine les partages réseaux accessibles par des utilisateurs anonymes.

Instructions de création d'une stratégie de mot de passe fort

¢ Utilisez la fonctionnalité de complexité des mots de passe. Pour aider à implémenter une stratégie de
mot de passe fort, Windows serveur offre une fonctionnalité de complexité des mots de passe. Cette
fonctionnalité exige des mots de passe qui :
• ne contiennent pas le nom du compte de l'utilisateur (même partiellement) ;
• comprennent au moins six caractères ;

13
• contiennent des caractères appartenant à trois des quatre catégories suivantes :
• Majuscules (de A à Z)
• Minuscules (de a à z)
• Chiffres en base 10 (0 à 9)
• Caractères non alphabétiques (par exemple, !, $, #, %)

Remarque La fonctionnalité de complexité des mots de passe est appliquée par défaut dans l'environnement
Windows serveur.
¢ Utilisez la stratégie de groupe. Le tableau suivant décrit les paramètres de stratégie de groupe que
vous pouvez utiliser pour implémenter une stratégie de mot de passe fort.

Paramètre de stratégie de groupe Description

Durée de vie maximale du mot de passe
Ce paramètre détermine combien de temps les mots de passe peuvent être utilisés
avant que les utilisateurs soient tenus de les modifier. La valeur par défaut de 42
jours est généralement appropriée, mais elle doit être inférieure pour les réseaux
exigeant une sécurité plus importante. Dans ces réseaux, il peut être utile de voir
combien de temps met un programme commercial de piratage des mots de passe
pour compromettre les mots de passe de votre organisation et définir une valeur
inférieure pour le paramètre Durée de vie maximale du mot de passe.

Conserver l'historique des mots de Ce paramètre se souvient des mots de passe précédemment employés par les
passe utilisateurs et empêche que ces mots de passe soient de nouveau utilisés. Par défaut,
le nombre de mots de passe mémorisés est un. Ce paramètre par défaut empêche
généralement les utilisateurs de choisir le même mot de passe dans le futur. Le
nombre maximal de mots de passe qui peuvent être mémorisés est 24.

Durée de vie minimale du mot de passe Ce paramètre détermine combien de temps un utilisateur doit conserver un mot de
passe avant de le changer. Le paramètre par défaut d'un jour empêche un utilisateur
de remplacer immédiatement un mot de passe par celui qu'il utilisait précédemment.

Longueur minimale du mot de passe Ce paramètre détermine la longueur minimale d'un mot de passe. Le paramètre
minimum recommandé est 7 caractères.

Méthodes d'authentification de Windows serveur pour les systèmes d'exploitation antérieurs

Les différents systèmes d'exploitation ont la possibilité d'utiliser des protocoles d'authentification différents.
En règle générale, plus le système d'exploitation est ancien, moins le protocole d'authentification qu'il peut
utiliser est sécurisé. Par défaut, les ordinateurs qui exécutent Windows serveur peuvent accepter tous les
types de protocoles d'authentification, y compris LM, NTLMv2 et Kerberos, pour garantir la compatibilité
avec les systèmes d'exploitation antérieurs. Pour faire en sorte que les ordinateurs de votre organisation
n'acceptent que les protocoles d'authentification les plus sécurisés, vous pouvez configurer la stratégie de
groupe pour qu'elle prenne en charge les protocoles plus sécurisés, tels que NTLMv2 et Kerberos.

14
Procédure Pour configurer une authentification sécurisée, exécutez les opérations suivantes :
1. Dans le volet de navigation de la console Gestion des stratégies de groupe, développez Contrôleurs de
domaine.

2. Cliquez avec le bouton droit sur Stratégie Contrôleurs de domaine par défaut, puis sélectionnez
Modifier.

3. Naviguez jusqu'à Configuration de l'ordinateur\Paramètres Windows\Paramètres de

sécurité\Stratégies locales\Options de sécurité.

4. Double-cliquez sur Sécurité réseau : niveau d'authentification Lan Manager.

5. Activez la case à cocher Définir ce paramètre de stratégie.
6. Sélectionnez Envoyer uniquement les réponses NTLMv2\refuser LM, puis cliquez sur OK.

7. Fermez toutes les boîtes de dialogue ouvertes.

8. L'invite de commande, tapez gpupdate.exe et appuyez sur ENTRÉE.
9. Dans la console Gestion des stratégies de groupe, naviguez jusqu'au nœud Résultats de stratégie de
groupe.

10. Cliquez avec le bouton droit sur Résultats de stratégie de groupe et sélectionnez Assistant
Résultats de stratégie de groupe.

15