Règles d’assignation et d’analyse des stratégies

Définitions

L’origine de la stratégie décide s’il s’agit d’une stratégie d’utilisateur ou d’une stratégie d’ordinateur. Un objet de l’utilisateur « appelle » une stratégie d’utilisateur, et un ordinateur « appelle » une stratégie d’ordinateur. La même stratégie peut être une stratégie d’ordinateur ou d’utilisateur, selon le point de vue.

• Stratégie d’utilisateur

  Toute stratégie fournie par l’utilisateur pour l’analyse. Si une stratégie est mise en œuvre via un seul utilisateur, les paramètres associés à l’ordinateur de cette stratégie ne sont pas appliqués. En d’autres termes, les paramètres associés à l’ordinateur ne s’appliquent pas. Les valeurs par défaut s’appliquent.

• Stratégie d’ordinateur

  Toute stratégie fournie par l’ordinateur pour l’analyse. Si une stratégie est mise en œuvre via un seul ordinateur, les paramètres spécifiques à l’utilisateur pour cette stratégie sont également appliqués. La stratégie de l’ordinateur représente par conséquent une stratégie pour tous les utilisateurs.

Assignation et activation des stratégies

Pour activer une stratégie devant être mise en œuvre pour un utilisateur ou un ordinateur, vous devez d’abord l’assigner à un objet conteneur (nœuds racine, domaine, UO, conteneur intégré ou groupe de travail). Pour que la stratégie assignée à un utilisateur ou à un ordinateur devienne effective, lorsque vous assignez une stratégie à un point quelconque de la hiérarchie, tous les ordinateurs (ordinateurs authentifiés) et tous les utilisateurs (utilisateurs authentifiés) sont activés automatiquement (l’assignation sans activation ne suffit pas). Tous les utilisateurs et tous les ordinateurs sont combinés dans ces groupes.

Héritage de stratégie

Les stratégies ne peuvent être transmises qu’entre objets conteneurs. Les stratégies peuvent être activées au sein d’un conteneur à supposer qu’il ne contienne aucun autre objet conteneur (au niveau du groupe). L’héritage entre groupes est impossible.

Hiérarchie d’héritage de stratégie

Lorsque des stratégies sont assignées le long d’une chaîne hiérarchique, la stratégie la plus proche dans le cas d’un objet cible (utilisateur ou ordinateur) a le niveau le plus élevé. Cela signifie que si la distance entre une stratégie et l’objet cible augmente, elle sera remplacée par toute autre stratégie plus proche.

Assignation directe des stratégies

L’utilisateur ou l’ordinateur reçoit une stratégie assignée directement à l’objet conteneur dans lequel il se trouve (l’appartenance d’un utilisateur de groupe placé dans un autre objet conteneur n’est pas suffisante). L’objet conteneur n’a pas hérité de cette stratégie.

Assignation indirecte des stratégies

L’utilisateur ou l’ordinateur reçoit une stratégie que l’objet conteneur dans lequel il se trouve (l’appartenance en tant qu’utilisateur d’un groupe situé dans un autre objet conteneur n’est pas suffisante) a hérité d’un objet conteneur de niveau supérieur.

Activation/désactivation de stratégies

Pour qu’une stratégie soit effective pour un ordinateur/utilisateur, elle doit être activée au niveau du groupe (les stratégies peuvent uniquement être activées au niveau du groupe). Que ce groupe se trouve ou non dans le même objet conteneur n’a pas d’importance. Le seul point important est que l’utilisateur ou l’ordinateur ait été assigné directement ou indirectement (par héritage) à la stratégie.

Si un ordinateur ou un utilisateur se trouve en dehors d’une UO, ou d’une ligne d’héritage, et fait partie d’un groupe qui se trouve lui-même dans cette UO, cette activation ne s’applique pas à cet utilisateur ou cet ordinateur. En effet, il n’existe pas d’assignation valide pour cet utilisateur ou cet ordinateur (directement ou indirectement). Le groupe était, en effet, activé mais une activation peut seulement s’appliquer aux utilisateurs et aux ordinateurs pour lesquels il existe aussi une assignation de stratégie. Ce qui signifie que l’activation des stratégies ne peut pas aller au-delà des limites de conteneur s’il n’y a pas d’assignation directe ou indirecte de la stratégie pour cet objet.

Une stratégie devient effective lorsqu’elle a été activée pour des groupes d’utilisateurs ou des groupes d’ordinateurs. Les groupes d’utilisateurs puis les groupes d’ordinateurs sont analysés (les utilisateurs authentifiés et les ordinateurs authentifiés sont également des groupes). Les deux résultats sont reliés par une instruction OR. Si ce lien OR donne une valeur positive pour la relation ordinateur/utilisateur, la stratégie s’applique.

Un groupe peut avoir les paramètres d’activation suivants:

• Activé

  Une stratégie a été assignée. Le groupe est affiché dans la zone d’activation de SafeGuard Management Center.

• Non activé

  Une stratégie a été assignée. Le groupe ne se trouve pas dans la zone d’activation.

