Des stratégies intégrées sont implémentées lorsque vous installez le serveur d'administration. Lorsque vous utilisez ces stratégies, vous pouvez rencontrer les termes suivants :
Définit les objets ou les propriétés auxquels DRA applique la stratégie. Par exemple, certaines stratégies vous permettent de les appliquer à des assistants administrateur spécifiques dans des instances ActiveView données. Certaines stratégies vous permettent de choisir parmi différentes classes d'objets, comme les comptes utilisateur ou les groupes.
Appliquent leurs règles à tous les objets de la classe ou du type spécifié dans les domaines gérés. Les stratégies globales ne permettent pas de limiter l'étendue des objets auxquels s'applique la stratégie.
Définit si la stratégie s'applique avec d'autres ou par elle-même. Pour établir une relation de stratégie, définissez au moins deux règles qui s'appliquent à la même action, puis choisissez le membre d'une option de groupe de stratégies. Si la propriété ou les paramètres de l'opération correspondent à l'une des règles, l'opération réussit.
Rubriques relatives aux stratégies intégrées :
Les stratégies intégrées proposent des règles d'entreprise répondant aux problèmes courants de sécurité et d'intégrité des données. Ces stratégies font partie du modèle de sécurité par défaut, ce qui vous permet d'intégrer des fonctions de sécurité DRA dans votre configuration d'entreprise existante.
DRA permet d'appliquer des stratégies de deux manières. Vous pouvez créer des stratégies personnalisées ou choisir parmi plusieurs stratégies intégrées. Les stratégies intégrées permettent d'appliquer facilement une stratégie, sans devoir développer des scripts personnalisés. Si vous devez implémenter une stratégie personnalisée, vous pouvez adapter une stratégie intégrée existante pour répondre à vos besoins. La plupart des stratégies vous permettent de modifier le texte du message d'erreur, de renommer la stratégie, d'ajouter une description et de spécifier le mode d'application de la stratégie.
Plusieurs stratégies intégrées sont activées lorsque vous installez DRA. Les stratégies suivantes sont implémentées par défaut. Si vous ne souhaitez pas appliquer ces stratégies, vous pouvez les désactiver ou les supprimer.
|
Nom de la stratégie |
Valeur par défaut |
Description |
|---|---|---|
|
$ComputerNameLengthPolicy |
64 15 (versions antérieures à Windows 2000) |
Limite le nombre de caractères dans le nom de l'ordinateur ou le nom de l'ordinateur de version antérieure à Windows 2000. |
|
$GroupNameLengthPolicy |
64 20 (versions antérieures à Windows 2000) |
Limite le nombre de caractères dans le nom du groupe ou le nom du groupe de version antérieure à Windows 2000. |
|
$GroupSizePolicy |
5000 |
Limite le nombre de membres dans un groupe. |
|
$NameUniquenessPolicy |
Aucune |
Vérifie que les noms CN et ceux antérieurs à Windows 2000 sont uniques dans tous les domaines gérés. |
|
$SpecialGroupsPolicy |
Aucune |
Empêche l'escalade non contrôlée de pouvoirs dans l'environnement. |
|
$UCPowerConflictPolicy |
Aucune |
Empêche l'escalade de pouvoirs en définissant les pouvoirs Cloner un utilisateur et Créer un utilisateur comme s'excluant mutuellement. |
|
$UPNUniquenessPolicy |
Aucune |
Vérifie que les noms UPN sont uniques dans tous les domaines gérés. |
|
$UserNameLengthPolicy |
64 20 (nom de connexion de bas niveau) |
Limite le nombre de caractères dans le nom de connexion de l'utilisateur ou le nom de connexion de bas niveau. |
DRA fournit plusieurs stratégies que vous pouvez personnaliser pour votre modèle de sécurité.
REMARQUE :vous pouvez créer une stratégie qui requiert une entrée pour une propriété non disponible actuellement à partir des interfaces utilisateur de DRA. Si une entrée est requise par la stratégie et si l'interface utilisateur ne fournit pas un champ pour spécifier la valeur (par exemple, un service pour le nouveau compte utilisateur), vous ne serez pas en mesure de créer ni de gérer l'objet. Pour éviter ce problème, configurez des stratégies qui exigent uniquement des propriétés accessibles à partir des interfaces utilisateur.
Permet de lier un script ou un exécutable à une opération DRA ou Exchange. Les stratégies personnalisées vous permettent de valider toutes les opérations que vous choisissez.
Permet d'appliquer de manière globale une longueur de nom maximale pour les comptes utilisateur, les groupes, les unités organisationnelles, les contacts ou les ordinateurs.
La stratégie vérifie le conteneur de noms (nom commun ou cn) et le nom pour les versions antérieures à Windows 2000 (nom de connexion de l'utilisateur).
Permet d'appliquer de manière globale les limites quant au nombre de membres dans un groupe.
Vérifie qu'un nom dans une version antérieure à Windows 2000 est unique sur l'ensemble des domaines gérés. Dans les domaines Microsoft Windows, les noms dans les versions antérieures à Windows 2000 doivent être uniques au sein d'un domaine. Cette stratégie globale applique cette règle sur l'ensemble des domaines gérés.
