Capacité d'optimisation d'infrastructure : gestion des identités et des accès - du niveau standardisé au niveau rationalisé
Sur cette page
.gif "Présentation"){kind=icon}
Présentation
Exigence : configuration et sécurité centralisées à base d'annuaires
Présentation
La gestion des identités et des accès est une capacité d'optimisation d'infrastructure à la base de l'implémentation de nombre des capacités présentées dans le modèle d'optimisation d'infrastructure.
Le tableau suivant dresse la liste des principaux enjeux, des solutions applicables et des avantages liés à l'accession au niveau rationalisé pour la capacité Gestion des identités et des accès.
Enjeux |
Solutions |
Avantages |
|---|---|---|
Enjeux métier Difficulté à mettre en place les stratégies informatiques imposées par l'organisation ou la réglementation Impossibilité d'appliquer un état connu, stable et sécurisé pour les PC clients Enjeux informatiques Aucun contrôle de stratégie centralisé pour la gestion des identités et des accès (l'implémentation de changements de stratégies d'envergure nécessite la modification de chaque identité) Les paramètres et configurations des utilisateurs et des ressources sont difficiles à gérer alors que l'administration des identités est centralisée. |
Projets Identifier et définir les normes de configuration à mettre en place Implémenter une solution stratégique centralisée à base d'annuaires pour l'administration des ordinateurs de bureau, des serveurs, de la configuration et de la sécurité |
Avantages métier Mise en place d'un environnement connu Interface utilisateur cohérente sur l'ensemble des PC en fonction du rôle métier Simplification des tâches de modification des systèmes et d'ajout de fonctionnalités Réduction des frais d'exploitation et de prise en charge des ordinateurs de bureau Réduction du temps d'inactivité et autres perturbations subies par l'utilisateur. Avantages informatiques Charge de travail réduite grâce à l'introduction d'une stratégie de groupe/administration basée sur la fonction Sécurité accrue grâce à l'implémentation d'une gestion des correctifs basée sur la stratégie et d'un verrouillage de la sécurité La gestion des profils permet de récupérer les données et les systèmes des utilisateurs. |
La gestion continue des accès et des identités se concentre sur les capacités présentées ci-après, comme défini dans la Série Gestion des identités et des accès de Microsoft.
Principes de base de la gestion des accès et des identités
Gestion du cycle de vie des identités
Gestion des accès et authentification unique
Notez que les capacités susmentionnées constituent toutes des composants clés du service de gestion des accès et des identités dans n'importe quelle organisation. Pour plus d'informations, veuillez vous reporter à la Série Gestion des identités et des accès de Microsoft.
Le niveau rationalisé de la gestion des identités et des accès du modèle d'optimisation d'infrastructure souligne l'importance du contrôle centralisé des configurations et de la sécurité.
Exigence : configuration et sécurité centralisées à base d'annuaires
Public visé
Nous vous recommandons de lire cette section si vous ne disposez pas d’un outil à base d’annuaires pour centraliser l’administration des configurations et de la sécurité sur au moins 80 % de vos ordinateurs de bureau.
Vue d'ensemble
Les administrateurs sont confrontés à des enjeux de plus en plus complexes pour gérer leurs infrastructures informatiques. Vous devez fournir et gérer des configurations de bureau personnalisées pour différents types d'employés, tels que des utilisateurs mobiles, des informaticiens ou des personnes affectées à des tâches strictement définies, comme l'entrée de données. Il peut être nécessaire d'apporter des changements réguliers aux images des systèmes d'exploitation standard. Les paramètres et mises à jour de sécurité doivent être efficacement fournis à tous les ordinateurs et périphériques de l'organisation. Les nouveaux utilisateurs doivent être rapidement productifs sans passer par des formations coûteuses. En cas de défaillance d'un ordinateur, le service doit être restauré avec un minimum de perte de données et d'interruption.