Si une stratégie est assignée à un conteneur, le paramètre d’activation d’un groupe (activé) détermine si cette stratégie pour ce conteneur est incluse dans le calcul de la stratégie résultante.

Les stratégies héritées ne peuvent pas être contrôlées par ces activations. Bloquer l’héritage de stratégie doit être défini dans l’OU plus locale pour annuler l’effet de la stratégie globale à cet endroit.

Paramètres de l’utilisateur ou du groupe

Les paramètres de stratégie pour les utilisateurs (affichés en noir dans SafeGuard Management Center) sont prioritaires sur les paramètres de stratégie pour les ordinateurs (affichés en bleu dans SafeGuard Management Center). Si les paramètres de l’utilisateur sont indiqués dans une stratégie pour les ordinateurs, ces paramètres seront remplacés par la stratégie pour l’utilisateur.

Exemple 1 :

Si une longueur de mot de passe de 4 a été définie pour un groupe d’ordinateurs, et si la valeur 3 du même paramètre a été définie pour le groupe d’utilisateurs, un mot de passe de longueur 3 s’applique à cet utilisateur sur un ordinateur appartenant à ce groupe d’ordinateurs.

Exemple 2 :

Si un intervalle de connexion au serveur de 1 minute est défini pour un groupe d’utilisateurs, et la valeur 3 pour un groupe d’ordinateurs, la valeur 3 est utilisée car la valeur 1 minute est un paramètre d’ordinateur ayant été défini dans une stratégie pour les utilisateurs.

Stratégies de chiffrement contradictoires

Deux stratégies, P1 et P2, sont créées. Le chiffrement basé sur fichier du lecteur E:\ a été défini pour P1, et le chiffrement basé sur volume du lecteur E:\ a été défini pour P2. P1 se voit assigner l’UO FBE-User et P2 l’UO VBE-User.

Cas de figure 1 : un utilisateur de l’UO FBE-User se connecte le premier au client W7-100 (ordinateur du conteneur). Le chiffrement du lecteur E:\ est basé sur les fichiers. Si un utilisateur de l’UO VBE-User se connecte ensuite au client W7-100, le chiffrement du lecteur E:\ est basé sur les volumes. Si les deux utilisateurs ont la même clé, tous deux peuvent accéder aux lecteurs ou aux fichiers.

Cas de figure 2 : un utilisateur de l’OU VBE-User se connecte le premier à l’ordinateur XP-100 (ordinateur du conteneur). Le chiffrement du lecteur est basé sur les volumes. Si, à présent, un utilisateur de l’UO FBE-User se connecte et a la même clé que les utilisateurs de l’UO VBE-User, le chiffrement du lecteur E:\ sera basé sur les fichiers dans le chiffrement basé sur les volumes (le chiffrement basé sur les volumes est conservé). Toutefois, si l’utilisateur de l’UO FBE-User n’a pas la même clé, il ne peut pas accéder au lecteur E:\.

Priorités au sein d’une assignation

Au sein d’une assignation, la stratégie ayant la plus haute priorité (1) se range au-dessus d’une stratégie ayant une priorité inférieure.

Priorités au sein d’un groupe

Au sein d’un groupe, la stratégie ayant la plus haute priorité (1) se range au-dessus d’une stratégie ayant une priorité inférieure.

Indicateurs d’état

La définition d’indicateurs d’état permet de changer les règles par défaut pour les stratégies.

• Bloquer l’héritage de stratégie

  Paramètre des conteneurs pour lesquels vous ne souhaitez pas que des stratégies de niveau supérieur s’appliquent (cliquez avec le bouton droit sur l’objet dans la fenêtre de navigation Propriétés).

  Si vous ne souhaitez pas qu’un objet conteneur hérite d’une stratégie d’un objet plus élevé, sélectionnez Bloquer l’héritage de stratégie pour l’en empêcher. Si Bloquer l’héritage de stratégie a été sélectionné pour un objet conteneur, il ne sera pas affecté par les paramètres d’une stratégie d’un niveau supérieur (exception : Ne pas remplacer activé lorsqu’une stratégie a été assignée).

• Ne pas remplacer

  Définie au cours de l’assignation, cette stratégie ne peut pas être remplacée par une autre.

  Plus l’assignation de la stratégie Ne pas remplacer est éloignée de l’objet cible, plus cette stratégie a d’effet sur tous les objets conteneurs de niveau inférieur. Cela signifie qu’un conteneur de niveau supérieur soumis à Ne pas remplacer remplace les paramètres de stratégie d’un conteneur de niveau inférieur. Il est donc, par exemple, possible de définir une stratégie de domaine dont les paramètres ne peuvent pas être remplacés, même si Bloquer l’héritage de stratégie a été défini pour une UO.

  Remarque : Si une stratégie ayant une priorité inférieure mais ayant été désignée Ne pas remplacer est assignée au même niveau qu’une stratégie d’un niveau supérieur, cette stratégie sera prioritaire en dépit de son niveau inférieur.