Comportement sensible des groupes restreints sous Windows 2000
Date : 06 Juillet 2005
Pour rappel, trois types de groupes sont utilisés sous Microsoft Windows 2000 :
- les groupes universels (nouveauté Windows 2000),
- les groupes globaux : "domain admin" - "domain users" - "domain guests",
- les groupes locaux
La politique de sécurité sous Windows 2000 est configurée grâce au GPO ("Group Policy Object"). Elle permet, parmi d'autres fonctionnalités, de gérer ce qu'on appelle des groupes restreints ("Restricted Groups"). Cette fonctionnalité permet de contrôler qui doit ou non appartenir à un groupe restreint, et à quels groupes un groupe restreint doit appartenir. Cela permet à un administrateur d'appliquer des politiques de sécurité concernant les groupes sensibles. Par exemple, il peut être décidé que seuls Eric et Alice doivent appartenir au groupe restreint "Budget". Si un troisième utilisateur est ajouté à ce groupe (par exemple, pour accomplir une tâche urgente), la prochaine fois que la politique est appliquée ("raffraichie"), ce troisième utilisateur est automatiquement retiré du groupe "Budget".
Une défaut de conception a récemment été découvert dans la gestion des groupes restreints sous Windows 2000. Il peut entrainer la perte de tous les identifiants utilisateurs appartenant au groupe administrateur global du système. Ce problème est limité aux machines Windows 2000 dans un domaine Windows 2000 et ne semble pas affecter les groupes locaux.
En effet, un groupe sélectionné pour être un groupe restreint devient effectif avant que les appartenances ("membership") soient configurées. Ainsi, si une machine rafraichit sa politique (cette opération est configurée par défaut pour avoir lieu toutes les 90 minutes) dans la fenêtre pendant laquelle le groupe est vide, l'appartenance au groupe sur cette machine est détruite. Une fois la politique appliquée, seul le compte Administrateur par défaut est conservé.
La conséquence est que sur l'ensemble d'un domaine, les comptes globaux (comptes de domaine) peuvent se retrouver retirés de plusieurs machines (serveurs ou stations de travail).