Phase 1 : analyse
La phase d'analyse a pour principal objectif d'examiner les outils et procédures actuellement en place pour assurer la sécurité standard et gérer les configurations des utilisateurs. Vos stratégies actuelles peuvent être gérées manuellement ou automatisées grâce à la gestion des correctifs, l'installation des logiciels requis ou l'inclusion des configurations requises dans les images de disques standard. Ainsi, et grâce à d'autres activités du niveau standardisé, votre organisation conserve une base standard ; l'implémentation du contrôle des configurations vous aidera à passer au niveau rationalisé de l'optimisation d'infrastructure.
Phase 2 : identification
Lors de la phase d'identification, vous examinez les normes de configuration actuelles telles qu'elles sont exécutées dans le cadre des stratégies de gestion de la configuration, de gestion des correctifs et des procédures de création d'images de disques, puis vous dépassez les pratiques actuelles pour identifier le nombre total de contrôles de sécurité et de configuration à mettre en place. Ces configurations peuvent être les suivantes :
composants requis sur les PC, comme les correctifs, les service packs ou les applications ;
services ou applications à installer sur les PC, comme les applications antivirus ou les pare-feu d'ordinateurs de bureau ;
règles d'accès et de transfert de données, comme l'interdiction de transférer des fichiers dans les applications de messagerie instantanée.
L'exercice consistant à désigner la configuration et les paramètres comme candidats au contrôle de stratégie est la première étape de la gestion de la configuration. La gestion de la configuration est également brièvement abordée dans le Guide des ressources d'optimisation d'infrastructure pour les responsables de l'implémentation : Du niveau de base au niveau standardisé. Pour en savoir plus sur la gestion de la configuration, reportez-vous à Microsoft Operations Framework.
Phase 3 : évaluation et planification
L'objectif de la phase d'évaluation et de planification est de déterminer le niveau de contrôle des paramètres de configuration et de sécurité identifiés. Le niveau de contrôle va de la simple analyse de conformité d'une configuration à l'automatisation active de la mise en conformité.
Des outils d'analyse des configurations sont disponibles pour fournir des rapports de non conformité. Dans de nombreux cas, votre organisation peut repérer les instances non conformes, puis déterminer la marche à suivre pour remettre les PC en conformité. Par exemple, supposons que vous souhaitiez installer une application sur tous les PC, mais que cette application nécessite des pilotes qui n'existent pas pour certains types de matériels présents dans votre environnement d'ordinateurs de bureau. La meilleure solution peut consister à analyser ces instances non conformes et à déterminer comment résoudre ces problèmes individuellement. Le niveau rationalisé du modèle d'optimisation d'infrastructure exige l'implémentation d'une infrastructure gérant les configurations à base d'annuaires via la stratégie de groupe et recommande (sans l'exiger) des outils d'analyse des configurations autonomes.
Outils d'analyse des configurations
Microsoft propose deux types d'outils pour analyser la conformité des configurations. Le premier, intitulé BPA (Best Practice Analyzers), contient des paramètres et rapports Microsoft prédéfinis reposant sur les meilleures pratiques. Les outils BPA sont disponibles sous forme de téléchargements gratuits pour les produits serveur Microsoft : Microsoft Exchange Server, Microsoft Internet Security and Acceleration Server et Microsoft SQL Server. Le deuxième type d'outil d'analyse des configurations permet à votre organisation de définir les paramètres ou règles de configuration désirés et d'analyser la conformité. Cet outil, Systems Management Server 2003 Desired Configuration Monitoring, également disponible sous forme de téléchargement gratuit, vous permet de définir des normes de configuration personnalisées pour les ordinateurs de bureau et les serveurs. Vous utilisez Systems Management Server 2003 Desired Configuration Monitoring pour évaluer la conformité et les rapports inclus vous présentent les cas de non-conformité. Outre ces outils, un certain nombre de logiciels sont disponibles auprès des partenaires de Microsoft pour définir et gérer la configuration standard.
Stratégie de groupe dans Windows Server
L'étape de contrôle suivante est la mise en place automatisée de la configuration. La majeure partie de la configuration et des paramètres de sécurité requis peut être définie avec des stratégies standard. La stratégie de groupe vous permet d'automatiser l'étape de remise en conformité de nombreuses instances non conformes.
