RODC: partie 4 - Configuration de FAS et ARS

Envoyer

Sommaire

 

Introduction

Nous clôturons le sujet RODC par ce dernier article qui se consacre exclusivement à la configuration des filtrages d'attribut et la mise en place des délégations d'administration.

 

Filtered Attribute Set

Ayant pour anagramme FAS, cette seconde particularité de RODC permet à une liste d’attributs d’être filtrée pour ne pas être répliquée sur le RODC toujours pour des raisons de sécurité. FAS est assez proche de PRP à la différence qu’elle ne se cantonne pas exclusivement aux informations d’authentification mais à peu près tout type d’attribut que vous pourriez considérer comme sensible en cas de compromission de votre RODC. Veuillez simplement noter que certains attributs de base ne sont pas filtrables et en particulier ceux dont  la valeur d’attribut pour schemaFlagsEx est défini à 0x1 (system-critical attribute).

ATTENTION !!! Si vous voulez assurer pleinement le fonctionnement de FAS sur votre RODC, il faudra que le niveau fonctionnel de la forêt soit en 2008 car le RODC peut répliquer les attributs filtrés depuis un Windows Server 2003 ou antérieur.  En clair, le FAS n’est pris en compte qu’à partir de 2008.

Remarque: Toutes les modifications d'attributs et spécialement pour le filtrage doivent être réalisées sur un serveur 2008 disposant du maître d'opération maître de schéma.

A partir de la console ADSIEDIT et en ouvrant la partition de schéma,  si vous accédez aux propriétés de l’attribut « Computer » par exemple, nous pouvons voir que la valeur d’attribut systemFlags est défini sur 0x10 (16) et donc le filtrage ne sera pas possible.

 

 

 

 

 

 

 

 

 

Pour activer le FAS sur un attribut spécifique, il faut modifier le dixième bit de sa valeur d’attribut searchFlags. Par défaut cette valeur d’attribut est affichée en hexadécimal et les modifications passent par des valeurs décimales, donc pour plus de clarté, on considérera qu’il faudra ajouter la valeur décimale 512 à searchFlags.

  • Valeur décimale : 512
  • Valeur hexadécimal : 200
  • Valeur binaire : 1000000000 (le dixième bit est passé à 1)

Il est également recommandé par Microsoft de rendre l’attribut confidentiel et de modifier également le  septième bit de la valeur d’attribut searchFlags ce qui permettra entre autres de ne plus rendre lisible l’attribut par le groupe « utilisateurs authentifiés ». Il faudra donc ajouter la valeur décimale 128.

  • Valeur décimale : 128
  • Valeur hexadécimal : 80
  • Valeur binaire : 1000000 (le septième bit est passé à 1)

En conclusion, pour activer le filtrage et la confidentialité sur un attribut, il faut configurer la valeur d’attribut searchFlags à 640 (512+128) qui correspond à la valeur binaire 1001000000. Attention toutefois que la valeur searchFlags n’a pas toujours par défaut une valeur nulle donc il faudra combiner les différentes valeurs. Si l’attribut est indexé alors la valeur d’attribut searchFlags sera de 1. Si vous voulez le rendre confidentiel et le filtrer tout en conservant l’indexation, il faudra donc lui rentrer comme nouvelle valeur 641.  Vous avez la liste des différentes valeurs attribuables par défaut à searchFlags ici.

Nous ne l’avions pas cité précédemment mais 6 attributs sont filtrés et marqués comme confidentiels par défaut. Sachant qu’il faut que leur valeur searchFlags soit à 640, nous pouvons les localiser assez simplement. Pour cela ouvrez « ldp.exe » depuis « Exécuter ». Une fois ldp lancé, allez dans « Connexion » | « Se connecter… » et indiquez le FQDN du contrôleur de domaine où vous devez vous connecter. Si vous rencontrez des problèmes d’authentification, préciser les informations d’identification depuis « Connexion » | «  Lier… ».

 

 

 

 

 

 

 

 

Une fois connecté, sélectionner à partir du menu « Parcourir »  la fonction « Rechercher », placez-vous sur la partition de schéma et  entrez comme filtre de recherche « (SearchFlags:1.2.840.113556.1.4.803:=640) » pour afficher les attributs filtrés et confidentiels (valeur 640). A noter que la valeur 1.2.840.113556.1.4.803 est décrite depuis le KB Microsoft Comment faire pour interroger Active Directory à l’aide d’un filtre au niveau du bit. Cette information et de manière globale cette section  reprend l’article Enumerate The RODC FAS. Une fois que vous cliquez sur le bouton « Exécuter », vous obtiendrez le détail des attributs concernés.

 

 

 

 

 

 

 

Comme vous pouvez le constater, il y a 6 attributs qui sont configurés de base comme étant filtrés et confidentiels. Nous les détaillerons ici pas mais vous pouvez obtenir plus d’information depuis l’article Technet RODC Filtered Attribute Set, Credential Caching, and the Authentication Process with an RODC.

Vous pouvez modifier les attributs à partir de divers outils tel que ADSIEDIT que nous avions utilisé précédemment. Il suffit simplement d’accéder aux propriétés de l’attribut et de modifier la valeur searchFlags.

 

 

 

 

 

 

 

 

 

 

Administrative Role Separation

La dernière fonctionnalité est ARS pour Administrative Role Separation. Grâce à ARS vous pourrez déléguer l’administration du RODC localement à un utilisateur ou un groupe d’utilisateurs sans droit supplémentaire au niveau de votre domaine. ARS est assez similaire au droit d’administrateur local que l’on peut retrouver sur un poste lambda.

Lors de l’installation du RODC, vous avez la possibilité de définir le groupe ou l’utilisateur ayant les droits d’administration sur le RODC. Par contre, si vous désirez modifier ces accès, il vous suffira simplement d’ouvrir la console « Utilisateurs et ordinateurs Active Directory », de vous rendre dans le conteneur où se trouve votre RODC et d’accéder aux propriétés à l’aide d’un clic droit (Bien entendu il faudra réaliser la manipulation depuis un contrôleur de domaine accessible en écriture). Une fois dans les propriétés, il faudra tout simplement se rendre dans l’onglet « géré par » et ajouter l’utilisateur ou le groupe voulu à l’aide du bouton « Modifier… ».

 

 

 

 

 

 

 

 

 

 

Conclusion

Nous en avons désormais fini avec RODC! Nous espérons que l'ensemble des articles sur le sujet vous aura permis de comprendre et d'appréhender correctement cette fonctionnalité qui est loin d'être un pis-aller. Il en a séduit et devra en séduire plus d'un !

Mise à jour le Mercredi, 24 Août 2011 21:32