Une fiche pratique pour mettre en oeuvre une nouvelle racine DFS dans le contexte d’un Active Directory durcit avec Harden AD !
Comptes nécessaires :
–> Tier 0 Manager
–> Tier 1 Administrator
–> Tier 1 Operator
Déploiement des binaires
Commencer par installer le rôle DFS Namespaces sur le futur serveur racine. Pour cette opération, les droits administrateurs du système seront nécessaire.
Utiliser votre compte Tier 1 Operator pour le déploiement des binaires.
Pré-requis à la création du Domain Namespace
La création du domaine Namespace require d’inscrire des enregistrements au niveau de l’annuaire Active Directory et de déléguer le droit de les administrer aux administrateurs. Pour des raisons de sécurité, il est recommandé de créer un groupe dédié à l’administration de la racine DFS et d’y ajouter les comptes Tier 1 Administrator qui en auront la charge. Les comptes Tier 1 Operator n’ont besoin d’aucune délégation pour gérer les partages et les permissions au sein du namespace.
Pour la délégation de droit, créez un groupe de sécurité Domain Local (pour le nom, utilisez L-S-DELEG-DFS_Administrators par exemple) et positionnez-le dans l’OU Administration | GroupsT1 | Deleg – ce positionnement protège le groupe contre la manipulation par un administrator de Tier 1 (seul un Compte Tier 1 Manager ou Tier 0 Manager pourra le modifier). Ajoutez lui comme membres les comptes Tier 1 Administrator qui seront responsable de l’administration de la racine DFS. Enfin, ajouter ce groupe comme membre du groupe des administrateurs local de votre serveur DFS (L-S-LocalAdmins_xxxx).
Utiliser votre compte Tier 0 Manager pour créer un groupe de délégation dans l’OU Administration | GroupsT1 | Deleg et y ajouter les comptes Tier 1 Administrator en charge de l’administration DFS. Positionner ce groupe dans le groupe LocalAdmins du serveur DFS.
Délégation des droits d’administration
Sur la station d’administration Tier 0, avec votre compte Tier 0 Manager, lancez une console DFS et faites un clic-droit sur Namespace sous DFS Management puis sélectionnez Delegate Management Permissions… Ajoutez le groupe créé à l’étape précédente (L-S-DELEG-DFS_Administrators) et cliquez sur OK.
Utiliser votre compte Tier 0 manager pour déléguer les permissions de gestion au groupe L-S-DELEG-DFS_Administrators
Création du Namespace
Depuis la station d’administration Tier 1, avec votre compte Tier 1 Administrator qui appartient au groupe de délégation DFS (attention à ne pas utiliser une session ouverte avant la création du groupe de délégation), lancez la console DFS Management. Faites un clic-droit sur Namespace sous DFS Management puis sélectionnez New DFS Namespace…. Procédez aux étapes de création de votre namespace en indiquant le nom du serveur DFS ciblé.
Utiliser votre compte Tier 1 Administrator pour créer le nouveau Namespace
Ajout d’un nouveau dossier au partage
L’ajout peut être fait depuis la station d’administration avec un compte Tier 1 Administrator (recommandé) ou depuis le serveur DFS directement avec un compte Tier 1 Operator. Les droits au sein du partage sont géré par le compte Tier 1 Operator.
Utiliser votre Tier 1 Administrator pour créer les nouveaux dossier au partage. Utiliser votre compte tier 1 Operator pour gérer les permissions NTFS au sein du dossier.