Vérifie qu'un nom de principal de type utilisateur (User Principal Name, UPN) est unique sur l'ensemble des domaines gérés. Dans les domaines Microsoft Windows, les UPN doivent être uniques au sein d'un domaine. Cette stratégie applique cette règle sur l'ensemble des domaines gérés. Étant donné qu'il s'agit d'une stratégie globale, DRA fournit le nom de la stratégie, sa description et sa relation.
Empêche un utilisateur de gérer des membres d'un groupe d'administrateurs, excepté s'il est lui-même membre de ce groupe d'administrateurs. Cette stratégie globale est activée par défaut.
Lorsque vous limitez les actions sur les membres des groupes d'administrateurs, l'assistant Create Policy (Créer une stratégie) ne nécessite pas d'informations supplémentaires. Vous pouvez spécifier un message d'erreur personnalisé. Étant donné qu'il s'agit d'une stratégie globale, DRA fournit le nom de la stratégie, sa description et sa relation.
Empêche l'éventuelle escalade des pouvoirs. Lorsque cette stratégie est activée, vous pouvez créer des comptes utilisateur ou en cloner, mais vous ne pouvez pas disposer des deux pouvoirs. Cette stratégie globale évite qu'un utilisateur puisse à la fois créer et cloner des comptes utilisateur dans la même instance ActiveView.
Cette stratégie ne nécessite pas d'informations supplémentaires.
Permet d'établir des conventions de dénomination qui s'appliquent à des assistants administrateur, des instances ActiveView et des classes d'objets spécifiques, comme des comptes utilisateur ou des groupes.
Vous pouvez également spécifier les noms exacts contrôlés par cette stratégie.
Permet de créer une stratégie pour valider une propriété, une unité organisationnelle ou un objet Compte. Vous pouvez spécifier une valeur par défaut, un masque de format de propriété ainsi que des valeurs et plages valides.
Utilisez cette stratégie pour appliquer l'intégrité des données en validant des champs d'entrée particuliers lorsque vous créez, clonez ou modifiez les propriétés d'objets spécifiques. Cette stratégie offre une flexibilité exceptionnelle et permet de valider des entrées, de spécifier des entrées par défaut et de limiter les choix d'entrée pour différents champs de propriétés. À l'aide de cette stratégie, vous pouvez exiger qu'une entrée correcte soit spécifiée avant que la tâche soit effectuée. De cette façon, vous préservez l'intégrité des données sur l'ensemble de vos domaines gérés.
Supposons, par exemple, que vous avez trois services : Manufacturing, Sales et Administration. Vous pouvez limiter les entrées que DRA acceptera à ces trois valeurs uniquement. Vous pouvez également utiliser cette stratégie pour appliquer les formats de numéro de téléphone appropriés, fournir une plage de données valides ou exiger une entrée pour le champ d'adresse électronique. Pour spécifier plusieurs masques de format pour un numéro de téléphone, comme (123)456 7890 et 456 7890, définissez le masque de format de propriété (###)### ####,### ####.
Permet de créer une stratégie pour assigner les licences Office 365 en fonction de l'adhésion au groupe Active Directory. Cette stratégie applique également le retrait des licences Office 365 lorsqu'un membre est supprimé du groupe Active Directory concerné.
Si un utilisateur qui n'est pas synchronisé avec le cloud est ajouté au groupe Active Directory, cet utilisateur est synchronisé avant qu'une licence Office 365 lui soit assignée.
Lors de la création de la stratégie, vous pouvez spécifier plusieurs propriétés et paramètres, tels le nom de la stratégie et le texte du message d'erreur qui s'affiche lorsqu'un assistant administrateur tente une opération qui enfreint cette stratégie.
Le paramètre Ensure only licenses assigned by DRA policies are enabled on accounts. All other licenses will be removed. (S'assurer que seules les licences assignées par les stratégies DRA sont activées sur les comptes. Toutes les autres licences seront supprimées.) est inclus sur la page des propriétés du locataire, configurable pour chaque locataire. Ce paramètre est utilisé pour les stratégies Licence Office 365 pour DRA pour configurer le mode d'application des assignations de licences :
Lorsque ce paramètre est activé, l'application de licences DRA garantit que seules les licences assignées via des stratégies DRA sont provisionnées pour les comptes (les licences assignées en dehors de DRA sont supprimées des comptes assignés à la stratégie de licence). Lorsque ce paramètre est désactivé (par défaut), l'application de licences DRA garantit que seules les licences spécifiques incluses dans les stratégies Office 365 sont provisionnées sur les comptes (lorsque l'assignation d'un compte est annulée d'une stratégie de licence, l'annulation du provisionnement ne concerne que les licences assignées par cette stratégie).
Étant donné que les stratégies intégrées font partie intégrante du modèle de sécurité par défaut, vous pouvez les utiliser pour appliquer votre modèle de sécurité actuel ou les modifier pour mieux répondre à vos besoins. Vous pouvez modifier le nom, les paramètres de règle, l'étendue, la relation et le message d'erreur de plusieurs stratégies intégrées. Vous pouvez activer ou désactiver chaque stratégie intégrée.
Vous pouvez aussi facilement créer des stratégies.