04/12/2025

Les rôles d'administration AD CS

Les rôles d’administration

I. Présentation

Si vous ouvrez les propriétés du serveur depuis la console de gestion de l'autorité de certification, à la rubrique "Sécurité", vous vous apercevrez que des permissions sont positionnées par défaut permettant l'administration du serveur d'autorité, ou la demande de certificats dans le cas de comptes utilisateurs.

S'il s'agit d'une autorité Enterprise, certaines informations sont directement stockées dans l'Active Directory. C'est le cas des modèles de certificats. Aussi, lorsque l'on positionne des délégations, cela peut être aussi directement sur les objets Active Directory.

II. Les rôles

A. Bonnes pratiques

Les bonnes pratiques indiquent de créer des groupes pour déléguer l'administration. Il s'agira de groupes de sécurité Active Directory pour une autorité Enterprise, ou de groupes locaux pour une autorité Standalone.

B. Administrateur de(s) autorité(s)

Le premier groupe à créer est celui des administrateurs de l'autorité. Dans une implémentation typique, on considère qu'un administrateur peut accéder à toutes les autorités, aussi ce groupe sera partagé entre les autorités.

Depuis les propriétés de l'autorité, donner les droits :

  • Émettre et gérer les certificats,
  • Gérer l'autorité de certification

C. Administrateurs des modèles

Pour déléguer les droits de création de modèles, on passe par la console "Sites et Services Active Directory", en prenant le soin de choisir "Afficher le nœud des services" à la racine de la console.

Ensuite, sous « Services > Public Key Services > Certificate Templates », on ajoute un droit "Créer tous les objets enfants". Si l'administrateur doit pouvoir modifier ou supprimer les modèles existants, on ajoute en plus l'autorisation "Contrôle total".

Lors de la création d'un nouveau modèle, un droit sur le container OID est nécessaire également. Ajouter "Créer tous les objets enfants" ou "Contrôle total" si l'administrateur doit pouvoir modifier l'existant.

D. Gestionnaire de certificats

Lorsqu'une demande de certificat est soumise à l'autorité, le standard est de délivrer le certificat sans intervention de l'administrateur. Toutefois, il est possible pour certains certificats sensibles de demander une validation à l'admin avant émission du certificat. La demande est alors placée à la rubrique Demandes en attente de la console de gestion de l'autorité.

C'est le cas, par exemple, pour un certificat d'autorité intermédiaire, on observe dans le modèle qu'une validation de l'administrateur est nécessaire.

Pour un gestionnaire de certificats, c'est le droit "Emettre et gérer des certificats" qui doit être attribué au groupe de délégation, depuis les propriétés de l'autorité.

E. Agent d'inscription

Un compte à privilèges qui dispose du rôle Agent d'inscription a la capacité de demander un certificat au nom d'un utilisateur.

On rencontre ce cas d'usage lorsque les techniciens préparent les postes de travail des utilisateurs, et qu'ils souhaitent que tout soit déjà intégré dans le profil de l'utilisateur.

Pour donner ce droit, il faut utiliser l'onglet Agent d'inscription depuis les propriétés du serveur et les permissions Inscrire depuis le modèle de certificat.

Au lieu de Everyone (Tout le monde), le droit peut aussi être positionné sur un groupe d’utilisateurs habilités à faire cette demande en tant qu’utilisateur.

III. Conclusion

Avec tous ces concepts en tête, il est temps de passer à l'implémentation de notre plateforme d'autorité de certification. Vous pourrez lire toutes les explications dans le module suivant.

Chapitre Précédent
Retour à la/au Module
Module Suivante
author avatar
Hugues MOCCAND Architecte Systèmes
Architecte Systèmes en poste chez CHEOPS TECHNOLOGY, spécialiste des infrastructures informatiques sécurisées, l’un des leaders du Cloud Computing en France, organisé en 4 Divisions, Cloud & Managed Services, Infrastructure, Cyberdéfense, Modernisation Technologique, avec plus de 600 collaborateurs et 12 agences en France et en Suisse (DFI). Plusieurs fois certifiés Microsoft, je travaille en mode projets pour accompagner nos clients lors de leur transformation numérique principalement sur les sujets Microsoft : Azure, Microsoft 365, sécurité et produits on-premises, tels que Active Directory, PKI, RDS et Exchange Server.
Voir la bio complète
social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Ransomware Qilin Une menace pour VMware ESXi

Sophistiqué et personnalisable, le ransomware Qilin est prêt à chiffrer les VM des serveurs VMware ESXi

Florian BURNEL 0

Microsoft Lists : le nouveau service pour la gestion de vos listes

Florian BURNEL 0
Google Chrome - Fin support pour Windows 7 et Windows 8.1 - Février 2023

A partir de 2023, Google Chrome ne supportera plus Windows 7 et Windows 8.1

Florian BURNEL 2

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.