La stratégie de groupe est une infrastructure utilisée pour fournir et appliquer une ou plusieurs configurations, ou paramètres de stratégies, à un ensemble d'utilisateurs et ordinateurs ciblés au sein d'un environnement Active Directory. Cette infrastructure comprend le moteur de la stratégie de groupe et différentes extensions côté client responsables de la création de paramètres de stratégie spécifiques sur les ordinateurs clients ciblés.
Stratégie de groupe et Active Directory
Les administrateurs utilisent la stratégie de groupe afin de définir des configurations spécifiques pour des groupes d'utilisateurs et d'ordinateurs en créant des paramètres de stratégie de groupe. Ces paramètres sont spécifiés via l'Éditeur d'objets de stratégie de groupe et contenus dans un objet de stratégie de groupe (ou GPO) lui-même relié aux conteneurs Active Directory. Les paramètres de la stratégie de groupe sont appliqués aux utilisateurs et ordinateurs de ces conteneurs Active Directory. Les administrateurs peuvent configurer l'environnement de travail des utilisateurs une seule fois, puis s'appuyer sur le système pour appliquer les stratégies définies.
Active Directory classe les objets par sites, domaines et unités d'organisation. Les domaines et unités d'organisation sont classés de façon hiérarchique, ce qui facilite la gestion des conteneurs et des objets qu'ils renferment. Les paramètres définis dans un GPO sont applicables uniquement lorsque le GPO est associé à au moins un de ces conteneurs.
En associant des GPO aux sites, domaines et unités d'organisation, vous pouvez définir la portée des paramètres de la stratégie de groupe dans l'entreprise. Sur les utilisateurs et ordinateurs, les liens de GPO ont les conséquences suivantes :
un GPO relié à un site s'applique à tous les utilisateurs et ordinateurs de ce site ;
un GPO relié à un domaine s'applique directement à tous les utilisateurs et ordinateurs de ce domaine et, par héritage, à tous les utilisateurs et ordinateurs des unités d'organisation enfants. Notez que dans certains domaines, la stratégie n'est pas héritée ;
un GPO relié à une unité d'organisation s'applique directement à tous les utilisateurs et ordinateurs de celle-ci et, par héritage, à tous les utilisateurs et ordinateurs des unités d'organisation enfants.
La figure ci-dessous montre la façon dont les GPO s'appliquent aux sites, domaines et unités d'organisation situés aux niveaux inférieurs.
.gif "Figure 3. Mise en application de GPO")
Figure 3. Mise en application de GPO
Capacités de la stratégie de groupe
La stratégie de groupe permet aux administrateurs de définir les stratégies qui déterminent comment les applications et systèmes d'exploitation sont configurés et sécurisent les utilisateurs et systèmes. Les sections qui suivent décrivent les fonctions clés de la stratégie de groupe.
Stratégie basée sur le Registre
Pour fournir une stratégie à un composant d'application ou de système d'exploitation, la méthode la plus courante et la plus simple consiste à implémenter une stratégie basée sur le Registre. La stratégie de groupe vous permet de définir les paramètres de la stratégie basée sur le Registre pour les applications, le système d'exploitation et ses composants.
Paramètres de sécurité
La stratégie de groupe permet aux administrateurs de définir des options de sécurité pour les ordinateurs et utilisateurs à portée d'un GPO. Des paramètres de sécurité peuvent être définis pour l'ordinateur local, le domaine et le réseau. Pour plus d'informations sur la sécurité et les paramètres de la stratégie de groupe, reportez-vous au Guide de sécurité de Windows Server 2003, au Guide de sécurité Windows XP, au Guide de sécurité Windows Vista et au guide des menaces et des mesures correctives (peut être en anglais).
Restrictions sur les logiciels
Pour protéger les ordinateurs Windows XP, Windows Vista et Windows Server 2003 contre les virus, les applications indésirables et les attaques, la stratégie de groupe comprend des stratégies de restrictions sur les logiciels.
Distribution et installation de logiciels
La stratégie de groupe peut centraliser la gestion de l'installation, des mises à jour et de la suppression des applications.
