La recette –relativement simple et pouvant être réalisée par des cuisiniers débutants- a été concoctée par Mark Baggett de PauldotCom. Elle explique pas à pas comment, en moins de 60 secondes, l’on peut massacrer tout un réseau amoureusement administré. Comment ? Par le miracle de la délégation. Pour mille et une raisons, il est souvent nécessaire de confier à un « non administrateur » le travail qui consiste à ajouter un poste de travail au sein des Active Directories. Une délégation indispensable lorsqu’un virus vient de frapper un département, lorsqu’un responsable d’agence doit étendre son parc matériel… peu importe la raison. Mais par défaut, cette délégation permettant l’ajout d’un poste octroie également des privilèges que l’on croyait réservés au Domain Admin. Et notamment les droits « Delete » et « Delete Tree », dont la première caractéristique est de pouvoir effacer tous les comptes machine en une seule opération.
Que les admins les plus démocrates se rassurent, Mark Baggett offre également le contrepoison, assez efficace pour que chaque Utilisateur Authentifié puisse se charger de la « sale besogne » propre à l’inscription des stations sans posséder toutes les clefs du domaine.
