6.2.1 -
Un domaine local Windows
NT :
Le fonctionnement de Windows NT4 dispose des mêmes protections et
présente les mêmes failles de sécurité que celles
exposées dans la présentation du modèle de
sécurité Windows (cf. paragraphe
5.2 - ). Lors de la constitution d’un
système d’information d’entreprise basé sur Windows
NT4, celui-ci s’appuie sur la notion de domaines NT4.
6.2.1.A - Les domaines Windows NT :
Les domaines sont essentiellement des groupes de travail
améliorés. L’accès aux ressources du domaine est
contrôlé par un contrôleur de domaine. L’utilisateur se
voit assigné un seul compte de domaine ainsi qu’un mot de passe
contrôlant l’accès à toutes les ressources du domaine.
Les domaines de Windows NT Server supportent aussi l’utilisation de
groupes permettant aux administrateurs d’assigner et de changer les
permissions pour un grand nombre d’utilisateurs de façon plus
efficace.
Il est à noter qu’un domaine peut organiser les
ressources de plusieurs serveurs. D’autre part, quand les réseaux
sont suffisamment étendus pour nécessiter plusieurs domaines, les
administrateurs peuvent établir des relations d’approbation entre
les domaines. Les relations d’approbation simplifient le travail
d’administration, puisqu’un utilisateur ne doit avoir un compte que
dans un domaine. Les autres domaines, qui approuvent le domaine sur lequel
l’utilisateur ouvre une session laissent à ce dernier domaine la
tâche d’authentifier l’ouverture de session de
l’utilisateur.
6.2.1.B - Les serveurs de domaine
NT4 :
Un serveur dans un domaine peut jouer l’un des trois rôles
suivants :
- contrôleur de domaine principal (PDC pour Primary Domain Controller) :
A l'installation, le premier serveur d'un domaine est configuré comme
étant un contrôleur de domaine principal. Chaque domaine doit
posséder son PDC et il est unique. Ce serveur traite l'authentification
des connexions et gère la base de données des utilisateurs et des
groupes du domaine ;
- contrôleur de domaine secondaire (BDC pour Backup Domain Controller):
d’autres serveurs Windows NT dans le domaine peuvent servir de
contrôleurs de domaine de sauvegarde (ou secondaire). Chaque
contrôleur de domaine de sauvegarde conserve une copie de la base de
données (SAM) du contrôleur de domaine principal, qui est
dupliquée périodiquement afin de distribuer les changements
apportés dans la base de donnée principale sur le PDC ;
- serveurs : des serveurs NT peuvent aussi fonctionner comme des serveurs
indépendants ou en stand-alone, participant ou non aux domaines. Ces
serveurs ne fonctionnent pas comme contrôleur de domaine principal ou de
sauvegarde. Cependant, ils peuvent tirer avantage des bases de données
des utilisateurs et des groupes maintenues pour un domaine.
6.2.1.C - Authentification d’un utilisateur
au sein d’un domaine NT4 :
L’authentification d’un utilisateur au sein d’un domaine
NT4 peut être résumé par le schéma
suivant :
Figure 14 : Authentification
d’un utilisateur au sein d’un domaine NT4
L’exemple ci-dessus illustre la succession d’opérations
suivantes :
- Un utilisateur s’authentifie grâce son Identifiant/Mot de
Passe.
- Validation du couple utilisateur/machine par le contrôleur de domaine,
cela implique que le contrôleur de domaine approuve le couple
Machine/Utilisateur à utiliser une ressource du réseau (Fichiers,
Imprimantes, Application...) sous réserve que l’administrateur lui
ait donné les droits (en terme de sécurité). On peut
également faire exécuter automatiquement lors de cette phase des
scripts pour la maintenance du poste.
- L’utilisateur veut accéder à un fichier.
- L’utilisateur demande au serveur de fichier d’accéder au
fichier demandé.
- Le serveur de fichier demande au contrôleur de domaine si le couple
Utilisateur/Machine a les droits d’accéder au fichier.
- Le contrôleur de domaine approuve l’accès à la
ressource par l’utilisateur.
- Le fichier est transmis à l’utilisateur.