Scripts ordinateurs et utilisateurs
Les administrateurs peuvent utiliser des scripts pour automatiser les tâches au démarrage et à l'arrêt de l'ordinateur ainsi qu'à l'ouverture et à la fermeture d'une session par l'utilisateur.
Profils utilisateur itinérants et dossiers redirigés
Les profils utilisateur itinérants permettent de centraliser le stockage des profils utilisateur sur un serveur et de les charger lorsque l'utilisateur ouvre une session. Ainsi, les utilisateurs bénéficient d'un environnement cohérent, quels que soient les ordinateurs dont ils se servent.
Dossiers en mode hors connexion
Lorsqu'un réseau est indisponible, la fonction de dossiers en mode hors connexion permet d'accéder aux fichiers et dossiers du réseau depuis un disque local.
Maintenance d'Internet Explorer
Les administrateurs peuvent gérer et personnaliser la configuration de Microsoft Internet Explorer® sur les ordinateurs qui prennent en charge la stratégie de groupe.
Phase 4 : déploiement
La phase de déploiement se concentre principalement sur la définition des objets de stratégie de groupe via l'Éditeur d'objets. Les GPO doivent refléter ce qui a été identifié lors des phases d'analyse et d'identification. Une étape Opérations a été ajoutée à cette capacité ; elle se concentre sur la console de gestion des stratégies de groupes et opérations en cours.
Avant d'implémenter la stratégie de groupe dans votre organisation, il est recommandé de se familiariser avec les concepts clés de la stratégie de groupe, l'utilisation de l'Éditeur d'objets de stratégie de groupe et la configuration des paramètres de la stratégie de groupe (peut être en anglais). Reportez-vous à la page Présentation de la stratégie de groupe pour obtenir des informations plus détaillées sur les activités suivantes de la stratégie de groupe :
Travailler avec les propriétés des objets de la stratégie de groupe
Utiliser des scripts de démarrage, d'arrêt, d'ouverture de session et de fermeture de session
Utiliser l'installation de logiciels de la stratégie de groupe
Opérations
Les opérations de la stratégie de groupe se caractérisent par l'ensemble des tâches exécutées via l'interface utilisateur de la console de gestion des stratégies de groupe. La liste suivante contient les liens d'accès aux informations relatives à l'utilisation de la console de gestion des stratégies de groupe :
Modifier un objet de stratégie de groupe depuis la console de gestion des stratégies de groupe
Ajouter une forêt, un site ou un domaine à la console de gestion des stratégies de groupe
Afficher, imprimer et enregistrer un rapport sur les paramètres des objets de stratégie de groupe
Déterminer le jeu de stratégies résultant avec les résultats de la stratégie de groupe
Simuler le jeu de stratégies résultant via la modélisation de la stratégie de groupe
Définir les options d'interface utilisateur de la console de gestion des stratégies de groupe
Informations complémentaires
Pour plus d'informations sur la stratégie de groupe, connectez-vous à Microsoft TechNet et lancez une recherche sur « stratégie de groupe ».
Pour en savoir plus sur la façon dont Microsoft gère la stratégie de groupe, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/grppolobjectmgmt.mspx.
Point de contrôle : configuration et sécurité centralisées à base d'annuaires
|
Exigences |
|---|---|
|
Les configurations à analyser ou à appliquer ont été identifiées. |
|
Des outils ont été sélectionnés pour permettre l'analyse de la conformité des configurations et leur mise en conformité. |
|
Des objets de stratégie de groupe ont été définis pour les paramètres gérés via la stratégie de groupe. |
|
La console de gestion des stratégies de groupe destinée à la gestion des objets de stratégie de groupe a été implémentée. |
|
La stratégie de groupe a été appliquée sur au moins 80 % de vos postes de travail. |
.gif)
Si vous avez suivi les étapes précédentes, votre organisation répond aux exigences minimales du niveau rationalisé pour la capacité Configuration et sécurité centralisées à base d'annuaires du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en matière de gestion de la configuration et de la sécurité.
Passez à la question d'auto-évaluation suivante.